Acuerdo de Tratamiento de Datos
Vigente desde 2026-07-15
Esta es una traducción de cortesía. La versión legalmente vinculante es el original en inglés.
Este Acuerdo de Tratamiento de Datos (“DPA”) se aplica cuando usas Voix para tratar datos personales en nombre de una organización. En esa relación, tú (el “Cliente”) eres el Responsable del tratamiento y Voix es el Encargado, que actúa únicamente conforme a tus instrucciones documentadas según el Artículo 28 del RGPD.
Esta es la versión estándar vigente, incorporada a los Términos del servicio. Para firmar una copia para tu organización, escribe a privacy@voixapp.org y te facilitaremos una copia ejecutable con un formulario de pedido.
1. Partes
Encargado: John Afinni, que opera como Future_AI_Lab, Barcelona, España (“Voix”). Responsable: la entidad cliente identificada en el formulario de pedido o el bloque de firma (“Cliente”). Este DPA forma parte de los Términos del servicio de Voix y está sujeto a ellos; en caso de conflicto sobre protección de datos, prevalece este DPA.
2. Definiciones
“RGPD”, “datos personales”, “tratamiento”, “interesado”, “responsable”, “encargado”, “subencargado”, “violación de la seguridad de los datos personales” y “autoridad de control” tienen el significado del Reglamento (UE) 2016/679 (RGPD). “Legislación de protección de datos aplicable” significa el RGPD y la LOPDGDD española en su versión vigente.
3. Funciones y alcance (Art. 28(3))
- El Cliente es el Responsable; Voix es el Encargado y actúa únicamente conforme a las instrucciones documentadas del Cliente.
- El objeto, la duración, la naturaleza, la finalidad, los tipos de datos personales y las categorías de interesados se detallan en el Anexo 1.
- Los Términos del servicio, este DPA y la configuración del Servicio por el Cliente constituyen en conjunto las instrucciones documentadas completas del Cliente. Cualquier instrucción adicional debe acordarse por escrito.
4. Obligaciones del Encargado (Art. 28(3)(a)–(h))
Voix deberá:
- (a) tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluidas las transferencias, salvo que lo exija el Derecho de la UE o de un Estado miembro (en cuyo caso Voix informa antes al Cliente, salvo prohibición legal);
- (b) garantizar que las personas autorizadas para tratar los datos se comprometan a la confidencialidad;
- (c) aplicar las medidas técnicas y organizativas del Anexo 2 (Art. 32);
- (d) recurrir a subencargados únicamente conforme a la Sección 5;
- (e) asistir al Cliente, mediante medidas técnicas y organizativas apropiadas, a responder a las solicitudes de ejercicio de derechos de los interesados (Art. 12–22);
- (f) asistir al Cliente con sus obligaciones de los Art. 32–36 (seguridad, notificación de violaciones, evaluación de impacto, consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible;
- (g) a elección del Cliente, suprimir o devolver todos los datos personales al finalizar la prestación del servicio y suprimir las copias existentes, salvo que el Derecho de la UE o de un Estado miembro exija su conservación (véase la Sección 8);
- (h) poner a disposición del Cliente la información necesaria para demostrar el cumplimiento del Art. 28 y permitir y contribuir a las auditorías conforme a la Sección 9.
5. Subencargados (Art. 28(2), 28(4))
- El Cliente otorga autorización general para que Voix recurra a los subencargados enumerados en el Anexo 3.
- Voix impone a cada subencargado obligaciones de protección de datos no menos protectoras que este DPA y sigue siendo plenamente responsable ante el Cliente del desempeño de cada subencargado.
- Voix avisa al Cliente con al menos 30 días de antelación antes de añadir o sustituir un subencargado. El Cliente puede oponerse por motivos razonables de protección de datos; si la objeción no puede resolverse, el Cliente puede rescindir el servicio afectado.
6. Transferencias internacionales (Capítulo V)
- Cuando Voix o un subencargado transfiere datos personales fuera del EEE, la transferencia se ampara en una garantía adecuada del Artículo 46: las Cláusulas Contractuales Tipo (Decisión de la Comisión 2021/914) y/o el Marco de Privacidad de Datos UE-EE. UU. cuando el importador está certificado.
- Las CCT (Módulo Dos, Responsable-a-Encargado; Módulo Tres cuando interviene un subencargado) se incorporan por referencia y se completan con el Anexo 1, el Anexo 2 y el Anexo 3. En caso de conflicto, prevalecen las CCT.
7. Solicitudes de los interesados (Art. 28(3)(e))
Voix notificará al Cliente, sin dilación indebida, cualquier solicitud que reciba directamente de un interesado, y no responderá salvo siguiendo las instrucciones del Cliente. El Servicio ofrece controles de supresión y desconexión de autoservicio que el Cliente puede usar para ejecutar la supresión y la retirada de acceso.
8. Supresión y devolución (Art. 28(3)(g))
- Al finalizar, el Cliente puede exportar o solicitar la devolución de los datos personales. Existe una exportación de autoservicio de los datos de cuenta básicos; cualquier dato adicional se facilita a petición.
