Rumbleo

Data Processing Agreement

Tratamiento de datos

DPA para clientes de Rumbleo

Resumen público del DPA de Rumbleo para clientes europeos. Sirve como base de revisión y debe formalizarse contractualmente cuando aplique

Última actualización: 4 de mayo de 2026

Este texto es una base pública de DPA y no constituye asesoramiento legal. El DPA vinculante debe firmarse o incorporarse al contrato con la organización cliente

Data Processing Agreement

Data Processing Agreement

Última actualización del documento: 4 de mayo de 2026

Resumen público del DPA de Rumbleo para clientes europeos. Sirve como base de revisión y debe formalizarse contractualmente cuando aplique

Este texto es una base pública de DPA y no constituye asesoramiento legal. El DPA vinculante debe firmarse o incorporarse al contrato con la organización cliente

01

1. Partes y roles

1.1La organización cliente actúa normalmente como responsable del tratamiento respecto a los datos personales que decide cargar, conectar, consultar o generar mediante Rumbleo

1.2SALATECH CONSULTING SL actúa normalmente como encargado del tratamiento cuando procesa esos datos por cuenta de la organización cliente para prestar Rumbleo

1.3Cuando SALATECH trata datos propios de contacto comercial, facturación, soporte, seguridad corporativa o relación contractual, puede actuar como responsable independiente conforme a la política de privacidad

02

2. Objeto del tratamiento

  1. 2.1Prestar una plataforma de BI conversacional con agentes especializados
  2. 2.2Permitir autenticación, gestión de usuarios, roles y permisos
  3. 2.3Procesar preguntas, contexto conversacional, agentes, modelo semántico y resultados analíticos
  4. 2.4Ejecutar consultas analíticas gobernadas y de solo lectura sobre fuentes autorizadas
  5. 2.5Generar respuestas, tablas, gráficos, documentos o artefactos cuando el servicio lo permita
  6. 2.6Registrar auditoría, consumo, errores y eventos necesarios para soporte, seguridad y cumplimiento contractual

03

3. Duración

3.1El tratamiento se mantiene durante la vigencia del contrato principal y durante los plazos posteriores necesarios para devolución, supresión, obligaciones legales, soporte, seguridad, reclamaciones o cierre ordenado del servicio

3.2La organización cliente puede solicitar información adicional sobre retención específica por tipo de dato cuando el contrato o evaluación de riesgos lo requiera

04

4. Naturaleza y finalidad

  1. 4.1Recogida, recepción, almacenamiento, estructuración, consulta, análisis, generación, registro, conservación, comunicación a subprocesadores autorizados, supresión y devolución cuando proceda
  2. 4.2Finalidad principal: prestar, mantener, proteger, auditar y mejorar Rumbleo conforme a instrucciones documentadas del cliente y al contrato aplicable
  3. 4.3No se venden datos personales ni se usan datos del cliente para finalidades incompatibles con la prestación del servicio

05

5. Categorías de interesados

  1. 5.1Usuarios autorizados de la organización cliente
  2. 5.2Administradores de tenant y operadores internos autorizados
  3. 5.3Empleados, colaboradores, clientes, proveedores u otras personas cuyos datos aparezcan en las fuentes conectadas por el cliente
  4. 5.4Contactos comerciales o de soporte cuando interactúan con SALATECH en nombre del cliente

06

6. Categorías de datos personales

  1. 6.1Datos identificativos y de contacto: nombre, email profesional, empresa, cargo o rol
  2. 6.2Datos de acceso y seguridad: identificadores, IP, navegador, dispositivo, eventos de autenticación y logs
  3. 6.3Datos de uso: preguntas, agentes, actividad, consumo, errores, tiempos, canal y metadatos de conversación
  4. 6.4Datos de negocio contenidos en modelos semánticos, adjuntos, respuestas, artefactos o fuentes analíticas autorizadas
  5. 6.5Datos derivados de análisis: agregados, tablas, métricas, explicaciones, comparativas y resultados generados por el servicio

