Acuerdo de tratamiento de datos (DPA)
Documento de referencia
Este es el acuerdo de tratamiento de datos predeterminado, EU-first de niil (art. 28 RGPD), facilitado para tu revisión. Para el servicio niil alojado (niil.ai / app.niil.ai), el Encargado es Gradient Zero Deutschland GmbH (gzero.ai), que proporciona la versión vinculante. Para una instalación autoalojada, la organización que opera la instancia es el Encargado y proporciona la versión vinculante — con su entidad jurídica que opera, los datos de contacto y cualquier valor específico del despliegue — revisada por asesoría jurídica cualificada. Esta página no constituye asesoramiento legal.
Art. 28 RGPD · Versión 1.0
Este DPA rige el tratamiento de datos personales por parte del Encargado (para el servicio niil alojado, Gradient Zero Deutschland GmbH, gzero.ai; para una instalación autoalojada, la entidad que opera tu instancia de niil) por cuenta del Cliente (tú) al usar niil (los «Servicios»). Complementa el acuerdo principal y prevalece sobre él en las cuestiones de tratamiento de datos personales.
1. Objeto & funciones
El Encargado trata los datos personales por cuenta del Cliente únicamente para prestar los Servicios y solo siguiendo instrucciones documentadas del Cliente (incluidas las que se dan a través de la funcionalidad del Servicio). Cuando el Cliente sea a su vez encargado, el Encargado actúa como subencargado.
2. Naturaleza, finalidad & duración
- Finalidad — la prestación de un servicio de chat seguro y chat documental multimodelo.
- Naturaleza del tratamiento — almacenamiento, recuperación, transmisión a subencargados de IA para la inferencia y supresión.
- Duración — la vigencia del acuerdo principal; el tratamiento finaliza con la terminación conforme al §8.
3. Categorías de interesados & de datos (Anexo 1)
- Interesados — los usuarios autorizados del Cliente y las personas mencionadas en el contenido que envían.
- Tipos de datos — nombres y direcciones de correo; el contenido de los chats y los documentos subidos; los metadatos de uso y facturación.
- Categorías especiales — solo si son enviadas por los usuarios del Cliente; el Cliente es responsable de la base jurídica.
4. Instrucciones del Cliente
El Encargado trata los datos personales solo siguiendo instrucciones documentadas e informa al Cliente si una instrucción parece infringir la normativa de protección de datos. El Encargado no utiliza los datos del Cliente para entrenar modelos de IA y, cuando se admite, contrata la Zero Data Retention con los subencargados de IA (consulta Zero Data Retention).
5. Subencargados
El Cliente concede una autorización general para recurrir a los subencargados enumerados en el anexo Subencargados. El Encargado impone a cada uno obligaciones de protección de datos equivalentes, notifica al Cliente los cambios previstos con al menos 15 días de antelación y permite una objeción motivada.
6. Transferencias internacionales
El tratamiento se realiza dentro de la UE/EEE. Cualquier transferencia a un tercer país se basa en una decisión de adecuación, en las cláusulas contractuales tipo de la UE o en otra garantía del Capítulo V. Los puntos de inferencia están fijados regionalmente a la UE — consulta Soberanía y residencia en la UE.
7. Medidas técnicas & organizativas
El Encargado mantiene las medidas de las Medidas técnicas & organizativas, incluidas el cifrado AES-256-GCM en reposo, el TLS en tránsito, el aislamiento de inquilinos, el acceso de mínimo privilegio y el registro de auditoría. Las medidas pueden sustituirse por otras equivalentes o más estrictas.
8. Asistencia, notificación de brechas, auditoría
- El Encargado asiste al Cliente con las solicitudes de los interesados — el Servicio ofrece exportación de acceso y supresión de autoservicio — y con las obligaciones de los arts. 32 a 36.
- El Encargado notifica al Cliente sin dilación indebida tras tener conocimiento de una violación de datos personales.
- El Encargado pone a disposición la información necesaria para demostrar el cumplimiento y permite auditorías (como máximo una vez al año con un preaviso razonable, o mediante certificaciones e informes cuando estén disponibles).
9. Supresión & devolución
A la terminación, el Encargado suprime o devuelve los datos del Cliente a elección de este en un plazo de 30 días, sin perjuicio de la conservación legal. La supresión incluye la criptoborrado del contenido cifrado — consulta Cifrado.
10. Responsabilidad & vigencia
La responsabilidad se rige por el acuerdo principal. Este DPA surte efecto con el acuerdo principal y finaliza cuando concluye el tratamiento.
Anexos: Anexo 1 (detalles del tratamiento — §3 arriba), Anexo 2 (Subencargados), Anexo 3 (Medidas técnicas & organizativas — TOM).