Acuerdo de Encargado del Tratamiento de Datos (DPA)

Fecha de vigencia: 10 de febrero de 2026 · Versión: 1.0

Este Acuerdo de Encargado del Tratamiento de Datos (“DPA”) explica cómo Rakenne trata datos personales en nombre de los clientes que utilizan la plataforma Rakenne en rakenne.app (el “Servicio”). Complementa y se incorpora a los Términos de Uso u otro contrato escrito o electrónico entre usted y Rakenne (el “Acuerdo Principal”).

Cuando este DPA y el Acuerdo Principal entren en conflicto sobre el tema del tratamiento de datos, prevalecerá este DPA. Al seguir utilizando el Servicio después de la fecha de vigencia indicada arriba, usted acepta este DPA. Si necesita una copia firmada, póngase en contacto con privacy@rakenne.app .

1.1 Quién hace qué

  • Usted actúa como “responsable” del tratamiento de datos personales en virtud del RGPD y otras leyes de protección de datos aplicables.
  • Rakenne actúa como “encargado del tratamiento” cuando maneja datos personales en su nombre al operar el Servicio.

Usted determina qué datos se cargan, durante cuánto tiempo se conservan, qué espacios de trabajo crea y quién tiene acceso por su parte. Nosotros operamos la infraestructura y tratamos datos personales únicamente para prestar y proteger el Servicio, de acuerdo con sus instrucciones documentadas.

1.2 Qué cubre este DPA

Este DPA se aplica siempre que:

  • Usted utilice el Servicio para almacenar o manejar datos personales; y
  • El RGPD u otras leyes de protección de datos consideren a Rakenne como su encargado del tratamiento.

Describe:

  • Qué tipos de datos personales tratamos y con qué fines de alto nivel
  • Las medidas de seguridad y salvaguardas que aplicamos
  • Cómo trabajamos con subencargados y gestionamos las transferencias internacionales de datos
  • Cómo le ayudamos a cumplir sus propias obligaciones como responsable

1.3 Descripción general del tratamiento

Rakenne es un entorno asistido por IA para crear y ejecutar flujos de trabajo sobre documentos. En este contexto:

  • Alojamos inquilinos, proyectos y espacios de trabajo
  • Almacenamos y tratamos documentos, flujos de trabajo e interacciones de chat
  • Ejecutamos inferencia de IA con proveedores de modelos de terceros seleccionados
  • Mantenemos registros y datos operativos para asegurar y mejorar el Servicio

No utilizamos los datos personales que tratamos en su nombre para entrenar modelos de IA de propósito general, ni vendemos o alquilamos dichos datos.

2. Tipos de datos y operaciones de tratamiento

2.1 Categorías de datos personales

Según su configuración y uso, podemos tratar:

  • Datos de usuario y cuenta – nombres, direcciones de correo electrónico, identificadores de inicio de sesión, roles y pertenencia a espacios de trabajo
  • Datos de contenido – documentos, flujos de trabajo, comentarios, prompts y transcripciones de conversación que usted o sus usuarios crean o cargan
  • Datos de uso y técnicos – registros de actividad, marcas de tiempo, métricas de uso de funcionalidades, direcciones IP, información del navegador e identificadores de dispositivos que puedan considerarse datos personales
  • Datos de facturación – datos de facturación limitados gestionados principalmente por nuestro proveedor de pagos (Stripe), como identificadores de pago y detalles de suscripción
  • Datos potencialmente sensibles – información que pueda entrar en categorías especiales en el sentido del artículo 9 del RGPD u otros datos sensibles, cuando usted decida incluirla (véase la sección 5.2)

Usted decide qué información se introduce en el Servicio y es responsable de asegurarse de que hacerlo sea lícito.

2.2 Naturaleza y finalidad del tratamiento

Realizamos una serie de operaciones sobre datos personales en su nombre, entre otras:

  • Almacenamiento, recuperación y organización de datos de contenido y de cuenta
  • Transmisión de datos entre el Servicio y los dispositivos de sus usuarios
  • Análisis y generación basados en IA (solo inferencia) utilizando proveedores de modelos de terceros configurados por nosotros o por usted (Bring Your Own Key)
  • Registro, monitorización y resolución de incidencias para mantener el Servicio fiable y seguro
  • Copias de seguridad y recuperación de datos, sujetas a los límites de retención descritos en este DPA y en nuestra Política de Privacidad

Llevamos a cabo estas operaciones exclusivamente:

  • Para proporcionar, mantener y proteger el Servicio
  • Para cumplir con nuestras propias obligaciones legales

3. Instrucciones, confidencialidad y seguridad

3.1 Sus instrucciones

Tratamos datos personales estrictamente de acuerdo con:

  • Este DPA y el Acuerdo Principal
  • Su configuración y uso del Servicio (por ejemplo, inquilinos, espacios de trabajo, roles, ajustes de modelos, opciones de retención)
  • Sus solicitudes escritas proporcionadas a través de canales de soporte documentados

Si consideramos razonablemente que una instrucción entra en conflicto con la legislación de protección de datos aplicable, se lo notificaremos y podremos pausar el tratamiento correspondiente hasta recibir instrucciones aclaradas o estar autorizados a continuar.

