Acuerdo de Procesamiento de Datos
Última actualización: 24 de febrero de 2026
De conformidad con el Artículo 28 del Reglamento (UE) 2016/679 (GDPR).
¿Quién necesita este DPA? Este Acuerdo de Procesamiento de Datos se aplica a clientes comerciales ("Responsables") que utilizan Veluvanto para procesar datos personales de sus propios clientes, empleados u otras personas en el curso de sus actividades comerciales. Si utilizas Veluvanto únicamente para uso personal, se aplica la Política de Privacidad estándar.
Al utilizar Veluvanto como cliente comercial, aceptas los términos de este DPA. Para obtener un DPA firmado o un DPA corporativo personalizado, contacta con legal@veluvanto.com.
1. Partes y Definiciones
Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre:
- Responsable del tratamiento: El cliente comercial u organización que ha aceptado los Términos de Servicio de Veluvanto y utiliza Veluvanto para procesar datos personales en nombre de su negocio ("usted").
- Encargado del tratamiento: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 ("Veluvanto", "nosotros").
Los términos no definidos aquí tienen el significado establecido en el GDPR (Reglamento (UE) 2016/679).
2. Objeto y Naturaleza del Tratamiento
Veluvanto procesa datos personales en nombre del Responsable con el fin de proporcionar servicios de gestión documental, incluyendo:
- Almacenamiento e indexación de documentos subidos por el Responsable
- Análisis, categorización y extracción de metadatos de documentos mediante IA
- Búsqueda de texto completo y semántica en los documentos
- Respuestas del asistente de chat de IA basadas en el contenido de los documentos
- Traducción y resumen de documentos
- Recordatorios automáticos basados en el contenido de los documentos
- Cualquier otra función descrita en la documentación del servicio Veluvanto
3. Categorías de Datos Personales Procesados
legal.dpa.section3.prose
Categorías especiales de datos: El Responsable no debe subir documentos que contengan categorías especiales de datos personales (datos de salud, origen racial/étnico, etc.) según se define en el Artículo 9 del GDPR, a menos que haya obtenido el consentimiento previo por escrito de Veluvanto y tenga la base legal adecuada para dicho tratamiento. Contacta con legal@veluvanto.com para acuerdos específicos.
4. Categorías de interesados
Los interesados cuyos datos personales pueden ser tratados incluyen: clientes, proveedores, socios comerciales, empleados, contratistas del Responsable, o cualquier otra persona física cuyos datos personales aparezcan en los documentos subidos a Veluvanto.
5. Duración del tratamiento
El tratamiento continuará durante la vigencia del acuerdo de servicio de Veluvanto. Tras la finalización del acuerdo, los datos se gestionarán según lo descrito en la Sección 12 (Devolución y eliminación de datos).
6. Obligaciones del Encargado (Veluvanto)
Veluvanto (como Encargado) deberá:
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable (los Términos de Servicio y este DPA constituyen dichas instrucciones)
- Garantizar que las personas autorizadas para tratar datos personales estén sujetas a obligaciones de confidencialidad
- Implementar las medidas de seguridad técnicas y organizativas adecuadas (Artículo 32 del GDPR)
- No contratar subencargados sin la autorización previa, específica o general, del Responsable (véase la Sección 9 para la lista actual de subencargados autorizados)
- Asistir al Responsable en el cumplimiento de las solicitudes de derechos de los interesados (Artículos 15–22 del GDPR)
- Asistir al Responsable con las obligaciones de seguridad, notificación de brechas de seguridad, evaluaciones de impacto (DPIA) y consultas con las autoridades de control
- Eliminar o devolver todos los datos personales al finalizar el servicio (véase la Sección 12)
- Proporcionar al Responsable toda la información necesaria para demostrar el cumplimiento del Artículo 28 del GDPR
- Notificar al Responsable cualquier brecha de seguridad de los datos personales sin dilación indebida (dentro de las 72 horas tras tener conocimiento de ella)
