Acuerdo de Tratamiento de Datos (DPA)
DRAFT v1 — pendiente de revisión legal. Última actualización: 2026-05-21.
Este documento es el Acuerdo de Tratamiento de Datos que rige la relación entre ChatMe OÜ (encargado) y el Cliente (responsable) cuando el Cliente utiliza la plataforma ChatME. Está incorporado por referencia en los Términos de Servicio.
Este acuerdo cumple los requisitos del Artículo 28 del RGPD e incorpora las Cláusulas Contractuales Tipo (SCCs) Módulo 2 (Responsable → Encargado) según la Decisión de Ejecución (UE) 2021/914 de la Comisión.
Partes
Encargado del tratamiento ("Procesador"):
- ChatMe OÜ
- Reg. mercantil 17391989, NIF EE102933761
- Järvevana tee 9, Tallinn, 11314, Estonia
- Email para asuntos de privacidad: privacy@chatme.es
Responsable del tratamiento ("Cliente"):
- La persona física o jurídica que ha aceptado los Términos de Servicio de ChatME y mantiene una suscripción activa.
- Datos identificativos según consten en su cuenta de ChatME.
Por la mera aceptación de los Términos de Servicio y el inicio del uso del Servicio, ambas partes quedan vinculadas por este DPA.
1. Objeto y duración
ChatME procesa Datos Personales en nombre del Cliente con el propósito exclusivo de prestar el Servicio (operar un chatbot conversacional con IA en el sitio web del Cliente, recopilar formularios, almacenar conversaciones, generar analíticas).
Duración: este DPA permanece vigente mientras esté vigente el contrato principal entre el Cliente y ChatME. Las obligaciones de confidencialidad y devolución/borrado sobreviven a la terminación.
2. Naturaleza y finalidad del tratamiento
| Aspecto | Descripción |
|---|---|
| Naturaleza | Almacenamiento, organización, consulta, generación de respuestas mediante IA, envío de notificaciones por email |
| Finalidad | Permitir que los visitantes del sitio web del Cliente interactúen con un chatbot, presenten formularios y reciban atención automatizada |
| Categorías de interesados | Visitantes del sitio web del Cliente que interactúen con el chatbot |
| Categorías de datos personales | Nombre, email, teléfono, contenido libre de los mensajes, ID de sesión técnica, datos de dispositivo (tipo, referrer), dirección IP en logs operativos |
| Categorías especiales (Art. 9) | No se tratan por diseño. Si un visitante revela datos sensibles en texto libre, el Cliente es responsable de gestionar la situación |
3. Obligaciones del Cliente (Responsable)
El Cliente garantiza:
- Tener una base jurídica válida (Art. 6) para que ChatME procese los datos en su nombre.
- Informar a los visitantes mediante una política de privacidad propia que incluya la existencia de un chatbot, la finalidad del tratamiento, la identidad de ChatME como encargado y un enlace a esta política.
- Disponer del consentimiento o base jurídica adecuada para los datos sensibles que voluntariamente sean compartidos en el chat.
- Configurar los plazos de retención y demás opciones que el Servicio expone en el panel.
4. Obligaciones de ChatME (Encargado)
ChatME se compromete a:
4.1 Instrucciones documentadas
Tratar los Datos Personales únicamente según las instrucciones documentadas del Cliente, incluidas en este DPA, en los Términos de Servicio y en las configuraciones que el Cliente establece en su panel.
4.2 Confidencialidad
Asegurar que las personas autorizadas a tratar los datos están sujetas a un deber de confidencialidad legal o contractual.
4.3 Medidas de seguridad (Art. 32)
Implementar y mantener las medidas técnicas y organizativas descritas en el Anexo I.
4.4 Subencargados
- Lista pública y actualizada en /legal/subprocessors.
- ChatME notificará al Cliente con al menos 30 días de antelación antes de incorporar o sustituir un subencargado, vía email a la dirección registrada en la cuenta y publicación en la URL anterior.
- El Cliente puede oponerse al cambio por motivos razonables. Si ChatME no puede ofrecer una alternativa, el Cliente puede rescindir el contrato con un reembolso prorrateado.
- Todos los subencargados están vinculados por obligaciones de protección de datos equivalentes a las de este DPA.
4.5 Asistencia al Cliente
Asistir al Cliente, en la medida razonable, para:
- Responder a solicitudes de derechos de los interesados (Capítulo III RGPD).
- Cumplir obligaciones de seguridad (Art. 32), notificación de brechas (Art. 33–34) y evaluaciones de impacto (Art. 35–36).
4.6 Notificación de brechas
Notificar al Cliente por email a la dirección registrada sin demora indebida y, salvo causa justificada, en un plazo máximo de 48 horas desde que ChatME tenga conocimiento, proporcionando la información del Art. 33(3) en la medida en que esté disponible.
