Contrato de procesamiento de datos (DPA)

Contrato de procesamiento de datos conforme al Art. 28 RGPD

entre el usuario del servicio BonusFlow (en adelante "Responsable del tratamiento") y

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Alemania Correo electrónico: datenschutz@bonusflow.de Teléfono: 0201-89083160

(en adelante "Encargado del tratamiento")

§ 1 – Objeto y duración del tratamiento

(1) El Encargado del tratamiento procesa datos personales por cuenta del Responsable del tratamiento en el marco del servicio BonusFlow (asistente personal vocal para la gestión de tareas, recordatorios, entradas de calendario, áreas de vida y conocimiento personal).

(2) La duración del tratamiento corresponde a la vigencia del contrato de uso. El tratamiento finaliza con la eliminación de la cuenta de usuario. Los datos personales se eliminarán en un plazo de 30 días tras la eliminación de la cuenta, salvo que existan obligaciones legales de conservación.

§ 2 – Naturaleza y finalidad del tratamiento

El tratamiento comprende las siguientes actividades:

  • Almacenamiento de todos, recordatorios, entradas de calendario, áreas de vida y hechos personales
  • Procesamiento de IA para el reconocimiento de intenciones a partir de texto transcrito (Intent Recognition)
  • Procesamiento de IA para el cálculo de representaciones vectoriales (embeddings) para la búsqueda semántica
  • Gestión de usuarios (creación de cuenta, autenticación)
  • Envío de correos electrónicos (confirmación de cuenta, restablecimiento de contraseña, notificaciones)
  • Procesamiento de pagos (gestión de suscripciones y facturación)

§ 3 – Tipos de datos personales

Se procesan las siguientes categorías de datos:

  • Nombre y dirección de correo electrónico
  • Contraseña (almacenada cifrada)
  • Todos, recordatorios y entradas de calendario (título, descripción, fecha/hora)
  • Áreas de vida y entradas asociadas (contenidos, notas, indicaciones de dosificación)
  • Hechos personales (alergias, contactos, preferencias — solo en caso de almacenamiento activo por el usuario)
  • Representaciones vectoriales (embeddings) de los contenidos textuales mencionados anteriormente
  • Datos de pago (procesados por Stripe, no almacenados por el Encargado del tratamiento)
  • Datos de registro del servidor (dirección IP, navegador, marca de tiempo)

Nota sobre categorías especiales: Los usuarios pueden almacenar voluntariamente hechos relacionados con la salud (medicamentos, suplementos, alergias). Estos pueden constituir categorías especiales de datos personales en el sentido del Art. 9 RGPD. El tratamiento se basa en el consentimiento explícito del usuario (Art. 9, ap. 2, lit. a RGPD).

§ 4 – Categorías de personas afectadas

  • Usuarios registrados del servicio

§ 5 – Obligaciones del Encargado del tratamiento

(1) El Encargado del tratamiento solo procesará datos personales siguiendo instrucciones documentadas del Responsable del tratamiento, salvo que esté obligado por el Derecho de la Unión o de los Estados miembros.

(2) El Encargado del tratamiento garantiza que las personas autorizadas para procesar datos personales se hayan comprometido a la confidencialidad.

(3) El Encargado del tratamiento implementa todas las medidas requeridas por el Art. 32 RGPD, en particular:

  • Cifrado SSL/TLS de todas las transmisiones de datos
  • Almacenamiento cifrado de contraseñas (bcrypt)
  • Procesamiento de voz local — los datos de audio nunca abandonan el dispositivo del usuario
  • Control de acceso y concepto de autorización
  • Actualizaciones de seguridad periódicas de todos los sistemas
  • Ubicación de servidores exclusivamente en Alemania y la UE

(4) El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de las obligaciones contempladas en los Artículos 32 a 36 RGPD.

(5) Una vez finalizado el tratamiento, el Encargado del tratamiento eliminará todos los datos personales, incluidos los datos vectoriales en la base de datos Qdrant, salvo que existan obligaciones legales de conservación.

(6) El Encargado del tratamiento pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD.

