Esta traducción se proporciona únicamente para su conveniencia. En caso de cualquier discrepancia o inconsistencia entre esta traducción y la versión en inglés, prevalecerá la versión en inglés.

Oriora — Anexo de Tratamiento de Datos

Última actualización: 2026-05-26 Vigencia: 2026-05-26

1. Introducción

Este Anexo de Tratamiento de Datos ("DPA") forma parte de los Términos de Servicio de Oriora entre Orioralabs OÜ ("Oriora", "Encargado del tratamiento") y el cliente ("Cliente", "Responsable del tratamiento") (conjuntamente, las "Partes"). Rige el tratamiento de datos personales por parte de Oriora en nombre del Cliente en relación con la prestación de los servicios de Oriora.

Este DPA se incorpora por referencia a los Términos de Servicio de Oriora y entra en vigor con la aceptación de los Términos de Servicio por parte del Cliente al registrarse. No se requiere una firma separada.

En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalecerá con respecto al tratamiento de datos personales.

2. Definiciones

Los términos no definidos en este DPA tienen los significados que se les atribuyen en los Términos de Servicio de Oriora o en el Reglamento General de Protección de Datos de la UE (GDPR).

• Responsable del tratamiento, Encargado del tratamiento, Subencargado del tratamiento, Datos personales, Tratamiento, Interesado — según se definen en el GDPR.
• Ley de Protección de Datos — el GDPR y cualquier ley nacional de implementación aplicable, incluidas las leyes de Estonia.

3. Objeto, duración, naturaleza y finalidad del tratamiento

4. Roles de las Partes

Para el tratamiento dentro del ámbito de este DPA, el Cliente es el Responsable del tratamiento y Oriora es el Encargado del tratamiento con respecto a los Datos Personales del Cliente (siendo los datos personales de los usuarios finales del Cliente u otros interesados en cuyo nombre el Cliente utiliza los servicios de Oriora).

Este DPA no establece un acuerdo de corresponsabilidad del tratamiento en virtud del Artículo 26 del GDPR. El Cliente controla el conjunto elegible de proveedores de IA a través de la configuración a nivel de cuenta del Cliente, incluyendo el interruptor de enrutamiento automático (Auto routing toggle), la preferencia de prioridad de enrutamiento, las preferencias de exclusión de proveedores, la configuración de claves BYOK, la selección de aplicaciones y (cuando el enrutamiento automático está deshabilitado) la lista de proveedores seleccionados. Las decisiones de enrutamiento de Oriora operan únicamente dentro de los límites establecidos por la configuración del Cliente.

Oriora trata los Service Data, Log Data, datos agregados y datos desidentificados como un responsable del tratamiento independiente, únicamente con el fin de operar, asegurar, facturar, soportar y mejorar los servicios de Oriora. El tratamiento de dichos datos por parte de Oriora se rige por la Política de Privacidad de Oriora.

5. Obligaciones de Oriora como Encargado del tratamiento

Oriora:

• (a) tratará los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, a menos que la legislación de la UE o de un Estado miembro exija lo contrario (en cuyo caso Oriora informará al Cliente de dicho requisito legal antes del tratamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público). Las instrucciones documentadas del Cliente incluyen las opciones de configuración a nivel de cuenta del Cliente puestas a disposición por Oriora, como el interruptor de enrutamiento automático (Auto routing toggle), la preferencia de prioridad de enrutamiento, las preferencias de exclusión de proveedores, la configuración de claves BYOK, la selección de aplicaciones, los controles de presupuesto y (cuando el enrutamiento automático está deshabilitado) la lista de proveedores seleccionados. El enrutamiento de Oriora opera dentro del conjunto de proveedores elegibles definido por la configuración del Cliente;
• (b) garantizará que las personas autorizadas para tratar datos personales estén sujetas a un deber de confidencialidad;
• (c) implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo (cuando sea aplicable) cifrado, controles de acceso y proveedores de infraestructura segura;
• (d) contratará subencargados del tratamiento solo según lo permitido en la Sección 6;
• (e) asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los interesados según lo establecido en la Sección 7;
• (f) asistirá al Cliente para garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificación de violaciones de seguridad, las evaluaciones de impacto de la protección de datos y la consulta previa con las autoridades de control, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Oriora;
• (g) al finalizar la prestación de los servicios, eliminará o devolverá los datos personales según lo establecido en la Sección 11;
• (h) pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a las auditorías según lo establecido en la Sección 9.

