Documentos legales
Acuerdo de Tratamiento de Datos
Vigente a partir del 12 de mayo de 2026 · Versión 1.0 · Conforme al artículo 28 del RGPD
1. Partes y aviso de preconstitución
Este DPA se celebra entre:
- El Cliente ("Responsable" del tratamiento) — la persona física o moral identificada en la cuenta de suscripción de Tesseum.
- Tesseum ("Encargado" del tratamiento) — la plataforma de investigación jurídica operada desde Praga, República Checa, por su fundador. La plataforma se encuentra actualmente en proceso de constitución formal como sociedad de responsabilidad limitada checa (s.r.o.). Una vez inscrita, los derechos y obligaciones derivados de este DPA serán asumidos por la entidad registrada mediante cesión por escrito, con continuidad de todos los términos.
Los clientes que requieran una copia contrafirmada de este DPA para procesos de adquisiciones pueden solicitarla en hola@tesseum.com.
2. Objeto y duración
Tesseum trata los Datos Personales del Cliente únicamente para prestar los servicios contratados descritos en los Términos de Servicio: investigación jurídica, consulta de legislación, búsqueda de jurisprudencia, redacción con citas verificadas y analítica asistida por IA relacionada, dentro de la plataforma Tesseum.
El tratamiento continúa durante la vigencia de la suscripción activa del Cliente, más los periodos de retención establecidos en la §10.
3. Naturaleza y finalidad del tratamiento
- Recuperación de leyes, jurisprudencia y artículos del corpus en respuesta a las consultas del Cliente.
- Generación de resultados analíticos asistidos por IA fundamentados en fuentes verificadas del corpus.
- Persistencia del historial de conversaciones, paquetes guardados y metadatos de citas para usuarios autenticados.
- Facturación, gestión de suscripciones y aplicación de los niveles de plan.
- Seguridad del servicio, prevención de fraude y detección de abusos.
4. Categorías de titulares y de datos
4.1 Titulares de los datos
- Los empleados, socios y contratistas del Cliente que usan la plataforma.
- Terceros cuyos datos aparecen en documentos que el Cliente sube para su análisis (sujetos a anonimización — véase la §6.3).
4.2 Categorías de datos personales
- Identificadores: nombre, correo electrónico, foto de perfil de OAuth, país, perfil profesional.
- Tokens de autenticación (gestionados por Google OAuth y Supabase Auth).
- Datos de uso: consultas enviadas, jurisdicciones consultadas, marcas de tiempo, metadatos de citas.
- Datos de facturación: manejados exclusivamente por Stripe; Tesseum recibe únicamente indicadores del estado de pago.
- Contenido anonimizado de documentos, cuando el Cliente sube documentos para su análisis.
Por diseño, Tesseum no trata categorías especiales de datos personales conforme al art. 9 del RGPD. Los Clientes no deben subir ese tipo de datos salvo acuerdo explícito por escrito.
5. Roles e instrucciones
El Cliente es el Responsable del tratamiento de los Datos Personales del Cliente. Tesseum es el Encargado del tratamiento y trata los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, establecidas en este DPA, en los Términos de Servicio y en cualquier solicitud por escrito del Cliente cuya recepción Tesseum haya confirmado.
Tesseum informará al Cliente si, en su opinión, una instrucción infringe el RGPD o la legislación checa o de la UE aplicable en materia de protección de datos.
6. Obligaciones del Encargado
6.1 Confidencialidad
Tesseum garantiza que las personas autorizadas para tratar los Datos Personales del Cliente están sujetas a obligaciones de confidencialidad o a un deber legal apropiado de confidencialidad.
6.2 Medidas de seguridad
Tesseum implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las descritas en el Anexo II.
6.3 Pipeline de anonimización
Los documentos subidos por los Clientes para su análisis pasan por el pipeline de anonimización de Tesseum antes de que cualquier motor de IA los reciba. Los identificadores originales se sustituyen por tokens de identificación ([PERSON_n], [ADDRESS_n], [ORG_n], [DATE_n], etc.). El documento original no se almacena; solo la representación anonimizada persiste durante la sesión del Cliente.
