Acuerdo de Tratamiento de Datos (DPA)

rag.art actúa como encargado del tratamiento de los datos personales que tu organización (responsable) envía al servicio. Esta página resume el DPA. Descarga el PDF firmable:

1. Objeto y duración

Almacenamiento y tratamiento de los documentos y datos de conversación aportados por el cliente durante la vigencia del contrato de suscripción.

2. Medidas técnicas y organizativas

• Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+).
• Controles de acceso por roles, mínimo privilegio y registro de auditoría.
• Residencia de datos en la UE (Irlanda, eu-west-1).
• Separación de entornos para los datos de producción.

3. Subencargados

Supabase, OpenAI, Anthropic, Vercel, Stripe, Resend. Consulta el PDF para la lista completa y sus finalidades. Avisamos a los clientes con 30 días de antelación antes de añadir o sustituir un subencargado.

4. Transferencias internacionales

Amparadas por las Cláusulas Contractuales Tipo de la UE (Decisión de la Comisión 2021/914) cuando proceda.

5. Asistencia a derechos del interesado

rag.art ofrece autoservicio dentro del producto para acceso/exportación y supresión (Ajustes → privacidad / Zona de peligro). El responsable es quien gestiona el enrutado de las solicitudes de los interesados.

6. Notificación de brechas

Sin dilación indebida y, en todo caso, dentro de las 72 horas desde que tengamos conocimiento, a security@rag.art.

7. Devolución o supresión

A la terminación, el responsable puede exportar sus datos mediante el autoservicio anterior durante 30 días; pasado ese plazo los datos se eliminan o anonimizan.