1. Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") complementa los Términos de Servicio entre Bravos AI ("Procesador") y el cliente que utiliza el Servicio ("Responsable"). Este DPA se celebra conforme al Artículo 28 del Reglamento General de Protección de Datos (RGPD) y la legislación de protección de datos del Reino Unido (UK GDPR).

Al utilizar el Servicio, el Responsable acepta los términos de este DPA. Si el Responsable requiere una versión firmada de este acuerdo, puede solicitarla en contacto@bravos-ai.com.

2. Definiciones

"Responsable" (Controller): El cliente que determina los fines y medios del tratamiento de datos personales a través del Servicio.
"Procesador" (Processor): Bravos AI, que trata datos personales por cuenta del Responsable.
"Sub-procesador": Tercero contratado por el Procesador para llevar a cabo actividades de tratamiento específicas por cuenta del Responsable.
"Datos Personales": Cualquier información relativa a una persona física identificada o identificable tratada en el contexto del Servicio.
"Interesado": Persona física cuyos datos personales son objeto de tratamiento.
"Brecha de Seguridad": Violación de seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, o la comunicación no autorizada de datos personales.
"SCCs": Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para transferencias internacionales de datos.

3. Objeto y Duración del Tratamiento

El Procesador trata datos personales por cuenta del Responsable con el fin de proporcionar el Servicio de Bravos AI, que incluye la creación, entrenamiento y despliegue de chatbots con inteligencia artificial.

• Duración: Este DPA permanece vigente mientras el Responsable utilice el Servicio, más el período necesario para la eliminación o devolución de datos tras la terminación.
• Naturaleza del tratamiento: Almacenamiento, indexación, generación de embeddings vectoriales, procesamiento mediante modelos de IA para generación de respuestas, y entrega de contenido al Usuario Final.
• Finalidad: Proporcionar el servicio de chatbot con IA contratado por el Responsable, incluyendo el procesamiento de consultas de Usuarios Finales y la generación de respuestas basadas en los Datos de Entrenamiento.

4. Tipos de Datos Personales y Categorías de Interesados

4.1 Tipos de Datos Personales

• Datos de cuenta del Responsable (nombre, email, contraseña encriptada)
• Mensajes de conversación entre Usuarios Finales y el chatbot
• Archivos multimedia compartidos por Usuarios Finales (se eliminan automáticamente tras 24 horas)
• Identificadores anónimos de sesión (fingerprint)
• Datos contenidos en los Datos de Entrenamiento proporcionados por el Responsable (documentos, CSV, Excel, URLs)
• Datos de leads capturados mediante el chatbot (nombre, email, teléfono u otros campos configurados por el Responsable)
• Datos técnicos (dirección IP, user agent, datos de dispositivo)

4.2 Categorías de Interesados

• Usuarios Finales que interactúan con los chatbots del Responsable
• Empleados o representantes del Responsable con acceso al panel de administración
• Personas cuyos datos personales estén contenidos en los Datos de Entrenamiento

Nota: No se tratan categorías especiales de datos (Art. 9 RGPD) de forma intencionada. El Responsable se compromete a no subir datos sensibles (origen étnico, opiniones políticas, datos de salud, orientación sexual, etc.) como Datos de Entrenamiento salvo que cuente con la base legal adecuada.

5. Obligaciones del Procesador

5.1 Instrucciones Documentadas

El Procesador tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, que incluyen las establecidas en los Términos de Servicio y este DPA, salvo que una obligación legal del Procesador exija otro tratamiento. En tal caso, el Procesador informará al Responsable antes del tratamiento, salvo que la ley lo prohíba.

5.2 Confidencialidad

El Procesador garantiza que todas las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.

5.3 Medidas de Seguridad (Art. 32 RGPD)

El Procesador implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

• Encriptación de datos en tránsito (HTTPS/TLS)
• Encriptación de contraseñas (bcrypt)
• Acceso restringido a datos personales basado en el principio de mínimo privilegio
• Copias de seguridad regulares y automatizadas
• Monitorización de seguridad y detección de anomalías
• Hosting en servidores de Hetzner Online GmbH (Alemania, UE) con estándares ISO 27001
• Revisión periódica de la eficacia de las medidas de seguridad

5.4 Notificación de Brechas de Seguridad

En caso de una Brecha de Seguridad que afecte a datos personales del Responsable, el Procesador lo notificará sin dilación indebida y, en cualquier caso, en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha. La notificación incluirá la naturaleza de la brecha, las categorías y número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas para remediar la situación.

5.5 Asistencia al Responsable

El Procesador asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, en:

• Atender solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación)
• Cumplir obligaciones de seguridad del tratamiento (Art. 32 RGPD)
• Notificar brechas de seguridad a la autoridad de control (Art. 33 RGPD)
• Realizar evaluaciones de impacto relativas a la protección de datos (DPIA), cuando sea necesario
• Consultas previas a la autoridad de control (Art. 36 RGPD)

5.6 Derecho de Auditoría

El Procesador pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD. El Procesador permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado, previo aviso razonable de al menos 30 días y durante horario laboral. El Responsable asumirá los costes de la auditoría.

6. Sub-procesadores

El Responsable otorga al Procesador una autorización general para contratar sub-procesadores, sujeta a las condiciones de esta sección. El Procesador garantiza que los sub-procesadores estarán vinculados por obligaciones de protección de datos equivalentes a las de este DPA.

