Este Contrato de Tratamiento de Datos («DPA») forma parte de los Términos de Servicio (el «Contrato») entre VISTE FORGE SRL («Encargado») y la entidad que aceptó el Contrato («Responsable», «Cliente», «usted»). Este DPA se aplica en la medida en que Complair trate Datos Personales por cuenta del Cliente en el curso de la prestación del Servicio.
1. Definiciones
- «Datos del Cliente» — datos personales que el Cliente o sus Usuarios Autorizados cargan, introducen o generan en el Servicio, incluidos entradas del inventario de sistemas de IA, elementos de la checklist, documentos, respuestas a cuestionarios de proveedores, conversaciones del asistente y registros de auditoría.
- «Datos Personales», «Interesado», «Tratamiento», «Responsable», «Encargado», «Subencargado», «Autoridad de Control» y «Violación de la Seguridad de los Datos Personales» tienen el significado que les atribuye el RGPD (Reglamento (UE) 2016/679).
- «CCT» — las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), según sean modificadas o sustituidas.
- «Servicio» — el espacio de cumplimiento Complair descrito en el Contrato.
2. Ámbito y roles
El Cliente es el Responsable de los Datos del Cliente. Complair es el Encargado. Complair trata los Datos del Cliente exclusivamente para prestar el Servicio y según se describe en este DPA.
Para los datos personales recopilados directamente por Complair (datos de registro, datos de facturación, registros técnicos), Complair actúa como Responsable autónomo. Dicho tratamiento se rige por nuestra Política de Privacidad.
3. Instrucciones de tratamiento
- Complair trata los Datos del Cliente únicamente conforme a las instrucciones documentadas del Cliente, según lo establecido en este DPA y en el Contrato.
- Si Complair considera que una instrucción infringe el RGPD u otra legislación aplicable en materia de protección de datos, lo comunicará al Cliente sin demora.
- El Cliente podrá dar instrucciones adicionales razonables y coherentes con el Contrato enviando un correo a privacy@complair.eu.
- Complair no utiliza los Datos del Cliente para fines propios — incluido el entrenamiento de modelos de aprendizaje automático — salvo instrucción expresa del Cliente.
4. Detalles del tratamiento
| Objeto | Prestación del espacio de cumplimiento Complair: inventario de sistemas de IA, clasificación de riesgo, gestión de checklists, generación de documentos, evaluaciones de proveedores y asistente de cumplimiento. |
| Duración | Durante la vigencia del Contrato, más el período de conservación posterior a la terminación descrito en la sección 11. |
| Naturaleza & finalidad | Almacenamiento, recuperación, visualización, análisis asistido por IA (mediante la API Anthropic Claude), generación de PDF/Excel, envío de correo electrónico y exportación estructurada de Datos del Cliente. |
| Categorías de datos | Descripciones de sistemas de IA, clasificaciones de riesgo, entradas de checklist de cumplimiento, documentos generados, respuestas a cuestionarios de proveedores, registros de conversaciones del asistente, entradas de auditoría, nombres de usuario, direcciones de correo electrónico y roles en el espacio de trabajo. |
| Interesados | Empleados, colaboradores y usuarios autorizados del Cliente; contactos de proveedores terceros (cuando el Cliente los añada para evaluaciones de proveedores). |
5. Medidas de seguridad
Complair implementa y mantiene medidas técnicas y organizativas apropiadas para proteger los Datos del Cliente, que incluyen:
- Cifrado — TLS 1.2+ en tránsito; AES-256 en reposo (base de datos, copias de seguridad, almacenamiento de objetos).
- Autenticación — contraseñas con hash bcrypt; tokens de sesión limitados al espacio de trabajo; autenticación en dos factores opcional.
- Control de acceso — acceso basado en roles (políticas Pundit); controladores limitados al tenant y algunos controles de modelo mediante
acts_as_tenant; acceso de mínimo privilegio para el personal de Complair. - Infraestructura — alojada en Hetzner en Fráncfort, Alemania (UE). Servidores reforzados, protegidos por firewall y parcheados regularmente.
- Copias de seguridad — copias diarias cifradas con procedimientos de restauración probados; rotadas fuera del almacenamiento frío en 35 días.
- Monitorización — registros centralizados, alertas de anomalías, análisis de dependencias y monitorización de errores (Sentry, UE).
- Personal — verificación de antecedentes, acuerdos de confidencialidad y formación anual en concienciación de seguridad para todo el personal con acceso a Datos del Cliente.
Una descripción más detallada de nuestra postura de seguridad está disponible en nuestra página de Seguridad.
6. Subencargados
El Cliente autoriza a Complair a contratar a los subencargados que se enumeran a continuación. Cada uno está vinculado por un contrato escrito de tratamiento que impone obligaciones no menos protectoras que las de este DPA.
| Subencargado | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Anthropic, PBC | API Claude — clasificación asistida por IA, respuestas del asistente, generación de documentos | Contenido de los prompts (descripciones de sistemas de IA, consultas de usuarios) | Estados Unidos (CCT + medidas suplementarias) |
| Stripe Payments Europe Ltd. | Facturación de suscripciones, procesamiento de pagos, emisión de facturas | Datos de contacto de facturación, metadatos de suscripción | Irlanda (UE) |
| Hetzner Online GmbH | Hosting de la aplicación, base PostgreSQL, copias de seguridad cifradas | Todos los Datos del Cliente en reposo | Alemania (UE) |
| Resend (Resend, Inc.) | Envío de correo transaccional (invitaciones, restablecimientos, notificaciones) | Direcciones de correo de destinatarios, contenido de correos | Estados Unidos (CCT) |
| Sentry | Monitorización de errores (datos personales minimizados y depurados) | Trazas de error anonimizadas, direcciones IP (truncadas) | Unión Europea |
Cambios de subencargados
- Complair notificará al Cliente al menos 30 días antes de añadir o sustituir un subencargado, por correo a la dirección del propietario del espacio de trabajo.
