Acuerdo de Encargado del Tratamiento (DPA) — Paidio

Documento de encargo de tratamiento conforme al art. 28 RGPD, específico para Paidio. No constituye asesoramiento jurídico.

Este DPA forma parte de los Términos de Servicio y se aplica cuando el Cliente, como responsable, trata datos personales a través de Paidio, actuando Paidio como encargado. Se rige por la legislación búlgara, en coherencia con los Términos.

1. Objeto y duración

Paidio tratará datos personales únicamente para prestar el servicio contratado, siguiendo las instrucciones documentadas del Cliente (los Términos, la configuración de la cuenta y el uso de la plataforma). El tratamiento dura mientras esté vigente la relación contractual. Los detalles del tratamiento figuran en el Anexo I y las medidas de seguridad en el Anexo II.

2. Obligaciones del encargado (Paidio)

Paidio se compromete a: (a) tratar los datos solo según instrucciones documentadas del Cliente; (b) garantizar la confidencialidad del personal autorizado; (c) aplicar las medidas de seguridad del Anexo II (art. 32 RGPD); (d) asistir razonablemente al Cliente en el ejercicio de derechos de los interesados y en el cumplimiento de los arts. 32-36; (e) notificar sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a tener conocimiento de una violación de seguridad de datos; (f) a elección del Cliente, suprimir o devolver los datos al finalizar la prestación; (g) poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías conforme a la cláusula 7; (h) informar al Cliente si, en su opinión, una instrucción infringe el RGPD u otra normativa de protección de datos.

3. Subencargados

El Cliente autoriza a Paidio a recurrir a los siguientes subencargados, con los que Paidio mantiene contratos que imponen obligaciones de protección de datos equivalentes:

SubencargadoFinalidadUbicación
OpenAIModelos de IA, embeddings, moderaciónEE. UU.
StripePagos y datos de facturaciónUE / EE. UU.
ResendCorreo transaccionalEE. UU.
CloudflareProtección antifraude (Turnstile)EE. UU. / global
RailwayAlojamiento de backend y base de datosEE. UU.
NetlifyAlojamiento del frontendEE. UU.

Paidio informará de cambios en la lista con antelación razonable. El Cliente podrá oponerse por motivos razonables de protección de datos; si la objeción no puede resolverse, el Cliente podrá resolver la parte del servicio afectada sin penalización como único remedio.

4. Transferencias internacionales

Cuando un subencargado trate datos fuera del EEE, la transferencia se ampara en garantías adecuadas conforme al capítulo V del RGPD. En la medida en que ello implique transferencias internacionales, se entienden incorporadas por referencia las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914), en su Módulo correspondiente, y Paidio celebra con cada subencargado las cláusulas del Módulo 3 (encargado a subencargado), además de los marcos de adecuación aplicables (p. ej. EU-US Data Privacy Framework).

5. Derechos de los interesados

Paidio asistirá al Cliente, mediante medidas técnicas apropiadas, para atender solicitudes de acceso, rectificación, supresión, oposición, limitación y portabilidad dirigidas al Cliente.

6. Devolución y supresión

A la finalización del servicio, y a elección del Cliente, Paidio devolverá o suprimirá los datos personales tratados por cuenta del Cliente en el plazo de 30 días, salvo obligación legal de conservación.

7. Auditoría

Paidio pondrá a disposición del Cliente la información razonable para acreditar el cumplimiento de este DPA. Las auditorías se realizarán una vez al año (salvo brecha o requerimiento de autoridad), con preaviso de 30 días, a costa del Cliente y sin comprometer la seguridad de otros clientes; el Cliente podrá aceptar informes o certificaciones vigentes en lugar de una inspección in situ.

8. Categorías especiales de datos

El Cliente es el único responsable de la licitud de incluir datos personales, incluidas categorías especiales del art. 9 RGPD (p. ej. datos de salud/aptitud física). Paidio no está configurado para el tratamiento reforzado de categorías especiales salvo acuerdo escrito; el Cliente se compromete a no incorporarlas sin base jurídica y sin dicho acuerdo.

9. Responsabilidad

La responsabilidad derivada de este DPA se rige por los límites establecidos en los Términos de Servicio, en la medida permitida por la ley.

10. Contacto

Asuntos de protección de datos: tiho@theorangecat.dev.

Anexo I — Detalles del tratamiento

  • Naturaleza y finalidad: alojamiento, indexación (embeddings), recuperación semántica y generación de respuestas de IA sobre el contenido aportado por el Cliente; correo transaccional; gestión de cuentas y facturación.
  • Categorías de interesados: usuarios finales del Cliente (p. ej. alumnos, empleados, clientes del Cliente) y administradores del Cliente.
  • Categorías de datos: los que el Cliente decida incorporar (p. ej. nombre, correo, contenidos de documentos y conversaciones).
  • Duración: mientras esté vigente la relación contractual.

Anexo II — Medidas de seguridad (art. 32)

Cifrado en tránsito; hashing de credenciales; aislamiento lógico por inquilino; control de accesos basado en roles; límites de tasa y moderación de contenido; registros de auditoría; copias de seguridad razonables. Paidio revisa y mejora estas medidas periódicamente.