Última actualización: 10 de mayo de 2026. Esta versión refleja la configuración actual de subencargados, incluyendo OpenAI para embeddings de texto y respuestas contextuales de IA. Para futuros cambios en los subencargados requeridos, se aplican las reglas de notificación y oposición de la Sección 7.3.
La versión alemana de este DPA es legalmente vinculante. Las traducciones se proporcionan por conveniencia; en caso de conflicto, prevalece la versión alemana.
1. Preámbulo y Ámbito de Aplicación
Este Acuerdo de Tratamiento de Datos (DPA) regula el tratamiento de datos personales de conformidad con el Art. 28 del GDPR entre:
- Responsable del Tratamiento: El cliente de PlotonIQ (en adelante, "Responsable del Tratamiento")
- Encargado del Tratamiento: K-Werbetechnik, propietario: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Alemania, representado a través de la plataforma PlotonIQ (en adelante, "Encargado del Tratamiento")
Este DPA es parte integral de las Condiciones del Servicio y regula el tratamiento de datos personales por cuenta del Responsable del Tratamiento en el contexto de los servicios de PlotonIQ.
2. Objeto y Duración del Tratamiento
El Encargado del Tratamiento procesa datos personales exclusivamente por cuenta y conforme a las instrucciones documentadas del Responsable del Tratamiento.
2.1 Objeto del Tratamiento
El tratamiento de datos abarca las siguientes categorías:
- Datos de Clientes: Nombres, direcciones, correo electrónico, teléfono, nombre de la empresa de los clientes del Responsable del Tratamiento
- Datos de Pedidos: Descripciones de proyectos, plazos, requisitos, modificaciones
- Datos de Rendimiento: Cálculos, especificaciones de materiales, dimensiones, áreas
- Datos de Comunicación: Correos electrónicos, mensajes de chat, memorandos y grabaciones de audio en operaciones comerciales
- Datos del Equipo: Datos de empleados, datos de localización (si la geolocalización está activada), permisos
- Datos Financieros: Información de facturación, datos de pago (tokenizados), detalles de tarjetas de crédito (solo Stripe)
- Datos Visuales: Fotos para reconocimiento de medidas por IA, capturas de pantalla, propuestas de diseño
2.2 Duración del Tratamiento
El tratamiento de datos se realiza durante todo el período del contrato y posteriormente conforme a la Sección 8 (Eliminación y Conservación de Datos).
3. Naturaleza y Finalidad del Tratamiento
El Encargado del Tratamiento procesa datos para los siguientes fines:
- Provisión y gestión de los servicios de PlotonIQ (cálculos de presupuestos, reconocimiento de medidas, gestión de trabajos, CRM, control de tiempos)
- Cálculos y análisis basados en IA mediante la API de Anthropic Claude
- Embeddings de texto con OpenAI text-embedding-3-large (1536 dimensiones) para búsqueda semántica y respuestas contextuales de IA (RAG)
- Reconocimiento automático de medidas a partir de fotos mediante Visión por Computador (SAM/DINO)
- Comunicación con los usuarios (correos transaccionales, notificaciones)
- Procesamiento de pagos y facturación
- Implementación de medidas de seguridad y autenticación
- Registro y supervisión del sistema para seguridad y diagnóstico de errores
- Geolocalización y gestión de equipos (opcional, solo si está activado)
4. Categorías de Interesados
El Encargado del Tratamiento procesa datos de las siguientes personas:
- Clientes del Responsable del Tratamiento (clientes finales de servicios de rotulación)
- Empleados del Responsable del Tratamiento (usuarios de la plataforma)
- Subcontratistas y socios del Responsable del Tratamiento
- Personas de contacto y representantes
5. Categorías de Datos Personales
El Encargado del Tratamiento procesa las siguientes categorías:
- Datos Maestros: Nombre, título, dirección, teléfono, dirección de correo electrónico, nombre de la empresa
- Datos de Identificación: ID de usuario, tokens JWT, cookies de sesión, huella del navegador (con hash)
- Datos de Localización: Dirección IP, coordenadas GPS (solo si la geolocalización está activada)
