El presente Acuerdo de Tratamiento de Datos (“DPA”), anexo a las Condiciones Generales para el uso del Software y de los Servicios “Keplero AI”, regula las normas para el tratamiento de los Datos Personales en el ámbito de la ejecución del Contrato y se celebra entre el Cliente (“Responsable”) y Keplero AI SRL, con domicilio social en Via Migliara 50 Sx, 3211, Pontinia (LT), NIF  03251240598 (“Encargado”).

El Responsable y el Encargado, en adelante indicados individualmente también como “Parte” y, conjuntamente, como “Partes”.
‍

CONSIDERANDO QUE:

1. el Responsable, con la compra de una suscripción al Software y a los Servicios “Keplero AI”, ha aceptado las Condiciones Generales que regulan su uso (“Contrato”) – de las que el presente DPA constituye un anexo, así como parte integrante y sustancial;

2. el Encargado declara ser consciente de que los tratamientos de Datos Personales vinculados al cumplimiento de sus propias obligaciones derivadas de la ejecución del Contrato, serán efectuados según las instrucciones impartidas por el Responsable, con respeto del RGPD y de todas las disposiciones/provvedimenti emitidas por las autoridades nacionales para la protección de los datos personales (“Normativa de Privacidad”);

3. el Encargado ha sido identificado por el Responsable como un sujeto dotado de la experiencia, fiabilidad y capacidad necesarias para desempeñar el papel de Encargado de los Tratamientos de Datos Personales previstos en el presente DPA;

4. la ejecución del Contrato implica el Tratamiento de Datos Personales de titularidad del Responsable por parte del Encargado.
   ‍

POR TODO LO ANTERIOR, EL RESPONSABLE OTORGA A Keplero AI SRL

El encargo de encargado del tratamiento de los Datos Personales en el sentido y a los efectos del art. 28 del RGPD en ejecución del Contrato, según los límites y en los términos que se especifican a continuación.
‍

1. Definiciones

1. Además de lo expresamente definido en otros apartados del presente DPA y del Contrato, los siguientes términos, en letra mayúscula, deberán entenderse según el significado que se les atribuye en el presente Artículo:“Datos Personales” indica cualquier información relativa a un Interesado (tal y como se define a continuación).

2. “Categorías Especiales de Datos” indica los Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de los Interesados (tal y como se definen a continuación).

3. “Autoridad de Control Italiana de Protección de Datos” indica la autoridad italiana de garantía para la protección de los datos personales.

4. “RGPD” indica el Reglamento (UE) 2016/679 (el “RGPD”).

5. “Interesados” indica las personas físicas identificadas o identificables a las que se refieren los Datos Personales (se considerará identificable la persona física que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos relativos a la ubicación, un identificador en línea o uno o varios elementos característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social);

6. “Tratamiento” indica cualquier operación o conjunto de operaciones realizadas con o sin la ayuda de procesos automatizados y aplicadas a Datos Personales o a conjuntos de Datos Personales, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o modificación, la extracción, la consulta, el uso, la comunicación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, la comparación o interconexión, la limitación, la supresión o la destrucción;

7. “Subencargado” indica una persona jurídica, empresario individual o profesional independiente encargado por el Encargado de realizar por cuenta del Responsable actividades de Tratamiento de Datos Personales; y

8. “Violación de los Datos Personales” indica una violación de seguridad que provoque accidentalmente o de forma ilícita la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales transmitidos, conservados o en cualquier caso tratados.
   ‍

2. Objeto del encargo al Encargado

1. Keplero AI SRL se compromete a actuar como encargado del tratamiento en virtud del art. 28 del RGPD para las finalidades indicadas en el siguiente Artículo 4, de conformidad con la normativa en materia de protección de datos personales aplicable en cada momento, así como con los términos e instrucciones establecidos en el presente DPA.
   ‍

3. Categorías de Datos Personales objeto del Tratamiento e Interesados

3.1. En la ejecución del Contrato y a los efectos del presente DPA, el Encargado tratará las siguientes categorías de Datos Personales:

