krinIA
IT ES
Italiano Español

Accordo sul trattamento dei dati (DPA)

Accordo sul trattamento dei dati personali

Accordo ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR) tra il tuo salone (Titolare del trattamento) e Krinia by Clanksy (Responsabile del trattamento). Disciplina come krinIA tratta i dati personali dei clienti del tuo salone.

Versione v1.2, in vigore dal 2 luglio 2026. L'accettazione avviene per via elettronica (clickwrap) nella dashboard o nell'app, e viene registrata con versione, hash SHA-256 del documento, data e ora, identita' dell'accettante, IP e user agent.
Hash SHA-256 di questa versione: d36e0fd00fb1cc7cf707ea8fee3bbf4607d161e8da19b6843793b9a6bd99a979
Le Parti

Titolare del trattamento (il "Titolare"): il salone (attivita' di estetica, parrucchiere, barberia o benessere) che accetta il presente Accordo. L'identita' completa (denominazione legale, P.IVA/C.F. o NIF, sede, email, legale rappresentante) e' dichiarata dal Titolare all'atto dell'accettazione elettronica e registrata nel record di accettazione, insieme a timestamp UTC, IP, user agent e hash SHA-256 del documento. Il sistema non precompila questi dati.

Responsabile del trattamento (il "Responsabile"): Andrea Emanuele, lavoratore autonomo stabilito in Spagna, NIF Z2547626J, Calle Marva 12, planta 7, puerta 14, 46007 Valencia, Spagna, operante con denominazione commerciale "Clanksy" (prodotto "Krinia by Clanksy"). Contatto legale e privacy: [email protected].

