Volver al inicio

Acuerdo de tratamiento de datos

Última actualización: marzo de 2026

1. Ámbito de aplicación

El presente Acuerdo de tratamiento de datos («DPA») forma parte del acuerdo entre el cliente («Responsable del tratamiento») y Amphelyx («Encargado del tratamiento») y se aplica al tratamiento de datos personales en relación con el Servicio.

Este DPA se celebra en virtud del artículo 28 del Reglamento General de Protección de Datos (RGPD).

2. Detalles del tratamiento de datos

  • Finalidad: prestación de los servicios de la plataforma de IA según lo descrito en el acuerdo de servicio.
  • Naturaleza del tratamiento: almacenamiento, recuperación, generación de embeddings e inferencia de IA sobre documentos cargados e interacciones de chat.
  • Categorías de interesados: empleados y usuarios autorizados del Responsable del tratamiento.
  • Tipos de datos personales: nombres, direcciones de correo electrónico, documentos cargados por los usuarios, mensajes de chat y resultados generados por la IA.
  • Duración: durante la vigencia del acuerdo de servicio más el período de conservación de datos.

3. Medidas de seguridad

Amphelyx implementa las siguientes medidas técnicas y organizativas:

  • Cifrado de datos en reposo (AES-256) y en tránsito (TLS 1.3).
  • Control de acceso basado en roles con el principio de mínimo privilegio.
  • Inferencia de LLM en nuestros propios servidores europeos por defecto — los datos solo se envían a proveedores de IA de terceros si el Responsable del tratamiento lo configura explícitamente.
  • Evaluaciones de seguridad y análisis de vulnerabilidades periódicos.
  • Registro de auditoría de todos los accesos y actividades de tratamiento de datos.
  • Controles de seguridad física en las instalaciones del centro de datos (UE y Suiza).

Si el Responsable del tratamiento configura un proveedor de IA de terceros (p. ej. OpenAI, Anthropic, Google), los prompts y los resultados generados por la IA pueden ser procesados por dicho proveedor. En este caso, el proveedor actúa como subencargado adicional y el Responsable del tratamiento es responsable de garantizar una base jurídica adecuada para la transferencia.

4. Subencargados del tratamiento

Para nuestra oferta en la nube, utilizamos los siguientes subencargados del tratamiento, todos ubicados dentro de la Unión Europea o Suiza:

  • Proveedor de infraestructura: alojamiento en la nube europeo para servidores y bases de datos (UE y Suiza).
  • Supabase: servicios de autenticación (región UE).

En los despliegues autoalojados, no interviene ningún subencargado del tratamiento — todos los datos permanecen en la infraestructura del Responsable del tratamiento.

5. Derechos de los interesados

Amphelyx asistirá al Responsable del tratamiento para responder a las solicitudes de los interesados que ejerzan sus derechos en virtud del RGPD (acceso, rectificación, supresión, portabilidad, limitación y oposición).

6. Notificación de violación de datos

En caso de violación de datos personales, Amphelyx notificará al Responsable del tratamiento sin dilación indebida y, en cualquier caso, en un plazo de 48 horas desde que tenga conocimiento de la violación, proporcionando toda la información necesaria para que el Responsable cumpla con sus obligaciones de notificación en virtud del artículo 33 del RGPD.

7. Supresión de datos

Tras la finalización del acuerdo de servicio, Amphelyx suprimirá o devolverá todos los datos personales al Responsable del tratamiento en un plazo de 30 días, salvo que la ley aplicable exija su conservación.

8. Contacto

Para solicitar una copia firmada de este DPA o para tratar cuestiones relativas al tratamiento de datos, utilice nuestro formulario de contacto.