6.1 Sub-procesadores Actuales

Proveedor	Servicio	Datos Tratados	Ubicación	Garantías
OpenAI, LLC	Procesamiento de lenguaje natural y generación de respuestas del chatbot	Mensajes de conversación, contexto de consulta, Datos de Entrenamiento relevantes	EE.UU. (OpenAI Ireland Ltd. para EEA)	DPA + SCCs
Hetzner Online GmbH	Hosting de servidores, base de datos y almacenamiento	Todos los datos del Servicio	Alemania (UE)	DPA
Stripe, Inc.	Procesamiento de pagos y suscripciones	Datos de facturación del Responsable	EE.UU.	EU-US DPF + DPA
Resend, Inc.	Envío de emails transaccionales	Dirección de email del Responsable	EE.UU.	DPA + SCCs

6.2 Notificación de Cambios

El Procesador notificará al Responsable cualquier adición o sustitución de sub-procesadores con al menos 30 días de antelación. El Responsable podrá oponerse al nuevo sub-procesador por motivos razonables relacionados con la protección de datos, dentro de los 15 días siguientes a la notificación. Si la objeción no puede resolverse razonablemente, cualquiera de las partes podrá resolver el contrato.

7. Disposiciones Específicas sobre Inteligencia Artificial

Compromiso de no-entrenamiento: Ni el Procesador ni sus sub-procesadores utilizan los datos personales del Responsable, las conversaciones de Usuarios Finales o los Datos de Entrenamiento para entrenar, ajustar (fine-tune) o mejorar modelos de IA de uso general. Esta restricción sobrevive a la terminación de este DPA.

7.1 Procesamiento mediante IA

El Servicio utiliza modelos de inteligencia artificial de terceros (actualmente OpenAI) para generar respuestas de chatbot. El flujo de procesamiento es el siguiente:

• Los Datos de Entrenamiento se procesan localmente para generar embeddings vectoriales, que se almacenan en la base de datos del Procesador
• Cuando un Usuario Final envía un mensaje, se recuperan los fragmentos relevantes de los Datos de Entrenamiento y se envían a la API de OpenAI junto con el mensaje del usuario para generar una respuesta
• OpenAI procesa estos datos únicamente para generar la respuesta y no los retiene más allá de 30 días (para monitorización de abuso), tras lo cual se eliminan automáticamente
• OpenAI no utiliza los datos enviados a través de su API para entrenar sus modelos

7.2 Restricciones Contractuales con Proveedores de IA

El Procesador mantiene acuerdos de procesamiento de datos (DPAs) con todos sus proveedores de IA que incluyen:

• Prohibición expresa de usar datos de clientes para entrenamiento de modelos
• Períodos de retención definidos y eliminación automática
• Cláusulas Contractuales Tipo (SCCs) para transferencias internacionales
• Medidas técnicas y organizativas de seguridad adecuadas

8. Transferencias Internacionales de Datos

Cuando los datos personales se transfieran fuera del Espacio Económico Europeo (EEA) o del Reino Unido, el Procesador garantiza que se aplican las salvaguardas adecuadas:

• Cláusulas Contractuales Tipo (SCCs): Módulo 2 (Responsable a Procesador) aprobadas por la Comisión Europea, incorporadas por referencia a este DPA
• EU-US Data Privacy Framework (DPF): Verificación de participación de proveedores estadounidenses cuando aplique
• UK International Data Transfer Agreement (IDTA): Para transferencias sujetas al UK GDPR
• Evaluación de impacto de transferencias (TIA): Cuando sea requerida por la legislación aplicable

9. Derechos de los Interesados

El Procesador asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, para atender las solicitudes de ejercicio de derechos de los interesados conforme al Capítulo III del RGPD:

• Acceso y portabilidad: El Responsable puede exportar conversaciones y datos desde el panel de administración
• Supresión: El Responsable puede eliminar conversaciones, datos de entrenamiento y datos de leads desde el panel de administración. Al cancelar la cuenta, todos los datos se eliminan en un plazo de 30 días
• Rectificación: El Responsable puede actualizar los Datos de Entrenamiento en cualquier momento
• Solicitudes adicionales: Para solicitudes que requieran asistencia del Procesador, contactar a contacto@bravos-ai.com

10. Retención y Eliminación de Datos

Al finalizar la prestación del Servicio, el Procesador eliminará todos los datos personales del Responsable en los plazos siguientes, salvo que una obligación legal exija su conservación:

• Datos de cuenta: 30 días tras la cancelación
• Datos de Entrenamiento y embeddings: Eliminados inmediatamente al borrar el datasource o cancelar la cuenta
• Conversaciones del widget: 90 días desde su creación (eliminación automática)
• Archivos multimedia del widget: 24 horas (eliminación automática)
• Datos de facturación: 10 años (obligación legal fiscal)
• Logs técnicos: 90 días

El Responsable puede solicitar la devolución de sus datos en formato estructurado antes de la eliminación, contactando a contacto@bravos-ai.com.

11. Responsabilidad

La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio. Cada parte será responsable de los daños causados por el tratamiento que infrinja el RGPD, conforme al Artículo 82 del RGPD.

12. Ley Aplicable y Jurisdicción

Este DPA se rige por la legislación del Reino Unido. Cualquier disputa se resolverá de acuerdo con los tribunales competentes de Inglaterra y Gales, sin perjuicio del derecho de los interesados a presentar reclamaciones ante la autoridad de protección de datos de su país de residencia.

13. Contacto

Para cualquier consulta relacionada con este DPA o con el tratamiento de datos personales:

Email: contacto@bravos-ai.com
Dirección fiscal: 7 Great Lane, Bierton, Aylesbury, HP22 5DE, United Kingdom

Acuerdo de Procesamiento de Datos (DPA)