Premesse
a) Il Titolare gestisce un salone e usa il servizio Krinia (WhatsApp + agente AI) per la relazione con i clienti. Nell'erogarlo, il Responsabile tratta dati personali di cui il Titolare e' titolare; le Parti stipulano questo Accordo ex art. 28 GDPR.
b) Il Titolare e' stabilito nel SEE (in particolare Italia o Spagna): il rapporto tra Titolare e Responsabile (Spagna) e' un trattamento intra-SEE, non un trasferimento verso paese terzo (Capo V). Le Clausole Contrattuali Tipo (SCC) rilevano solo per i sub-responsabili fuori dal SEE (Allegato C).
c) Questo Accordo prevale su ogni pattuizione contrastante in materia di protezione dati. Non contiene limitazioni di responsabilita' ne' foro derogatorio: si applica il foro di legge.
Art. 1. Definizioni
I termini dell'art. 4 GDPR si applicano come ivi definiti. "Dati art. 9": note sullo stato di salute (controindicazioni, allergie, condizioni mediche rilevanti per i trattamenti estetici). "Infrastruttura UE": server e servizi localizzati nel SEE, senza transito del dato in chiaro verso paesi terzi.
Art. 2. Oggetto, durata, dati e interessati
2.1 Il Responsabile tratta i dati solo per erogare Krinia al Titolare, su sue istruzioni documentate (questo Accordo + Allegato A). Il trattamento dura quanto il rapporto di servizio.
2.2 Finalita' e natura: prenotazioni e assistenza via WhatsApp e voce, promemoria e riattivazione, profilazione di base, reportistica al Titolare (dettaglio in Allegato A).
2.3 Interessati: clienti, potenziali clienti e contatti del salone.
2.4 Dati: identificativi e di contatto (nome, telefono, eventuale email), storico appuntamenti/servizi, preferenze, contenuto dei messaggi, consenso marketing.
Art. 3. Categorie particolari (art. 9 GDPR)
3.1 Su esplicita istruzione del Titolare e previo consenso esplicito dell'interessato (art. 9(2)(a)), il servizio puo' trattare note di salute come controindicazioni. La raccolta avviene in un campo strutturato; un gate tecnico impedisce di salvare o usare la nota senza il flag di consenso per-cliente. Il Titolare garantisce di raccogliere e tracciare tale consenso (modulo "Consenso art. 9(2)(a), note di salute clienti", documento separato).
3.2 I dati art. 9 sono trattati su infrastruttura UE end-to-end (LLM, embeddings, voce): nessun dato art. 9 transita in chiaro verso provider extra-SEE. Sul canale WhatsApp (extra-SEE per natura) il Responsabile minimizza l'inclusione di dati art. 9 nel payload.
3.3 Garanzie rafforzate: accesso ristretto al solo personale autorizzato del Titolare; nessun uso per marketing o profilazione; cifratura o pseudonimizzazione a livello di campo; nessuna indicizzazione negli embeddings verso provider extra-SEE; cancellazione di singole note su richiesta del Titolare senza ritardo (SLA 30 giorni, art. 9 del presente Accordo).
Art. 4. Istruzioni e riservatezza
4.1 Il Responsabile tratta i dati solo su istruzioni documentate del Titolare, comprese quelle sui trasferimenti (Allegato C), salvo obblighi di legge (di cui informa il Titolare se non vietato). Informa il Titolare se ritiene che un'istruzione violi il GDPR.
4.2 Le persone autorizzate al trattamento sono vincolate alla riservatezza; l'accesso e' limitato a chi ne ha effettiva necessita'.
Art. 5. Misure di sicurezza (art. 32)
Il Responsabile adotta misure tecniche e organizzative adeguate al rischio (Allegato B): cifratura in transito e a riposo, controllo accessi per ruolo, isolamento multi-tenant per business, backup cifrati, log di accessi ed eventi. Riesame almeno annuale.
Art. 6. Sub-responsabili
6.1 Il Titolare autorizza in via generale i sub-responsabili elencati in Allegato C. Il Responsabile impone loro per contratto obblighi di protezione dati equivalenti a questo Accordo e resta pienamente responsabile del loro operato verso il Titolare.
6.2 Il Responsabile comunica ogni aggiunta o sostituzione di sub-responsabili con almeno 30 giorni di preavviso; il Titolare puo' opporsi per motivi ragionevoli di protezione dati e, se l'opposizione non e' risolta, recedere senza penali.
Art. 7. Trasferimenti verso paesi terzi
7.1 Dati a riposo: database PostgreSQL in regione UE (europe-west4, Amsterdam). Backup cifrati lato client (AES-256, chiavi del solo Responsabile in UE) su storage a giurisdizione UE (Cloudflare R2 "European Union").
7.2 Elaborazioni AI: LLM ed embeddings sui dati cliente su Google Vertex AI con endpoint UE; voce (orchestrazione, STT, TTS) su deployment europei (Allegato C). WhatsApp Ireland (canale) si appoggia all'EU-US Data Privacy Framework (DPF) per eventuali flussi USA.
7.3 Trasferimenti residui su SCC: per i sub-responsabili che operano su Clausole Contrattuali Tipo (Mod. 3, Dec. UE 2021/914) il Responsabile mantiene una Transfer Impact Assessment (TIA) (EDPB Rec. 01/2020), disponibile su richiesta. I dati art. 9 non sono inclusi nei payload verso sub-responsabili extra-SEE.
7.4 Fallback DPF: se la decisione di adeguatezza EU-US DPF fosse invalidata, il Responsabile passa a SCC + misure supplementari entro 30 giorni dalla pubblicazione, o sospende il trasferimento se non adeguatamente proteggibile.
Art. 8. Assistenza al Titolare (diritti, violazioni, DPIA)