- Si el Cliente formula objeciones razonables por motivos de protección de datos, las partes buscarán de buena fe una alternativa. Si no se alcanza una solución en 30 días, el Cliente podrá rescindir sin penalización el componente del Servicio afectado.
- Complair seguirá siendo plenamente responsable de los actos y omisiones de sus subencargados como si fueran propios.
7. Transferencias internacionales
Los Datos del Cliente se almacenan en Fráncfort, Alemania (UE). Cuando un subencargado se encuentra fuera del EEE (véase la sección 6), Complair garantiza que esté en vigor un mecanismo de transferencia adecuado:
- Cláusulas Contractuales Tipo (Módulo 3: encargado a subencargado) adoptadas por la Comisión Europea.
- Medidas suplementarias — cifrado en tránsito y en reposo, minimización de datos, restricciones contractuales sobre el acceso gubernamental y evaluaciones de impacto en la transferencia.
Puede solicitar copias de las CCT firmadas a privacy@complair.eu.
8. Asistencia al Responsable
Teniendo en cuenta la naturaleza del tratamiento, Complair asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de las obligaciones del Cliente de:
- Responder a las solicitudes de acceso, rectificación, supresión, portabilidad, limitación y oposición de los Interesados (artículos 15 a 22 del RGPD).
- Realizar evaluaciones de impacto en la protección de datos y consultas previas cuando sea necesario (artículos 35 y 36 del RGPD).
- Cumplir las obligaciones relativas a la seguridad del tratamiento (artículo 32 del RGPD).
- Notificar violaciones de la seguridad de los datos personales (artículos 33 y 34 del RGPD).
Cuando la asistencia requiera un esfuerzo considerable que exceda el soporte ordinario, Complair podrá facturar costes razonables a sus tarifas de servicios profesionales vigentes, acordadas con antelación.
9. Auditorías e inspecciones
- Complair pondrá a disposición del Cliente toda la información necesaria para acreditar el cumplimiento de este DPA y permitirá y contribuirá a las auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor designado.
- Las auditorías se llevarán a cabo con preaviso razonable (al menos 30 días), en horario laboral, no más de una vez al año y con sujeción a obligaciones razonables de confidencialidad.
- Cuando Complair disponga de certificaciones vigentes SOC 2 Type II, ISO 27001 o equivalentes, podrá ofrecer dichos informes como alternativa a una auditoría in situ. El Cliente podrá aceptarlos a su discreción.
10. Notificación de violaciones de datos
- Complair notificará al Cliente sin dilación indebida y, en cualquier caso, en un plazo de 48 horas desde que tenga conocimiento de una Violación de la Seguridad de los Datos Personales que afecte a los Datos del Cliente.
- La notificación incluirá, en la medida en que esté disponible:
- Naturaleza de la violación, incluidas las categorías y el número aproximado de Interesados y registros afectados.
- Consecuencias probables de la violación.
- Medidas adoptadas o propuestas para subsanar la violación y mitigar sus efectos.
- Punto de contacto para obtener más información.
- Complair colaborará con el Cliente para investigar, subsanar y cumplir cualquier obligación de notificación frente a las autoridades de control o los Interesados. La autoridad de control principal de Complair es la Autoridad Nacional Rumana de Supervisión del Tratamiento de Datos Personales (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — ANSPDCP), accesible en dataprotection.ro; las notificaciones transfronterizas siguen el mecanismo de ventanilla única previsto en el artículo 56 del RGPD.
11. Supresión y devolución de datos
- Durante la suscripción, el Cliente podrá exportar sus datos en cualquier momento mediante las funcionalidades de exportación integradas en el Servicio (PDF, Excel, JSON).
- Al terminar el Contrato, Complair conservará los Datos del Cliente durante 30 días para permitir la exportación final y, a continuación, los eliminará de forma permanente de todos los sistemas de producción.
- Las copias de seguridad cifradas que contengan Datos del Cliente se rotarán fuera del almacenamiento frío en un plazo de 35 días tras la supresión en producción.
- Cuando la conservación sea obligatoria por la ley aplicable (p. ej. facturas según la ley contable rumana — Ley 82/1991), los datos correspondientes se aislarán y protegerán y se eliminarán una vez transcurrido el período de conservación.
12. Responsabilidad
La responsabilidad total acumulada de cada parte derivada o relacionada con este DPA está sujeta a las limitaciones de responsabilidad establecidas en el Contrato. Este DPA no limita la responsabilidad de ninguna de las partes por incumplimiento de sus obligaciones de confidencialidad ni por dolo.
13. Duración y terminación
Este DPA comienza en la fecha en que el Cliente acepta el Contrato y permanece vigente mientras Complair trate Datos del Cliente. Las secciones que por su naturaleza deban sobrevivir (definiciones, supresión, responsabilidad, confidencialidad) sobrevivirán a la terminación.
14. Contacto
Preguntas sobre este DPA, solicitudes de copia contrafirmada o consultas de protección de datos:
15. Firma
Este DPA se incorpora al Contrato y forma parte de él. Al aceptar el Contrato, el Cliente acepta este DPA sin necesidad de una contrafirma separada. Los Clientes que deseen una copia contrafirmada en papel con membrete del Encargado pueden solicitarla en legal@complair.eu; se devolverá en un plazo de 10 días hábiles.
Firmado por y en nombre del Encargado: