Acuerdo de Procesamiento de Datos (DPA)

1. Objeto del Acuerdo

El Encargado del Tratamiento (Luminara AI) procesa datos personales por cuenta del Responsable del Tratamiento (Cliente) para proporcionar servicios de visibilidad IA. El Encargado procesará datos personales exclusivamente dentro del alcance de las instrucciones del Responsable.

2. Objeto y Duración del Procesamiento

2.1 Tipo y finalidad del procesamiento de datos

El Encargado procesa datos personales con la finalidad de:

• Provisión y gestión del servicio Luminara AI
• Almacenamiento y procesamiento de datos de productos
• Generación y provisión de datos estructurados JSON-LD
• Validación y puntuación de calidad de la información de productos
• Notificaciones por correo electrónico y comunicación de soporte

2.2 Categorías de interesados

• Clientes (usuarios de la plataforma)
• Clientes finales del Responsable (si están contenidos en los datos de productos)

2.3 Categorías de datos procesados

• Datos maestros (nombre, nombre de la empresa, dirección de correo electrónico)
• Datos contractuales (plan, duración de uso, estado de pago)
• Datos de productos (nombres de productos, precios, descripciones, URLs)
• Datos de uso (horas de inicio de sesión, accesos a la API, historial de validación)
• Datos técnicos (direcciones IP, información del navegador, datos de registro)

2.4 Duración del procesamiento

El procesamiento se realiza durante la duración de la relación contractual entre el Responsable y el Encargado. Tras la terminación del contrato, los datos se eliminarán de acuerdo con los períodos de retención legales o se entregarán al Responsable a petición.

3. Obligaciones del Procesador

3.1 Procesamiento según instrucciones

El Encargado procesa datos personales exclusivamente dentro del alcance de las instrucciones documentadas del Responsable. Las instrucciones pueden emitirse por escrito o en formato electrónico.

3.2 Confidencialidad

El Encargado compromete a todas las personas involucradas en el procesamiento a la confidencialidad conforme al Art. 28(3)(b) RGPD. La obligación de confidencialidad continúa más allá del fin del contrato.

3.3 Medidas técnicas y organizativas (TOM)

El Encargado implementa las siguientes medidas técnicas y organizativas conforme al Art. 32 RGPD para garantizar un nivel de protección adecuado:

• Control de acceso físico: Los servidores se operan en centros de datos de IONOS en Alemania. El control de acceso físico es proporcionado por el operador del centro de datos conforme a ISO 27001 (restricciones de acceso, videovigilancia, sistemas de alarma).
• Control de acceso al sistema: Autenticación exclusiva por clave SSH (sin acceso root), fail2ban contra fürza bruta, autenticación de dos factores para acceso administrativo, tiempo de espera de sesión automático.
• Control de acceso a datos: Autenticación basada en JWT, permisos basados en roles (RBAC), principio de mínimo privilegio, cuentas de usuario separadas para servicios y administración.
• Control de separación: Separación de mandantes a nivel de base de datos mediante claves foráneas específicas del comerciante. Cada acceso a datos se verifica mediante middleware para asegurar que pertenece al mandante solicitante.
• Cifrado (control de transferencia): TLS 1.3 para todas las transferencias de datos, bcrypt (factor de coste 12) para contraseñas, conexión VPN (WireGuard) entre servidor web y de base de datos, HSTS con precarga.
• Control de entrada: Registro de auditoría de todos los accesos de escritura con marca de tiempo e ID de usuario. Los registros se conservan durante 90 días y están protegidos contra modificaciones retroactivas.
• Control de disponibilidad: Copias de seguridad diarias automatizadas con retención de 30 días. Copias en servidor separado. Conectividad de red redundante proporcionada por IONOS. Objetivo de tiempo de recuperación (RTO): 4 horas, Objetivo de punto de recuperación (RPO): 24 horas.
• Resiliencia (Art. 32(1)(b) RGPD): Limitación de velocidad en todos los endpoints API, protección DDoS, reinicio automático de procesos en caso de fallo (PM2), firewall de red con reglas restrictivas.
• Respuesta a incidentes: Proceso documentado para incidentes de seguridad. Notificación al Responsable dentro de las 24 horas posteriores al descubrimiento. Notificación a la autoridad de control dentro de las 72 horas conforme al Art. 33 RGPD.