Cuando el Cliente solicite asistencia en virtud de este DPA que vaya más allá de lo que razonablemente puede acomodarse dentro de la prestación normal del servicio —por ejemplo, una cooperación extensa en una evaluación de impacto de la protección de datos, una investigación reguladora o una auditoría más allá de la Sección 9— el Cliente reembolsará a Oriora los costes razonables de dicha asistencia a las tarifas acordadas entre las Partes de antemano.

6. Subencargados del tratamiento

El Cliente autoriza a Oriora a contratar a los subencargados del tratamiento enumerados en el documento de Subencargados del tratamiento de Oriora, que se incorpora a este DPA por referencia.

Oriora proporcionará al Cliente un aviso previo de cualquier adición o reemplazo de subencargados del tratamiento a través del mecanismo establecido en el documento de Subencargados del tratamiento. El Cliente podrá oponerse a un nuevo subencargado del tratamiento por motivos razonables relacionados con la protección de datos, notificando a Oriora por escrito en un plazo de siete (7) días a partir de dicho aviso. Si el Cliente se opone y Oriora no puede ofrecer una alternativa razonable en un período comercialmente razonable, el Cliente podrá rescindir la parte afectada del servicio.

El período de aviso y objeción de siete días es más corto que el período de 30 días comúnmente utilizado por los encargados del tratamiento más grandes porque Oriora no puede vincular a sus proveedores de infraestructura ascendentes a plazos más largos.

Oriora sigue siendo responsable de los actos y omisiones de sus subencargados del tratamiento en la misma medida en que Oriora sería responsable si prestara directamente los servicios de cada subencargado del tratamiento en virtud de este DPA. Esta responsabilidad está sujeta a la limitación de responsabilidad establecida en la Sección 12.

7. Derechos de los interesados

Oriora, teniendo en cuenta la naturaleza del tratamiento, asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con la obligación del Cliente de responder a las solicitudes de los interesados que ejerzan sus derechos en virtud de la Ley de Protección de Datos (incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).

Cuando Oriora reciba una solicitud directamente de un interesado en relación con el tratamiento del Cliente, Oriora, a menos que lo prohíba la ley, reenviará la solicitud al Cliente sin demora indebida y no responderá a la solicitud por sí misma, excepto siguiendo las instrucciones documentadas del Cliente.

Cuando Oriora esté obligada a divulgar datos personales a una agencia gubernamental, tribunal o autoridad policial por ley aplicable o proceso legal, Oriora, cuando esté legalmente permitido, notificará al Cliente con antelación y limitará la divulgación a lo que sea requerido.

8. Notificación de violación de seguridad de los datos personales

Oriora notificará al Cliente sin demora indebida después de tener conocimiento de una violación de seguridad de los datos personales que afecte a los datos personales del Cliente, proporcionando la información que esté razonablemente disponible para Oriora en el momento de la notificación.

Oriora también asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Oriora, en el cumplimiento de las propias obligaciones de notificación de violaciones de seguridad del Cliente a las autoridades de control y a los interesados afectados en virtud de la Ley de Protección de Datos.

9. Derechos de auditoría

Oriora opera un servicio sin estado (stateless) únicamente en la nube, sin instalaciones físicas de tratamiento de datos. Oriora no retiene el contenido de las indicaciones (prompts) ni de las salidas (outputs) del Cliente.

Previa solicitud escrita razonable, Oriora proporcionará:

• (a) documentación de arquitectura que evidencie el tratamiento sin estado, incluyendo el esquema de la base de datos que demuestre la ausencia de tablas de almacenamiento de contenido;
• (b) políticas de seguridad;
• (c) la lista actual de Subencargados del tratamiento y las Cláusulas Contractuales Tipo aplicables con los subencargados del tratamiento;
• (d) datos específicos de la cuenta que Oriora posee para el Cliente;
• (e) procedimientos de respuesta a incidentes.

