Este Acuerdo de Tratamiento («DPA") forma parte del acuerdo de servicios entre Multiuniversal UAB («Encargado") y el cliente («Responsable"). Aplica automáticamente a todos los compromisos donde Multiuniversal trata datos personales por cuenta del Responsable.
Para preguntas sobre este DPA contacta privacy@multiuniversal.com.
- Definiciones
- Alcance y roles
- Obligaciones del Encargado
- Obligaciones del Responsable
- Subencargados
- Medidas de seguridad
- Derechos del interesado
- Violaciones de datos
- Transferencias internacionales
- Derechos de auditoría
- Vigencia y terminación
- Ley aplicable
- Calendario de tratamiento
Definiciones
En este DPA:
- «Responsable" significa el cliente que determina fines y medios del tratamiento.
- «Encargado" significa Multiuniversal UAB, actuando por instrucciones del Responsable.
- «Datos Personales", «Interesado", «Tratamiento", «Autoridad de Control" y «Violación de Datos" tienen el significado del RGPD.
- «RGPD" significa Reglamento (UE) 2016/679.
- «Servicios" significa los servicios de infraestructura IA, automatización o integración del Encargado.
- «Subencargado" significa cualquier tercero contratado por el Encargado.
Alcance y roles
El Encargado proporciona servicios de infraestructura IA que pueden implicar tratamiento de datos personales por cuenta del Responsable. En este contexto:
- El Responsable determina la base legal y propósito del tratamiento.
- El Encargado solo procesa datos según instrucciones documentadas y para ningún otro fin.
- Categorías, naturaleza y duración se establecen en el Calendario de Tratamiento por compromiso.
Obligaciones del Encargado
El Encargado deberá:
- Procesar datos solo según instrucciones documentadas del Responsable, salvo exigencia de derecho UE o de Estado miembro.
- Garantizar que las personas autorizadas están obligadas por confidencialidad.
- Implementar medidas técnicas y organizativas de seguridad apropiadas.
- Asistir al Responsable en obligaciones de respuesta a interesados.
- Asistir al Responsable en cumplimiento de RGPD Art. 32–36.
- A elección del Responsable, borrar o devolver datos al terminar los Servicios.
- Poner a disposición información necesaria para demostrar cumplimiento y cooperar con auditorías.
- Notificar al Responsable inmediatamente si una instrucción infringe RGPD.
Obligaciones del Responsable
El Responsable deberá:
- Garantizar base legal válida bajo RGPD Art. 6 para todos los datos proporcionados.
- Proveer instrucciones documentadas y notificar cambios.
- Garantizar que los interesados han sido informados conforme a RGPD Art. 13 y 14.
- No instruir tratamientos que violen ley aplicable.
Subencargados
El Encargado no contratará subencargados sin autorización escrita previa. Con autorización general, notificará cambios dando 14 días para objetar.
Cualquier subencargado estará obligado por protección de datos equivalente. El Encargado sigue plenamente responsable.
La lista actual de subencargados aprobados se mantiene en privacy@multiuniversal.com. Por defecto la inferencia IA es on-premise.
Medidas de seguridad
El Encargado implementa medidas técnicas y organizativas apropiadas al riesgo:
| Medida | Implementación |
|---|---|
| Cifrado en tránsito | TLS 1.2+ para toda transmisión |
| Cifrado en reposo | Almacenamiento cifrado para BBDD con datos personales |
| Control de acceso | Por roles; menor privilegio; autenticación fuerte |
| Minimización | Solo datos necesarios al fin |
| Procesamiento IA on-premise | Inferencia IA en servidores propios — los datos no salen del entorno |
| Respuesta a incidentes | Procedimientos documentados |
El Encargado revisa y actualiza estas medidas periódicamente.
Derechos del interesado
Considerando la naturaleza del tratamiento, el Encargado asiste al Responsable en cumplir su obligación de responder a interesados bajo Capítulo III RGPD.
Si el Encargado recibe solicitud directa, la reenviará al Responsable y no responderá directamente sin instrucción.
Violaciones de datos
El Encargado notificará al Responsable sin demora — en cualquier caso en 48 horas — tras conocer una Violación. La notificación incluirá:
- Descripción de la naturaleza, categorías y número aproximado de interesados y registros
- Nombre y contacto del DPO
- Descripción de consecuencias probables
- Descripción de medidas adoptadas
El Encargado cooperará en mitigar efectos. El Responsable sigue responsable de notificaciones bajo RGPD Art. 33 y 34.
Transferencias internacionales
Infraestructura y personal del Encargado están en Lituania, Estado miembro UE. Por defecto los datos no se transfieren fuera del EEE.
Si un compromiso requiere transferencia a tercer país, el Encargado notificará por adelantado. Estará sujeta a salvaguarda bajo RGPD Capítulo V.
Derechos de auditoría
El Encargado pone a disposición información necesaria. El Responsable puede auditar bajo:
- Aviso razonable de al menos 14 días
- Auditoría en horas comerciales sin perturbar operaciones
- Auditor obligado por confidencialidad equivalente
El Responsable asume costes de auditoría salvo que revele incumplimiento material.
Vigencia y terminación
Este DPA permanece en vigor durante el acuerdo. Al terminar, el Encargado dentro de 30 días devolverá o borrará todos los datos. Puede retener copia hasta 3 años para resolución de disputas y reclamaciones.
Si retención superior a 3 años es exigida por ley UE o de Estado miembro, el Encargado informará al Responsable.
Ley aplicable
Este DPA se rige por las leyes de Lituania. Las disputas están sujetas a jurisdicción exclusiva de los tribunales de Vilnius.
Si el Responsable está sujeto a leyes de otro Estado UE, nada limita su derecho a reclamar ante autoridad local.
Calendario de tratamiento
El siguiente calendario se completa por compromiso y forma parte de este DPA.
| Nombre y dirección del Responsable | A completar por compromiso |
| Descripción de servicios | A completar por compromiso |
| Propósito del tratamiento | A completar por compromiso |
| Categorías de datos personales | A completar por compromiso |
| Categorías de interesados | A completar por compromiso |
| Periodo de conservación | A completar por compromiso |
| Subencargados aprobados | Ninguno por defecto; listados si aplicable |
| Transferencias internacionales | Ninguna por defecto; mecanismo listado si aplicable |
Para un Calendario completado contacta privacy@multiuniversal.com.