8.1 Diritti degli interessati (artt. 12-22): il Responsabile assiste il Titolare con misure adeguate e gli inoltra senza ritardo le richieste ricevute direttamente.
8.2 Violazioni (artt. 33-34): il Responsabile notifica al Titolare ogni violazione senza ritardo e comunque entro 48 ore dalla scoperta, con natura, categorie e numero di interessati, contatto, conseguenze probabili e misure adottate (anche in piu' fasi). La notifica all'autorita' di controllo competente entro 72 ore (Garante per la protezione dei dati personali per i Titolari stabiliti in Italia, AEPD per quelli stabiliti in Spagna) resta in capo al Titolare.
8.3 DPIA (artt. 35-36): il trattamento delle note art. 9 richiede una DPIA del Titolare prima dell'avvio; il Responsabile fornisce su richiesta le informazioni tecniche necessarie (flussi, sub-responsabili, misure, log) e informa il Titolare di variazioni significative dell'architettura che impattino il trattamento art. 9.
Art. 9. Restituzione e cancellazione
9.1 A fine servizio, entro 30 giorni dalla richiesta, il Responsabile: (a) esporta e consegna tutti i dati in CSV o JSON; (b) cancella i dati dal sistema attivo; (c) cancella i backup entro i cicli di rotazione e comunque entro 90 giorni; (d) rilascia attestazione, salvo obblighi di legge. Le chiavi di cifratura dei backup sono distrutte con l'ultimo backup che le usa.
9.2 Le richieste di cancellazione dell'interessato (art. 17) sono gestite con SLA 30 giorni e tracciate in un registro dedicato.
Art. 10. Audit (art. 28(3)(h))
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare la conformita' e consente audit (anche tramite auditor incaricato), con preavviso ragionevole (minimo 15 giorni lavorativi) e nel rispetto della sicurezza degli altri clienti.
Art. 11. Responsabilita'
Ciascuna Parte risponde ex art. 82 GDPR. La responsabilita' del Responsabile sussiste quando non abbia adempiuto agli obblighi del GDPR specificamente diretti ai responsabili o abbia agito in difformita' dalle istruzioni legittime del Titolare. Nessun cap di responsabilita' ne' foro derogatorio; si applica il foro di legge.
Art. 12. Accettazione elettronica e audit trail
12.1 L'Accordo puo' essere accettato per via elettronica nel sistema Krinia, ex art. 28(9) GDPR e Regolamento eIDAS (UE) 910/2014; per i Titolari stabiliti in Italia vale anche l'art. 20 D.Lgs. 82/2005 (CAD). L'accettazione elettronica equivale alla firma.
12.2 Per ogni accettazione il sistema registra: (a) nome, ruolo e potere di rappresentanza dell'accettante; (b) Titolare rappresentato; (c) versione del documento e hash SHA-256; (d) timestamp UTC; (e) IP e user agent; (f) una copia durevole del documento nella versione accettata, conservata dal Responsabile e disponibile al Titolare (il testo integrale e' pubblicato in ogni versione su questa pagina).
12.3 L'audit trail e' conservato almeno 5 anni (o per la durata del rapporto se superiore) ed e' disponibile al Titolare su richiesta.
Art. 13. Disposizioni finali
13.1 Sopravvivenza: le clausole che per natura devono sopravvivere (artt. 4, 9, 10, 11) restano efficaci dopo la cessazione. Questo Accordo prevale su accordi contrastanti in materia.
13.2 Aggiornamenti: comunicati con almeno 30 giorni di preavviso; il Titolare puo' chiedere modifiche o recedere senza penali.
13.3 DPO: il Responsabile ha valutato non obbligatoria la nomina di un DPO (art. 37; il trattamento non e' attivita' principale ne' su larga scala ex WP243). Contatto: [email protected].
Allegato A. Dettaglio del trattamento
VoceContenuto
Finalita'Prenotazioni, promemoria, riattivazione, assistenza clienti, reportistica
InteressatiClienti e contatti del salone
DatiIdentificativi, contatto, storico appuntamenti/servizi, contenuto messaggi, consenso marketing
Categorie particolari (art. 9)Note di salute (controindicazioni), accesso ristretto, solo su istruzione + consenso esplicito
Conservazione (generali)Durata del servizio + 12 mesi (obblighi contabili); messaggi WhatsApp 24 mesi o fino a cancellazione
Conservazione (art. 9)Durata rapporto cliente + 6 mesi; cancellazione immediata su richiesta o revoca consenso
Conservazione (log AI/audit)24 mesi, poi anonimizzazione/cancellazione
Localizzazione a riposoUE (europe-west4, Amsterdam)
Elaborazioni AIUE (Google Vertex AI, endpoint europeo)
Allegato B. Misure tecniche e organizzative (art. 32)
Cifratura in transito (TLS 1.2+) e a riposo (colonne sensibili). Isolamento multi-tenant per business: nessuna lettura cross-business. Controllo accessi per ruolo; credenziali in store dedicato, mai nel codice. Backup cifrati lato client (AES-256, RPO 24h), chiavi del solo Responsabile in UE, su bucket a giurisdizione UE. Log delle chiamate AI (task, provider, latenza, token, costo) ed eventi di trattamento. Voce: nessuna registrazione audio; trascrizione solo runtime, cancellata a fine chiamata. Classificatore inbound per marker di salute con trattamento rafforzato. Gate tecnico consenso art. 9: nessuna nota di salute senza flag di consenso per-cliente. Gestione violazioni con notifica al Titolare entro 48 ore. Riesame annuale.
Allegato C. Sub-responsabili

