Data Processing Agreement (DPA)

Actualizado el 8 de julio de 2026

Este Data Processing Agreement («DPA») complementa los Términos del servicio y se celebra entre el propietario del sitio («Responsable») y el operador del servicio («Encargado»). Rige el tratamiento de datos personales que el Encargado lleva a cabo por cuenta del Responsable al prestar la búsqueda con IA gestionada construida sobre Google Vertex AI Search. El DPA se acepta mediante clic-aceptación durante el onboarding (conexión del sitio); la aceptación se registra con una marca de tiempo. En caso de conflicto entre este DPA y los Términos respecto del tratamiento de datos personales, prevalece este DPA.

1. Roles de las partes

El Responsable es el propietario del sitio que incrusta el widget: determina los fines y medios del tratamiento de los datos de sus visitantes y de su contenido. El Encargado es el operador del servicio, que trata esos datos únicamente conforme a las instrucciones documentadas del Responsable. Google Cloud interviene como subencargado (tratamiento dentro de Vertex AI Search / Gemini / Cloud Storage).

Respecto de los datos de la propia cuenta del Responsable (email, ajustes) y del texto de las consultas usado en una medida limitada para métricas de calidad y protección frente a abusos, el Encargado actúa como responsable independiente — regido por la Política de privacidad, no por este DPA. Los pagos los gestiona Paddle como Merchant of Record y responsable independiente de los datos de pago, no un subencargado.

2. Objeto, duración, naturaleza y finalidad

  • Objeto. Tratamiento de datos personales contenidos en el contenido del sitio del Responsable y en las consultas de sus visitantes, para prestar la búsqueda con IA con respuestas y enlaces a las fuentes.
  • Duración. Durante la vigencia de los Términos del servicio y mientras el proyecto esté activo; a la terminación se aplica la sección «Devolución y eliminación».
  • Naturaleza del tratamiento. Recogida (rastreo de páginas públicas), indexación, almacenamiento, búsqueda, generación de respuestas, registro y eliminación.
  • Finalidad. Únicamente prestar y dar soporte al servicio conforme a las instrucciones del Responsable; no se permite el tratamiento para otros fines.

3. Categorías de datos e interesados

Categorías de interesados: visitantes del sitio del Responsable; personas mencionadas en el contenido público del sitio.

Categorías de datos:

  • contenido de las páginas públicas del sitio (puede incluir datos personales publicados por el Responsable);
  • texto de las consultas de los visitantes;
  • datos técnicos del visitante — dirección IP (tratada de forma transitoria y no almacenada) y metadatos de la solicitud (para protección frente a abusos y seguridad);
  • identificadores de sesión del widget y métricas de uso.

No se pretende tratar datos de categorías especiales (Art. 9 GDPR); el Responsable se compromete a no enviarlos al servicio y a no incitar a los visitantes a introducir datos sensibles en la búsqueda.

4. Tratamiento conforme a instrucciones

El Encargado trata los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las transferencias, salvo que se lo exija de otro modo la legislación aplicable de la UE/Estado miembro o de Israel (en cuyo caso el Encargado informa al Responsable antes del tratamiento, salvo que la ley lo prohíba). Este DPA, los Términos y los ajustes que el Responsable configura en el panel constituyen el conjunto completo de instrucciones. El Encargado informa sin demora al Responsable si, en su opinión, una instrucción infringe el GDPR, otra norma de la UE/Estado miembro o la PPL de Israel.

5. Confidencialidad

El Encargado garantiza que las personas autorizadas a tratar datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada, y que el acceso se conceda según el principio de necesidad de conocer y de mínimo privilegio.

6. Medidas de seguridad (Art. 32 GDPR)

El Encargado implementa medidas técnicas y organizativas apropiadas proporcionadas al riesgo, incluyendo: transmisión por TLS; aislamiento de proyectos (cada proyecto tiene su propio índice y clave); depuración de consultas y limitación de tasa antes de llamar a cualquier servicio de pago; acceso de mínimo privilegio; y registro. Las medidas se aplican de forma coherente con las Protection of Privacy (Data Security) Regulations 2017 de Israel (véase la sección «Ley israelí»). La lista de medidas puede actualizarse, pero su nivel no se reduce.

7. Subencargados

El Responsable otorga autorización general para contratar subencargados. La lista vigente se publica en la página de Subencargados e incluye a Google Cloud (Vertex AI Search / Discovery Engine, Gemini, Cloud Storage). El Encargado impone a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA (en particular, acepta el Cloud Data Processing Addendum de Google) y sigue siendo responsable de los actos de sus subencargados.

El Encargado da aviso previo de cualquier incorporación o sustitución prevista de un subencargado (procedimiento en la página «Subencargados»); el Responsable puede oponerse por motivos razonables de protección de datos. Si una oposición no puede resolverse, el Responsable podrá dejar de usar el servicio para el tratamiento afectado.