07

7. Categorías especiales y datos sensibles

7.1Rumbleo no está diseñado para tratar categorías especiales de datos personales salvo que el cliente lo indique expresamente, exista base legal suficiente y se acuerden controles adecuados

7.2Los usuarios no deben introducir datos personales innecesarios, secretos ajenos, credenciales, información de salud, datos biométricos, datos de menores u otra información sensible que no sea necesaria para la finalidad profesional contratada

08

8. Instrucciones del cliente

  1. 8.1SALATECH tratará los datos personales documentados siguiendo instrucciones del cliente, el contrato principal, el DPA, la configuración del servicio y la normativa aplicable
  2. 8.2Si una instrucción parece infringir la normativa de protección de datos, SALATECH informará al cliente cuando sea razonablemente posible
  3. 8.3El cliente es responsable de la licitud, exactitud, minimización, proporcionalidad y finalidad de los datos que conecta o introduce en Rumbleo

09

9. Medidas técnicas y organizativas

  1. 9.1Aislamiento por tenant y control de acceso por sesión
  2. 9.2Roles funcionales diferenciados y privilegios administrativos limitados
  3. 9.3Consultas analíticas en modo solo lectura y validación antes de ejecución
  4. 9.4Cifrado en tránsito mediante HTTPS en entornos desplegados
  5. 9.5Cifrado en reposo para artefactos y secretos según el entorno
  6. 9.6Cifrado de credenciales analíticas mediante AWS KMS en despliegues cloud endurecidos
  7. 9.7Logging, auditoría, límites de consumo y trazabilidad de operaciones relevantes
  8. 9.8Restricción de acceso interno a personal autorizado para soporte, seguridad, calidad o investigación
  9. 9.9Gestión de cambios mediante código, revisiones, pruebas y migraciones forward-only

10

10. Obligaciones del encargado

  1. 10.1Tratar los datos personales únicamente conforme a instrucciones documentadas del cliente y al contrato aplicable
  2. 10.2Asegurar que las personas autorizadas a tratar datos personales estén sujetas a deberes de confidencialidad adecuados
  3. 10.3Aplicar medidas técnicas y organizativas razonables teniendo en cuenta el estado de la técnica, los riesgos, la naturaleza de los datos y el alcance del servicio
  4. 10.4No vender datos personales ni usarlos para entrenar modelos o finalidades incompatibles con la prestación de Rumbleo
  5. 10.5Informar al cliente cuando una instrucción parezca infringir la normativa de protección de datos, siempre que sea razonablemente posible

11

11. Obligaciones del cliente

  1. 11.1Determinar la finalidad y base legal del tratamiento de los datos que conecta, carga o genera mediante Rumbleo
  2. 11.2Asegurar que los datos son adecuados, pertinentes, exactos y proporcionales para el uso previsto
  3. 11.3Evitar introducir categorías especiales, datos de menores, credenciales, secretos o información sensible no necesaria para la finalidad contratada
  4. 11.4Configurar usuarios, roles y acceso conforme a sus políticas internas y retirar accesos cuando dejen de ser necesarios
  5. 11.5Revisar respuestas e insights antes de adoptar decisiones relevantes sobre personas, operaciones, finanzas o estrategia

12

12. Confidencialidad y personal autorizado

  1. 12.1SALATECH limitará el acceso interno a datos del cliente al personal autorizado que lo necesite para prestar soporte, seguridad, calidad, operación o cumplimiento contractual
  2. 12.2El acceso interno a auditoría completa no se concede a administradores de tenant y queda reservado a operadores internos autorizados
  3. 12.3El personal autorizado deberá tratar información no pública del cliente como confidencial
  4. 12.4La obligación de confidencialidad sobrevivirá mientras la información conserve carácter no público o mientras lo exija el contrato aplicable

13

13. Subprocesadores

13.1SALATECH puede recurrir a subprocesadores para prestar infraestructura, autenticación, almacenamiento, comunicaciones, modelos de IA, seguridad, analítica técnica, despliegue y soporte operativo

