ES
Acuerdo de tratamiento de datos
Partes
Responsable del tratamiento (Cliente): La entidad que ha aceptado los Términos de uso de Suunta.ai y utiliza los Servicios.
Encargado del tratamiento (Suunta.ai): Y4 Works Oy, Business ID: 2978296-6, Dirección: Finlandia, Email: privacy@suunta.ai
1. Definiciones
- Datos personales significa cualquier información relativa a una persona física identificada o identificable según el Artículo 4(1) del GDPR.
- Tratamiento significa cualquier operación o conjunto de operaciones realizadas sobre Datos personales, según el Artículo 4(2) del GDPR.
- Titular de los datos significa la persona física identificada o identificable a la que se refieren los Datos personales.
- Subencargado significa cualquier tercero contratado por Suunta.ai para tratar Datos personales en nombre del Cliente.
- Servicios significa la plataforma Suunta.ai y los servicios relacionados según se describen en los Términos de uso.
- GDPR significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos).
- Cláusulas Contractuales Tipo (SCC) significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países adoptadas por la Comisión Europea.
- Incidente de seguridad significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos personales, accidental o ilícito.
2. Alcance y finalidad
2.1 Alcance Este DPA se aplica a todo Tratamiento de Datos personales por Suunta.ai en nombre del Cliente en relación con los Servicios.
2.2 Roles El Cliente actúa como Responsable del tratamiento. Suunta.ai actúa como Encargado del tratamiento. Cuando Suunta.ai determine los fines y medios del Tratamiento (p. ej., para analíticas de mejora del servicio), Suunta.ai actúa como Responsable independiente y tratará dichos datos conforme a su Política de privacidad.
2.3 Finalidad del tratamiento Suunta.ai procesa Datos personales exclusivamente con el fin de proporcionar los Servicios descritos en los Términos de uso, incluidos:
- Gestión de cuentas de usuario y autenticación
- Proporcionar funciones de planificación estratégica basadas en IA
- Procesar y almacenar datos empresariales enviados por los Usuarios
- Generar análisis y recomendaciones asistidas por IA
- Facturación y gestión de suscripciones
- Soporte al cliente
- Seguridad del servicio y prevención de abusos
3. Categorías de datos y titulares
3.1 Categorías de titulares de datos
- Empleados y contratistas del Cliente que utilizan los Servicios
- Otras personas cuyos Datos personales son enviados a los Servicios por el Cliente
3.2 Categorías de Datos personales
| Categoría | Elementos de datos | Finalidad |
|---|---|---|
| Datos de cuenta | Nombre, email, teléfono (opcional), cargo, rol | Identificación y acceso del usuario |
| Datos de autenticación | Hash de contraseña, identificadores SSO, datos de sesión | Acceso seguro |
| Datos de organización | Nombre de la organización, país, ciudad, sector, tamaño | Personalización del servicio |
| Datos de uso | Dirección IP, user agent, timestamps de inicio de sesión, logs de actividad | Seguridad y auditoría |
| Datos empresariales | Documentos estratégicos, OKR, KPI, proyectos, tareas | Prestación principal del servicio |
| Datos de comunicación | Mensajes de chat, interacciones de IA | Funciones del servicio |
| Datos de facturación | Stripe Customer ID, detalles de suscripción | Procesamiento de pagos |
3.3 Categorías especiales de datos El Cliente acepta no enviar categorías especiales de Datos personales (según el Artículo 9 del GDPR) a los Servicios sin el consentimiento previo por escrito de Suunta.ai.
4. Obligaciones del Encargado
4.1 Instrucciones de tratamiento Suunta.ai procesará Datos personales solo con instrucciones documentadas del Cliente, informará al Cliente si una instrucción infringe el GDPR y garantizará que las personas autorizadas estén sujetas a confidencialidad.
4.2 Medidas de seguridad
| Medida | Implementación |
|---|---|
| Cifrado en reposo | AES-256 (AWS RDS) |
| Cifrado en tránsito | TLS 1.2+ |
| Control de acceso | Acceso basado en roles, aislamiento por organización |
| Autenticación | Hashing de contraseñas (PBKDF2-SHA256), gestión de sesiones |
| Auditoría | Registro completo de actividades con políticas de retención |
| Copias de seguridad | Copias diarias automatizadas con recuperación point-in-time |
| Infraestructura | AWS UE (Estocolmo, eu-north-1) |
4.3 Subprocesamiento Suunta.ai puede contratar Subencargados sujetos a las condiciones de la Sección 6.
4.4 Asistencia al Responsable Suunta.ai asistirá al Cliente para responder a solicitudes de los titulares de datos, garantizar el cumplimiento de los Artículos 32-36 del GDPR y proporcionar información necesaria para demostrar el cumplimiento.
