OrionBIMAcuerdo de Procesamiento de Datos (DPA)
Este Acuerdo de Procesamiento de Datos (DPA) regula el tratamiento de datos personales que OrionBIM Technologies realiza por cuenta del Cliente al prestar OrionBIM. Forma parte de los Términos de Servicio (/legal/terms) y se aplica cuando el Cliente está sujeto al GDPR, la LGPD u otra norma que exija un DPA.
Si necesitas una copia firmada del DPA o las Cláusulas Contractuales Estándar, escríbenos a legal@orionbim.com.
Tabla de contenidos
1. Definiciones
- Responsable del Tratamiento: el Cliente, que determina los fines y medios del tratamiento.
- Encargado del Tratamiento: OrionBIM Technologies, que trata los datos por cuenta del Cliente.
- Datos Personales: la información relativa a personas físicas identificadas o identificables tratada en el marco del servicio (conforme al art. 4 GDPR y normas equivalentes).
- Datos del Modelo BIM: datos técnicos de proyectos de construcción que pueden incluir datos personales (por ejemplo, de personal, propietarios o intervinientes).
- Subencargado: tercero contratado por el Encargado para tratar Datos Personales.
2. Alcance y Naturaleza del Tratamiento
- Objeto: la prestación del servicio de asistente BIM contratado.
- Naturaleza y finalidad: alojamiento, procesamiento y ejecución de acciones sobre el contexto del modelo y los datos de cuenta para prestar el servicio según las instrucciones del Cliente.
- Tipos de datos: datos de cuenta y de uso; y datos personales que pudieran contenerse en el contexto del modelo o en los documentos subidos.
- Categorías de interesados: usuarios del Cliente y personas cuyos datos figuren en los proyectos del Cliente.
- Duración: mientras esté vigente el contrato principal de suscripción.
3. Obligaciones de OrionBIM como Encargado
- Tratar los Datos Personales solo según las instrucciones documentadas del Cliente, salvo obligación legal (en cuyo caso se informará si la ley lo permite).
- Garantizar que el personal autorizado se obliga a la confidencialidad.
- Aplicar medidas técnicas y organizativas adecuadas (ver sección 6).
- No subcontratar sin autorización general del Cliente y bajo las condiciones de la sección 4.
- Asistir al Cliente, en la medida de lo posible, para atender solicitudes de los interesados (acceso, rectificación, supresión, etc.).
- Asistir al Cliente en sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.
- Notificar al Cliente sin demora indebida, y como máximo en 72 horas, cualquier violación de seguridad que afecte a Datos Personales.
- A elección del Cliente, suprimir o devolver los Datos Personales al finalizar el servicio, salvo conservación exigida por ley.
- Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.
4. Subencargados Autorizados
El Cliente autoriza con carácter general el recurso a los siguientes subencargados. Informaremos de cualquier alta o sustitución con antelación razonable, y el Cliente podrá oponerse por motivos justificados de protección de datos.
| Subencargado | Tratamiento | Ubicación | Privacidad |
|---|---|---|---|
| Supabase Inc. | Base de datos (PostgreSQL) y autenticación de cuentas. | EE. UU. | supabase.com/privacy |
| Groq, Inc. | Inferencia del modelo de lenguaje (procesa tus mensajes y el contexto del modelo necesario para componer y ejecutar acciones). | EE. UU. | groq.com/privacy-policy |
| Voyage AI | Generación de embeddings para la búsqueda semántica y la memoria del proyecto. | EE. UU. | voyageai.com/legal |
| Amazon Web Services, Inc. | Almacenamiento de archivos (instaladores, documentos subidos al analizador de BEP). | EE. UU. / global | aws.amazon.com/privacy |
| Railway Corp. | Infraestructura de cómputo y servicios auxiliares (caché y búsqueda vectorial). | EE. UU. | railway.com/legal/privacy |
| Stripe, Inc. | Procesamiento de pagos y gestión de suscripciones (no almacenamos los datos de tu tarjeta). | EE. UU. | stripe.com/privacy |
| Resend (Plus Five Five, Inc.) | Envío de correos transaccionales y de servicio. | EE. UU. | resend.com/legal/privacy-policy |
| Autodesk, Inc. | Autenticación opcional con tu cuenta de Autodesk (Autodesk Platform Services) cuando la habilitas. | EE. UU. | autodesk.com/company/legal-notices-trademarks/privacy-statement |
Impondremos a cada subencargado, por contrato, obligaciones de protección de datos equivalentes a las de este DPA.
5. Transferencias Internacionales
Cuando el tratamiento implique transferir Datos Personales fuera del EEE, Reino Unido u otra región con restricciones, aplicaremos un mecanismo de transferencia válido, principalmente las Cláusulas Contractuales Estándar (SCC) de la Comisión Europea y los addenda equivalentes para Reino Unido, junto con medidas complementarias.
Las SCC y la documentación de transferencia están disponibles a solicitud en legal@orionbim.com.
6. Medidas de Seguridad Técnicas y Organizativas
- Cifrado en tránsito mediante TLS.
- Cifrado en reposo a nivel de los proveedores de base de datos y almacenamiento.
- Control de acceso basado en roles y principio de mínimo privilegio.
- Registros de auditoría y monitoreo de la actividad.
- Copias de seguridad gestionadas por nuestros proveedores de infraestructura.
- Procedimientos de gestión de incidentes y notificación de brechas.
7. Vigencia
Este DPA está vinculado al contrato principal de suscripción y permanece vigente mientras OrionBIM trate Datos Personales por cuenta del Cliente. En caso de conflicto sobre el tratamiento de Datos Personales, este DPA prevalece sobre los Términos de Servicio.
Para formalizar el DPA o solicitar las SCC firmadas, contáctanos en legal@orionbim.com.