Data Processing Agreement (DPA)
Last updated: May 3, 2026
Este Acuerdo de Encargado del Tratamiento (Data Processing Agreement, "DPA") regula las condiciones del tratamiento de datos personales que Neurobyte Labs S.L. (CIF B27598747) realiza por cuenta de sus Clientes cuando éstos contratan la plataforma Rinqa, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD).
Este DPA forma parte integrante de los Términos de Servicio de Rinqa. Al activar el Servicio, el Cliente acepta este DPA.
1. Partes
- Responsable del Tratamiento: el Cliente que ha contratado la plataforma Rinqa, identificado en su cuenta.
- Encargado del Tratamiento: Neurobyte Labs S.L.(en adelante, "Rinqa").
2. Objeto del encargo
Rinqa tratará datos personales de los usuarios finales del Cliente (personas que interactúan con los agentes virtuales de voz o chat) con el único fin de prestar el Servicio contratado.
3. Naturaleza y finalidad del tratamiento
- Recepción y emisión de llamadas a través de telefonía VoIP.
- Transcripción de audio a texto (ASR).
- Procesamiento conversacional con modelos de lenguaje (LLM).
- Síntesis de texto a voz (TTS).
- Almacenamiento de grabaciones, transcripciones y registros de conversación.
- Gestión de bases de conocimiento e integraciones con sistemas del Cliente.
4. Tipos de datos personales y categorías de interesados
- Categorías de interesados: usuarios finales del Cliente (clientes, leads, pacientes, contactos comerciales, etc.).
- Tipos de datos: datos identificativos (nombre, número de teléfono, email), datos de comunicación (audio, transcripciones, mensajes de texto/WhatsApp), datos de gestión (citas, reservas, pedidos), datos que el usuario facilite voluntariamente al agente.
- Categorías especiales de datos (art. 9 RGPD): el Cliente declara y se compromete a que el uso del Servicio no implique de forma sistemática el tratamiento de datos especialmente protegidos (salud, origen étnico, orientación sexual, etc.). Si el Cliente prevé tratar estas categorías, debe notificarlo previamente a Rinqa para evaluar medidas adicionales.
5. Obligaciones de Rinqa como Encargado
- Tratar los datos siguiendo exclusivamente las instrucciones documentadas del Cliente. La configuración del agente y los parámetros del Servicio se consideran instrucciones del Cliente.
- Garantizar que el personal autorizado para tratar los datos se ha comprometido a respetar la confidencialidad o está sujeto a una obligación legal equivalente.
- Aplicar las medidas técnicas y organizativas descritas en la sección 9 (cifrado en tránsito y reposo, control de accesos, RLS multi-tenant, auditoría).
- Asistir al Cliente, mediante medidas técnicas y organizativas adecuadas, para responder a las solicitudes de ejercicio de derechos de los interesados.
- Asistir al Cliente en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD, incluyendo notificación de violaciones de seguridad y evaluaciones de impacto.
- A elección del Cliente, suprimir o devolver los datos personales una vez finalizada la prestación del Servicio, salvo obligación legal de conservación.
- Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir auditorías razonables (con preaviso de 30 días, no más de una vez al año salvo incidente de seguridad acreditado).
6. Notificación de violaciones de seguridad
Rinqa notificará al Cliente cualquier violación de la seguridad de los datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas tras tener conocimiento de ella, proporcionando al Cliente la información necesaria para que éste cumpla con sus obligaciones de notificación a la AEPD y, en su caso, a los interesados.
7. Subencargados (subprocessors)
El Cliente autoriza a Rinqa de forma general a contratar a terceros como subencargados para prestar el Servicio. La lista actual de subencargados es:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Telnyx LLC | Telefonía VoIP | EE.UU. / UE |
| Google LLC | Procesamiento de voz (transcripción, lenguaje y síntesis — Gemini Live) | EE.UU. |
| Stripe Payments Europe Ltd. | Pagos | Irlanda / EE.UU. |
| Cloudflare Inc. | Almacenamiento R2 / CDN | UE |
| Resend Inc. | Envío de emails | EE.UU. / UE |
| Hetzner Online GmbH | Hosting backend | Alemania |
| Vercel Inc. | Hosting frontend | EE.UU. / UE |
Rinqa firma con cada subencargado un contrato que impone obligaciones equivalentes a las contenidas en este DPA. Cualquier cambio sustancial de subencargados se notificará al Cliente con al menos 30 días de antelación. El Cliente puede oponerse por motivos razonables relacionados con la protección de datos; si la oposición impide la prestación del Servicio, el Cliente podrá rescindir el contrato sin penalización.
8. Transferencias internacionales
Las transferencias internacionales que se produzcan a subencargados fuera del EEE se realizan con las siguientes garantías adecuadas (Capítulo V RGPD):
- EU-US Data Privacy Framework para los proveedores certificados.
- Cláusulas Contractuales Tipo (Decisión 2021/914) para los no certificados, acompañadas de evaluaciones de impacto de transferencia (TIA) cuando proceda.
- Decisiones de adecuación (Reino Unido).
9. Medidas técnicas y organizativas
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Aislamiento multi-tenant con Row Level Security en PostgreSQL.
- Autenticación con JWT y tokens de refresco rotatorios.
- Control de accesos basado en roles (Owner, Admin, Supervisor, Agent, ReadOnly).
- Logging y auditoría de acciones sensibles.
- Backups cifrados automatizados.
- Pruebas periódicas de restauración y monitorización de integridad.
- Formación interna en protección de datos y seguridad.
10. Plazo y fin del tratamiento
Este DPA permanecerá en vigor mientras el Cliente mantenga una cuenta activa en Rinqa. Al finalizar el Servicio, Rinqa eliminará o devolverá los datos según indique el Cliente, en los plazos indicados en la Política de Privacidad, salvo obligación legal de conservación.
11. Contacto
Para cualquier asunto relacionado con este DPA o solicitar copia firmada, escríbenos a hola@rinqa.com.