4.5 Eliminación y devolución Tras la terminación de los Servicios o a solicitud del Cliente: (a) el Cliente puede solicitar la exportación de Datos del Cliente dentro de los 30 días posteriores a la terminación; (b) Suunta.ai eliminará los Datos personales dentro de los 90 días posteriores a la terminación, salvo que la ley exija retención; (c) la exportación de datos se proporciona en formatos JSON y CSV mediante los Servicios.
5. Manejo de datos específico de IA
5.1 Procesamiento de IA Cuando los Datos del Cliente se procesan mediante funciones de IA: (a) los prompts y respuestas se transmiten a Proveedores de IA de terceros para su procesamiento; (b) Suunta.ai NO almacena prompts ni respuestas de IA en su base de datos; (c) solo se registran metadatos de uso (tokens, latencia, modelo, coste) para facturación y analítica; (d) el historial de conversaciones se almacena para permitir la continuidad de la conversación.
5.2 Sin entrenamiento con Datos del Cliente Suunta.ai NO utilizará Datos del Cliente para entrenar, ajustar o mejorar modelos de IA sin consentimiento escrito explícito. Suunta.ai configura a los Proveedores de IA de terceros para desactivar la retención de datos cuando esté disponible, excluir el uso de datos para entrenamiento y aplicar políticas de zero data retention cuando se admitan.
5.3 Procesamiento de documentos RAG Los documentos cargados se procesan para extraer texto, se convierten en embeddings vectoriales y el texto bruto se elimina dentro de 24 horas tras la indexación. El contenido de los fragmentos y los embeddings se conservan para la funcionalidad del servicio; al eliminar una fuente, se eliminan todos los fragmentos y embeddings asociados.
6. Subencargados
6.1 Subencargados autorizados El Cliente otorga autorización general para que Suunta.ai contrate a los Subencargados listados en el Apéndice A.
6.2 Requisitos de subencargados Suunta.ai suscribirá acuerdos escritos con los Subencargados que impongan obligaciones de protección de datos no menos protectoras que este DPA, seguirá siendo responsable del cumplimiento del Subencargado y realizará la debida diligencia adecuada.
6.3 Cambios en subencargados Suunta.ai mantendrá una lista actualizada de Subencargados en https://suunta.ai/legal/subprocessors, notificará al Cliente al menos 30 días antes de contratar un nuevo Subencargado y ofrecerá al Cliente la oportunidad de objetar por motivos razonables de protección de datos.
6.4 Proceso de objeción Si no se alcanza una resolución dentro de 30 días, el Cliente puede terminar los Servicios afectados sin penalización. Dicha terminación es el único recurso del Cliente para las objeciones a Subencargados.
7. Derechos de los titulares de datos
7.1 Asistencia Suunta.ai asistirá al Cliente para responder a solicitudes de los titulares de datos para ejercer sus derechos conforme al Capítulo III del GDPR, incluidos acceso, rectificación, supresión, limitación, portabilidad y oposición.
7.2 Solicitudes de titulares Si Suunta.ai recibe una solicitud directamente de un titular de datos, Suunta.ai notificará rápidamente al Cliente, no responderá directamente salvo autorización o requerimiento legal y proporcionará asistencia razonable.
7.3 Funciones de autoservicio Los Servicios incluyen funciones de autoservicio que permiten a los Usuarios:
- Ver y exportar sus Datos personales
- Corregir información de la cuenta
- Eliminar su cuenta de usuario
- Solicitar exportación de datos de la organización
- Solicitar eliminación de la organización
8. Incidentes de seguridad
8.1 Notificación Suunta.ai notificará al Cliente cualquier Incidente de seguridad sin demora indebida y en todo caso dentro de 72 horas desde que tenga conocimiento, proporcionando una descripción del incidente, los datos y registros afectados, un punto de contacto, las probables consecuencias y las medidas tomadas.
8.2 Cooperación Suunta.ai cooperará con la investigación del Cliente, tomará medidas razonables para mitigar efectos, proporcionará actualizaciones y asistirá con notificaciones a autoridades de control y titulares de datos.
8.3 Registros Suunta.ai mantiene un registro de auditoría de cumplimiento inmutable para eventos relevantes de seguridad con retención extendida.
9. Transferencias internacionales
9.1 Lugares de procesamiento El procesamiento principal de datos ocurre en la UE (AWS eu-north-1, Estocolmo). Algunos procesamientos pueden ocurrir en EE. UU. a través de Proveedores de IA de terceros.
9.2 Mecanismos de transferencia Para transferencias a países sin decisión de adecuación de la UE, Suunta.ai se basa en las Cláusulas Contractuales Tipo (Módulo 2: Responsable a Encargado, Módulo 3: Encargado a Encargado), medidas suplementarias y certificaciones de Subencargados cuando corresponda.