Elenco valido alla data di accettazione, mantenuto dal Responsabile e comunicato con 30 giorni di preavviso in caso di variazioni (art. 6.2).

Sub-responsabileEntita' / sedeRuoloTrasferimentoArt. 9?
Google Cloud (Vertex AI)Google Ireland Ltd, Dublino (IE)LLM (Gemini EU), embeddings, AIIntra-SEE, endpoint UESi' (solo infra UE)
CloudflareCloudflare, Inc., USABackup R2 (dump cifrati + allegati immagine), hosting dashboard, instradamento email inboundEU-US DPF; storage a giurisdizione UENo (dump cifrati)
BrevoSendinblue SAS (Brevo), Parigi (FR)Email transazionali del servizioSede UE (FR); intra-SEENo
WhatsApp IrelandWhatsApp Ireland Ltd, Dublino (IE)Canale messaggistica WhatsApp Cloud APISede SEE; EU-US DPF per flussi USAParziale (testo messaggio; art. 9 minimizzato)
RailwayRailway Corporation, USA (storage UE europe-west4)Hosting n8n + PostgreSQL (regione UE)SCC Mod. 3 per control-plane USA; dati a riposo in UESi' (a riposo UE)
ScalewayScaleway SAS, Parigi (FR)Fallback disaster recovery (dormiente): compute e PostgreSQL solo se Railway non disponibileSede UE (FR); intra-SEESi' (a riposo in UE; solo scenario DR)
TelnyxTelnyx LLC, Chicago (USA)Telefonia/Voice AI EU (deployment Paris)SCC + TIA; elaborazione UESi' (voce, in UE)
Deepgram (EU)Deepgram, Inc., USASTT, endpoint EUSCC + TIA; endpoint EUSi' (voce→testo, endpoint EU)
Microsoft IrelandMicrosoft Ireland Operations Ltd, Dublino (IE)TTS (Azure, region West Europe)Intra-SEESi' (sintesi vocale, in UE)
ExpoExpo, Inc. (650 Industries), USAConsegna notifiche push all'app del TitolareSCC/DPFNo

Provider NON utilizzati per i dati dei clienti del salone: Anthropic (solo contenuti senza dati personali dei clienti; i task con PII sono su Vertex AI EU), fal.ai (generazione immagini marketing: solo prompt creativi, mai dati dei clienti), Voyage AI/MongoDB (rimosso il 2026-06-13), Mailgun (dismesso il 2026-07-01, sostituito da Brevo e Cloudflare Email Routing), Zadarma (mai attivato).