§ 6 – Subencargados

(1) El Responsable del tratamiento acepta la contratación de los siguientes subencargados:

6.1 Hetzner Online GmbH

| | | |---|---| | Finalidad | Alojamiento de servidores (aplicación y base de datos) | | Dirección | Industriestr. 25, 91710 Gunzenhausen, Alemania | | Ubicación de servidores | Alemania | | Datos procesados | Todos los datos de usuarios y contenido, datos vectoriales (Qdrant) | | DPA | Contrato de procesamiento de datos conforme al Art. 28 RGPD vigente |

6.2 Mistral AI SAS

| | | |---|---| | Finalidad | Procesamiento de IA: reconocimiento de intenciones (Mistral Small) y cálculo de embeddings (Mistral Embed) | | Dirección | 16 Passage Jouffroy, 75009 París, Francia | | Ubicación de servidores | UE (Francia) | | Datos procesados | Texto transcrito de comandos de voz (para reconocimiento de intenciones), contenidos textuales de entradas (para cálculo de embeddings) | | Nota | Todo el procesamiento de IA tiene lugar exclusivamente en la UE. No hay transferencia de datos a terceros países. No se transmiten datos de audio. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalidad | Envío de correos electrónicos (confirmación de cuenta, restablecimiento de contraseña, notificaciones) | | Dirección | Hauptstraße 68, 02742 Friedersdorf, Alemania | | Ubicación de servidores | Alemania | | Datos procesados | Dirección de correo electrónico, nombre, contenido de correos |

6.4 Stripe, Inc.

| | | |---|---| | Finalidad | Procesamiento de pagos (tarjetas de crédito, SEPA, gestión de suscripciones) | | Dirección | 354 Oyster Point Blvd, South San Francisco, CA 94080, EE.UU. | | Ubicación del procesamiento | UE (Stripe procesa los datos de pago europeos en la UE) | | Datos procesados | Información de pago (datos de tarjeta de crédito, datos SEPA). Estos son procesados exclusivamente por Stripe y no se almacenan por el Encargado del tratamiento. | | Garantías | EU-US Data Privacy Framework, Cláusulas contractuales tipo (CCT) |

6.5 Google Ireland Limited (opcional)

| | | |---|---| | Finalidad | Autenticación (Google OAuth 2.0) — solo si el usuario elige activamente iniciar sesión con Google | | Dirección | Gordon House, Barrow Street, Dublín 4, Irlanda | | Ubicación del procesamiento | UE (Irlanda) | | Datos procesados | Nombre y dirección de correo electrónico del usuario (solo para identificación de cuenta) | | Nota | Google OAuth es completamente opcional. Los usuarios siempre pueden iniciar sesión por correo electrónico/contraseña o enlace mágico. No se transmiten datos de contenido a Google. | | Garantías | EU-US Data Privacy Framework, Cláusulas contractuales tipo (CCT) |

(2) El Encargado del tratamiento informará al Responsable del tratamiento sobre cualquier cambio previsto respecto a la incorporación o sustitución de subencargados. El Responsable del tratamiento puede oponerse a dichos cambios.

§ 7 – Transferencias a terceros países

(1) La transferencia de datos personales a terceros países (fuera del EEE) no tiene lugar como norma general.

(2) Excepciones:

  • Stripe (procesamiento de pagos): Stripe, Inc. tiene su sede en EE.UU. pero procesa los datos europeos en la UE. Se aplican el EU-US Data Privacy Framework y las cláusulas contractuales tipo.
  • Google (solo para Google OAuth): Google Ireland Limited procesa los datos en la UE. Solo cuando el usuario elige activamente el inicio de sesión con Google.

(3) El procesamiento de IA así como el almacenamiento de todos los datos de contenido y usuarios (incluidos los datos vectoriales) tiene lugar exclusivamente en Alemania y la UE.

§ 8 – Derechos de las personas afectadas

El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de los derechos de las personas afectadas conforme a los Art. 12–22 RGPD, en particular:

  • Derecho de acceso (Art. 15 RGPD)
  • Derecho de rectificación (Art. 16 RGPD)
  • Derecho de supresión (Art. 17 RGPD)
  • Derecho a la limitación del tratamiento (Art. 18 RGPD)
  • Derecho a la portabilidad de datos (Art. 20 RGPD)

Los usuarios pueden consultar y eliminar sus datos en cualquier momento a través de su cuenta de usuario.

§ 9 – Notificación de violaciones de datos

El Encargado del tratamiento informará al Responsable del tratamiento sin demora indebida, y a más tardar en un plazo de 48 horas, de cualquier violación de datos personales conforme al Art. 33 RGPD.

§ 10 – Derechos de auditoría

(1) El Responsable del tratamiento tiene derecho a verificar el cumplimiento del presente contrato de manera razonable.

(2) El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria y permitirá auditorías incluidas inspecciones.

§ 11 – Vigencia y resolución

El presente contrato se aplica durante toda la duración del uso del servicio BonusFlow. Entra en vigor con el registro y finaliza con la eliminación de la cuenta de usuario.

§ 12 – Disposiciones finales

(1) Si alguna disposición del presente contrato resultara inválida, la validez de las disposiciones restantes no se verá afectada.

(2) Se aplica el derecho de la República Federal de Alemania.

(3) El fuero competente es Essen, Alemania.

Última actualización: Marzo 2026

Contacto para consultas sobre protección de datos: datenschutz@bonusflow.de