8. Asistencia con los derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, el Encargado asiste al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición conforme a los Arts. 15–22 GDPR). Si una solicitud de un interesado llega directamente al Encargado, este la remite al Responsable sin demora indebida y no responde por sí mismo salvo conforme a las instrucciones del Responsable. Las herramientas del panel (limpieza de registros, eliminación del proyecto) respaldan la atención de dichas solicitudes.

9. Notificación de violaciones de datos personales (régimen dual)

El Encargado notifica al Responsable una violación de datos personales sin demora indebida tras tener conocimiento de ella, facilitando la información razonablemente necesaria para que el Responsable cumpla sus propias obligaciones de notificación (Arts. 33–34 GDPR — normalmente notificación a la autoridad de control por el Responsable en un plazo de 72 horas).

Además, dado que el Encargado está establecido en Israel, ante un incidente de seguridad grave notifica a la Privacy Protection Authority (PPA) de Israel de inmediato, tal como exige la PPL en su versión modificada por la Amendment 13, y asiste en la notificación a los interesados según lo indique la PPA. La notificación no constituye un reconocimiento de responsabilidad.

10. Devolución y eliminación de datos

Al finalizar la prestación de los servicios, el Encargado, a elección del Responsable, elimina o devuelve los datos personales y elimina las copias existentes, salvo que la legislación aplicable exija su conservación. En la práctica, al cerrar un proyecto, se eliminan el índice del sitio y los recursos de Vertex relacionados, los artefactos intermedios de indexación y los registros (sujeto a los periodos de conservación de la Política de privacidad: texto de las consultas — 90 días, artefactos de indexación — normalmente 7 días; las direcciones IP no se almacenan).

11. Auditoría e información

El Encargado pone a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones del Art. 28 GDPR, y permite y contribuye a auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor designado por él, en una medida razonable, con aviso previo, en horario laboral y bajo confidencialidad, de un modo que no comprometa la seguridad de otros clientes. Pueden utilizarse las garantías de los subencargados (por ejemplo, los informes de cumplimiento y las certificaciones de Google, incluida ISO 27001) para demostrar el cumplimiento.

12. Transferencias internacionales

Las transferencias de datos personales desde el EEE al Encargado en Israel se basan en la decisión de adecuación de la Comisión Europea para Israel; no se requieren Standard Contractual Clauses separadas para este tramo, pero si se retira la adecuación las partes recurren a las SCC.

Las transferencias a los servicios de Google se rigen por el Cloud Data Processing Addendum de Google y, cuando sea necesario, por las SCC y/o el EU-US Data Privacy Framework. A elección del Responsable, se usa una región de Google en la UE para los datos de clientes de la UE, a fin de minimizar la transferencia transfronteriza.

Las transferencias desde Israel a Google se basan en las Privacy Protection (Transfer of Data Abroad) Regulations 2001 de Israel, Reg. 2(4) (obligación del destinatario de garantizar condiciones de almacenamiento y uso equivalentes a la ley israelí). Para los datos del EEE, las EEA Data Regulations 2023 de Israel (Regs. 3–7) se aplican adicionalmente al tratamiento de los datos de los interesados del EEE.

13. CCPA / condiciones de la legislación estatal de EE. UU.

En la medida en que se aplique la CCPA/CPRA, el Encargado actúa como proveedor de servicios y trata la información personal únicamente para el fin empresarial específico de prestar el servicio. El Encargado no vende y no «comparte» información personal, no la conserva, usa ni divulga fuera de la relación empresarial directa con el Responsable ni para ningún otro fin, y no la combina con datos de otras fuentes salvo en lo permitido por la CCPA. El Encargado garantiza obligaciones equivalentes para sus subencargados.

14. Ley israelí (PPL / Amendment 13)

Dado que el Encargado está establecido en Israel, la Protection of Privacy Law (PPL) en su versión modificada por la Amendment 13 (en vigor desde el 14 August 2025) se aplica al tratamiento; alineó la ley israelí con el GDPR (terminología de responsable/encargado, transparencia del tratamiento con IA, mayor capacidad de ejecución de la PPA, notificación de violaciones). El Encargado cumple las Protection of Privacy (Data Security) Regulations 2017 para los datos que trata. Ante un incidente grave se aplica el régimen de notificación a la PPA de la sección «Notificación de violaciones». Las partes confirman que se ha designado un contacto de privacidad (Privacy Officer / contacto — véase la Política de privacidad).

15. Disposiciones generales

La elección de la ley israelí y la jurisdicción de los tribunales de Tel Aviv-Jaffa (véanse los Términos) no anula las obligaciones imperativas del GDPR, la CCPA y la PPL — el reparto de responsabilidades se determina por ley. En caso de conflicto, este DPA prevalece para el tratamiento de datos personales. Los contactos del Encargado (responsable del servicio) y el contacto de privacidad se establecen en la Política de privacidad.

Data Processing Agreement (DPA) · Achla AI