4.7 Devolución o supresión al terminar
Al terminar el contrato, a elección del Cliente:
- Devolver todos los Datos Personales en formato estándar legible por máquina (JSON o CSV), o
- Suprimirlos junto con sus copias existentes, excepto cuando la legislación de la UE o un Estado miembro exija conservación.
La supresión efectiva se completa en un plazo de 30 días desde la solicitud (período de gracia para recuperación accidental).
5. Transferencias internacionales
Algunos subencargados (Anthropic, OpenAI, Resend, partes de Vercel) procesan datos en Estados Unidos. Estas transferencias se amparan en las Cláusulas Contractuales Tipo (SCCs) Módulo 3 (Encargado → Encargado), incluidas en los DPA respectivos con cada subencargado.
ChatME mantiene la documentación de evaluación de impacto de transferencia (TIA) y la pone a disposición del Cliente bajo petición razonable.
6. Auditorías
A petición razonable del Cliente y no más de una vez por año natural, ChatME proporcionará:
- Esta lista de medidas técnicas y organizativas actualizada.
- Resúmenes de auditorías de terceros aplicables (cuando estén disponibles).
- Respuestas razonables a un cuestionario estándar (e.g., CAIQ, SIG Lite).
Inspecciones in situ requerirán acuerdo previo de fecha, alcance y limitaciones de confidencialidad. El Cliente asumirá los costes razonables.
7. Limitación de responsabilidad
Sin perjuicio de cláusulas más amplias del contrato principal, la responsabilidad agregada de ChatME bajo este DPA está limitada en los términos del contrato principal entre las partes. Nada en esta limitación afecta a la responsabilidad que la legislación aplicable no permite limitar.
8. Disposiciones finales
- Ley aplicable: legislación de Estonia, sin perjuicio del cumplimiento del RGPD como norma de la UE de aplicación directa.
- Jurisdicción: tribunales de Tallinn, Estonia, sin perjuicio del derecho del Cliente a acudir a su autoridad de control nacional.
- Conflicto entre documentos: en caso de conflicto entre este DPA y el contrato principal, este DPA prevalece en lo relativo al tratamiento de datos personales.
Anexo I — Medidas técnicas y organizativas
(Conforme al Art. 32 RGPD y a los requisitos de las SCCs)
A. Confidencialidad
- Cifrado en tránsito: TLS 1.2+ obligatorio en todos los endpoints. Vercel y Supabase fuerzan TLS 1.3.
- Cifrado en reposo: AES-256 en Supabase Storage y base de datos.
- Aislamiento por cliente: Row-Level Security a nivel de base de datos, verificada por suite de tests pgTAP en cada cambio.
- Acceso de personal: principio de mínimo privilegio. Acceso de soporte a datos del Cliente registrado en bitácora inmutable.
- Gestión de credenciales: secretos en Vercel/Supabase (cifrados); rotación cuando hay sospecha de exposición.
B. Integridad
- Backups: Supabase Pro realiza backups diarios automáticos retenidos 7 días.
- Recuperación a punto en el tiempo: ventana de 7 días.
- Suma de comprobación / hashing: contraseñas con bcrypt vía Supabase Auth. Firmas HMAC en webhooks de Stripe y Supabase Auth.
C. Disponibilidad
- Redundancia: Supabase + Vercel con SLA del 99,9 %.
- Monitorización: errores de despliegue notificados por email; logs accesibles vía dashboards de Vercel/Supabase.
- Plan de respuesta a incidentes: documentado en
docs/incident-response.mdinterno; resumen disponible bajo petición.
D. Resiliencia y pruebas
- Test suite de aislamiento RLS: ejecutable bajo demanda; resultados documentados en
docs/rls-audit.md. - Revisiones periódicas: revisión trimestral del estado de subencargados, claves y políticas RLS.
E. Borrado seguro
- Soft-delete + hard-delete: las conversaciones se marcan como eliminadas inmediatamente y se borran físicamente 30 días después (Phase A3, en implementación).
- Almacenamiento: archivos subidos por el Cliente se borran físicamente del Storage de Supabase al eliminar la fuente o al cerrar la cuenta.
F. Localización
- Servidores principales: Supabase EU-West-1 (Dublín, Irlanda), Vercel Frankfurt (Alemania) para ejecución de funciones.
- Logs operativos y servicios LLM: EE.UU. bajo SCCs (ver lista de subencargados).
Acuerdo
La aceptación de los Términos de Servicio por parte del Cliente y la activación de la suscripción constituyen aceptación de este DPA.
Para una versión firmada en formato PDF, escribe a privacy@chatme.es indicando el nombre legal de tu entidad. Te devolveremos una copia ejecutada digitalmente en un plazo de 5 días hábiles.