Acuerdo de tratamiento de datos
Última actualización: 5 de abril de 2026
- Foretide actúa como Encargado del Tratamiento. Tú eres el Responsable del Tratamiento.
- Procesamos tus datos solo según tus instrucciones documentadas — nada más.
- Tus datos están cifrados en tránsito (TLS 1.3) y en reposo (AES-256).
- Los datos de cada organización están completamente aislados con controles verificados trimestralmente.
- Te notificamos cualquier brecha de datos en 48 horas y asistimos con las notificaciones a las autoridades.
- Puedes auditar nuestras prácticas. Eliminamos todos los datos en 30 días tras la cancelación.
- Regulado por la legislación española y de la UE. Cumple íntegramente con el RGPD.
1. Objeto, alcance y roles
Este Acuerdo regula el procesamiento de datos personales que subes o generas a través de Foretide, conforme al RGPD (UE) 2016/679. Roles: (a) Tú (o tu organización) eres el Responsable del Tratamiento — decides qué datos se procesan y cómo se usan los resultados. (b) Foretide (Maistik Studio) es el Encargado del Tratamiento — procesamos datos solo según tus instrucciones documentadas en los Términos de Servicio y este Acuerdo. (c) Tus obligaciones como Responsable: obtener base legal, informar a los interesados, atender solicitudes de derechos, gestionar la retención y realizar Evaluaciones de Impacto (EIPD) cuando sea necesario.
2. Tipos de datos procesados
Datos de cuenta (nombre, email, organización, rol), contenido subido (documentos PDF, Markdown, texto), datos de simulación (perfiles de agentes, resultados, informes, registros de interacción) y datos de uso (consumo de créditos, uso de funciones, metadatos de sesión).
3. Obligaciones del encargado
Procesamos datos solo según tus instrucciones documentadas. Todo el personal está vinculado por obligaciones de confidencialidad. Implementamos: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), almacenamiento cifrado de credenciales (cifrado simétrico Fernet), aislamiento de datos multi-tenant con seguridad a nivel de fila, control de acceso por roles con registro exhaustivo de auditoría, evaluaciones de seguridad internas trimestrales, pruebas de penetración independientes anuales, y pruebas automatizadas continuas de aislamiento en CI/CD. Los proveedores de procesamiento de IA NO usan tus datos para entrenar o mejorar sus modelos.
4. Subencargados
No contratamos subencargados sin autorización escrita previa. Mantenemos una lista actualizada disponible bajo solicitud. Te notificamos cualquier cambio previsto con al menos 30 días de antelación, durante los cuales puedes oponerte. Si no podemos satisfacer tu objeción, puedes resolver el acuerdo.
5. Derechos de los interesados
Te asistimos en el cumplimiento de obligaciones de respuesta a solicitudes de interesados conforme a los artículos 15-22 del RGPD: acceso, rectificación, supresión, portabilidad, limitación y oposición. Apoyamos el derecho de oposición al tratamiento basado en intereses legítimos (Art. 21). Si los resultados de Foretide se usan para decisiones automatizadas que afecten significativamente a personas, debes cumplir con el Art. 22 del RGPD, incluyendo mecanismos de revisión humana.
6. Transferencias de datos
Por defecto, todos los datos personales se almacenan en la Unión Europea. No transferimos datos personales fuera del EEE sin garantizar salvaguardas incluyendo Cláusulas Contractuales Tipo (CCT), Evaluaciones de Impacto de Transferencia y tu notificación previa. Tienes derecho a oponerte a nuevas transferencias fuera del EEE.
7. Notificación de brechas
Tras descubrir una brecha de datos personales, te notificamos en 48 horas por email y notificación en la aplicación, incluyendo: naturaleza y alcance, categorías de datos afectados y número estimado de interesados, consecuencias probables, medidas de mitigación y nuestro punto de contacto. Si la brecha probablemente resulta en alto riesgo para los interesados, notificamos a las autoridades de protección de datos pertinentes (AEPD y/o APD de la UE aplicables). Proporcionamos documentación suficiente para que cumplas con tu obligación de notificación de 72 horas. Cooperamos plenamente en investigaciones y procedimientos legales.
8. Derechos de auditoría
Ponemos a tu disposición toda la información necesaria para demostrar el cumplimiento de este Acuerdo. Permitimos y contribuimos a auditorías, incluyendo inspecciones, realizadas por ti o un auditor designado, con aviso razonable en horario laboral. Los resultados anuales de pruebas de penetración y resúmenes de auditoría de aislamiento están disponibles bajo solicitud con NDA.
9. Supresión y devolución de datos
Tras la cancelación, según tu elección, eliminamos o devolvemos todos los datos personales en 30 días. Formatos de exportación: documentos originales (PDF, Markdown, TXT), datos de simulación (JSON), informes (PDF), datos de cuenta (CSV). Las exportaciones se generan en 7 días laborables. Los datos en copias de seguridad se eliminan en la rotación normal (hasta 60 días). La eliminación se confirma por escrito bajo solicitud.
10. Responsabilidad
La responsabilidad de cada parte bajo este Acuerdo está sujeta a las limitaciones de los Términos de Servicio. Nada limita la responsabilidad de ninguna parte por incumplimientos de la legislación de protección de datos que no puedan limitarse por contrato, incluyendo multas administrativas del RGPD derivadas del incumplimiento propio de una parte.
11. Legislación aplicable
Este Acuerdo se rige por las leyes de España y la Unión Europea. Las controversias se someterán a los tribunales de Barcelona, España. Para reclamaciones de protección de datos, también puedes contactar con la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
12. Contacto
Para preguntas sobre este acuerdo o para ejercer derechos de protección de datos:
dpo@foretide.world