Versione v1.2, congelata il 2 luglio 2026. Supera la v1.1 (20 giugno 2026) e la v1.0 (19 giugno 2026), senza modifiche sostanziali agli obblighi ex art. 28(3) GDPR. Per domande: [email protected].

Acuerdo de encargo de tratamiento (DPA)

Acuerdo de tratamiento de datos personales

Acuerdo conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD) entre tu salón (Responsable del tratamiento) y Krinia by Clanksy (Encargado del tratamiento). Regula cómo krinIA trata los datos personales de los clientes de tu salón.

Versión v1.2, en vigor desde el 2 de julio de 2026. La aceptación se realiza por vía electrónica (clickwrap) en el panel o en la app, y queda registrada con versión, hash SHA-256 del documento, fecha y hora, identidad del aceptante, IP y user agent.
Hash SHA-256 de esta versión: d36e0fd00fb1cc7cf707ea8fee3bbf4607d161e8da19b6843793b9a6bd99a979
Las Partes

Responsable del tratamiento (el "Responsable"): el salón (actividad de estética, peluquería, barbería o bienestar) que acepta el presente Acuerdo. La identidad completa (denominación legal, NIF/CIF, sede, email, representante legal) la declara el Responsable en el momento de la aceptación electrónica y queda registrada en el registro de aceptación, junto con timestamp UTC, IP, user agent y hash SHA-256 del documento. El sistema no rellena estos datos automáticamente.

Encargado del tratamiento (el "Encargado"): Andrea Emanuele, trabajador autónomo establecido en España, NIF Z2547626J, Calle Marva 12, planta 7, puerta 14, 46007 Valencia, España, que opera con la denominación comercial "Clanksy" (producto "Krinia by Clanksy"). Contacto legal y de privacidad: [email protected].