1. Datos Personales identificativos (a título ejemplificativo, nombre, apellidos, fecha de nacimiento, edad, género); 

2. Datos Personales de contacto (a título ejemplificativo, e-mail, teléfono, residencia, domicilio); 

3. Datos bancarios; 

4. Datos relativos a adquisiciones de productos y servicios; 

5. Datos relativos a solicitudes de información y asistencia; 

6. Categorías Especiales de Datos (a título ejemplificativo, datos sanitarios, el origen étnico, discapacidad). 

3.2. El Encargado estará obligado a verificar regularmente que los Datos Personales sean exactos, completos y no excesivos para las finalidades indicadas en el siguiente Artículo 4, comunicando por escrito al Responsable las posibles necesidades de modificación, actualización, corrección o supresión de los Datos Personales tratados.

3.3. Previa solicitud escrita del Responsable, el Encargado se compromete, en el menor tiempo posible y, en cualquier caso, no superior a 15 (quince) días a contar desde la recepción de la solicitud transmitida por el Responsable, a actualizar, modificar, corregir o suprimir los Datos Personales tratados.

3.4. Los Datos Personales tratados por el Encargado se refieren a personas físicas que solicitan asistencia a través del Software Keplero AI y están, a diversos efectos, vinculadas al Responsable (a título ejemplificativo, clientes, clientes potenciales, usuarios, proveedores).
‍

4. Finalidad del Tratamiento por parte del Encargado

4.1. El Encargado, dentro de los límites previstos por el Contrato y por el presente DPA, tratará los Datos Personales por cuenta del Responsable para las siguientes finalidades:

1. ejecución del Contrato;

2. gestión de la relación contractual y comercial con el Responsable;

3. cumplimiento de eventuales obligaciones legales a las que esté sujeto el Encargado.
   ‍

5. Obligaciones del Encargado

5.1. El Encargado estará obligado a respetar las obligaciones previstas por el Contrato y por el presente DPA. En particular, el Encargado deberá:

1. respetar las obligaciones previstas por la Normativa de Privacidad;

2. respetar íntegramente las instrucciones impartidas por el Responsable del tratamiento; 

3. implementar medidas técnicas y organizativas para garantizar un nivel de seguridad del tratamiento de los Datos Personales adecuado al riesgo, de conformidad con las instrucciones recibidas por el Responsable del Tratamiento;

4. implementar las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, la disponibilidad y la integridad de los sistemas de información utilizados en las actividades de tratamiento;

5. mantener por escrito el registro de las actividades de tratamiento de los Datos Personales; 

6. comunicar al Responsable, sin demora injustificada, cualquier dato y/o información relativos a reclamaciones y/o comprobaciones con los interesados y/o con las Autoridades de control y/o con otras Autoridades judiciales y/o administrativas en relación con las actividades de tratamiento previstas por el presente DPA; 

7. informar al Responsable del tratamiento de toda solicitud de los Interesados relativa al ejercicio de los derechos previstos por el RGPD, sin demora, con el fin de cumplir la obligación del Responsable de dar curso a dichas solicitudes dentro de los plazos previstos por la Normativa de Privacidad; 

8. asegurarse de que el personal que realizará las operaciones de Tratamiento esté debidamente formado en materia de protección de los Datos Personales y sujeto a obligaciones de confidencialidad en lo que respecta al tratamiento de los Datos Personales propiedad del Responsable.