- Voix suprime los datos personales conforme a su modelo de conservación: el contenido de los resúmenes se borra en un plazo de 30 días desde su generación; al eliminar la cuenta, todas las filas vinculadas al usuario se eliminan en 30 días, las copias de seguridad en 60 días, y no queda ninguna copia tras 90 días. La supresión se propaga en cascada desde el registro del usuario, y los permisos de OAuth del proveedor (Google, Slack) se revocan primero.
9. Auditoría (Art. 28(3)(h))
Voix pondrá a disposición su documentación de seguridad, el Anexo 2 y cualquier certificación de terceros que posea. El Cliente puede solicitar una auditoría anual con 30 días de preaviso por escrito, en horario laboral, sujeta a confidencialidad y sin perturbar de forma irrazonable las operaciones de Voix.
10. Violación de la seguridad de los datos personales (Art. 33)
Voix notificará al Cliente sin dilación indebida y, en todo caso, en un plazo de 72 horas tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los datos del Cliente, con la información disponible en ese momento, y cooperará con las propias obligaciones del Cliente de los Artículos 33 y 34.
11. Responsabilidad
La responsabilidad en virtud de este DPA está sujeta a los límites de los Términos del servicio de Voix, salvo cuando la Legislación de protección de datos aplicable prohíba dicha limitación.
12. Vigencia y ley aplicable
Este DPA rige durante la duración del servicio. Se rige por las leyes de España; las disputas se someten a los tribunales de Barcelona, sin perjuicio de los derechos imperativos de los interesados o de los consumidores.
Anexo 1: Detalles del tratamiento
- Objeto: la prestación del servicio de resúmenes de bandeja de Voix a los usuarios autorizados del Cliente.
- Duración: la vigencia del acuerdo de servicio.
- Naturaleza y finalidad: leer bajo demanda los mensajes de las bandejas conectadas, priorización con IA, generar y (previa aprobación) enviar borradores de respuesta, seguimiento de respuestas, y administración de cuenta y facturación.
- Tipos de datos personales: asunto, remitente y extracto del correo; texto de mensajes de las fuentes conectadas; identidad de cuenta (nombre, correo); resúmenes priorizados derivados; metadatos de facturación. Sin datos de tarjeta (alojados por Stripe). Sin datos de categoría especial (Art. 9) de forma intencionada, aunque pueden aparecer de forma incidental en la correspondencia.
- Categorías de interesados: los usuarios autorizados del Cliente y los terceros que aparezcan en los mensajes de dichos usuarios.
Anexo 2: Medidas técnicas y organizativas (Art. 32)
- Cifrado en reposo: cifrado AES-256-GCM a nivel de aplicación sobre los tokens de OAuth y de conectores, los cuerpos de mensaje almacenados y los números de teléfono, más cifrado AES-256 de disco en la capa de base de datos, alojada en la UE (Frankfurt).
- Cifrado en tránsito: TLS 1.2 o superior.
- Control de acceso: la propiedad por usuario se aplica en el servidor a partir de la sesión autenticada, nunca de un valor proporcionado por el cliente; seguridad a nivel de fila activada con denegación por defecto; la clave de servicio privilegiada es solo de servidor y nunca llega al navegador.
- Minimización: los mensajes se leen bajo demanda (unos 10 recientes), sin almacenar el cuerpo completo ni los adjuntos; los permisos de Gmail se limitan a lectura y envío (más lectura opcional de calendario).
- Sin acción autónoma: todo envío de correo requiere la aprobación explícita del usuario sobre un borrador totalmente visible.
- Tratamiento de contenido no fiable: el contenido de los mensajes se trata como datos y nunca se ejecuta como instrucciones (defensa frente a la inyección indirecta de prompts).
- Controles de abuso: límites de uso por usuario; los endpoints de facturación, IA, voz y telefonía fallan de forma cerrada.
- Controles de subencargados: los proveedores de IA tienen contractualmente prohibido entrenar con los datos; ningún dato se vende ni se comparte con anunciantes.
- Conservación y supresión: borrado de contenido a los 30 días; cascada de supresión 30/60/90 días; revocación del permiso de OAuth del proveedor al eliminar.
- Registros: los registros de acceso y auditoría se conservan 90 días.
Anexo 3: Subencargados autorizados
Voix recurre a los siguientes subencargados. Los marcados como condicionales solo intervienen cuando activas la función correspondiente.
- Anthropic (EE. UU.): priorización con IA y redacción de respuestas.
- Google Workspace + Google Cloud Text-to-Speech (EE. UU./global): lectura/envío de correo y síntesis del resumen hablado.
- Microsoft (EE. UU./UE): correo de Outlook, calendario y chat de Teams (cuando Microsoft 365 está conectado).
- Clerk (EE. UU.): identidad de inicio de sesión (nombre + correo).
- Supabase (UE, Frankfurt): almacén de datos principal.
- Stripe (EE. UU./UE): facturación.
- Vercel (EE. UU.): alojamiento de la aplicación.
- PostHog (UE, Frankfurt): analítica y monitorización de errores, sujeta a consentimiento.
- Condicionales: Resend (EE. UU., correo matutino), Twilio y Vapi (EE. UU., Llamada Privada), Meta (EE. UU./global, WhatsApp/Instagram para empresas).