Antecedentes
a) El Responsable gestiona un salón y usa el servicio Krinia (WhatsApp + agente de IA) para la relación con sus clientes. Al prestarlo, el Encargado trata datos personales de los que el Responsable es responsable; las Partes celebran este Acuerdo conforme al art. 28 RGPD.
b) El Responsable está establecido en el EEE (en particular Italia o España): la relación entre Responsable y Encargado (España) es un tratamiento intra-EEE, no una transferencia a tercer país (Capítulo V). Las Cláusulas Contractuales Tipo (SCC) solo aplican a los subencargados fuera del EEE (Anexo C).
c) Este Acuerdo prevalece sobre cualquier pacto contrario en materia de protección de datos. No contiene limitaciones de responsabilidad ni fuero derogatorio: se aplica el fuero legal.
Art. 1. Definiciones
Los términos del art. 4 RGPD se aplican según allí se definen. "Datos art. 9": notas sobre el estado de salud (contraindicaciones, alergias, condiciones médicas relevantes para los tratamientos estéticos). "Infraestructura UE": servidores y servicios ubicados en el EEE, sin tránsito del dato en claro hacia terceros países.
Art. 2. Objeto, duración, datos e interesados
2.1 El Encargado trata los datos solo para prestar Krinia al Responsable, según sus instrucciones documentadas (este Acuerdo + Anexo A). El tratamiento dura lo que dure la relación de servicio.
2.2 Finalidad y naturaleza: reservas y asistencia por WhatsApp y voz, recordatorios y reactivación, perfilado básico, informes al Responsable (detalle en Anexo A).
2.3 Interesados: clientes, clientes potenciales y contactos del salón.
2.4 Datos: identificativos y de contacto (nombre, teléfono, email en su caso), historial de citas/servicios, preferencias, contenido de los mensajes, consentimiento de marketing.
Art. 3. Categorías especiales (art. 9 RGPD)
3.1 Por instrucción explícita del Responsable y previo consentimiento explícito del interesado (art. 9(2)(a)), el servicio puede tratar notas de salud como contraindicaciones. La recogida se hace en un campo estructurado; una barrera técnica impide guardar o usar la nota sin el flag de consentimiento por cliente. El Responsable garantiza recoger y trazar dicho consentimiento (formulario separado).
3.2 Los datos art. 9 se tratan en infraestructura UE de extremo a extremo (LLM, embeddings, voz): ningún dato art. 9 transita en claro hacia proveedores fuera del EEE. En el canal WhatsApp (fuera del EEE por naturaleza) el Encargado minimiza la inclusión de datos art. 9 en el payload.
3.3 Garantías reforzadas: acceso restringido solo al personal autorizado del Responsable; ningún uso para marketing o perfilado; cifrado o seudonimización a nivel de campo; sin indexación en embeddings hacia proveedores fuera del EEE; borrado de notas individuales a petición del Responsable sin demora (SLA 30 días, art. 9 del presente Acuerdo).
Art. 4. Instrucciones y confidencialidad
4.1 El Encargado trata los datos solo según instrucciones documentadas del Responsable, incluidas las relativas a transferencias (Anexo C), salvo obligación legal (que comunica al Responsable si no está prohibido). Informa al Responsable si considera que una instrucción infringe el RGPD.
4.2 Las personas autorizadas están sujetas a confidencialidad; el acceso se limita a quien lo necesita efectivamente.
Art. 5. Medidas de seguridad (art. 32)
El Encargado adopta medidas técnicas y organizativas adecuadas al riesgo (Anexo B): cifrado en tránsito y en reposo, control de accesos por rol, aislamiento multi-tenant por negocio, copias de seguridad cifradas, registro de accesos y eventos. Revisión al menos anual.
Art. 6. Subencargados
6.1 El Responsable autoriza de forma general a los subencargados del Anexo C. El Encargado les impone por contrato obligaciones de protección de datos equivalentes a este Acuerdo y sigue siendo plenamente responsable de su actuación frente al Responsable.
6.2 El Encargado comunica cualquier adición o sustitución de subencargados con al menos 30 días de antelación; el Responsable puede oponerse por motivos razonables de protección de datos y, si la oposición no se resuelve, resolver el contrato sin penalización.
Art. 7. Transferencias a terceros países
7.1 Datos en reposo: base de datos PostgreSQL en región UE (europe-west4, Ámsterdam). Copias de seguridad cifradas en cliente (AES-256, claves solo del Encargado en la UE) en almacenamiento con jurisdicción UE (Cloudflare R2 "European Union").
7.2 Procesamiento de IA: LLM y embeddings sobre datos de clientes en Google Vertex AI con endpoint UE; voz (orquestación, STT, TTS) en despliegues europeos (Anexo C). WhatsApp Ireland (canal) se apoya en el EU-US Data Privacy Framework (DPF) para eventuales flujos a EE. UU.
7.3 Transferencias residuales con SCC: para los subencargados que operan con Cláusulas Contractuales Tipo (Mód. 3, Dec. UE 2021/914) el Encargado mantiene una Transfer Impact Assessment (TIA) (EDPB Rec. 01/2020), disponible bajo petición. Los datos art. 9 no se incluyen en los payloads hacia subencargados fuera del EEE.
7.4 Fallback DPF: si la decisión de adecuación EU-US DPF fuese invalidada, el Encargado pasa a SCC + medidas suplementarias en un plazo de 30 días desde la publicación, o suspende la transferencia si no puede protegerse adecuadamente.
