Acuerdo de Tratamiento de Datos (DPA)
Acuerdo que rige el tratamiento de datos personales por Boostrad en nombre de los clientes.
Última actualización: 25 de marzo de 2026
1. Introducción
Este Acuerdo de Tratamiento de Datos ("DPA") forma parte de los Términos de Servicio entre Boostrad AI ("Encargado", "nosotros", "nos" o "nuestro") y el cliente o usuario que actúa como responsable del tratamiento ("Responsable", "tú" o "tu").
Este DPA rige el tratamiento de Datos Personales por parte del Encargado en nombre del Responsable en relación con el uso del Servicio.
Este DPA tiene como objetivo garantizar el cumplimiento de las leyes de protección de datos aplicables, incluyendo:
- El Reglamento (UE) 2016/679 ("GDPR")
- UK GDPR
- Ley Federal Suiza de Protección de Datos
2. Definiciones
"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable
"Tratamiento" significa cualquier operación realizada sobre Datos Personales
"Responsable" significa la entidad que determina los fines y medios del tratamiento
"Encargado" significa la entidad que trata datos en nombre del Responsable
Todos los demás términos tendrán el significado otorgado por las leyes de protección de datos aplicables.
3. Alcance del Tratamiento
El Encargado tratará los Datos Personales solo:
- Conforme a instrucciones documentadas del Responsable
- Con el propósito de proporcionar el Servicio
El tratamiento puede incluir:
- Almacenamiento
- Análisis
- Transmisión
- Transformación
- Tratamiento basado en IA
4. Naturaleza y Finalidad del Tratamiento
Las actividades de tratamiento incluyen:
- Alojamiento y almacenamiento de datos de usuario
- Generación de contenido con IA
- Analíticas y medición de rendimiento
- Integración con servicios de terceros
5. Categorías de Interesados
Los Datos Personales pueden relacionarse con:
- Usuarios finales
- Clientes
- Empleados
- Audiencias de marketing
- Individuos que aparecen en contenido cargado
6. Tipos de Datos Personales
Las categorías de Datos Personales tratados pueden incluir:
- Datos de identificación (nombre, email)
- Datos de cuenta
- Contenido generado por el usuario (imágenes, videos, audio, texto)
- Datos conductuales y de uso
- Datos publicitarios y de rendimiento
- Datos técnicos y de dispositivo
7. Obligaciones del Responsable
El Responsable declara y garantiza que:
- Tiene una base legal para el tratamiento de Datos Personales
- Ha obtenido todos los consentimientos y permisos necesarios
- Cumple con todas las leyes de protección de datos aplicables
- Es responsable de la legalidad de los Datos Personales cargados al Servicio
8. Obligaciones del Encargado
El Encargado debe:
- Tratar Datos Personales solo de acuerdo con este DPA
- Garantizar la confidencialidad del personal
- Implementar medidas técnicas y organizativas apropiadas
- Asistir al Responsable en el cumplimiento de sus obligaciones
9. Medidas de Seguridad
El Encargado debe implementar medidas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado cuando corresponda
- Controles de acceso
- Monitoreo y registro
- Aislamiento de datos
Sin embargo, el Responsable reconoce que ningún sistema es completamente seguro.
10. Subencargados
El Responsable autoriza al Encargado a contratar subencargados.
Los subencargados pueden incluir:
- aws.amazon.com
- fal.ai
- stripe.com
- analytics.google.com
- amplitude.com
- Google AI (Gemini / generative APIs)
- OpenAI (ChatGPT / API)
El Encargado debe garantizar que los subencargados estén sujetos a obligaciones de protección de datos equivalentes a este DPA.
Cuando el Servicio enrute Datos Personales a API LLM de terceros (por ejemplo, Google Gemini u OpenAI ChatGPT, incluidos modelos como Gemini 3.1 Pro o ChatGPT 5.4), el Encargado deberá contratar a esos proveedores en condiciones escritas que exijan medidas adecuadas de confidencialidad y seguridad. El Responsable reconoce que pueden listarse subencargados adicionales en los Términos de Servicio o la Política de Privacidad.
11. Transferencias Internacionales
El Encargado puede transferir Datos Personales fuera del EEE, Reino Unido o Suiza.
Cuando se requiera, el Encargado implementará salvaguardas apropiadas, incluyendo:
- Cláusulas Contractuales Tipo (SCC)
- Decisiones de adecuación
- Protecciones equivalentes
12. Derechos de los Interesados
El Encargado debe, en la medida de lo posible, asistir al Responsable en responder a solicitudes de los interesados, incluyendo:
- Acceso
- Rectificación
- Supresión
- Restricción
- Portabilidad de datos
13. Notificación de Violación de Datos
El Encargado debe notificar al Responsable sin dilación indebida después de tomar conocimiento de una violación de Datos Personales.
La notificación debe incluir:
- Naturaleza de la violación
- Categorías de datos afectados
- Consecuencias probables
- Medidas adoptadas
14. Retención y Eliminación de Datos
Tras la terminación del Servicio, el Encargado debe:
- Eliminar o devolver los Datos Personales, a menos que la retención sea requerida por ley
15. Auditorías
El Encargado debe poner a disposición la información necesaria para demostrar el cumplimiento de este DPA.
Las auditorías deben ser:
- Razonables
- Limitadas en alcance
- Sujetas a confidencialidad
16. Responsabilidad
Cada parte será responsable de los daños causados por su propia violación de este DPA.
La responsabilidad estará sujeta a las limitaciones establecidas en los Términos de Servicio.
17. Duración
Este DPA permanece en vigor mientras el Encargado procese Datos Personales en nombre del Responsable.
18. Ley Aplicable
Este DPA se regirá por las leyes de Suiza, a menos que lo exijan las leyes de protección de datos aplicables.
19. Contacto
Boostrad AI