Anexo de Tratamiento de Datos

1.1 Los términos no definidos en este ATD tendrán los significados establecidos en el Contrato Marco de Servicios SaaS disponible en auralytik.com/eula. "Datos Personales", "Titular de los Datos", "Tratamiento", "Responsable del Tratamiento" y "Encargado del Tratamiento" tienen los significados que les atribuye la ley de protección de datos aplicable, incluyendo el Art. 4 del RGPD para los Clientes del Espacio Económico Europeo, el § 1798.140 de la CCPA para los Titulares de los Datos residentes en California, y los artículos pertinentes de la Ley N° 19.628 y de la Ley N° 21.719 para los Clientes chilenos.

1.2 "Datos Personales del Cliente" significa los Datos Personales que el Cliente (o sus usuarios finales) cargue o transmita a través de la plataforma Auralytik, incluyendo, entre otros, grabaciones de audio de llamadas, transcripciones, registros de interacciones con agentes y bots, resultados de evaluaciones y cualquier otro contenido que contenga información personal.

2.1 Objeto: el tratamiento de los Datos Personales del Cliente a través de Auralytik con la finalidad de prestar los servicios de inteligencia conversacional descritos en el Contrato.

2.2 Duración: este ATD permanecerá en vigor durante el tiempo en que Pintor Project trate Datos Personales del Cliente por cuenta de este, más cualquier período de retención previsto en la cláusula 11.

3.1 Las categorías de Titulares de los Datos incluyen habitualmente: los clientes finales del Cliente (llamantes, emisores de mensajes, participantes en interacciones), los agentes y empleados del Cliente que interactúan con la plataforma, y otras personas naturales cuyos datos cargue el Cliente.

3.2 Las categorías de Datos Personales incluyen habitualmente: grabaciones de voz, transcripciones de conversaciones, metadatos de interacciones (marcas de tiempo, identificadores de agentes, identificadores de canal), identificadores de clientes (nombres, números de cuenta, información de contacto incorporada en conversaciones) y resultados analíticos derivados de dichos datos (puntuaciones de sentimiento, hallazgos de cumplimiento, evaluaciones de auditoría).

3.3 Datos Personales de categorías especiales: el Cliente es responsable de limitar la inclusión de datos de categorías especiales (salud, financieros, biométricos, origen racial o étnico, etc.) conforme a la Política de Uso Aceptable. Cuando se contraten funcionalidades de verificación biométrica, los Datos Personales biométricos se tratarán con salvaguardias adicionales documentadas en la Orden de Servicio correspondiente.

4.1 El Cliente es el Responsable del Tratamiento de los Datos Personales del Cliente. Pintor Project actúa como Encargado del Tratamiento y trata los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluidas las transferencias a terceros países, salvo que la ley aplicable exija lo contrario.

4.2 El Cliente garantiza que cuenta con todas las bases legales, avisos y consentimientos necesarios para que Pintor Project trate los Datos Personales del Cliente, incluyendo, cuando corresponda, el consentimiento para la grabación de llamadas y para el uso de inteligencia artificial en el análisis del contenido de conversaciones.

4.3 Pintor Project garantiza que las personas autorizadas para tratar los Datos Personales del Cliente estén sujetas a obligaciones de confidencialidad y hayan recibido formación en materia de protección de datos adecuada a su función.

5.1 El Cliente autoriza a Pintor Project a recurrir a los subencargados del tratamiento enumerados en auralytik.com/subprocessors para el tratamiento de los Datos Personales del Cliente. La lista actual incluye Microsoft Azure (EE. UU., Chile, UE según corresponda), Stripe (EE. UU.), ElevenLabs (EE. UU.), Twilio (EE. UU.) y Meta (EE. UU.), cada uno utilizado según se describe en la página de Subprocesadores.

5.2 Pintor Project notificará al Cliente con al menos 30 días de antelación cualquier incorporación o sustitución de subencargados. El Cliente podrá oponerse a dicho cambio por motivos razonables relacionados con la protección de datos dentro de los 30 días siguientes; si no se alcanza una solución razonable, cualquiera de las partes podrá resolver los Servicios afectados sin penalización.

5.3 Pintor Project celebra acuerdos escritos con cada subencargado que imponen obligaciones de protección de datos no menos protectoras que las establecidas en este ATD.

6.1 Cuando los Datos Personales del Cliente sean transferidos fuera del país de la jurisdicción de protección de datos del Cliente (incluidas las transferencias desde el EEE, el Reino Unido o Suiza a un país sin decisión de adecuación), la transferencia se regirá por las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: Responsable a Encargado del Tratamiento) publicadas en la Decisión (UE) 2021/914, incorporadas a este ATD por referencia.