3.2 Confidencialidad

Solo el personal que necesite acceso para desempeñar sus funciones puede manejar datos personales. Dichas personas:

  • Están sujetas a obligaciones de confidencialidad (por contrato o por ley)
  • Reciben formación adecuada a sus funciones
  • Acceden a los datos únicamente a través de canales autenticados y registrados

3.3 Medidas de seguridad

Mantenemos medidas técnicas y organizativas diseñadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilícitos. Estas medidas evolucionan con el tiempo, pero incluyen, como mínimo:

  • Acceso y segmentación

    • Autenticación para el acceso de usuarios y administradores
    • Aislamiento de inquilinos y espacios de trabajo para evitar fugas de datos entre clientes
    • Controles de acceso basados en roles para el personal, siguiendo el principio de mínimo privilegio

  • Cifrado

    • Cifrado en tránsito mediante TLS moderno
    • Cifrado en reposo en nuestros sistemas de almacenamiento y bases de datos
    • Gestión adecuada de claves y almacenamiento seguro de secretos

  • Resiliencia y continuidad

    • Uso de infraestructura cloud de confianza (actualmente Google Cloud en regiones de EE. UU.)
    • Copias de seguridad programadas y probadas
    • Monitorización, alertas y procedimientos de respuesta a incidentes

  • Gobernanza y pruebas

    • Revisión periódica de nuestra postura de seguridad
    • Registro y monitorización de eventos de seguridad relevantes
    • Remediación priorizada de vulnerabilidades identificadas

Podemos facilitar más detalles previa solicitud, sujetos a compromisos razonables de confidencialidad.

4. Subencargados y servicios de terceros

4.1 Uso de subencargados

Confiamos en terceros seleccionados cuidadosamente (“subencargados”) para realizar ciertas actividades de tratamiento necesarias para prestar el Servicio. Usted nos autoriza a contratar estos subencargados, siempre que:

  • Cada subencargado esté sujeto a términos de protección de datos equivalentes a los de este DPA; y
  • Sigamos siendo responsables del cumplimiento de las obligaciones de nuestros subencargados frente a usted.

4.2 Subencargados habituales

Nuestros subencargados principales incluyen generalmente:

  • Google Cloud – alojamiento, bases de datos y almacenamiento
  • Stripe – facturación por suscripción y procesamiento de pagos
  • Proveedores de LLM – Anthropic, OpenAI o Google cuando nosotros aportamos la clave API y usted no utiliza Bring Your Own Key

Podemos utilizar subencargados adicionales para registro, monitorización, operaciones de soporte u otras funciones auxiliares. Un registro detallado y actualizado de nuestros proveedores, sus funciones, ubicaciones y categorías de datos está disponible en nuestra página de Subencargados y Tratamiento de Datos , que debe leerse junto con este DPA.

4.3 Cambios y objeciones

Si prevemos añadir o sustituir un subencargado que vaya a tratar datos personales en su nombre, le avisaremos con antelación (por ejemplo, por correo electrónico, notificaciones en la aplicación o mediante una actualización pública) al menos 30 días antes de que el cambio surta efecto, salvo que la urgencia operativa requiera un plazo más corto sin reducir de manera sustancial el nivel de protección.

Si tiene una objeción razonable basada en preocupaciones de protección de datos, notifíquenosla durante ese periodo. Trabajaremos de buena fe para abordar sus preocupaciones, lo que puede incluir ajustes en la configuración de su cuenta. Si no hay una solución aceptable, su único recurso será rescindir la parte afectada del Servicio de acuerdo con el Acuerdo Principal.