7. Obligaciones del Responsable
El Responsable deberá:
- Garantizar que existe una base legal válida para el tratamiento de los datos personales subidos a Veluvanto
- Proporcionar la información necesaria a los interesados sobre el tratamiento (incluyendo el uso de Veluvanto como encargado)
- Garantizar que los datos personales proporcionados a Veluvanto sean exactos y pertinentes
- No instruir a Veluvanto para tratar datos personales de manera que infrinja el GDPR o la legislación aplicable
- Cumplir con sus propias obligaciones como Responsable bajo el GDPR
8. Medidas de seguridad técnicas y organizativas
Veluvanto implementa las siguientes medidas de seguridad para proteger los datos personales:
8.1 Cifrado
- Datos en tránsito: cifrado TLS 1.2+ para todas las transferencias de datos
- Datos en reposo: cifrado AES-256 para datos y documentos almacenados
8.2 Controles de acceso
- Control de acceso basado en roles (RBAC) para todo el acceso al sistema
- Autenticación de múltiples factores obligatoria para el acceso administrativo
- Principio de mínimo privilegio aplicado a todo el personal
- Registros de acceso mantenidos para todo acceso a los datos
8.3 Seguridad de la infraestructura
- Documentos y datos almacenados en el almacenamiento de objetos Backblaze B2 en centros de datos de la UE (Ámsterdam, Países Bajos); Backblaze cuenta con la certificación SOC 2 Tipo II
- Servidores de aplicaciones alojados en la infraestructura de Hetzner Online GmbH en centros de datos de la UE (Alemania/Finlandia); Hetzner cuenta con la certificación ISO/IEC 27001:2022 (SOCOTEC, válida 2025–2028)
- Evaluaciones de seguridad periódicas y pruebas de penetración
- Procedimientos de gestión de vulnerabilidades y gestión de parches
- Protección contra DDoS y monitorización de la seguridad de la red
8.4 Medidas organizativas
- Acuerdos de confidencialidad del personal y formación en protección de datos
- Procedimientos de respuesta ante incidentes y plan de respuesta ante brechas de seguridad
- Principios de minimización de datos aplicados en todo el servicio
9. Subencargados del tratamiento
Al aceptar este DPA, el Responsable otorga una autorización general para que Veluvanto contrate a las siguientes categorías de subencargados:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Google LLC | Proveedor de identidad (autenticación OAuth) | EE. UU. (SCC) |
| Microsoft Corporation | Proveedor de identidad (autenticación OAuth) | UE/EE. UU. (se aplica el Anexo de Protección de Datos de Microsoft) |
| Paddle.com Market Ltd. | Procesamiento de pagos (vendedor oficial) | Reino Unido (Decisión de adecuación del Reino Unido) |
| Google LLC (Vertex AI) | Inferencia de modelos de AI (modelos Gemini) para procesamiento de documentos, búsqueda semántica y chat de AI | UE (región europe-west de Google Cloud; sin transferencia fuera del EEE; se aplica el Anexo de Procesamiento de Datos de Google Cloud; los datos de la API no se utilizan para el entrenamiento de modelos por defecto) |
| Backblaze, Inc. | Almacenamiento de objetos principal para documentos y copias de seguridad (B2 Cloud Storage) | UE (Ámsterdam, Países Bajos; certificado SOC 2 Tipo II) |
| IDrive, Inc. | Almacenamiento de objetos para recuperación ante desastres | UE (Fráncfort, Alemania) |
| Hetzner Online GmbH | Infraestructura en la nube y servidores de aplicaciones | UE (Alemania / Finlandia; certificado ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Red de entrega de contenido, protección contra DDoS y seguridad de red (procesa metadatos de solicitudes HTTP: direcciones IP, cadenas de user-agent, marcas de tiempo de solicitudes) | EE. UU. (SCC) |
Veluvanto notificará al Responsable cualquier cambio previsto en los subencargados actualizando esta lista con al menos 14 días de antelación (vía correo electrónico o actualización del sitio web). El Responsable podrá oponerse a los nuevos subencargados dentro de los 14 días posteriores a la notificación. Si Veluvanto no puede atender la objeción, el Responsable podrá rescindir el servicio.