6.2 Cuando se requieran salvaguardias adicionales (IDTA del Reino Unido, CCT suizas, etc.), se aplicará el mecanismo contractual equivalente.

7.1 Pintor Project implementa las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño, incluyendo: cifrado de los Datos Personales en tránsito (TLS 1.2+) y en reposo (AES-256); controles de acceso basados en el principio del mínimo privilegio; autenticación multifactor para el acceso administrativo; registro y monitorización del acceso a los Datos Personales del Cliente; evaluaciones periódicas de vulnerabilidades y revisiones de seguridad; prácticas de desarrollo de software seguro; y procedimientos documentados de respuesta a incidentes.

7.2 Los detalles específicos de seguridad, certificaciones e informes de auditoría están disponibles en auralytik.com/trust o bajo acuerdo de confidencialidad por separado, a solicitud.

8.1 Pintor Project prestará asistencia razonable al Cliente para que pueda cumplir sus obligaciones de respuesta a las solicitudes de los Titulares (acceso, rectificación, supresión, limitación, portabilidad, oposición, exclusión voluntaria). Cuando sea técnicamente viable, la plataforma proporcionará herramientas de autogestión para que el Cliente atienda dichas solicitudes directamente.

8.2 Cuando Pintor Project reciba una solicitud de un Titular que se refiera a Datos Personales del Cliente, la remitirá al Cliente sin demora indebida y no responderá al Titular directamente salvo que la ley lo exija.

9.1 Pintor Project notificará al Cliente sin demora indebida (y en todo caso dentro de las 48 horas siguientes a tener conocimiento) de cualquier Vulneración de Datos Personales que afecte a los Datos Personales del Cliente. La notificación incluirá: la naturaleza de la vulneración; las categorías y el número aproximado de Titulares y registros afectados (en la medida en que se conozcan); las consecuencias probables; y las medidas adoptadas o propuestas para hacer frente a la vulneración.

9.2 Pintor Project cooperará con el Cliente en la investigación, mitigación y remediación de dicha vulneración, y en el cumplimiento de las obligaciones del Cliente de notificación a las autoridades de control y a los Titulares.

10.1 Pintor Project pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de este ATD, incluyendo (cuando proceda) informes de auditoría de terceros como SOC 2, ISO 27001 o equivalentes.

10.2 El Cliente podrá, a su propio costo y no más de una vez al año (salvo que lo exija una autoridad de control), realizar una auditoría de las prácticas de protección de datos de Pintor Project, sujeta a limitaciones razonables de alcance, confidencialidad y proporcionalidad. Pintor Project podrá cumplir esta obligación mediante la entrega de informes de auditoría o certificaciones de terceros.

11.1 Tras la terminación o expiración del Contrato, Pintor Project eliminará o devolverá todos los Datos Personales del Cliente en un plazo razonable (90 días por defecto), salvo en la medida en que la ley aplicable exija su conservación o para el ejercicio o la defensa de reclamaciones legales.

11.2 Pintor Project podrá conservar datos anonimizados o agregados derivados de los Datos Personales del Cliente que ya no permitan la identificación de Titulares individuales.

12.1 Las disposiciones sobre responsabilidad e indemnización del Contrato Marco de Servicios SaaS se aplican a las reclamaciones derivadas de este ATD, sin perjuicio de las disposiciones imperativas de la ley de protección de datos aplicable que no puedan limitarse contractualmente.

13.1 Cuando lo exija la cláusula 6, las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: Responsable a Encargado del Tratamiento), publicadas en la Decisión (UE) 2021/914, se incorporan a este ATD por referencia. Los Anexos de las CCT se completan como sigue: (Anexo I A) Partes — Cliente (Responsable del Tratamiento) y Pintor Project (Encargado del Tratamiento); (Anexo I B) Descripción de la transferencia — conforme a las cláusulas 2 y 3 de este ATD; (Anexo I C) Autoridad de control competente — la autoridad de control del Estado miembro en que esté establecido el Cliente, o bien, si el Cliente está establecido fuera del EEE, la Comisión de Protección de Datos de Irlanda; (Anexo II) Medidas técnicas y organizativas — conforme a la cláusula 7 y a auralytik.com/trust; (Anexo III) Subencargados — según lo indicado en auralytik.com/subprocessors.

14.1 En caso de conflicto entre este ATD, el Contrato Marco de Servicios SaaS y cualquier Orden de Servicio: este ATD prevalecerá en materia de tratamiento de Datos Personales; la Orden de Servicio prevalecerá en cuanto a los términos específicos del servicio; el Contrato Marco de Servicios SaaS regirá todos los demás asuntos.