13.2La lista pública de subprocesadores se mantiene en la página correspondiente. El cliente autoriza de forma general el uso de subprocesadores necesarios para prestar el servicio, salvo que el contrato establezca autorización específica o derecho de oposición

13.3SALATECH exigirá a los subprocesadores obligaciones de protección de datos sustancialmente equivalentes para el tratamiento que realicen por cuenta de Rumbleo

14

14. Transferencias internacionales

14.1Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo. Cuando ocurra, SALATECH aplicará mecanismos reconocidos por la normativa aplicable, como decisiones de adecuación, cláusulas contractuales tipo u otras garantías válidas

14.2La ubicación concreta puede depender de la región cloud, proveedor y configuración del cliente. La lista de subprocesadores indica la ubicación o referencia conocida para cada proveedor

15

15. Asistencia al cliente

  1. 15.1Ayuda razonable para responder solicitudes de derechos de interesados cuando SALATECH actúe como encargado
  2. 15.2Información razonable para DPIAs, evaluaciones de riesgo o consultas de seguridad relacionadas con Rumbleo
  3. 15.3Soporte para investigar errores, incidentes, uso indebido o exposición no autorizada
  4. 15.4Cooperación razonable con obligaciones de notificación de brechas cuando proceda

16

16. Incidentes de seguridad

16.1SALATECH notificará al cliente sin dilación indebida cuando tenga conocimiento de una violación de seguridad de datos personales que afecte a datos tratados por cuenta del cliente, conforme al contrato y normativa aplicable

16.2La notificación incluirá la información disponible razonablemente: naturaleza del incidente, datos o sistemas afectados, medidas adoptadas, medidas recomendadas y punto de contacto

17

17. Supresión, devolución y terminación

17.1Al finalizar el servicio, SALATECH devolverá o suprimirá los datos personales tratados por cuenta del cliente según las instrucciones contractuales, salvo conservación exigida por ley, seguridad, defensa frente a reclamaciones o backup técnico sujeto a borrado programado

17.2Los plazos concretos de exportación, borrado, retención de logs, artefactos y backups deben concretarse en el contrato o anexo operativo cuando el cliente lo necesite para su auditoría

18

18. Auditorías y evidencias

18.1SALATECH facilitará información razonable para demostrar el cumplimiento del DPA, priorizando documentación, cuestionarios, evidencias de controles y reuniones de revisión

18.2Cualquier auditoría directa deberá acordarse previamente, limitarse al alcance necesario, proteger la confidencialidad, no comprometer la seguridad de otros clientes y evitar interrupciones desproporcionadas del servicio

19

19. Retención, backups y borrado técnico

  1. 19.1La retención ordinaria se regirá por el contrato, la configuración del servicio y las obligaciones legales aplicables
  2. 19.2Los backups técnicos pueden conservar datos durante ciclos de retención limitados y quedar sujetos a borrado programado
  3. 19.3La eliminación de datos de producción no implica eliminación inmediata de todas las copias de backup si estas no son accesibles en operación ordinaria
  4. 19.4Cuando el cliente requiera plazos concretos por categoría de dato, deberán documentarse en el contrato, anexo operativo o acuerdo de nivel de servicio

20

20. Jerarquía documental

  1. 20.1Este DPA público sirve como base de revisión y no sustituye un contrato firmado cuando exista
  2. 20.2El contrato principal, anexo de tratamiento, anexo de seguridad, orden de servicio o acuerdo específico con el cliente prevalecerán sobre este texto público en caso de contradicción
  3. 20.3Las certificaciones, compromisos de residencia, SLAs o controles adicionales solo aplican si constan expresamente en el acuerdo correspondiente

¿Lo necesitas para una revisión de seguridad?

Contacta con info@salatechconsulting.com para cuestionarios de proveedor, evidencias adicionales o anexos contractuales

Solicitar demo