- Datos Empresariales: Descripciones de proyectos, cálculos, presupuestos, pedidos, facturas
- Datos de Comunicación: Mensajes, transcripciones de audio, correos electrónicos
- Datos Técnicos: Archivos de registro, registros del servidor, accesos al sistema, protocolos de errores
- Categorías Especiales: Ninguna (excepto la información identificativa proporcionada voluntariamente)
6. Obligaciones del Encargado del Tratamiento — Medidas Técnicas y Organizativas
6.1 Medidas Técnicas de Seguridad
- Cifrado de Datos:
- Cifrado AES-256 para datos sensibles en la base de datos
- TLS 1.2+ para la transmisión (HTTPS)
- Autenticación JWT con cookies httpOnly (no accesibles por JavaScript)
- Protección de la Base de Datos:
- Base de datos PostgreSQL con autenticación robusta
- Conexiones cifradas entre la aplicación y la base de datos
- Copias de seguridad automatizadas y periódicas con cifrado
- Almacenamiento redundante y recuperación ante desastres
- Control de Acceso:
- Control de acceso basado en roles (RBAC)
- Arquitectura multitenant con estricto aislamiento entre tenants
- Registros de auditoría para todos los accesos administrativos
- Principio de mínimo privilegio: sin permisos innecesarios
- Seguridad de la Red:
- Protección DDoS a través de Cloudflare
- Reglas de firewall y detección de intrusiones
- Actualizaciones de seguridad y parches periódicos
- Seguridad de la API:
- Autenticación de API basada en JWT
- Limitación de tasa para prevenir ataques de fuerza bruta
- Sin datos sensibles en URLs ni parámetros de consulta
6.2 Medidas Organizativas de Seguridad
- Personal y Formación:
- Número limitado de empleados con acceso a datos de clientes
- Acuerdos de confidencialidad (NDA) con todos los empleados
- Formación en protección de datos para el personal pertinente
- Gobernanza de la Protección de Datos:
- Política de Privacidad y este DPA
- Delegado de Protección de Datos (cuando sea obligatorio)
- Políticas para la protección y el uso de datos personales
- Respuesta a Incidentes:
- Procedimientos para la detección y notificación de violaciones de datos
- Notificación al Responsable del Tratamiento dentro de las 24 horas siguientes a incidentes de seguridad conocidos
- Cooperación en las obligaciones de notificación a las autoridades y a las personas afectadas
- Documentación y Supervisión:
- Registro de Actividades de Tratamiento conforme al Art. 30 del GDPR
- Auditorías de seguridad periódicas
- Registro de todos los accesos a datos (cuando sea técnicamente factible)
- Seguridad Física:
- Hosting con Hetzner Online GmbH (Falkenstein, Alemania) con certificación ISO-27001
- Control del acceso físico al centro de datos
- Supervisión y medidas de seguridad del proveedor de hosting
7. Subencargados y Terceros
El Encargado del Tratamiento utiliza los siguientes subencargados y proveedores de servicios para prestar sus servicios:
7.1 Subencargados Requeridos
| Servicio | Proveedor | Ubicación | Finalidad | Transferencia de Datos |
|---|---|---|---|---|
| Hosting de Servidores | Hetzner Online GmbH | Falkenstein, Alemania | Base de datos, servidor de aplicaciones | Intra-UE (DE) |
| CDN / Protección DDoS | Cloudflare, Inc. | San Francisco, EE. UU. | Rendimiento del sitio web, seguridad | EE. UU. (EU-US DPF, SCC) |
| Correos Transaccionales | Brevo SAS | París, Francia | Correos de confirmación y notificación | Intra-UE (FR) |
| Procesamiento de Pagos | Stripe, Inc. | San Francisco, EE. UU. | Pagos con tarjeta, gestión de suscripciones | EE. UU. (SCC) — tokenizados |
| API de IA (Cálculos) | Anthropic, PBC | San Francisco, EE. UU. | Cálculos de IA, generación de texto | EE. UU. (SCC) — Sin Retención de Datos |
| API de IA (transcripción de audio opcional, principal) | Groq, Inc. | Mountain View, EE. UU. | Transcripción STT principal para memos de audio con whisper-large-v3 cuando el Responsable del Tratamiento utiliza la función opcional de transcripción de audio | EE. UU. (SCC) — tratamiento bajo el DPA de GroqCloud para proporcionar la función STT |
