Acuerdo de Tratamiento de Datos
conforme al Art. 28 del RGPD
Última actualización: Enero 2026
Partes Contratantes
El presente Acuerdo de Tratamiento de Datos (ATD) se celebra entre:
Responsable del tratamiento (Cliente): El cliente que utiliza la plataforma QUALLEE y acepta así el presente ATD.
Encargado del tratamiento: QUALLEE UG (haftungsbeschränkt) Kollwitzstr. 76 10435 Berlín Alemania Correo electrónico: info@quallee.de
§ 1 Objeto y Duración del Tratamiento
1.1 Objeto
El presente acuerdo cubre el tratamiento de datos personales por parte de QUALLEE en relación con la prestación de la plataforma QUALLEE, incluyendo:
- Realización de entrevistas cualitativas asistidas por IA
- Transcripción de grabaciones de audio y vídeo
- Análisis y evaluación de datos de entrevistas mediante IA
- Almacenamiento y gestión de datos de investigación
- Provisión de funciones de exportación e informes
1.2 Duración
El tratamiento comienza con la aceptación de los Términos de Servicio y finaliza con la terminación de la relación de usuario. La eliminación de datos se realiza de acuerdo con el § 10 del presente acuerdo.
§ 2 Naturaleza y Finalidad del Tratamiento
2.1 Naturaleza del Tratamiento
El tratamiento incluye: recogida (mediante participación en entrevistas), almacenamiento (en servidores en Alemania), transmisión (a subencargados de IA para análisis), evaluación y análisis (mediante tecnología de IA), eliminación (al vencimiento de los períodos de retención).
2.2 Finalidad
El tratamiento sirve exclusivamente para proporcionar los servicios contractualmente acordados en el ámbito de la investigación cualitativa asistida por IA.
§ 3 Tipos de Datos Personales
Se tratan las siguientes categorías de datos personales:
Datos de usuarios de la plataforma (Responsable del tratamiento):
- Datos de contacto (nombre, dirección de correo electrónico, número de teléfono)
- Datos de acceso (contraseñas cifradas)
- Datos de uso (registros de actividad, datos de proyectos)
Datos de participantes en entrevistas:
- Contenido de entrevistas (transcripciones, grabaciones de audio/vídeo)
- Datos técnicos (dirección IP, información del navegador)
- Datos de consentimiento (marcas de tiempo, versiones de consentimiento)
Nota: No está previsto el tratamiento de categorías especiales de datos personales (Art. 9 RGPD). Si tales datos se mencionan en las entrevistas, el Responsable del tratamiento es responsable de la licitud del tratamiento.
§ 4 Categorías de Interesados
- Empleados y representantes del Responsable del tratamiento
- Participantes en entrevistas (encuestados, participantes del estudio)
- Otras personas mencionadas en los datos de investigación
§ 5 Obligaciones del Encargado del Tratamiento
5.1 Instrucciones
El tratamiento se realiza exclusivamente sobre la base de instrucciones documentadas del Responsable del tratamiento. El uso de las funciones de la plataforma constituye una instrucción. QUALLEE informará inmediatamente al Responsable del tratamiento si una instrucción infringe la legislación de protección de datos.
5.2 Confidencialidad
Todas las personas involucradas en el tratamiento están sujetas a obligaciones de confidencialidad. Esto se aplica incluso después de la finalización de sus actividades.
5.3 Medidas Técnicas y Organizativas
QUALLEE implementa y mantiene medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD (véase Anexo 1).
5.4 Obligaciones de Asistencia
QUALLEE asiste al Responsable del tratamiento en el cumplimiento de sus obligaciones, particularmente en relación con: responder a las solicitudes de los interesados, notificar las violaciones de datos, realizar evaluaciones de impacto de protección de datos.
§ 6 Subencargados
6.1 Autorización
El Responsable del tratamiento otorga por la presente una autorización general para contratar subencargados. QUALLEE informará al Responsable del tratamiento de los cambios al menos 14 días antes de que entren en vigor por correo electrónico. El Responsable del tratamiento puede oponerse en un plazo de 14 días.
6.2 Subencargados Actuales
| Proveedor | Función | Ubicación | Base Legal |
|---|---|---|---|
| Anthropic, PBC | Entrevistas IA (Claude API) | EE.UU. | DPF, CCT, ATD |
| OpenAI, Inc. | Transcripción, Análisis | EE.UU. / Irlanda | DPF, CCT, ATD |
| Hetzner Online GmbH | Alojamiento, Almacenamiento | Alemania | ATD |
| Stripe, Inc. | Procesamiento de pagos | EE.UU. / Irlanda | DPF, CCT, ATD |
6.3 Sin Uso para Entrenamiento de IA
Importante: Todos los subencargados de IA se han comprometido contractualmente a no utilizar los datos de la API para entrenar sus modelos. Esto está explícitamente excluido en los respectivos ATD.
