Acuerdo de Tratamiento de Datos (DPA)
Última actualización: 22 de Mayo de 2026
Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") forma parte integrante de los Términos de Servicio entre el Cliente ("Responsable del Tratamiento") y Criterium Technologies S.L. ("Encargado del Tratamiento"), y regula el tratamiento de datos personales realizado por Criterium por cuenta del Cliente, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD.
1. Objeto y partes
El objeto de este DPA es regular las condiciones bajo las cuales Criterium, en calidad de Encargado del Tratamiento, trata datos personales en nombre del Cliente para la prestación de los servicios contratados.
- Responsable: el Cliente identificado en el contrato principal.
- Encargado: Criterium Technologies S.L., CIF [PENDIENTE: CIF].
- Duración: durante la vigencia del contrato principal.
2. Datos tratados
Las categorías de datos personales tratados incluyen:
- Datos identificativos: nombre, apellidos, email corporativo, teléfono.
- Datos profesionales: cargo, empresa, departamento.
- Datos de uso: logs de acceso, acciones ejecutadas, consultas realizadas.
- Datos de contenido: documentos, conversaciones y mensajes que el Cliente decida cargar en la Plataforma.
Las categorías de interesados son: empleados, colaboradores, clientes y contactos comerciales del Responsable.
3. Subencargados
El Cliente autoriza expresamente a Criterium a contratar subencargados para la prestación del servicio. Criterium notificará con 30 días de antelación cualquier cambio en la lista de subencargados autorizados, permitiendo al Cliente oponerse por motivos legítimos.
Todos los subencargados están obligados contractualmente a cumplir obligaciones de protección de datos equivalentes a las establecidas en este DPA.
4. Medidas de seguridad
Criterium implementa medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Control de acceso basado en roles (RBAC) y autenticación multifactor.
- Segregación lógica multi-tenant con aislamiento por tenant_id.
- Registro de auditoría completo de accesos y acciones.
- Backups cifrados con retención configurable.
- Monitorización 24/7 y detección de anomalías.
- Revisiones periódicas de seguridad y pruebas de penetración.
- Plan de continuidad de negocio y recuperación ante desastres.
5. Sub-procesadores autorizados
Lista actual de sub-procesadores autorizados por el Cliente:
| Sub-procesador | Finalidad | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting de frontend y API serverless | UE / EE. UU. (SCC) |
| Neon Inc. | Base de datos PostgreSQL gestionada | UE |
| Anthropic PBC | Modelos de lenguaje (LLM) | EE. UU. (SCC + DPA) |
| Groq Inc. | Inferencia de LLM | EE. UU. (SCC + DPA) |
| Cartesia Inc. | Síntesis de voz (TTS) | EE. UU. (SCC + DPA) |
| Deepgram Inc. | Reconocimiento de voz (STT) | EE. UU. (SCC + DPA) |
| Cloudflare Inc. | CDN, WAF y túneles seguros | Global (SCC) |
| Resend Inc. | Envío de correo transaccional | EE. UU. (SCC + DPA) |
| Stripe Inc. | Procesamiento de pagos | Irlanda / EE. UU. (SCC) |
Las transferencias internacionales a fuera del EEE se realizan al amparo de Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
6. Derechos del interesado
Criterium asistirá al Cliente, en la medida de lo posible, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición) de los interesados.
Cualquier solicitud recibida directamente por Criterium será comunicada al Cliente sin dilación indebida.
7. Notificación de brechas
Criterium notificará al Cliente sin dilación indebida y, en cualquier caso, en un plazo máximo de 72 horas desde que tenga conocimiento de una violación de la seguridad de los datos personales, proporcionando al menos:
- Descripción de la naturaleza de la brecha.
- Categorías y número aproximado de interesados afectados.
- Categorías y número aproximado de registros afectados.
- Consecuencias probables.
- Medidas adoptadas o propuestas para mitigarla.
8. Devolución/eliminación al finalizar
Al término del contrato principal, Criterium, a elección del Cliente:
- Devolverá todos los datos personales en un formato estructurado y de uso común.
- Eliminará todos los datos personales y copias existentes, salvo obligación legal de conservación.
La eliminación se realizará en un plazo máximo de 30 días desde la finalización del contrato. Criterium emitirá un certificado de destrucción a solicitud del Cliente.
9. Contacto
Delegado de Protección de Datos
Email: dpo@criterium.pro