Legal

Adenda de tratamiento de datos (DPA)

Actualizado: 13 de mayo de 2026

Este DPA complementa los Términos de Servicio entre ASAP RESEARCH LABORATORIES LLC («Encargado») y el Cliente («Responsable»). Aplica siempre que Aitelier trata datos personales por cuenta del Cliente en relación con el Servicio.

Roles

El Cliente es responsable y Aitelier es encargado para los datos de cliente final y usuarios finales tratados a través de los proyectos del Cliente. Aitelier puede contratar subencargados (lista debajo); los nuevos se anuncian con al menos 30 días de aviso.

Subencargados

Lista actualizada en aitelier.org/dpa. A la fecha de entrada en vigor: Hetzner Online GmbH, Cloudflare Inc., LiveKit Inc., Twilio Inc., OpenAI OpCo LLC, Anthropic PBC, Google LLC (fallback), LangFuse GmbH, Stripe Payments Europe Ltd, Resend Inc.

Medidas de seguridad

TLS 1.3 en tránsito, AES-256 en reposo, aislamiento de tenants a nivel de fila, mínimo privilegio, SSO + 2FA para producción, logs estructurados, escaneo de dependencias, rotación de secretos. Medidas técnicas y organizativas (TOM) completas, bajo petición.

Transferencias internacionales

Cuando una transferencia fuera del EEE es necesaria, Aitelier se apoya en las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2 responsable-a-encargado; Módulo 3 encargado-a-encargado) con medidas suplementarias.

Solicitudes de interesados

Aitelier asistirá al Cliente para responder a las solicitudes de interesados dentro de los plazos exigidos por la ley aplicable, atendiendo a la naturaleza del tratamiento.

Notificación de brecha

Aitelier notificará al Cliente sin demora indebida y en cualquier caso en 72 horas tras conocer una brecha de seguridad que afecte a Datos Personales del Cliente.

Auditoría

El Cliente puede auditar el cumplimiento del DPA una vez al año, con un mínimo de 30 días de aviso, en horario laboral y sujeto a confidencialidad.

Terminación

Al terminar el Servicio, Aitelier eliminará o, por instrucción escrita del Cliente, devolverá todos los Datos Personales del Cliente en 30 días, salvo que la ley exija conservarlos.