Art. 8. Asistencia al Responsable (derechos, brechas, EIPD)
8.1 Derechos de los interesados (arts. 12-22): el Encargado asiste al Responsable con medidas adecuadas y le reenvía sin demora las solicitudes recibidas directamente.
8.2 Brechas de seguridad (arts. 33-34): el Encargado notifica al Responsable cualquier violación sin demora y en todo caso en un plazo de 48 horas desde su descubrimiento, con naturaleza, categorías y número de interesados, contacto, consecuencias probables y medidas adoptadas (incluso por fases). La notificación a la autoridad de control competente en 72 horas (Garante para Responsables establecidos en Italia, AEPD para los establecidos en España) corresponde al Responsable.
8.3 EIPD (arts. 35-36): el tratamiento de notas art. 9 requiere una evaluación de impacto del Responsable antes del inicio; el Encargado facilita bajo petición la información técnica necesaria e informa al Responsable de cambios significativos de la arquitectura que afecten al tratamiento art. 9.
Art. 9. Devolución y supresión
9.1 Al finalizar el servicio, en un plazo de 30 días desde la solicitud, el Encargado: (a) exporta y entrega todos los datos en CSV o JSON; (b) suprime los datos del sistema activo; (c) suprime las copias de seguridad dentro de los ciclos de rotación y en todo caso en 90 días; (d) emite certificación, salvo obligación legal. Las claves de cifrado de las copias se destruyen con la última copia que las usa.
9.2 Las solicitudes de supresión del interesado (art. 17) se gestionan con SLA de 30 días y quedan trazadas en un registro dedicado.
Art. 10. Auditoría (art. 28(3)(h))
El Encargado pone a disposición del Responsable la información necesaria para demostrar el cumplimiento y permite auditorías (también mediante auditor designado), con preaviso razonable (mínimo 15 días laborables) y respetando la seguridad de los demás clientes.
Art. 11. Responsabilidad
Cada Parte responde conforme al art. 82 RGPD. El Encargado responde cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen de las instrucciones legítimas del Responsable. Sin límite de responsabilidad ni fuero derogatorio; se aplica el fuero legal.
Art. 12. Aceptación electrónica y registro de auditoría
12.1 El Acuerdo puede aceptarse por vía electrónica en el sistema Krinia, conforme al art. 28(9) RGPD y al Reglamento eIDAS (UE) 910/2014; para Responsables establecidos en Italia aplica también el art. 20 D.Lgs. 82/2005 (CAD). La aceptación electrónica equivale a la firma.
12.2 Por cada aceptación el sistema registra: (a) nombre, cargo y poder de representación del aceptante; (b) Responsable representado; (c) versión del documento y hash SHA-256; (d) timestamp UTC; (e) IP y user agent; (f) una copia duradera del documento en la versión aceptada, conservada por el Encargado y disponible para el Responsable (el texto íntegro se publica en cada versión en esta página).
12.3 El registro de auditoría se conserva al menos 5 años (o mientras dure la relación si es superior) y está disponible para el Responsable bajo petición.
Art. 13. Disposiciones finales
13.1 Supervivencia: las cláusulas que por su naturaleza deben sobrevivir (arts. 4, 9, 10, 11) siguen vigentes tras la terminación. Este Acuerdo prevalece sobre acuerdos contrarios en la materia.
13.2 Actualizaciones: se comunican con al menos 30 días de antelación; el Responsable puede pedir cambios o resolver sin penalización.
13.3 DPD: el Encargado ha valorado que no es obligatorio nombrar un delegado de protección de datos (art. 37 RGPD). Contacto: [email protected].
Anexo A. Detalle del tratamiento
ConceptoContenido
FinalidadReservas, recordatorios, reactivación, atención al cliente, informes
InteresadosClientes y contactos del salón
DatosIdentificativos, contacto, historial de citas/servicios, contenido de mensajes, consentimiento de marketing
Categorías especiales (art. 9)Notas de salud (contraindicaciones), acceso restringido, solo con instrucción + consentimiento explícito
Conservación (general)Duración del servicio + 12 meses (obligaciones contables); mensajes de WhatsApp 24 meses o hasta supresión
Conservación (art. 9)Duración de la relación con el cliente + 6 meses; supresión inmediata a petición o al revocar el consentimiento
Conservación (logs IA/auditoría)24 meses, después anonimización/supresión
Ubicación en reposoUE (europe-west4, Ámsterdam)
Procesamiento IAUE (Google Vertex AI, endpoint europeo)
Anexo B. Medidas técnicas y organizativas (art. 32)
Cifrado en tránsito (TLS 1.2+) y en reposo (columnas sensibles). Aislamiento multi-tenant por negocio: ninguna lectura cross-business. Control de accesos por rol; credenciales en almacén dedicado, nunca en el código. Copias de seguridad cifradas en cliente (AES-256, RPO 24h), claves solo del Encargado en la UE, en bucket con jurisdicción UE. Registro de llamadas de IA y eventos de tratamiento. Voz: sin grabación de audio; transcripción solo en tiempo de ejecución, borrada al terminar la llamada. Clasificador de entrada para marcadores de salud con tratamiento reforzado. Barrera técnica de consentimiento art. 9. Gestión de brechas con notificación al Responsable en 48 horas. Revisión anual.
Anexo C. Subencargados