| API de IA (embeddings de texto y asistencia contextual) | OpenAI, L.L.C. | San Francisco, EE. UU. | Embeddings de texto con text-embedding-3-large (1536 dimensiones) para búsqueda semántica y respuestas contextuales de IA (RAG); funciones de texto y asistencia seleccionadas cuando estén activas | EE. UU. (EU-US DPF, SCC) — los datos de la API no se utilizan para entrenamiento por defecto; registros de supervisión de abuso hasta 30 días |
| API de IA (transcripción de audio opcional) | OpenAI, L.L.C. | San Francisco, EE. UU. | OpenAI gpt-4o-transcribe únicamente como vía STT de respaldo si Groq STT no está disponible y la transcripción de audio es utilizada por el Responsable del Tratamiento y configurada en consecuencia | EE. UU. (EU-US DPF, SCC) — vía opcional, separada de embeddings/RAG |
7.2 Transferencias a Terceros Países
Para las transferencias de datos a EE. UU., se aplican los siguientes mecanismos:
- EU-US Data Privacy Framework (DPF): Cloudflare y OpenAI están representados por los proveedores como certificados bajo el EU-US Data Privacy Framework
- Cláusulas Contractuales Tipo (SCC): Para Anthropic, Groq, OpenAI y Stripe cuando se realizan transferencias a terceros países
El Responsable del Tratamiento consiente estas transferencias mediante la aceptación de las Condiciones del Servicio.
7.3 Cambios en los Subencargados
El Encargado del Tratamiento informará al Responsable del Tratamiento antes de contratar nuevos subencargados requeridos o de modificar sustancialmente los subencargados requeridos existentes. El Responsable del Tratamiento tiene derecho a oponerse al uso de subencargados requeridos nuevos o modificados sustancialmente mediante notificación por escrito dentro de los 30 días siguientes a la notificación. Si no se formula objeción dentro del plazo, se considerará aceptado el uso de los cambios futuros tras el período de notificación. En tal caso, cualquiera de las partes podrá rescindir la relación contractual.
8. Eliminación y Conservación de Datos
8.1 Plazos de Eliminación tras la Finalización del Contrato
- Datos de Clientes y Proyectos: Se eliminarán a petición del Responsable del Tratamiento, a más tardar 30 días después de la finalización del contrato
- Copias de Seguridad: Se eliminarán automáticamente conforme a las políticas de retención de Hetzner tras aproximadamente 30-90 días
- Archivos de Registro y Datos del Sistema: Se anonimizarán o eliminarán automáticamente tras 90 días
- Registros Financieros y Facturas: Se conservarán conforme a la legislación fiscal alemana (§14 StGB, §239 HGB) durante 6 a 10 años
8.2 Derecho de Supresión Durante el Uso
El Responsable del Tratamiento podrá solicitar la eliminación de registros individuales en cualquier momento, salvo impedimento legal. Los datos eliminados no se podrán recuperar.
8.3 Exportación de Datos
El Responsable del Tratamiento podrá solicitar la exportación de datos en un formato estructurado y común (por ejemplo, CSV, JSON) para permitir la portabilidad.
9. Derechos y Obligaciones del Responsable del Tratamiento
9.1 Instrucciones del Responsable del Tratamiento
El Responsable del Tratamiento podrá emitir instrucciones para el tratamiento de datos personales mediante:
- Configuración de los ajustes de la plataforma
- Instrucción explícita por escrito por correo electrónico a [email protected]
- Uso de los endpoints de la API con los parámetros adecuados
9.2 Cooperación del Responsable del Tratamiento
El Responsable del Tratamiento es responsable de:
- La protección de las credenciales de acceso y los códigos de acceso
- El cumplimiento de las leyes aplicables al recopilar datos de clientes
- La exactitud y legalidad de los datos tratados
- La documentación de la base jurídica para el tratamiento de datos
- La notificación a las personas afectadas conforme al GDPR (cuando sea obligatorio)
9.3 Política de Privacidad del Responsable del Tratamiento
El Responsable del Tratamiento es responsable de proporcionar su propia política de privacidad a los clientes finales, informando que los datos se transmiten a PlotonIQ / al Encargado del Tratamiento.
