Acuerdo de Tratamiento de Datos

Refine Technologies, Inc.

131 Continental Drive, Suite 305, Newark, DE 19713, EE. UU.

Contacto: Yann Calvó López, CEO

Contacto de seguridad: security@refine.ink

La entidad jurídica que acepta el Acuerdo y este ATD.

Encargado del tratamiento (o Subencargado cuando el Cliente sea a su vez Encargado). Véase la Sección 3.

Responsable del tratamiento (o Encargado cuando actúe en nombre de un Responsable).

La plataforma de retroalimentación académica asistida por IA de Refine y los servicios relacionados, tal como se describe en refine.ink.

Publicada en https://trust.refine.ink/resources. El Proveedor está actualmente en proceso de obtener las certificaciones ISO 27001:2022 y SOC 2 Tipo I y Tipo II. El estado actualizado de las certificaciones se publica en el Centro de Confianza.

security@refine.ink

Publicados en https://trust.refine.ink/subprocessors. El Proveedor notificará con al menos 10 días hábiles de antelación cualquier incorporación o sustitución.

El Cliente no deberá enviar, cargar ni transmitir a través del Servicio ningún (i) dato de categoría especial según lo definido en el artículo 9 del RGPD, (ii) Información Sanitaria Protegida (PHI) según lo definido en la ley HIPAA, ni (iii) datos de cuentas financieras, en ningún caso sin el acuerdo previo y por escrito del Proveedor. El Cliente es el único responsable del cumplimiento de esta restricción y de garantizar que los documentos enviados al Servicio no contengan dicho tipo de datos.

El Servicio no está diseñado ni destinado a tratar las categorías de datos descritas anteriormente, y el Proveedor no asume ninguna obligación de supervisar, detectar o filtrar las entregas de dicho tipo de datos. Si el Proveedor tiene conocimiento de que se han enviado datos restringidos, notificará al Cliente y las partes cooperarán de buena fe para eliminar o devolver dichos datos en el menor tiempo razonablemente posible y, en cualquier caso, en un plazo de 30 días desde el conocimiento por parte del Proveedor.

Continua, durante la vigencia del Acuerdo.

El Proveedor tratará los Datos Personales del Cliente durante el tiempo necesario para prestar el Servicio o según lo exijan las leyes aplicables. Tras la resolución del Acuerdo, el Proveedor eliminará o devolverá los Datos Personales del Cliente de conformidad con la Sección 8 de este ATD.

El Proveedor no utilizará los Datos Personales del Cliente, los documentos cargados ni ningún dato derivado para entrenar, ajustar, validar ni mejorar ningún modelo de inteligencia artificial o aprendizaje automático, ya sea operado por el Proveedor o por cualquier Subencargado. Los artículos cargados se procesan únicamente para entregar informes de retroalimentación al investigador que los envió.

La autoridad de control del exportador de datos, determinada de conformidad con la Cláusula 13 de las CCE del EEE o la disposición pertinente del Adéndum del Reino Unido.

El Estado miembro del EEE en el que se encuentre el establecimiento pertinente del Cliente, o Irlanda en caso de que el Cliente no tenga establecimiento en el EEE.

El Módulo Dos (Responsable a Encargado) se aplica cuando el Cliente es Responsable. El Módulo Tres (Encargado a Subencargado) se aplica cuando el Cliente es Encargado. Ambos módulos se aplican con: la cláusula de adhesión de la Cláusula 7 no aplicable; Cláusula 9 Opción 2 (autorización general por escrito), preaviso mínimo de 10 días hábiles; lenguaje opcional de la Cláusula 11 no incluido; corchetes de la Cláusula 13 eliminados; ley aplicable y jurisdicción conforme al apartado Estado Miembro Rector indicado anteriormente.

Cuando se aplique el UK GDPR, se aplicará el Adéndum del Reino Unido (ICO IDTA). Ninguna de las partes puede resolver el Adéndum del Reino Unido en virtud de la Sección 19. Las partes trabajarán de buena fe para actualizarlo si la ICO emite un Adéndum Aprobado revisado.

Cuando sea aplicable la legislación suiza, las referencias al RGPD en las CCE del EEE se modifican para referirse a la Ley Federal Suiza de Protección de Datos, y la autoridad de control incluye al PFPDT suizo.

Las siguientes medidas complementan e integran la Política de Seguridad mencionada en la Sección 2.