9.3 Evaluación de impacto de transferencia Suunta.ai ha realizado evaluaciones de impacto para transferencias a EE. UU., considerando:
- Naturaleza de los datos transferidos (principalmente prompts/consultas, no datos personales masivos)
- Medidas técnicas (cifrado, configuraciones de zero data retention)
- Marco legal del país de destino
- Protecciones contractuales con Subencargados
10. Derechos de auditoría
10.1 Información de auditoría A solicitud escrita del Cliente (no más de una vez al año), Suunta.ai proporcionará un resumen de medidas de seguridad, resultados de auditorías de terceros (sujeto a confidencialidad), confirmación del cumplimiento de Subencargados y registros de Incidentes de seguridad que afecten Datos del Cliente.
10.2 Auditorías in situ Las auditorías in situ requieren un aviso escrito de 30 días, se realizan en horario laboral con mínima interrupción, a cargo del Cliente, bajo confidencialidad y limitadas al cumplimiento del DPA.
10.3 Certificaciones Suunta.ai está trabajando para obtener certificaciones SOC 2 Tipo II e ISO 27001. Una vez logradas, los informes de auditoría estarán disponibles para los Clientes bajo NDA.
11. Retención de datos
11.1 Periodos de retención
| Categoría de datos | Periodo de retención | Notas |
|---|---|---|
| Datos de cuentas activas | Duración de los Servicios | Eliminados al borrar la cuenta |
| Cuentas de usuario eliminadas | Anonimizadas inmediatamente | Retención de copia de seguridad 90 días |
| Metadatos de uso de IA | 365 días | Conteo de tokens, costes |
| Logs de auditoría (estándar) | 24 meses | Operaciones CRUD |
| Logs de auditoría (críticos) | 36 meses | Eliminaciones, eventos de seguridad |
| Logs de auditoría de cumplimiento | 7 años | Inmutables, retención regulatoria |
| Registros de facturación | 6 años | Ley contable finlandesa |
| Copias de seguridad | 30 días | Rotación automática |
11.2 Proceso de eliminación La eliminación de la organización sigue un proceso estructurado: solicitud de eliminación con confirmación de contraseña; periodo de gracia de 30 días (cancelable); cancelación de suscripción Stripe; eliminación sistemática de todos los datos de la organización; entrada de auditoría de cumplimiento inmutable.
12. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones establecidas en los Términos de uso. Cada parte indemnizará a la otra por pérdidas derivadas del incumplimiento de este DPA o de las leyes de protección de datos aplicables.
13. Vigencia y terminación
Este DPA permanece en vigor durante la vigencia de los Términos de uso. Las Secciones 5 (Manejo de datos específico de IA), 8 (Incidentes de seguridad), 11 (Retención de datos) y 12 (Responsabilidad) sobreviven a la terminación.
14. Ley aplicable
Este DPA se rige por las leyes de Finlandia. Las disputas se resolverán de acuerdo con las disposiciones de resolución de disputas de los Términos de uso.
15. Contacto
Para consultas de protección de datos: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai
Apéndice A: Subencargados autorizados
Última actualización: 27 de enero de 2025. Consulte la lista completa en https://suunta.ai/legal/subprocessors.
Apéndice B: Medidas técnicas y organizativas
1. Control de acceso
- Control de acceso basado en roles (RBAC)
- Aislamiento de datos a nivel de organización (arquitectura multi-tenant)
- Cuentas de usuario únicas con autenticación segura
- Gestión de sesiones con tiempos de espera configurables
- Protección contra fuerza bruta con bloqueo de cuentas
2. Cifrado
- Datos en reposo: cifrado AES-256 (AWS RDS)
- Datos en tránsito: TLS 1.2+ para todas las conexiones
- Almacenamiento de contraseñas: hashing PBKDF2-SHA256
3. Disponibilidad y resiliencia
- Infraestructura AWS con alta disponibilidad
- Copias de seguridad diarias automatizadas con recuperación point-in-time
- Procedimientos de recuperación ante desastres
4. Monitorización y registro
- Registro completo de actividades de usuarios
- Seguimiento del uso de IA (solo metadatos)
- Monitorización de eventos de seguridad
- Retención de logs según la Sección 11
5. Respuesta a incidentes
- Procedimientos documentados de respuesta a incidentes
- Compromiso de notificación de brechas en 72 horas
- Registro de auditoría de cumplimiento inmutable
6. Personal
- Obligaciones de confidencialidad para todo el personal
- Formación en seguridad
- Principio de mínimo privilegio
7. Gestión de proveedores
- Debida diligencia sobre Subencargados
- Requisitos contractuales de protección de datos
- Revisión periódica del cumplimiento de Subencargados