6.4 Subencargados
El Cliente autoriza a Tesseum a contratar a los subencargados enumerados en el Anexo I. Tesseum dará al Cliente un preaviso de 30 días naturales de cualquier adición o sustitución prevista de un subencargado. Si el Cliente objeta por escrito dentro de ese plazo, Tesseum hará esfuerzos comercialmente razonables para ofrecer una alternativa; si no hay alternativa disponible, el Cliente podrá dar por terminado el servicio afectado con 30 días de aviso, con reembolso prorrateado de las tarifas pagadas por adelantado.
6.5 Derechos de los titulares de los datos
Tesseum, teniendo en cuenta la naturaleza del tratamiento, asistirá al Responsable mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de las obligaciones del Responsable de responder a las solicitudes de ejercicio de los derechos de los titulares de los datos conforme al Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición).
Si Tesseum recibe una solicitud directamente de un titular de los datos relativa a Datos Personales del Cliente, Tesseum remitirá la solicitud al Cliente sin dilación indebida y no responderá directamente al titular, salvo para confirmar la recepción y la remisión.
6.6 Notificación de violaciones de la seguridad de los datos personales
Tesseum notificará al Cliente sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a haber tenido conocimiento de una violación de la seguridad de los datos personales que afecte a Datos Personales del Cliente. La notificación incluirá, en la medida en que se conozca en ese momento, la naturaleza de la violación, las categorías y el número aproximado de titulares y de registros afectados, las consecuencias probables y las medidas adoptadas o propuestas.
6.7 Asistencia en EIPD
Tesseum brindará asistencia razonable al Cliente en la realización de Evaluaciones de Impacto relativas a la Protección de Datos (art. 35 del RGPD) y en las consultas previas con las autoridades de control (art. 36 del RGPD).
6.8 Derechos de auditoría
Tesseum pone a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA. Previa solicitud y no más de una vez por año calendario (salvo que un regulador exija otra cosa), Tesseum responderá un cuestionario de auditoría razonable presentado por escrito por el Cliente o por su auditor autorizado. No se ofrecen auditorías en sitio; las auditorías documentales y las certificaciones de terceros (cuando estén disponibles) satisfacen esta sección.
7. Transferencias internacionales
Algunos subencargados están establecidos en Estados Unidos. Tesseum se apoya en las cláusulas contractuales tipo (SCC) de la Comisión de la UE (Decisión 2021/914) — el módulo responsable-encargado (Módulo Dos) y el módulo encargado-encargado (Módulo Tres), según corresponda — con cada subencargado fuera de la UE. Cuando el Marco de Privacidad de Datos UE-EE. UU. aplique a un subencargado, dicho mecanismo se utiliza junto con las SCC como salvaguarda redundante.
Por medio del presente, el Cliente autoriza a Tesseum a actuar en su nombre en las transferencias ulteriores cubiertas por las SCC.
8. Devolución y supresión
Al terminar la suscripción, el Cliente podrá exportar los datos de su cuenta y de sus conversaciones a través de la interfaz de la cuenta durante 30 días naturales. Transcurrido ese periodo, Tesseum eliminará o anonimizará los Datos Personales del Cliente en un plazo adicional de 30 días, salvo cuando la retención sea exigida por la legislación fiscal checa (zákon č. 235/2004 Sb.) para los registros de facturación (7 años), o para cumplir con una retención legal documentada (legal hold).
9. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones de responsabilidad establecidas en los Términos de Servicio. Nada en este DPA limita los derechos de un titular de los datos frente a cualquiera de las partes conforme al art. 82 del RGPD.
10. Conflicto y orden de prelación
En caso de conflicto entre este DPA, los Términos de Servicio y la Política de Privacidad, el orden de prelación es: (1) este DPA, (2) los Términos de Servicio, (3) la Política de Privacidad — únicamente respecto de la materia del tratamiento de los Datos Personales del Cliente.
11. Ley aplicable
Este DPA se rige por las leyes de la República Checa. Las controversias derivadas de este DPA quedan sujetas a la jurisdicción exclusiva de los tribunales competentes de Praga, sin perjuicio de los derechos de los consumidores de la UE conforme al Reglamento (UE) 1215/2012.