9. no utilizar los Datos Personales tratados por cuenta del Responsable para fines propios, incluido, a título ejemplificativo y no exhaustivo, el entrenamiento, desarrollo o mejora de modelos de inteligencia artificial, algoritmos de machine learning o sistemas automatizados propiedad del Encargado o de terceros;

10. garantizar que los Subencargados a los que se refiere el Artículo 7, incluidos los proveedores de modelos de inteligencia artificial utilizados en la prestación del Servicio (a título ejemplificativo, OpenAI, Anthropic), estén contractualmente vinculados por la misma prohibición de utilizar los Datos Personales para fines de entrenamiento de modelos de IA o para cualquier otra finalidad no estrictamente necesaria para la ejecución del Contrato;
    ‍

6. Tratamiento de Datos Personales hacia Terceros Países

6.1. El Encargado estará obligado a efectuar el Tratamiento utilizando, en la medida de lo posible, servidores ubicados dentro del territorio de la Unión Europea, evitando, si no es estrictamente necesario, cualquier transferencia hacia terceros países extra-UE.

6.2. Sin perjuicio de lo anterior, la transferencia de los Datos Personales tratados por el Encargado por cuenta del Responsable estará permitida en presencia de una decisión de adecuación por parte de la Comisión Europea, o de la adopción de las medidas adecuadas a que se refiere el artículo 46 del RGPD.
‍

7. Nombramiento de subencargados del tratamiento

7.1. El Responsable, mediante la firma del presente DPA, autoriza al Encargado a recurrir a sujetos externos para las actividades de tratamiento de datos necesarias para la ejecución del Contrato, nombrándolos como subencargados del tratamiento. El Encargado se compromete a vincular a dichos sujetos por las mismas obligaciones asumidas con el presente DPA frente al Responsable.

7.2. El Encargado se compromete a seleccionar subencargados que, por su experiencia, capacidad y fiabilidad, ofrezcan garantías suficientes para implementar medidas técnicas y organizativas de seguridad adecuadas, de modo que el Tratamiento cumpla los requisitos de la normativa aplicable en cada momento y garantice la protección de los derechos de los Interesados, también de conformidad con lo establecido en el presente DPA.
‍

8. Duración

8.1. El presente DPA será eficaz a partir de la fecha de aceptación del Contrato, del que el presente DPA es un anexo, y permanecerá en vigor durante toda la duración del citado Contrato. A la expiración, resolución, desistimiento o terminación por cualquier causa del Contrato, el presente DPA cesará automáticamente en sus efectos, sin necesidad de notificación alguna.

8.2. Salvo obligación legal o reglamentaria distinta, a la expiración del Contrato, el Encargado dejará de tratar los Datos Personales propiedad del Responsable y devolverá al Responsable todos los materiales – de cualquier clase y naturaleza y en cualquier formato – que contengan Datos Personales a los que haya tenido acceso y que le hayan sido entregados en la ejecución del Contrato.
‍

9. Violación de los Datos Personales

9.1. En caso de que se produjera una Violación de los Datos Personales tratados por el Encargado por cuenta del Responsable, incluso como consecuencia de la conducta de eventuales subencargados, el Encargado se compromete a:

1. informar al Responsable sin demora injustificada y, en cualquier caso, no más tarde de 36 (treinta y seis) horas desde la producción del evento; y

2. preparar y actualizar un registro en el que se describa la naturaleza de las Violaciones de los Datos Personales producidas, los Interesados implicados, las posibles consecuencias, así como las medidas de seguridad implantadas, también de común acuerdo con el Responsable, para limitar los efectos negativos del evento y restablecer la situación anterior a dicha violación.

9.2. Queda entendido que cualquier notificación al Garante Privacy y a los Interesados, cuando sea necesaria, correrá a cargo del Responsable y el Encargado se compromete desde ahora a prestar el apoyo razonablemente necesario.
‍

10. Modalidades de Comunicación

10.1. Las comunicaciones recíprocas contempladas o solicitadas por el presente DPA, así como todas aquellas que Responsable y Encargado mantengan en relación con el mismo, se efectuarán por escrito, conforme a las modalidades y a las direcciones indicadas en el Contrato.

‍

11. Ley aplicable y fuero competente

1. Las disposiciones contenidas en el presente DPA se regirán por la Ley Italiana.

2. Cualquier controversia relativa a la validez, eficacia, interpretación y ejecución del presente DPA será sometida a la competencia exclusiva e inderogable del Juzgado de Milán.