CREA TU CUENTA GRATIS · SIN TARJETA EMPEZAR GRATIS
INICIAR SESIÓN REGISTRARSE

Acuerdo de Tratamiento de Datos

Acuerdo de tratamiento de datos de MuseRelay.

Inicio Acuerdo de Tratamiento de Datos

Última actualización: 2026-05-07

El presente Acuerdo de Tratamiento de Datos (DPA) complementa los Términos y Condiciones y se aplica cuando el Cliente ("Responsable") utiliza MuseRelay para tratar datos personales en el marco de la prestación de servicios a sus usuarios finales ("Interesados"). Se celebra conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsable: el Cliente que utiliza la plataforma MuseRelay.
  • Encargado (operador comercial): Muse Layer LLC — 5203 Juan Tabo Blvd, Ste 2B, Albuquerque, NM 87111, USA — EIN 30-1474701.
  • Representante UE y operador tecnológico (Art. 27 RGPD): Screen Art S.L. — B57029415 — Carrer Rosari 47, 07420 - Sa Pobla, Illes Balears, España.

Para Clientes establecidos en el Espacio Económico Europeo, el tratamiento técnico dentro del EEE se realiza a través del representante UE en nombre del Encargado.

2. Objeto y duración

El Encargado trata datos personales por cuenta del Responsable con la única finalidad de prestar el servicio MuseRelay (creación y operación de agentes conversacionales, integraciones de canal, analítica conversacional, facturación). El tratamiento dura mientras esté vigente el contrato y finaliza con la supresión o devolución de los datos.

3. Categorías de datos e interesados

  • Interesados: usuarios finales que interactúan con el Cliente a través de la plataforma; personal del Cliente con acceso al panel.
  • Categorías: identificadores (nombre, email, teléfono), contenido de las conversaciones, audio (en canales de voz), metadatos (fechas, IP, canal, dispositivo).
  • Categorías excluidas: la plataforma no está destinada al tratamiento de datos de categorías especiales (Art. 9 RGPD); el Cliente debe evitar dicho tratamiento o aplicar garantías adicionales.

3.bis Tratamiento específico por módulos

  • Mensajería y webchat: mensajes, identificadores de canal, adjuntos y metadatos necesarios para entregar conversaciones y permitir intervención humana.
  • Tickets: asunto, descripción, prioridad, estado, adjuntos, respuestas, historial y token público de seguimiento.
  • Calendarios: datos de citas, recursos, disponibilidad, confirmaciones, cancelaciones y recordatorios.
  • Voz: CLI, número llamado, timestamps, duración y transcripción textual. No se almacena audio salvo activación expresa de una funcionalidad que lo requiera y con información previa.
  • IA y multimodal: prompts, respuestas, documentos, imágenes, audio o adjuntos enviados por el Responsable o los Interesados para prestar el servicio configurado.
  • Facturación y pagos: identificadores de cliente, plan, consumo, créditos, facturas y referencias de pago, sin almacenar datos completos de tarjeta.

Cuando el Responsable usa los módulos nativos de calendario y tickets, el Encargado trata esos datos dentro de la plataforma MuseRelay y los aloja en infraestructura europea, ofreciendo una alternativa con menor exposición a subencargados externos frente al uso de herramientas de terceros para agenda o soporte.

4. Obligaciones del Encargado

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
  • Garantizar el deber de confidencialidad de las personas autorizadas a tratar los datos.
  • Aplicar medidas técnicas y organizativas de seguridad apropiadas (Art. 32 RGPD) — véase el Anexo II.
  • Recurrir a subencargados solo con autorización previa por escrito de carácter general, manteniendo la lista publicada en /subprocesadores; notificar los cambios con antelación razonable y permitir al Responsable oponerse.
  • Asistir al Responsable en la atención de las solicitudes de los Interesados.
  • Notificar al Responsable las violaciones de seguridad sin dilación indebida (en un plazo de 72 horas desde el conocimiento).
  • A la finalización, devolver o suprimir los datos personales, salvo obligación legal de conservación.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del Art. 28 RGPD.

5. Transferencias internacionales

Cuando los datos se transfieran fuera del EEE, las transferencias se ampararán en las garantías del Capítulo V del RGPD (Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, decisiones de adecuación y/o medidas técnicas suplementarias como cifrado en tránsito y en reposo).

6. Subencargados

La lista vigente de subencargados se publica en /subprocesadores. Los principales subencargados incluyen: AWS EMEA SARL, Google LLC / Vertex AI, Telnyx, Deepgram, Sweego, Stripe Payments Europe, Meta Platforms Ireland, el representante UE Screen Art S.L. como operador tecnológico.

7. Auditorías

El Responsable podrá, con preaviso razonable y como máximo una vez al año, solicitar información que demuestre el cumplimiento de este DPA. Las auditorías que requieran acceso presencial se realizarán por un auditor independiente bajo confidencialidad y a cargo del Responsable, salvo que se revele un incumplimiento sustancial.

8. Responsabilidad

Cada parte responderá por los daños causados por el tratamiento únicamente cuando no haya cumplido sus obligaciones específicas conforme al RGPD o haya actuado al margen o en contra de las instrucciones legítimas del Responsable (Art. 82 RGPD).

9. Anexo I — Descripción del tratamiento

Las finalidades, categorías de datos e interesados se describen en los apartados 2 y 3 de este DPA y en la Política de Privacidad.

10. Anexo II — Medidas técnicas y organizativas

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 en bases de datos y copias de seguridad).
  • Control de accesos basado en roles con autenticación multifactor para roles administrativos.
  • Registro de auditoría de accesos y eventos operativos.
  • Endurecimiento de la infraestructura (firewall, parcheo automático, escaneo de vulnerabilidades).
  • Copias de seguridad con política de retención y procedimientos de recuperación de incidentes.
  • Procedimientos documentados de respuesta a incidentes y notificación de brechas en un plazo de 72 horas.
  • Infraestructura principal de procesamiento ubicada en Alemania (UE) y Bélgica (UE).

11. Contacto

Privacidad / RGPD: privacy@muserelay.com · DPO: privacy@muserelay.com · Representante UE: screenart@muserelay.com.