12. Contacto
Consultas sobre protección de datos: hola@tesseum.com
Incidentes de seguridad: security@tesseum.com
Anexo I — Subencargados autorizados
Los siguientes subencargados quedan autorizados a la fecha de entrada en vigor de este DPA. La lista vigente se mantiene en tesseum.com/company y se actualiza con al menos 30 días naturales de preaviso ante cambios.
| Subencargado | Finalidad | Región / Mecanismo de transferencia |
|---|---|---|
| Supabase Inc. | Base de datos (PostgreSQL), autenticación, almacenamiento de archivos, canales en tiempo real | Estados Unidos · SCC (Módulo Tres) |
| Vercel Inc. | Alojamiento web, ejecución de funciones serverless, CDN | Estados Unidos con edge en la UE (Fráncfort fra1) · SCC (Módulo Tres) |
| Anthropic PBC | Inferencia del modelo de lenguaje Claude. Retención cero de datos habilitada: sin entrenamiento con datos del Cliente y sin retención de registros más allá de 30 días para revisión de confianza y seguridad. | Estados Unidos · SCC (Módulo Tres) |
| Google LLC | Proveedor de identidad OAuth 2.0 · Inferencia del modelo de lenguaje Gemini | Estados Unidos · SCC (Módulo Tres) y Marco de Privacidad de Datos UE-EE. UU. |
| Stripe Inc. | Procesamiento de pagos, facturación de suscripciones, cálculo de impuestos UE/MX. Stripe es responsable independiente de los datos de pago conforme al art. 26 del RGPD. | Irlanda (clientes de la UE) / Estados Unidos · SCC (Módulo Dos) y Marco de Privacidad de Datos UE-EE. UU. |
Anexo II — Medidas técnicas y organizativas
Cifrado
- TLS 1.3 para todos los datos en tránsito entre el cliente, Tesseum y los subencargados.
- AES-256 en reposo mediante el cifrado gestionado de Supabase.
- Autenticación exclusivamente vía OAuth; las contraseñas nunca se almacenan. WebAuthn / passkeys con soporte como segundo factor opcional.
Control de acceso
- Políticas de seguridad a nivel de fila (RLS) aplicadas en la capa de base de datos para cada tabla multi-tenant.
- Acceso privilegiado a producción restringido al fundador y al personal de operaciones designado. Todas las operaciones privilegiadas quedan registradas.
- Revisión trimestral de las listas de acceso.
Desarrollo de software
- Todos los cambios se despliegan mediante un pipeline de CI/CD con control de versiones (Vercel).
- Pipeline de anonimización aplicado antes de que cualquier motor de IA reciba contenido subido por el usuario.
- La compuerta de verificación de citas de Tesseum coteja los resultados de la IA contra los resultados de recuperación de las llamadas a herramientas antes de su entrega.
Registro y monitoreo
- Los eventos de autenticación, los eventos de pago y las acciones privilegiadas se registran con una retención mínima de 90 días.
- Los registros de plataforma de Vercel y Supabase se retienen conforme a sus respectivos DPA.
- Sin datos personales identificables en la telemetría de la aplicación; Vercel Analytics usa únicamente agregación anonimizada.
Respuesta a incidentes
- Procedimiento documentado de respuesta a incidentes con compromiso de triaje en 24 h.
- Notificación al Cliente dentro de las 48 horas siguientes a la confirmación de una violación de la seguridad de los datos personales que afecte a Datos Personales del Cliente.
- Revisión posterior al incidente y remediación documentadas para cada incidente Sev-1.
Continuidad del negocio
- Respaldos automáticos diarios de la base de datos de producción (gestionados por Supabase).
- Objetivo de recuperación ante desastres: RPO de 24 h, RTO de 4 horas hábiles.
- Sin dependencia de una sola región para el cómputo alojado (edge multirregión de Vercel).
Gestión de proveedores
- Todos los subencargados se evalúan en su postura frente al RGPD antes de su incorporación.
- Los DPA y las SCC de los subencargados se revisan anualmente.
- Los cambios sustanciales a la lista de subencargados se anuncian con 30 días de preaviso.