10. Derechos y Obligaciones de los Interesados
El Encargado del Tratamiento asiste al Responsable del Tratamiento en el cumplimiento de los derechos de los interesados:
- Derecho de Acceso (Art. 15 del GDPR): El Responsable del Tratamiento podrá solicitar acceso; el Encargado del Tratamiento responderá en un plazo de 14 días
- Derecho de Rectificación (Art. 16 del GDPR): Los interesados podrán corregir o solicitar la corrección de datos erróneos
- Derecho de Supresión (Art. 17 del GDPR): Las solicitudes de supresión se tramitarán en un plazo de 14 días (salvo obligaciones legales de conservación)
- Derecho a la Limitación del Tratamiento (Art. 18 del GDPR): Disponible a través de los ajustes de la plataforma
- Derecho a la Portabilidad de los Datos (Art. 20 del GDPR): El Responsable del Tratamiento podrá exportar datos en formato estándar
- Derecho de Oposición (Art. 21 del GDPR): Aplicable al tratamiento basado en intereses legítimos
11. Violaciones de Datos y Obligaciones de Notificación
11.1 Notificación de Violación de Datos
En caso de violación de datos, el Encargado del Tratamiento notificará al Responsable del Tratamiento de inmediato, y a más tardar dentro de las 24 horas, por escrito. La notificación incluye:
- Naturaleza y alcance de la violación
- Categorías y número aproximado de personas afectadas
- Consecuencias probables de la violación
- Medidas adoptadas y previstas para subsanar y mitigar los daños
- Nombre y datos de contacto del Delegado de Protección de Datos o persona de contacto
11.2 Cooperación con las Autoridades
El Encargado del Tratamiento cooperará con el Responsable del Tratamiento y las autoridades competentes de protección de datos y asistirá al Responsable del Tratamiento en:
- La notificación a las personas afectadas
- La comunicación a la autoridad de control competente
- Las investigaciones y auditorías
12. Derechos de Auditoría del Responsable del Tratamiento
12.1 Derechos de Inspección
El Responsable del Tratamiento tiene derecho a auditar, previa solicitud, cómo el Encargado del Tratamiento procesa los datos personales:
- Acceso al Registro de Actividades de Tratamiento
- Revisión de las medidas de seguridad
- Auditorías con previo aviso
Las auditorías deberán realizarse durante el horario laboral habitual y no deberán perturbar significativamente las operaciones.
12.2 Certificados y Auditorías
El Encargado del Tratamiento proporcionará las siguientes pruebas:
- Certificado ISO-27001 de Hetzner (proveedor de hosting)
- Informe SOC-2 (si está disponible)
- Políticas de seguridad y catálogo de medidas
13. Privacidad desde el Diseño y Privacidad por Defecto
El Encargado del Tratamiento implementa la privacidad desde el diseño conforme al Art. 25 del GDPR:
- Recopilación mínima de datos: solo se recopilan los datos necesarios
- Seudonimización: las huellas del navegador se almacenan con hash
- Cifrado: AES-256 para datos sensibles
- Control de acceso: permisos basados en roles
- Revisión periódica: auditorías y pruebas de penetración
14. Tratamiento por IA y Toma de Decisiones Automatizada
14.1 Naturaleza del Tratamiento por IA
PlotonIQ utiliza IA para:
- Cálculos de presupuestos (API de Anthropic Claude)
- Embeddings de texto con OpenAI text-embedding-3-large (1536 dimensiones) para búsqueda semántica y respuestas contextuales de IA (RAG)
- Reconocimiento de áreas y medidas a partir de fotos (SAM/DINO — local en Hetzner)
- Transcripción de memos de audio (función STT opcional; principalmente Groq whisper-large-v3, OpenAI gpt-4o-transcribe únicamente como respaldo cuando se utiliza y configura)
- Generación de información empresarial y recomendaciones
Para los embeddings y RAG de OpenAI, solo se transmiten extractos de texto vinculados a la finalidad, especialmente extractos de pedidos, memos y textos de oportunidades. Según el contenido del usuario, pueden incluirse nombres de clientes, datos de contacto, direcciones y datos de medidas, proyectos o notas.
No se transmiten a OpenAI para embeddings/RAG los datos de pago de Stripe, las credenciales de acceso o los hashes de contraseñas, los volcados sin procesar de la base de datos del backend o las exportaciones de datos, los datos de imagen SAM/DINO para la segmentación de visión, ni intencionadamente las categorías especiales de datos personales conforme al Art. 9 del GDPR.
