ACUERDO DE PROCESAMIENTO DE DATOS (APD)

(Artículo 28 del RGPD)

Última Actualización: 1. 1. 2026

Este Acuerdo de Procesamiento de Datos ("APD") forma parte de los Términos de Servicio ("Acuerdo") entre Basad, s.r.o. ("Proveedor" o "Procesador") y el usuario del Servicio ("Cliente" o "Controlador").

1. Preámbulo y Alcance

Este APD se aplica en la medida en que el Proveedor procese Datos Personales en nombre del Cliente en el curso de la prestación del Servicio. Establece los derechos y obligaciones de las partes de conformidad con el Art. 28 del Reglamento (UE) 2016/679 (RGPD).

2. Definiciones

  • "Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable procesada por el Proveedor en nombre del Cliente.
  • "Procesamiento" significa cualquier operación realizada sobre Datos Personales, como recopilación, almacenamiento, uso o borrado.
  • "Subprocesador" significa cualquier tercero contratado por el Proveedor para ayudar en el cumplimiento de sus obligaciones.

3. Detalles del Procesamiento

3.1 Objeto y Duración

El objeto del procesamiento es la prestación del Servicio de asistente legal de IA. La duración corresponde al plazo del Acuerdo.

3.2 Naturaleza y Propósito

El Proveedor procesa Datos Personales para proporcionar, mantener y asegurar el Servicio (SaaS), incluido el análisis de documentos y la generación de resultados de IA.

3.3 Tipos de Datos Personales

Datos contenidos en documentos y solicitudes de texto cargados por el Cliente (ej. nombres, direcciones, detalles del caso) y datos de cuenta.

3.4 Categorías de Interesados

Clientes, empleados, contrapartes del Cliente u otras personas mencionadas en los documentos del Cliente.

4. Obligaciones del Cliente (Controlador)

El Cliente es responsable de la legalidad del procesamiento y garantiza que tiene una base legal para procesar los Datos Personales e instruir al Proveedor para que los procese.

5. Obligaciones del Proveedor (Procesador)

  • Instrucciones: Procesar Datos Personales solo con instrucciones documentadas del Cliente (incluido este APD y las características del Servicio), a menos que la ley de la UE o de un Estado miembro exija lo contrario.
  • Confidencialidad: Asegurar que las personas autorizadas para procesar los Datos Personales se hayan comprometido a la confidencialidad.
  • Seguridad: Implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo (Art. 32 RGPD).
  • Sin Entrenamiento: El Proveedor acepta explícitamente NO utilizar los Datos Personales del Cliente para entrenar sus modelos generales de IA o Modelos de Lenguaje Grande (LLMs) en beneficio de otros clientes.

6. Subprocesamiento

El Cliente otorga autorización general al Proveedor para contratar Subprocesadores. Los Subprocesadores actuales incluyen:
  • OpenAI, L.L.C. (Modelos de IA, EE. UU.)
  • Anthropic, PBC (Modelos de IA, EE. UU.)
  • Vercel Inc. (Alojamiento, EE. UU.)
  • Amazon Web Services (AWS) (Infraestructura en la Nube, UE/EE. UU.)
  • Pinecone Systems Inc. (Base de Datos Vectorial, EE. UU.)

El Proveedor celebrará acuerdos escritos con Subprocesadores que proporcionen al menos el mismo nivel de protección de datos que este APD. Las transferencias a los EE. UU. están salvaguardadas por el Marco de Privacidad de Datos UE-EE. UU. o las Cláusulas Contractuales Estándar (SCC).

7. Derechos de los Interesados

Teniendo en cuenta la naturaleza del procesamiento, el Proveedor asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes para ejercer los derechos del interesado.

8. Incidentes de Seguridad

El Proveedor notificará al Cliente sin demora indebida después de tener conocimiento de una Violación de Datos Personales. La notificación contendrá al menos la información requerida por el Art. 33(3) del RGPD.

9. Derechos de Auditoría

El Proveedor pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este APD y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor mandatado por el Cliente.

10. Terminación y Eliminación

Tras la terminación del Servicio, el Proveedor deberá, a elección del Cliente, eliminar o devolver todos los Datos Personales al Cliente, a menos que la ley de la UE o de un Estado miembro exija el almacenamiento de los Datos Personales.