Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 16/04/2026
Versión: 1.0

1. Partes

Responsable del tratamiento: el Cliente, persona física o jurídica titular de la cuenta de MuseRelay.

Encargado del tratamiento: Muse Layer LLC, operadora de la plataforma MuseRelay (en adelante, "el Encargado"), con domicilio en 5203 Juan Tabo Blvd, Ste 2B, Albuquerque, NM 87111, EEUU.

Representante en la UE (art. 27 RGPD): Screen Art S.L.U. (España).

2. Objeto del Acuerdo

Este Acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco de la prestación del servicio MuseRelay, conforme al Reglamento (UE) 2016/679 (RGPD), la LOPDGDD y demás normativa aplicable.

3. Naturaleza, finalidad y duración del tratamiento

• Naturaleza: alojamiento, almacenamiento, transmisión, procesamiento mediante inteligencia artificial y consulta de los datos.
• Finalidad: prestación de los servicios de plataforma conversacional contratados por el Responsable.
• Duración: mientras el contrato principal esté vigente y los plazos legales de conservación lo exijan.

4. Tipos de datos y categorías de interesados

• Datos de identificación y contacto de los usuarios finales del Responsable (nombre, email, teléfono cuando se aporte).
• Contenido de las conversaciones mantenidas a través del bot.
• Metadatos técnicos: dirección IP, dispositivo, idioma, fecha y hora.
• Categorías de interesados: clientes, leads, visitantes y empleados del Responsable que utilicen el bot.

El Responsable se compromete a no facilitar al Encargado datos de categorías especiales (art. 9 RGPD) salvo acuerdo escrito específico con medidas adicionales de seguridad.

5. Obligaciones del Encargado

1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, salvo que una norma legal le obligue a actuar de otra forma.
2. Garantizar la confidencialidad mediante compromisos formales con todo el personal autorizado.
3. Aplicar las medidas técnicas y organizativas descritas en el Anexo II.
4. Asistir al Responsable en el cumplimiento de las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación).
5. Notificar al Responsable, sin dilación indebida y como máximo en 72 horas, cualquier brecha de seguridad de los datos personales.
6. Suprimir o devolver al Responsable los datos al finalizar el contrato, salvo conservación legal obligatoria.
7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento.
8. Permitir auditorías y aportar la documentación pertinente conforme a la cláusula 9.

6. Subencargados (subprocesadores)

El Responsable autoriza al Encargado a recurrir a los subprocesadores listados en /subprocesadores. Cualquier alta, baja o sustitución se notificará al Responsable con al menos 30 días de antelación cuando sea razonablemente posible, permitiéndole oponerse por motivos justificados. En tal caso, las partes negociarán de buena fe una solución y, en su defecto, el Responsable podrá rescindir el contrato sin penalización.

7. Transferencias internacionales de datos

Cuando un subprocesador opere fuera del Espacio Económico Europeo, el tratamiento se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) o, cuando aplique, en el Data Privacy Framework UE-EEUU para proveedores estadounidenses adheridos.

8. Devolución y supresión de datos

Tras la finalización del contrato, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales en un plazo máximo de 30 días, salvo aquellos que deba conservar por obligación legal.

9. Auditoría

El Responsable podrá auditar el cumplimiento del Encargado mediante: (i) cuestionarios de cumplimiento, (ii) documentación de certificaciones o auditorías externas vigentes, o (iii) auditoría in situ con preaviso de 30 días, una vez al año como máximo, salvo brecha de seguridad debidamente acreditada.

10. Responsabilidad

Cada parte responderá frente a la otra y frente a los interesados conforme al artículo 82 del RGPD por los daños causados por incumplimiento de las obligaciones que le correspondan. Las exclusiones y limitaciones de responsabilidad del contrato principal aplican también a este Acuerdo, salvo que la ley imperativa lo prohíba.

11. Vigencia

Este Acuerdo entra en vigor con la aceptación por el Responsable durante el alta o cuando comience a utilizar el servicio (lo que ocurra antes), y permanecerá vigente mientras dure la relación contractual.

Anexo I — Datos del Responsable

Los datos identificativos del Responsable son los facilitados durante el alta y mantenidos en la sección Datos fiscales del panel de la organización.

Anexo II — Medidas técnicas y organizativas del Encargado

• Cifrado TLS 1.3 en tránsito y cifrado en reposo de tokens de integración (claves API, OAuth) mediante AES-256.
• Aislamiento lógico por organización (multitenancy con identificación por dominio).
• Control de acceso por roles, autenticación con contraseñas hash bcrypt y sesiones revocables.
• Logs de auditoría de eventos sensibles (cambios de configuración, accesos administrativos, exportaciones).
• Copias de seguridad diarias cifradas con retención mínima de 7 días.
• Procedimiento documentado de respuesta ante incidentes con notificación en menos de 72 horas.
• Revisiones periódicas de dependencias y parches de seguridad.
• Acuerdos de confidencialidad con todo el personal con acceso a datos.

Anexo III — Lista de subprocesadores

La lista actualizada de subprocesadores está disponible en /subprocesadores y se mantiene al día.

12. Versión legal vigente

Esta página recoge el contenido del DPA en el formato del sitio. La versión vigente formalmente aceptada por los clientes durante el registro está disponible en formato inmutable y versionado en /legal/dpa/v1.

13. Contacto

Para cualquier cuestión relativa a este Acuerdo: privacy@muserelay.com · DPO: dpo@muserelay.com