§ 7 Transferencias a Terceros Países
Cuando se transfieren datos personales a EE.UU., esto se realiza sobre la base de:
- Marco de Privacidad de Datos UE-EE.UU. (DPF) conforme a la decisión de adecuación de la Comisión Europea del 10 de julio de 2023
- Cláusulas Contractuales Tipo (CCT) conforme a la Decisión de Ejecución (UE) 2021/914
- Acuerdos de Tratamiento de Datos con los respectivos proveedores
Los datos brutos (transcripciones, audio) se almacenan exclusivamente en servidores en Alemania. Solo el contenido de texto necesario para el tratamiento respectivo se transmite a las API de IA.
§ 8 Derechos de los Interesados
QUALLEE asiste al Responsable del tratamiento en el cumplimiento de los derechos de los interesados (Art. 12-22 RGPD). La plataforma proporciona funciones de autoservicio para este fin:
- Acceso: Exportación de datos en formato legible por máquina (JSON)
- Rectificación: A través de la configuración de la cuenta
- Supresión: Eliminación de cuenta con anonimización
- Retirada: Gestión del consentimiento en la configuración de privacidad
§ 9 Notificación de Violaciones de Datos
QUALLEE notificará las violaciones de datos al Responsable del tratamiento sin dilación indebida, a más tardar en las 24 horas siguientes a tener conocimiento. La notificación incluirá: naturaleza de la violación y categorías de datos afectados, número aproximado de personas/registros afectados, consecuencias probables, medidas adoptadas y medidas correctivas propuestas.
§ 10 Eliminación y Devolución
10.1 Períodos de Retención
| Tipo de Datos | Período de Retención |
|---|---|
| Datos de proyecto (activos) | Durante la vigencia del contrato |
| Sesiones archivadas | 12 meses después del archivado |
| Tickets de soporte | 24 meses |
| Registros de consentimiento | 36 meses después de la retirada/eliminación |
10.2 Después de la Terminación del Contrato
Tras la terminación de la relación de usuario: período de transición de 30 días para la exportación de datos, posterior eliminación de todos los datos personales, excepción: obligaciones legales de conservación.
§ 11 Derechos de Auditoría
QUALLEE permite al Responsable del tratamiento verificar el cumplimiento del presente acuerdo mediante: provisión de documentación (MTO, certificados), respuesta a consultas escritas, previo acuerdo: auditorías in situ (a cargo del Responsable del tratamiento).
§ 12 Disposiciones Finales
12.1 Orden de Prelación
En caso de conflicto entre el presente acuerdo y los Términos de Servicio, prevalecerá el presente acuerdo.
12.2 Modificaciones
Las modificaciones del presente acuerdo se comunicarán con 30 días de antelación por correo electrónico. El uso continuado de la plataforma después de la expiración de este período constituye aceptación.
12.3 Ley Aplicable
Se aplicará el derecho de la República Federal de Alemania. El lugar de jurisdicción es Berlín.
12.4 Formación del Contrato
El presente ATD entra en vigor con la aceptación de los Términos de Servicio de QUALLEE. No se requiere firma separada.
Anexo 1: Medidas Técnicas y Organizativas
1. Confidencialidad (Art. 32(1)(b) RGPD)
Control de Acceso Físico
- Alojamiento en centros de datos certificados ISO 27001 (Hetzner, Alemania)
- Medidas de seguridad física por el proveedor de alojamiento
Control de Acceso al Sistema
- Políticas de contraseñas (longitud mínima, complejidad)
- Almacenamiento cifrado de contraseñas (bcrypt)
- Gestión de sesiones con tiempo de espera automático
Control de Acceso a Datos
- Concepto de autorización basado en roles
- Aislamiento de datos por proyecto
- Registro de accesos
Control de Separación
- Separación lógica de inquilinos a nivel de base de datos
- Almacenamiento separado de datos de producción y prueba
2. Integridad (Art. 32(1)(b) RGPD)
Control de Transferencia
- Cifrado TLS 1.3 para todas las transmisiones de datos
- Cifrado de datos en reposo (AES-256)
Control de Entrada
- Registros de auditoría completos para cambios de datos
- Documentación de consentimiento a prueba de manipulaciones
3. Disponibilidad y Resiliencia (Art. 32(1)(b), (c) RGPD)
- Copias de seguridad automatizadas diarias
- Almacenamiento redundante (RAID)
- Monitorización y alertas
- Disponibilidad objetivo: 99,5% anual
4. Procedimientos de Revisión Regular (Art. 32(1)(d) RGPD)
- Revisión regular de las medidas de seguridad
- Rutinas de eliminación automatizadas según los períodos de retención
- Procedimiento documentado de respuesta a incidentes
Para preguntas sobre este ATD, contacte con: info@quallee.de