Addendum de Procesamiento de Datos

1. Alcance y aplicabilidad

Este DPA aplica a los datos personales que el Responsable envía a Mycelium para procesamiento bajo la carta de compromiso, incluyendo datos ingestados a través de los conectores del motor de ejecución y datos enviados a través del formulario de consulta. Aplica independientemente de si el Responsable está establecido dentro o fuera del Espacio Económico Europeo.

2. Roles

El Responsable determina los fines y los medios del procesamiento de datos personales. El Encargado procesa los datos personales según las instrucciones del Responsable, sujeto a la carta de compromiso y a este DPA. Cuando el Responsable actúa como encargado para un cliente final, el Encargado es un subencargado.

3. Subprocesadores

La lista actual de subprocesadores es:

• Vercel Inc.: alojamiento, entrega edge (Estados Unidos)
• Resend, Inc.: correo transaccional (Estados Unidos)
• PostHog, Inc.: analítica de producto (Estados Unidos; instancia EU disponible)
• Anthropic PBC: cómputo de LLM, opt-in por tenant (Estados Unidos)
• OpenAI, OpenRouter, MiniMax: cómputo de LLM, opt-in por tenant (Estados Unidos)

El Encargado dará al Responsable un aviso de no menos de treinta días antes de añadir o reemplazar a un subprocesador. El Responsable puede objetar por motivos razonables; si las partes no pueden ponerse de acuerdo, el Responsable puede terminar la carta de compromiso sin penalidad.

4. Transferencias internacionales

Cuando los datos personales de interesados del EEE, el Reino Unido o Suiza son transferidos fuera del EEE o el Reino Unido, las partes incorporan las Cláusulas Contractuales Tipo de la UE (Módulo Dos, Decisión de Ejecución de la Comisión UE 2021/914 del 4 de junio de 2021) y el Addendum de Transferencia Internacional de Datos del Reino Unido (Versión B1.0, en vigor desde el 21 de marzo de 2022). El Módulo Tres aplica cuando el Responsable es a su vez un encargado.

5. Seguridad

El Encargado mantiene medidas técnicas y organizativas apropiadas al riesgo: TLS 1.3 en tránsito; AES-256 en reposo; alcance por tenant en cada solicitud, llamada de herramienta y webhook; autenticación JWT multi-tenant; un registro de auditoría de cada evento de lectura, escritura y síntesis; webhooks validados con HMAC; una cola asíncrona de reintento en memoria con retroceso exponencial y una carpeta dead-letter por tenant; endpoint de replay solo para administrador; divulgación de vulnerabilidades en security@mycelium-ai.co.

6. Derechos de los interesados

El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del procesamiento y la información disponible, en el cumplimiento de las obligaciones del Responsable de responder a solicitudes de interesados bajo la ley aplicable (Artículos 12 a 23 del RGPD; CCPA; LGPD). El soporte estándar está incluido en el compromiso; las solicitudes complejas o de gran volumen pueden conllevar un cargo adicional, nombrado por adelantado.

7. Violación de datos personales

El Encargado notificará al Responsable cualquier violación de datos personales que afecte los datos del Responsable sin demora indebida y en cualquier caso dentro de setenta y dos horas después de tener conocimiento de ella, con información suficiente para permitir al Responsable cumplir con sus obligaciones de notificación de violaciones.

8. Auditoría

El Responsable puede, no más de una vez por año calendario y con aviso por escrito de treinta días, auditar el cumplimiento del Encargado con este DPA. El Encargado responderá a solicitudes razonables de cuestionarios de seguridad sin costo; las auditorías en sitio corren por cuenta del Responsable.

9. Devolución o eliminación

Al terminarse la carta de compromiso, el Encargado, a elección del Responsable, devolverá o eliminará todos los datos personales dentro de noventa días, excepto cuando la retención sea requerida por la ley aplicable.

10. Conflicto

En caso de conflicto entre este DPA y la carta de compromiso, este DPA prevalece respecto al procesamiento de datos personales. En caso de conflicto con las Cláusulas Contractuales Tipo de la UE incorporadas bajo la Sección 4, las CCT prevalecen.