El Proveedor se apoya en Microsoft Azure para la infraestructura física; Azure mantiene controles de seguridad física que incluyen acceso restringido, videovigilancia y medidas de protección medioambiental en sus instalaciones de centros de datos.

Cuando el Cliente sea Responsable de los Datos Personales del Cliente, el Proveedor actúa como Encargado del tratamiento de los Datos Personales en nombre del Cliente.

Cuando el Cliente sea a su vez Encargado de los Datos Personales del Cliente, el Proveedor actúa como Subencargado.

La Parte 1, Sección 3 de este ATD describe el objeto, la naturaleza, la finalidad y la duración del tratamiento, así como las categorías de Datos Personales e Interesados.

El Cliente instruye al Proveedor para tratar los Datos Personales del Cliente: (a) para prestar y mantener el Servicio; (b) según lo especificado mediante el uso del Servicio por parte del Cliente; (c) según lo documentado en el Acuerdo; y (d) según lo documentado en cualesquiera otras instrucciones escritas reconocidas por el Proveedor. El Proveedor cumplirá estas instrucciones salvo que lo prohíban las leyes aplicables e informará inmediatamente al Cliente si no puede seguir las instrucciones de tratamiento.

El Cliente solo dará instrucciones que cumplan con las leyes aplicables.

Si el Proveedor actualiza el Servicio para incluir nuevos productos, funciones o funcionalidades, podrá actualizar las categorías descritas en la Parte 1, Sección 3 notificando al Cliente los cambios.

Cuando el Cliente sea Encargado y el Proveedor sea Subencargado, el Cliente cumplirá todas las leyes aplicables que rijan su propio tratamiento y se asegurará de que su acuerdo con el Responsable pertinente imponga obligaciones equivalentes.

El Cliente ha cumplido y seguirá cumpliendo todas las leyes aplicables de protección de datos en la aportación de Datos Personales del Cliente al Proveedor, incluyendo la realización de las divulgaciones requeridas, la obtención de los consentimientos necesarios y la implementación de las salvaguardas pertinentes.

El Proveedor no transferirá Datos Personales del Cliente a un Subencargado a menos que dicho Subencargado figure en la lista de Subencargados Aprobados. El Proveedor notificará al Cliente con al menos 10 días hábiles de antelación cualquier incorporación o sustitución prevista. El Cliente dispone de 30 días tras la notificación para presentar objeciones por escrito; en ausencia de objeción, se considerará que el Cliente acepta el cambio. El Proveedor y el Cliente cooperarán de buena fe para resolver cualquier objeción presentada en plazo.

Si las partes no pueden resolver la objeción del Cliente presentada en plazo en un periodo de 60 días desde la objeción escrita del Cliente, este podrá resolver la parte del Acuerdo afectada por el cambio de Subencargado por causa justificada mediante notificación escrita con 30 días de antelación al Proveedor. La resolución en virtud de esta Sección constituye el único y exclusivo recurso del Cliente ante una objeción no resuelta a un Subencargado.

El Proveedor suscribirá un acuerdo por escrito con cada Subencargado que limite el acceso y uso de los Datos Personales del Cliente por parte del Subencargado a lo necesario para cumplir las obligaciones subcontratadas, y que imponga obligaciones de protección de datos al menos tan protectoras como las de este ATD. Cuando sea aplicable el RGPD, los acuerdos del Proveedor con los Subencargados incorporarán las obligaciones a que se refiere el artículo 28(3) del RGPD.

El Proveedor sigue siendo plenamente responsable de los actos y omisiones de sus Subencargados en el tratamiento de los Datos Personales del Cliente. El Proveedor notificará al Cliente cualquier incumplimiento material por parte de un Subencargado de sus obligaciones en virtud del acuerdo suscrito con el Proveedor.

El Cliente acepta que el Proveedor pueda transferir los Datos Personales del Cliente fuera del EEE, del Reino Unido o de cualquier otro territorio relevante según sea necesario para prestar el Servicio. Cuando el Proveedor transfiera Datos Personales del Cliente a un territorio sin decisión de adecuación, implementará las salvaguardas apropiadas de conformidad con las leyes aplicables de protección de datos.

Cuando el RGPD rija la transferencia, esta se realice desde el Cliente dentro del EEE al Proveedor fuera del EEE, y no sea aplicable ninguna decisión de adecuación, se considerará que las partes han firmado las CCE del EEE y sus Anexos, tal como se establece en la Parte 1, Sección 4.