14.2 Sin Decisiones Automatizadas Puras
De conformidad con el Art. 22 del GDPR, NO existe toma de decisiones puramente automatizada con efectos jurídicos. Esto significa:
- Los cálculos de IA son SUGERENCIAS, no vinculantes
- Los usuarios siempre deciden manualmente
- Sin rechazo automatizado de pedidos o clientes
14.3 Transparencia en el Uso de la IA
Se informa claramente a los usuarios cuando interviene la IA en un proceso mediante:
- Áreas etiquetadas en la interfaz de usuario (por ejemplo, "Sugerencia de IA")
- Explicación del enfoque de IA en los textos de ayuda
- Esta Política de Privacidad y este DPA
15. EU AI Act — Cumplimiento
Los sistemas de IA utilizados en PlotonIQ se clasifican conforme al EU AI Act:
- Generación de Texto (API de Claude): Riesgo limitado — requisitos de transparencia cumplidos
- Búsqueda Semántica y RAG (OpenAI text-embedding-3-large, 1536 dimensiones): Riesgo limitado — función de asistente y contexto, sin decisión automatizada
- Reconocimiento de Medidas (SAM/DINO): Riesgo limitado — ejecutado localmente, sin transferencia a terceros países
- Transcripción de Audio (Groq whisper-large-v3, OpenAI gpt-4o-transcribe como respaldo): Riesgo limitado — requiere consentimiento previo del usuario
NO existen aplicaciones de IA de alto riesgo conforme al AI Act.
16. Tarifas y Costes
Este Acuerdo de Tratamiento de Datos se incluye como parte del contrato de suscripción. NO existen tarifas adicionales por el cumplimiento de este DPA.
17. Base Jurídica y Ámbito de Aplicación
- Base Jurídica Principal: GDPR de la UE (2016/679), GDPR, Directiva ePrivacy (Alemania)
- Ámbito de Aplicación: Todos los usuarios con domicilio social en Alemania o en la UE
- Vigencia desde: 1 de abril de 2026
- Idioma: Alemán; en caso de discrepancias, prevalece la versión alemana
18. Vigencia y Resolución
18.1 Vigencia Vinculada al Contrato
Este DPA tiene vigencia paralela al contrato de suscripción. Al finalizar la suscripción, este DPA también finaliza.
18.2 Resolución
La resolución de este DPA solo es posible conjuntamente con la resolución del contrato de suscripción.
18.3 Efectos de la Resolución
Tras la resolución, los datos del cliente se eliminarán conforme a la Sección 8 o se conservarán si la ley así lo exige.
19. Modificaciones a este DPA
El Encargado del Tratamiento podrá modificar este DPA con un preaviso de 30 días si:
- Lo exigen requisitos legales o reglamentarios
- El cambio mejora la protección de datos personales
- El Responsable del Tratamiento no se opone por escrito en un plazo de 30 días
El Responsable del Tratamiento será informado por escrito de los cambios con antelación.
20. Contacto y Reclamaciones
20.1 Dirección de Contacto del Encargado del Tratamiento
K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Alemania
Correo electrónico: [email protected]
Teléfono: +49 (0)6821-6797414
20.2 Autoridad de Protección de Datos
Las reclamaciones sobre el tratamiento de datos pueden presentarse ante la autoridad competente de protección de datos. La información de contacto para Alemania (Sarre) es:
Centro Independiente de Protección de Datos del Sarre
Fritz-Dobisch-Straße 12
66111 Saarbrücken, Alemania
Correo electrónico: [email protected]
Sitio web: www.datenschutz.saarland.de
21. Validez y Cláusula de Divisibilidad
En caso de que alguna disposición de este DPA sea inválida, ello no afectará a la validez del acuerdo en su conjunto. Las partes acordarán una disposición sustitutiva válida que se corresponda con la finalidad económica del acuerdo original.
22. Disposiciones Finales
Este Acuerdo de Tratamiento de Datos entra en vigor el 1 de abril de 2026 y es vinculante para todos los clientes de PlotonIQ que celebren un contrato a partir de esa fecha o renueven contratos existentes.
Versión: 1.1
Vigente desde: 1 de abril de 2026
Última actualización: 10 de mayo de 2026