3.4 Apoyo al Responsable

El Encargado apoya al Responsable con:

• Solicitudes de información de los interesados
• Eliminación o corrección de datos
• Transferencia de datos (portabilidad)
• Notificación de violaciones de datos

3.5 Eliminación y devolución de datos

Al finalizar la prestación de servicios de procesamiento, el Encargado elimina todos los datos personales o los entrega al Responsable a petición. La entrega se realiza en un formato estructurado, común y legible por máquina (JSON, CSV).

4. Subprocesamiento

4.1 Autorización de subencargados

El Encargado está autorizado a contratar subencargados. La contratación se realiza únicamente con el consentimiento previo del Responsable. Los siguientes subencargados están actualmente autorizados:

• Proveedor de alojamiento: IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Alemania) - Ubicación del servidor: Karlsruhe, Alemania
• Servicio de correo electrónico: IONOS SE (mail.luminara-ai.de, Elgendorfer Str. 57, 56410 Montabaur, Alemania) - Envío de correos transaccionales (restablecimiento de contraseña, correos de bienvenida, facturas). Base legal: Art. 6(1)(b) RGPD (ejecución del contrato). Política de privacidad: https://www.ionos.de/terms-gtc/datenschutzerklaerung/
• Procesamiento de pagos: Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, EE.UU.) - Certificado del Marco de Privacidad de Datos UE-EE.UU. (DPF), Cláusulas Contractuales Tipo de la UE
• Monitoreo: Actualmente no se utiliza ningún proveedor de monitoreo externo. El monitoreo del sistema se realiza exclusivamente a través de la infraestructura propia en el servidor IONOS VPS en Alemania.

El Encargado informa al Responsable de los cambios previstos con un preaviso de 30 días. El Responsable puede oponerse dentro de este período.

4.2 Obligaciones hacia los subencargados

El Encargado compromete a los subencargados a las mismas obligaciones de protección de datos reguladas en este APD. El Encargado sigue siendo responsable ante el Responsable del cumplimiento de las obligaciones por parte de los subencargados.

5. Derechos del Responsable

5.1 Derechos de control

El Responsable tiene derecho a verificar el cumplimiento de las regulaciones de protección de datos por parte del Encargado. Esto puede realizarse mediante:

• Obtención de información
• Inspección de documentos relevantes
• Inspecciones in situ (previa notificación)
• Encargo de un auditor independiente

5.2 Derecho a emitir instrucciones

El Responsable puede emitir instrucciones al Encargado en cualquier momento respecto al procesamiento de datos personales. Las instrucciones deben emitirse en forma de texto. El Encargado informa inmediatamente al Responsable si una instrucción, en opinión del Encargado, viola las regulaciones de protección de datos.

6. Violaciones de Datos

6.1 Notificación de violaciones de datos

El Encargado notifica las violaciones de la protección de datos personales al Responsable sin demora indebida, pero a más tardar 24 horas después de tener conocimiento de la violación. La notificación contiene al menos:

• Descripción de la naturaleza de la violación
• Categorías y número aproximado de interesados y registros de datos afectados
• Consecuencias probables de la violación
• Medidas adoptadas o propuestas para remediar la violación

6.2 Documentación

El Encargado documenta todas las violaciones de datos, incluidas las circunstancias de la violación, sus efectos y las medidas correctivas adoptadas.

7. Responsabilidad y Compensación

El Encargado es responsable de los daños derivados del procesamiento indebido de datos personales. La responsabilidad se rige por las disposiciones legales del RGPD y las disposiciones del contrato principal.

8. Disposiciones Finales

8.1 Vigencia

Este APD entra en vigor con la celebración del contrato principal y se aplica durante la duración de la relación contractual. Las modificaciones o complementos a este APD requieren forma escrita.

8.2 Cambios en las disposiciones legales

En caso de cambios en el RGPD u otras regulaciones de protección de datos aplicables, las partes adaptarán este APD de mutuo acuerdo.

8.3 Cláusula de separabilidad

Si alguna disposición de este APD es o se vuelve inválida, esto no afecta la validez de las demás disposiciones. La disposición inválida será reemplazada por una disposición válida que se aproxime más al propósito económico de la disposición inválida.

8.4 Legislación aplicable y jurisdicción

Este APD se rige por las leyes de la República Federal de Alemania y el Reglamento General de Protección de Datos de la UE (RGPD). La jurisdicción es Bochum, Alemania, como se establece en los Términos y Condiciones principales.

9. Contacto

Para preguntas sobre este Acuerdo de Procesamiento de Datos, contáctenos en:

E-Mail: privacy@luminara-ai.de

Los datos de contacto completos se pueden encontrar en nuestro Aviso Legal.