Lista válida en la fecha de aceptación, mantenida por el Encargado y comunicada con 30 días de antelación en caso de cambios (art. 6.2).

SubencargadoEntidad / sedeFunciónTransferencia¿Art. 9?
Google Cloud (Vertex AI)Google Ireland Ltd, Dublín (IE)LLM (Gemini EU), embeddings, IAIntra-EEE, endpoint UESí (solo infra UE)
CloudflareCloudflare, Inc., EE. UU.Copias R2 (dumps cifrados + adjuntos de imagen), hosting del panel, enrutamiento de email entranteEU-US DPF; almacenamiento con jurisdicción UENo (dumps cifrados)
BrevoSendinblue SAS (Brevo), París (FR)Emails transaccionales del servicioSede UE (FR); intra-EEENo
WhatsApp IrelandWhatsApp Ireland Ltd, Dublín (IE)Canal de mensajería WhatsApp Cloud APISede EEE; EU-US DPF para flujos a EE. UU.Parcial (texto del mensaje; art. 9 minimizado)
RailwayRailway Corporation, EE. UU. (almacenamiento UE europe-west4)Hosting n8n + PostgreSQL (región UE)SCC Mód. 3 para control-plane EE. UU.; datos en reposo en UESí (en reposo UE)
ScalewayScaleway SAS, París (FR)Fallback de recuperación ante desastres (durmiente): compute y PostgreSQL solo si Railway no está disponibleSede UE (FR); intra-EEESí (en reposo en UE; solo escenario DR)
TelnyxTelnyx LLC, Chicago (EE. UU.)Telefonía/Voice AI EU (despliegue París)SCC + TIA; procesamiento UESí (voz, en UE)
Deepgram (EU)Deepgram, Inc., EE. UU.STT, endpoint EUSCC + TIA; endpoint EUSí (voz→texto, endpoint EU)
Microsoft IrelandMicrosoft Ireland Operations Ltd, Dublín (IE)TTS (Azure, región West Europe)Intra-EEESí (síntesis de voz, en UE)
ExpoExpo, Inc. (650 Industries), EE. UU.Entrega de notificaciones push a la app del ResponsableSCC/DPFNo

Proveedores NO utilizados para los datos de los clientes del salón: Anthropic (solo contenidos sin datos personales de clientes; las tareas con PII van a Vertex AI EU), fal.ai (generación de imágenes de marketing: solo prompts creativos, nunca datos de clientes), Voyage AI/MongoDB (retirado el 13-06-2026), Mailgun (dado de baja el 01-07-2026, sustituido por Brevo y Cloudflare Email Routing), Zadarma (nunca activado).

Versión v1.2, congelada el 2 de julio de 2026. Sustituye a la v1.1 (20 de junio de 2026) y a la v1.0 (19 de junio de 2026), sin cambios sustanciales en las obligaciones del art. 28(3) RGPD. Para consultas: [email protected].

krinIA
La IA che si prende cura dei tuoi clienti, gestita da noi.
[email protected] Home Privacy Termini DPA Aviso legal Cookies
© 2026 krinIA by Clanksy