Cuando el Cliente considere razonablemente que dicha información es insuficiente, podrá, con un preaviso por escrito de al menos treinta (30) días, realizar una inspección remota (mediante revisión de documentación y demostración técnica de solo lectura) no más de una vez cada período de doce meses, por un auditor independiente mutuamente acordado por las Partes (que no sea un competidor de Oriora) y sujeto a obligaciones de confidencialidad. No se conceden derechos de inspección física in situ dada la ausencia de cualquier instalación física de tratamiento de datos.

El Cliente asumirá todos los costes razonables de cualquier auditoría, incluidos los costes de su auditor independiente y los costes razonables de Oriora al proporcionar acceso. Los costes de Oriora se calcularán a las tarifas acordadas entre las Partes de antemano. Cuando una auditoría se realice a petición de una autoridad de control competente, las Partes cooperarán según lo exija la ley.

Los períodos de preaviso y los límites de frecuencia en esta Sección 9 se eximirán cuando lo exija una autoridad de control competente.

10. Transferencias internacionales

En la medida en que los datos personales tratados en virtud de este DPA se transfieran fuera del Espacio Económico Europeo, las Partes se basarán en las salvaguardias adecuadas en virtud del Capítulo V del GDPR.

Cuando la transferencia requiera Cláusulas Contractuales Tipo, las Partes incorporan por referencia las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914 de la Comisión):

• Cuando el Cliente actúa como responsable del tratamiento de datos personales transferidos a Oriora como encargado del tratamiento: Módulo 2 (Responsable del tratamiento a Encargado del tratamiento), con el Cliente como exportador de datos y Oriora como importador de datos.
• Cuando el Cliente actúa como encargado del tratamiento de datos personales transferidos a Oriora como subencargado del tratamiento (por ejemplo, cuando el Cliente utiliza Managed API BYOK para potenciar su propio producto que trata los datos personales de los usuarios finales del Cliente): Módulo 3 (Encargado del tratamiento a Subencargado del tratamiento), con el Cliente como exportador de datos y Oriora como importador de datos.

En cada caso: se incorpora la cláusula de acoplamiento opcional; se excluye la cláusula opcional de resolución independiente de disputas; la ley aplicable es la ley de Estonia; la autoridad de control competente es la Inspección de Protección de Datos de Estonia.

Cuando los datos personales se transfieran posteriormente de Oriora a un subencargado del tratamiento ubicado fuera del EEE, dicha transferencia estará protegida por Cláusulas Contractuales Tipo u otra salvaguardia adecuada celebrada entre Oriora y el subencargado del tratamiento.

11. Devolución y supresión de datos personales

Al finalizar la prestación de los servicios relacionados con el tratamiento, Oriora, a elección del Cliente, eliminará o devolverá los datos personales del Cliente, a menos que la legislación de la UE o de un Estado miembro exija un almacenamiento posterior.

Los datos de cuenta y los registros de facturación retenidos para fines de obligación legal (como la ley fiscal estonia) no pueden eliminarse antes de que expire el período de retención legal.

El contenido de las indicaciones (prompts), el contenido de las salidas (outputs) y el historial de conversaciones de múltiples turnos no son retenidos por Oriora en ningún momento en virtud de este DPA, de acuerdo con la arquitectura sin estado de Oriora.

12. Responsabilidad

La responsabilidad de cada Parte en virtud de este DPA está sujeta a las disposiciones de limitación de responsabilidad de los Términos de Servicio de Oriora. Nada en esta Sección limita la responsabilidad de una Parte cuando dicha limitación no está permitida por la Ley de Protección de Datos aplicable.

13. Plazo y terminación

Este DPA entra en vigor en la Fecha de Vigencia establecida anteriormente y permanecerá en vigor durante la duración del uso de los servicios de Oriora por parte del Cliente. Las Secciones 9, 10, 11 y cualquier otra disposición que por su naturaleza deba sobrevivir a la terminación, sobrevivirán.

14. Ley aplicable

Este DPA se rige por las leyes de la República de Estonia. Las disputas que surjan en virtud de este DPA se resolverán según lo establecido en la Sección 19 de los Términos de Servicio de Oriora.

15. Contacto

Para preguntas relacionadas con este DPA o para ejercer los derechos en virtud del mismo, contacte con [email protected].