[!NOTE]
Este DPA complementa los Términos y Condiciones de Summya y aplica cuando el cliente procesa datos personales de ciudadanos de la UE/EEA, Reino Unido, Brasil u otras jurisdicciones que requieren un acuerdo formal de procesamiento de datos.
1. Definiciones
Para los efectos de este Acuerdo:
"Responsable del Tratamiento" (Controller): La entidad cliente que determina los fines y los medios del tratamiento de los Datos Personales.
"Encargado del Tratamiento" (Processor): Summya S.A.S., que trata los Datos Personales en nombre del Responsable.
"Sub-Encargado": Cualquier tercero contratado por Summya para asistir en el tratamiento de los Datos Personales.
"Datos Personales": Cualquier información relativa a una persona natural identificada o identificable.
"Incidente de Seguridad": Toda violación de la seguridad que conlleve la destrucción, pérdida, alteración o divulgación no autorizada de Datos Personales.
2. Objeto y alcance del tratamiento
Summya trata los Datos Personales únicamente:
Según las instrucciones documentadas del Responsable del Tratamiento.
En la medida necesaria para proporcionar los servicios contratados.
De conformidad con la normativa aplicable de protección de datos.
El Responsable del Tratamiento garantiza que tiene una base legal válida para la transferencia de Datos Personales a Summya para su tratamiento.
3. Obligaciones de Summya como Encargado
Summya se compromete a:
Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable.
Garantizar que el personal autorizado para tratar los Datos Personales esté sujeto a obligaciones de confidencialidad.
Implementar medidas técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD.
Respetar las condiciones para recurrir a otro Encargado del Tratamiento (sub-encargado).
Asistir al Responsable, en la medida de lo posible, para dar respuesta a solicitudes de ejercicio de derechos.
Asistir al Responsable para garantizar el cumplimiento de las obligaciones de seguridad, notificación de violaciones, y evaluaciones de impacto.
Suprimir o devolver todos los Datos Personales al Responsable tras la finalización de la prestación de los servicios, según elija el Responsable.
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Encargado.
4. Sub-Encargados autorizados
El Responsable del Tratamiento autoriza el uso de los siguientes Sub-Encargados. Summya notificará con antelación razonable cualquier cambio en esta lista:
| Sub-Encargado | País | Servicio |
|---------------|------|---------|
| Google Cloud (GCP) | EE.UU. / Global | Infraestructura cloud, cómputo, almacenamiento |
| Firebase / Google | EE.UU. | Autenticación, base de datos en tiempo real |
| Stripe, Inc. | EE.UU. | Procesamiento de pagos |
| Anthropic / OpenAI | EE.UU. | Modelos de IA (procesamiento de prompts) |
| PostHog, Inc. | EE.UU. / EU | Analítica de producto |
Todos los Sub-Encargados están sujetos a obligaciones de protección de datos equivalentes a las establecidas en este DPA.
5. Transferencias internacionales
Las transferencias internacionales de Datos Personales fuera del EEA, UK o Brasil se realizarán bajo mecanismos de transferencia apropiados, incluyendo:
Cláusulas Contractuales Tipo (Standard Contractual Clauses - SCCs) aprobadas por la Comisión Europea.
Decisiones de adecuación emitidas por las autoridades competentes.
Garantías adicionales implementadas por los Sub-Encargados certificados.
6. Medidas de seguridad técnicas y organizativas
Summya implementa las siguientes medidas de seguridad:
6.1 Medidas técnicas
Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
Autenticación multifactor (MFA) para accesos críticos.
Segmentación de redes y entornos (producción, staging, desarrollo).
Monitoreo continuo, alertas y registros de auditoría.
Gestión centralizada de secretos (Google Secret Manager).
6.2 Medidas organizativas
Políticas internas de seguridad de la información.
Formación periódica del personal en protección de datos.
Proceso de gestión de incidentes y respuesta ante brechas.
Evaluaciones periódicas de riesgo y pruebas de penetración.
7. Notificación de Incidentes de Seguridad
En caso de un Incidente de Seguridad que afecte los Datos Personales del Responsable:
Summya notificará al Responsable sin dilación indebida y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento del incidente (cuando aplique RGPD/LGPD).
La notificación incluirá: descripción de la naturaleza del incidente, categorías y número aproximado de titulares e interesados afectados, consecuencias probables, y medidas adoptadas o propuestas.
8. Ejercicio de derechos de los titulares
Summya asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, para dar respuesta a las solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, portabilidad, oposición, limitación del tratamiento).
9. Auditorías y verificaciones
El Responsable del Tratamiento tiene derecho a:
Solicitar información para verificar el cumplimiento de este DPA.
Realizar o encargar auditorías, con previo aviso razonable y sin interrumpir las operaciones de Summya.
Revisar las certificaciones de seguridad relevantes de Summya y sus Sub-Encargados.
10. Vigencia y terminación
Este DPA entrará en vigor en la fecha de suscripción del contrato de servicios y permanecerá vigente durante la prestación de los mismos. A la terminación, Summya devolverá o suprimirá los Datos Personales en un plazo de 30 días, salvo que la ley aplicable exija su conservación por un período mayor.
11. Contacto DPA
Para solicitudes relacionadas con este DPA, el Responsable del Tratamiento debe dirigirse a:
Summya S.A.S. — Delegado de Protección de Datos
Email: dpo@summya.com
Formulario: /es/contacto