Todos los subencargados están vinculados por acuerdos de procesamiento de datos que contienen obligaciones de protección de datos equivalentes a las de este DPA.
10. Transferencias internacionales de datos
Cuando los datos personales se transfieren a subencargados fuera del EEE, dichas transferencias están protegidas por Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914 de la Comisión), u otras salvaguardas adecuadas según el Artículo 46 del GDPR. El Responsable puede solicitar copias de estas salvaguardas a legal@veluvanto.com.
11. Asistencia con los derechos de los interesados
Veluvanto asistirá al Responsable en el cumplimiento de las solicitudes de derechos de los interesados bajo los Artículos 15–22 del GDPR. Siempre que sea técnicamente posible, el Responsable puede cumplir muchos derechos directamente a través de la aplicación Veluvanto (por ejemplo, exportación de datos, eliminación de cuenta).
Para solicitudes que requieran la intervención directa de Veluvanto, contacte con privacy@veluvanto.com. Veluvanto responderá en un plazo de 5 días hábiles y proporcionará asistencia en un marco de tiempo que permita al Responsable cumplir con los plazos de respuesta del GDPR.
12. Devolución y eliminación de datos
Tras la finalización del servicio o a petición del Responsable:
- Exportación de datos: El Responsable puede exportar todos los documentos y datos a través de la función de exportación de la aplicación en cualquier momento durante el servicio
- Eliminación tras la finalización:Dentro de los 30 días posteriores a la eliminación de la cuenta o la terminación del servicio, Veluvanto eliminará de forma permanente todos los datos personales, incluidos documentos, metadatos y contenido generado por IA, a menos que la ley aplicable exija su retención.
- Confirmación: A petición, Veluvanto proporcionará una confirmación por escrito de la eliminación
Los registros de facturación y los registros de auditoría legalmente requeridos pueden conservarse según lo exija la ley de contabilidad checa (Ley n.º 563/1991 Rec.) por un periodo de hasta 10 años.
13. Derechos de auditoría
Veluvanto pondrá a disposición toda la información necesaria para demostrar el cumplimiento de este DPA. El Responsable puede solicitar una auditoría de las actividades de procesamiento de datos de Veluvanto mediante:
- La solicitud de documentación sobre las medidas de seguridad e informes de cumplimiento
- La solicitud de informes de auditoría de terceros (certificación ISO 27001, SOC 2, etc.) cuando estén disponibles
- La realización de auditorías o inspecciones mediante cita previa (con al menos 30 días de antelación, a cargo del Responsable y sujeto a obligaciones razonables de confidencialidad)
14. Notificación de brechas de seguridad de los datos
En caso de una brecha de seguridad de los datos personales que afecte a los datos del Responsable, Veluvanto notificará al Responsable sin dilación indebida y dentro de las 72 horas tras tener conocimiento de la brecha. La notificación incluirá la información disponible sobre: la naturaleza de la brecha, las categorías y el número aproximado de interesados afectados, las consecuencias probables y las medidas tomadas o propuestas. Se proporcionará información adicional a medida que esté disponible.
15. Ley aplicable
Este DPA se rige por las leyes de la República Checa y la legislación de la UE aplicable, incluido el GDPR. Cualquier disputa se resolverá de acuerdo con las disposiciones de ley aplicable de los Términos de Servicio de Veluvanto.
16. DPA firmado
Si su organización requiere un DPA ejecutado y firmado por separado (por ejemplo, para requisitos de cumplimiento corporativo), póngase en contacto con nosotros en legal@veluvanto.com. Proporcionaremos una copia firmada en un plazo razonable.
17. Contacto
Para todas las consultas relacionadas con el DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
Correo electrónico: legal@veluvanto.com
Privacidad: privacy@veluvanto.com