5. Sus responsabilidades como responsable

Usted es responsable de:

  • Identificar y documentar una base legal válida para cada actividad de tratamiento que lleve a cabo utilizando el Servicio
  • Informar a los interesados sobre cómo utiliza el Servicio y cómo Rakenne actúa como su encargado del tratamiento
  • Garantizar que sus propias políticas, avisos y prácticas sean coherentes con este DPA y la legislación aplicable

5.2 Categorías especiales y datos sensibles

El Servicio está diseñado para flujos de trabajo profesionales sobre documentos, no para el tratamiento a gran escala de datos personales de categorías especiales. Si decide cargar datos de categorías especiales en el sentido del artículo 9 del RGPD (por ejemplo, datos de salud, origen étnico o creencias) u otros datos sensibles:

  • Debe asegurarse de que se cumplen las condiciones específicas para el tratamiento de dichos datos en virtud de la legislación aplicable (por ejemplo, consentimiento explícito o reclamaciones legales)
  • Debe configurar el acceso y la retención de forma que reflejen el mayor perfil de riesgo

Como regla general, recomendamos evitar la inclusión innecesaria de datos de categorías especiales o altamente sensibles en el Servicio.

5.3 Configuración, retención y mantenimiento

Usted controla cuánto tiempo permanecen la mayoría de las categorías de datos personales en el Servicio. En particular, debería:

  • Configurar espacios de trabajo, permisos y ajustes de retención de acuerdo con sus propias políticas
  • Revisar periódicamente y eliminar los datos que ya no sean necesarios
  • Utilizar los mecanismos de exportación y eliminación que proporcionamos como parte de la gestión del ciclo de vida de los datos

5.4 Solicitudes de interesados y comunicación con autoridades

Usted es el contacto principal para los interesados y las autoridades de control. Es responsable de:

  • Recibir y responder a las solicitudes de los interesados que ejerzan sus derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición)
  • Determinar si debe notificar y cómo notificar a las autoridades de control o a los interesados sobre incidentes

Le asistiremos como se describe en la sección 6.

6. Asistencia, gestión de brechas y EIPD

6.1 Apoyo con los derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento y la información de que disponemos, prestaremos asistencia razonable, mediante herramientas o soporte, para ayudarle a:

  • Localizar, exportar, corregir o eliminar datos personales almacenados en el Servicio, cuando sea técnicamente posible
  • Responder a solicitudes de interesados relacionadas con el tratamiento que realizamos como su encargado del tratamiento

Si recibimos directamente una solicitud de un interesado que se refiera claramente a datos personales que tratamos en su nombre, y cuando la ley lo permita, la remitiremos a usted en lugar de responder de forma independiente.

6.2 Brechas de datos personales

Si tenemos conocimiento de una brecha de datos personales que afecte a datos tratados en su nombre, nosotros:

  • Le notificaremos sin dilación indebida una vez confirmada la brecha; y
  • Compartiremos la información que razonablemente podamos proporcionar en esa fase, incluyendo:
    • Una descripción de la naturaleza de la brecha (cuando se conozca)
    • Categorías y números aproximados de interesados y registros afectados (si se pueden determinar)
    • Consecuencias probables de la brecha
    • Medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos

Cooperaremos con usted para apoyar su evaluación y cualquier notificación que decida realizar a autoridades de control o interesados. Usted sigue siendo responsable de cumplir las obligaciones legales de notificación de brechas.

6.3 Evaluaciones de impacto y consultas previas

Cuando esté obligado a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) o a consultar con una autoridad de control en relación con su uso del Servicio, le prestaremos una asistencia razonable:

  • Aportando información sobre nuestras actividades de tratamiento, controles de seguridad y subencargados; y
  • Respondiendo a cuestionarios razonables por escrito relacionados con el Servicio.

7. Ubicación de los datos y transferencias internacionales

7.1 Dónde se tratan los datos

Actualmente, el Servicio se aloja en Google Cloud en Estados Unidos. En consecuencia, los datos personales pueden almacenarse o tratarse en EE. UU. y otras jurisdicciones donde operen nuestros subencargados.

7.2 Salvaguardas para las transferencias

Cuando el RGPD u otras leyes consideren una transferencia como “internacional” (por ejemplo, desde el EEE, Reino Unido o Suiza hacia un país sin decisión de adecuación), garantizaremos que existan las salvaguardas adecuadas, como:

  • Cláusulas Contractuales Tipo adoptadas por la Comisión Europea; y/o
  • Otras herramientas de transferencia reconocidas legalmente y medidas técnicas y organizativas complementarias.

La información sobre las salvaguardas utilizadas por los subencargados clave (Google Cloud, Stripe y proveedores de LLM) está disponible en su documentación pública y, cuando proceda, en nuestros materiales de privacidad o previa solicitud.