Cuando el UK GDPR rija la transferencia, esta se realice desde el Cliente dentro del Reino Unido al Proveedor fuera del Reino Unido, y no sea aplicable ninguna decisión de adecuación, se considerará que las partes han firmado el Adéndum del Reino Unido, tal como se establece en la Parte 1, Sección 4.

Cuando la legislación suiza rija el carácter internacional de la transferencia, se aplican las CCE del EEE con las modificaciones previstas en la Parte 1, Sección 4.

El Proveedor facilitará al Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de este ATD y permitirá y contribuirá a las auditorías e inspecciones. El Proveedor podrá restringir el acceso a información que pueda afectar negativamente a sus derechos de propiedad intelectual, obligaciones de confidencialidad u otras obligaciones legales. El Cliente acepta ejercer sus derechos de auditoría exclusivamente a través de los mecanismos de presentación de informes y diligencia debida de las Secciones 11.2 y 11.3.

El Proveedor mantendrá registros de cumplimiento durante 3 años tras la finalización del ATD.

El Proveedor es auditado periódicamente frente a los estándares definidos en la Política de Seguridad por auditores independientes externos. A petición por escrito, el Proveedor proporcionará al Cliente, con carácter confidencial, una copia resumida de su informe de auditoría vigente.

Además de los informes de auditoría, el Proveedor responderá a solicitudes razonables de información por escrito para confirmar el cumplimiento de este ATD, incluyendo respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría. Dichas solicitudes deben dirigirse a security@refine.ink y podrán realizarse como máximo una vez por año natural.

Si el Proveedor recibe una consulta o solicitud relacionada con los Datos Personales del Cliente de un tercero (incluido un organismo regulador o un interesado), notificará al Cliente con prontitud y no responderá sin el consentimiento previo del Cliente, salvo que lo exija la ley aplicable. El Proveedor seguirá las instrucciones razonables del Cliente sobre la gestión de dichas solicitudes.

Si un interesado formula una solicitud válida en virtud de las leyes aplicables de protección de datos para eliminar sus Datos Personales u oponerse a su transferencia al Proveedor, el Proveedor asistirá al Cliente en la tramitación de dicha solicitud.

Cuando lo exijan las leyes aplicables de protección de datos, el Proveedor asistirá razonablemente al Cliente en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) y evaluaciones de impacto de las transferencias internacionales de datos (ETID), así como en la consulta con las autoridades de control pertinentes, teniendo en cuenta la naturaleza del tratamiento y los Datos Personales del Cliente implicados.

El Proveedor permitirá al Cliente suprimir los Datos Personales del Cliente de manera coherente con la funcionalidad del Servicio y cumplirá dichas instrucciones en el menor tiempo razonablemente posible, salvo que la ley aplicable exija su conservación adicional.

Tras la expiración o resolución del Acuerdo, el Proveedor devolverá o suprimirá los Datos Personales del Cliente según las instrucciones del Cliente, sin demora indebida y en cualquier caso en un plazo de sesenta (60) días desde la fecha posterior entre: (i) la resolución o expiración del Acuerdo, o (ii) la solicitud escrita del Cliente, salvo que la ley aplicable exija o autorice su conservación adicional. Cuando la devolución o destrucción no sea factible o esté prohibida, el Proveedor realizará esfuerzos razonables para impedir el tratamiento adicional y continuará protegiendo los Datos Personales del Cliente en su poder.

Cuando las partes hayan suscrito las CCE del EEE o el Adéndum del Reino Unido como parte de este ATD, el Proveedor proporcionará una certificación de supresión según lo descrito en la Cláusula 8.1(d) y la Cláusula 8.5 de las CCE del EEE si el Cliente lo solicita.

En la máxima medida permitida por las leyes aplicables de protección de datos, la responsabilidad total acumulada de cada parte frente a la otra derivada de o relacionada con este ATD estará sujeta a las renuncias, exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

Cualquier reclamación contra el Proveedor o sus Filiales derivada de o relacionada con este ATD solo podrá ser interpuesta por la entidad Cliente que sea parte del Acuerdo.

Este ATD no limita ninguna responsabilidad frente a una persona en lo que respecta a sus derechos de protección de datos en virtud de las leyes aplicables de protección de datos, ni ninguna responsabilidad entre las partes por infracciones de las CCE del EEE o del Adéndum del Reino Unido.