Legal — DPA

Contrato de Encargo de Tratamiento

Última actualización: 22 de mayo de 2026 · Versión 1.0 · CCT UE, Módulo 2 (Responsable a Encargado)

Aviso: esta traducción está pendiente de revisión legal. En caso de discrepancia, prevalece la versión en inglés.

Este DPA se incorpora por referencia al Contrato Marco de Servicios o al Formulario de Pedido firmado entre Kairos y el Cliente. Para recibir una copia firmada, escriba a patricio@kairos.rest.

Descarga en PDF próximamente

Preámbulo

Este Contrato de Encargo de Tratamiento ("DPA") se celebra entre el Cliente identificado en el Formulario de Pedido aplicable ("Responsable") y MUR Data Solutions S.L., marca comercial Kairos ("Encargado").

Este DPA se aplica cuando el Encargado trata datos personales por cuenta del Responsable en el marco de la prestación del servicio de la plataforma Kairos e incorpora las Cláusulas Contractuales Tipo de la Comisión Europea, Módulo 2 (Responsable a Encargado), Decisión de Ejecución (UE) 2021/914 de la Comisión.

1. Definiciones

Los términos tienen el significado que les otorga el RGPD (Reglamento (UE) 2016/679). Además:

  • "Datos Personales" — según se define en el Art. 4(1) RGPD
  • "Subencargado" — cualquier tercero contratado por el Encargado para tratar Datos Personales por cuenta del Responsable
  • "Incidente de Seguridad" — cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración o divulgación no autorizada, accidental o ilícita, de Datos Personales

2. Objeto y duración

El Encargado trata Datos Personales por cuenta del Responsable con el fin de prestar el Servicio descrito en el MSA o Formulario de Pedido aplicable. Este DPA comienza en la fecha de efecto de dicho acuerdo y finaliza con su vencimiento o terminación anticipada.

3. Naturaleza y finalidad del tratamiento

El Encargado tratará Datos Personales exclusivamente para prestar el Servicio, incluyendo: la ingesta y el análisis de datos operativos del restaurante; la ejecución de inferencia de IA sobre prompts con datos personales redactados; la generación de informes e insights; y la provisión del panel de la plataforma a los usuarios autorizados.

4. Tipos de datos personales y categorías de interesados

InteresadoTipos de datos personales
Personal del restauranteNombre, datos laborales, salario (cuando se trata mediante el módulo de personal)
Clientes/comensalesNombres de autores en reseñas públicas (redactados antes del procesamiento por LLM)
Contactos del clienteNombre, dirección de email, cargo
Usuarios de la plataformaNombre, email, actividad de inicio de sesión (recopilados directamente por el Encargado vía Clerk)

5. Obligaciones del Encargado

El Encargado deberá:

  1. Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable (estos Términos constituyen dichas instrucciones), salvo que lo exija el Derecho de la Unión o de los Estados miembros
  2. Garantizar que las personas autorizadas para tratar Datos Personales estén sujetas a obligaciones de confidencialidad vinculantes
  3. Implementar medidas técnicas y organizativas adecuadas conforme al Art. 32 RGPD (véase Anexo II)
  4. No contratar Subencargados sin autorización previa (autorización general otorgada al aceptar este DPA; lista actual en kairos.rest/subprocessors)
  5. Asistir al Responsable en el cumplimiento de las solicitudes de derechos de los interesados conforme al Capítulo III RGPD
  6. Asistir al Responsable en el cumplimiento de las obligaciones de los Arts. 32–36 RGPD (seguridad, notificación de violaciones, evaluación de impacto, consulta previa)
  7. A elección del Responsable, eliminar o devolver todos los Datos Personales al finalizar, y eliminar las copias existentes, salvo que la ley exija su conservación
  8. Poner a disposición toda la información necesaria para demostrar el cumplimiento; cooperar con auditorías (máximo una vez al año, con 30 días de preaviso, a cargo del Responsable)

6. Subencargados

El Responsable otorga autorización general para contratar a los Subencargados enumerados en kairos.rest/subprocessors. El Encargado notificará al Responsable con al menos 30 días de antelación antes de añadir o sustituir un Subencargado. El Encargado impone obligaciones de protección de datos a cada Subencargado no menos protectoras que las de este DPA.

7. Transferencias internacionales

Cuando los Datos Personales se transfieran a un Subencargado fuera del EEE, el Encargado se basa en las garantías descritas en la Política de Privacidad §5 (DPF UE-EE. UU. o CCT). Estas CCT se incorporan a este DPA por referencia.

8. Notificación de incidentes de seguridad

El Encargado notificará al Responsable sin dilación indebida y dentro de las 72 horas siguientes a tener conocimiento de un Incidente de Seguridad que afecte a los Datos Personales bajo este DPA. La notificación incluirá: naturaleza del incidente; categorías y número aproximado de interesados afectados; consecuencias probables; medidas adoptadas o propuestas.

9. Vigencia y terminación

Este DPA está coordinado en su vigencia con el MSA o Formulario de Pedido subyacente. Al finalizar, se aplica la Sección 5(g) (eliminación/devolución de datos). Las Secciones 5, 7 y 8 sobreviven a la terminación en la medida exigida por la legislación aplicable.

Anexo I.A — Partes

ResponsableEncargado
Nombre[Razón social del Cliente según Formulario de Pedido]MUR Data Solutions S.L., marca comercial Kairos
Dirección[Dirección del Cliente según Formulario de Pedido]Torrent de l'Olla 121, 1º 2ª, CP 08012 Barcelona, España
CIF[NIF/CIF del Cliente]B19837715
Contacto[DPO o contacto legal del Cliente]patricio@kairos.rest
RolResponsableEncargado

Anexo I.B — Descripción de la transferencia

Los datos personales se transfieren del Responsable al Encargado con el fin de prestar la plataforma de inteligencia para restaurantes Kairos. Las categorías de datos y de interesados se enumeran en la Sección 4. El tratamiento es continuo durante la duración de la suscripción.

Anexo I.C — Autoridad de control competente

La autoridad de control competente es la Agencia Española de Protección de Datos (AEPD), España, de conformidad con la Cláusula 13 de las CCT.

Anexo II — Medidas técnicas y organizativas de seguridad (Art. 32 RGPD)

  • Cifrado en reposo: base de datos cifrada mediante Prisma Postgres; objetos S3 cifrados con AES-256
  • Cifrado en tránsito: TLS 1.2+ obligatorio en todas las conexiones
  • Control de acceso: RBAC mediante Clerk; principio de mínimo privilegio; MFA obligatorio para cuentas de administración
  • Redacción de datos personales: los datos de reseñas de clientes se redactan antes de cualquier llamada de inferencia LLM
  • Monitorización de errores: Sentry configurado con reglas de eliminación de datos personales
  • Registro de auditoría: los eventos clave de acceso a datos se registran con marca de tiempo e ID de usuario
  • Copias de seguridad: copias de seguridad rotativas de 30 días; restauración probada trimestralmente
  • Gestión de vulnerabilidades: escaneo de dependencias en el pipeline de CI; parches críticos aplicados en un plazo de 7 días
  • Respuesta a incidentes: procedimiento documentado; SLA de notificación de 72h al Responsable
  • Personal: todo el personal con acceso a datos personales está sujeto a acuerdos de confidencialidad

Anexo III — Subencargados autorizados

Véase kairos.rest/subprocessors para la lista actual de Subencargados autorizados. El Responsable será notificado de los cambios conforme a la Sección 6 de este DPA.