8. Conservación de datos, supresión y derechos de auditoría

8.1 Conservación y supresión al final de la relación

Cuando finalice el Acuerdo Principal o cuando usted nos lo indique por escrito, y sujeto a las obligaciones legales de conservación:

  • Eliminaremos los datos personales tratados en su nombre de los sistemas activos en un plazo comercialmente razonable (normalmente en un máximo de 30 días); o
  • Devolveremos los datos personales en un formato de uso común y legible por máquina si lo solicita antes de la supresión; y
  • Eliminaremos los datos personales de las copias de seguridad a través de nuestro ciclo estándar de rotación de backups (normalmente en un máximo de 90 días).

Podemos conservar datos que se hayan anonimizado o agregado de forma irreversible, de modo que ya no constituyan datos personales.

8.2 Auditoría y verificación

Para permitirle verificar el cumplimiento de este DPA, nosotros:

  • Mantendremos documentación que describa nuestras medidas técnicas y organizativas relevantes; y
  • Responderemos a cuestionarios razonables sobre seguridad y privacidad.

Si esto no fuera suficiente, usted (o un auditor independiente que designe y que nosotros aprobemos, sin retención injustificada) podrá, no más de una vez cada 12 meses salvo que la ley exija lo contrario o exista una brecha confirmada, realizar una auditoría que:

  • Esté limitada al tratamiento de sus datos personales en virtud de este DPA
  • Se lleve a cabo durante el horario laboral normal y con un preaviso razonable
  • Esté diseñada para evitar una perturbación indebida de nuestras operaciones

Usted asume sus propios costes y nuestros costes razonables y documentados por apoyar dicha auditoría, salvo que la auditoría revele un incumplimiento material de este DPA atribuible a nosotros.

9. Responsabilidad, duración y cambios

9.1 Marco de responsabilidad

El reparto y la limitación de responsabilidad entre usted y Rakenne por cuestiones derivadas de este DPA o relacionadas con él siguen las reglas establecidas en el Acuerdo Principal, junto con el artículo 82 del RGPD cuando sea aplicable. En particular, solo seremos responsables de la parte del daño causada por el tratamiento cuando:

  • No hayamos cumplido las obligaciones específicamente dirigidas a los encargados del tratamiento en virtud de la normativa de protección de datos; o
  • Hayamos actuado fuera de sus instrucciones lícitas o en contra de ellas.

9.2 Indemnización

Usted se compromete a indemnizar y mantener indemne a Rakenne frente a reclamaciones, sanciones o pérdidas derivadas de:

  • Su incumplimiento de la normativa de protección de datos aplicable en relación con los datos personales tratados a través del Servicio; o
  • Sus instrucciones que sean ilegales o incompatibles con dicha normativa; o
  • Su falta de proporcionar los avisos necesarios u obtener los consentimientos pertinentes de los interesados.

9.3 Duración de este DPA

Este DPA entra en vigor en la fecha indicada arriba y permanece vigente mientras tratemos datos personales en su nombre en virtud del Acuerdo Principal, incluido cualquier tratamiento posterior a la terminación para la supresión o devolución de datos descrito anteriormente.

9.4 Actualizaciones del DPA

Podemos revisar este DPA periódicamente, por ejemplo para reflejar:

  • Cambios en la normativa de protección de datos o en la orientación de las autoridades
  • Ajustes en el funcionamiento del Servicio o en los subencargados que utilizamos
  • Aclaraciones o mejoras en la forma en que describimos nuestros compromisos

Si realizamos cambios materiales, le informaremos con antelación (por ejemplo, con al menos 30 días antes de que el cambio surta efecto). Si usted se opone por escrito y no podemos atender razonablemente sus preocupaciones, su único recurso será dejar de utilizar la parte afectada del Servicio y, en su caso, rescindirla conforme al Acuerdo Principal.

10. Ley aplicable y contacto

10.1 Ley aplicable y foro

Este DPA se rige por la misma ley que el Acuerdo Principal, y los conflictos que surjan del mismo se tramitan ante los mismos tribunales o instancias de arbitraje, sin perjuicio de los derechos de los interesados o de las autoridades de control en virtud de la legislación aplicable.

10.2 Cómo contactar con nosotros

Si tiene preguntas sobre este DPA o necesita ejercer derechos o instrucciones relacionados con nuestro papel como encargado del tratamiento, póngase en contacto con:

Indique “DPA” en el asunto e incluya información suficiente para que podamos identificar su cuenta y responder de forma eficiente.

¿Listo para que tu experiencia dirija el workflow?

Deja de luchar con plantillas rígidas y herramientas complejas. Escribe tu proceso en markdown, deja que el agente se encargue del resto. Empieza a crear workflows con IA en Rakenne hoy.

Empieza Gratis — Sin Registro