ScriptorIA Legal Privacidad Términos Cookies DPA RGPD Idioma
ES EN
← ScriptorIA
Acuerdo de Tratamiento de Datos (DPA) aplica a la app ScriptorIA (api_script) operada por
pibiCo Compañía de Inteligencia de Negocio y Control SL
CIF ES B52567831 · Avenida de La Costa, 35-6T, 33201 Gijón, Asturias, España
Soporte: soporte@pibico.es · DPO: soporte@pibico.es
Versión: 1.1.0 · Vigente desde: 2026-06-15

Acuerdo de Tratamiento de Datos (DPA)

Anexo al contrato de servicio entre el Cliente y pibiCo Compañía de Inteligencia de Negocio y Control SL para el cumplimiento del Reglamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsable del tratamiento ("Cliente"): la entidad u organización que ha contratado el Servicio.
  • Encargado del tratamiento: pibiCo Compañía de Inteligencia de Negocio y Control SL, CIF ES B52567831, Avenida de La Costa 35-6T, 33201 Gijón, Asturias, España.

2. Objeto

El Encargado tratará datos personales por cuenta del Responsable únicamente para prestar los servicios contratados (ScriptorIA) según las instrucciones documentadas del Responsable.

3. Datos tratados

  • Identidad y contacto: email y nombre (vía SSO pibiCo)
  • Organización/tenant y rol del usuario
  • Plantillas y artículos generados (DOCX, PDF, PPTX, XLSX, CSV, JSON)
  • Los documentos ORIGINALES del cliente NO se almacenan (modelo connect-only); solo se cachean artefactos derivados
  • Metadatos de uso y consumo de créditos pibiCash
  • Registros de auditoría: acciones, dirección IP y marca temporal

4. Categorías de interesados

  • Empleados, colaboradores y miembros del Cliente
  • Clientes finales del Cliente cuyos datos se gestionan dentro del Servicio

5. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos sólo conforme a las instrucciones documentadas del Responsable
  • Garantizar confidencialidad por parte de personal autorizado
  • Aplicar medidas técnicas y organizativas apropiadas (cifrado en reposo y tránsito, control de accesos, registros de auditoría, copias de seguridad)
  • Asistir al Responsable en la atención de derechos del interesado
  • Notificar brechas de seguridad sin dilación, en plazo máximo 72h
  • Suprimir o devolver los datos al finalizar el servicio
  • Permitir auditorías razonables por el Responsable o auditor externo independiente

6. Subencargados (subprocesadores)

El Encargado utiliza los siguientes subencargados para prestar el Servicio:

SubencargadoFinalidadLocalización
Talk2Doc (pibiCo)Búsqueda documental y recuperación RAG sobre las bibliotecas conectadasEspaña (UE) — infraestructura pibiCo
api_chat / Ollama (pibiCo)Generación de texto con modelos LLM en localEspaña (UE) — servidores propios
api_convert (pibiCo)Conversión de documentos a formato indexableEspaña (UE) — servidores propios
api_auth (pibiCo)Identidad, SSO y facturación de créditosEspaña (UE) — infraestructura pibiCo
MinIO (pibiCo)Almacenamiento de plantillas y artefactos derivadosEspaña (UE) — servidores propios
Anthropic / OpenAIGeneración de texto con modelos LLM (solo si el Usuario selecciona expresamente uno de estos proveedores)EE. UU. — transferencia bajo Cláusulas Contractuales Tipo

Cualquier cambio de subencargados será notificado con 30 días de antelación. El Responsable podrá oponerse motivadamente; en caso contrario el cambio se entiende aceptado.

7. Transferencias internacionales

Cuando subencargados se localicen fuera del EEE, las transferencias se realizan con base en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea o Decisiones de Adecuación.

8. Medidas de seguridad

El Encargado aplica entre otras:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Autenticación passwordless (OTP por email) y segundo factor TOTP opcional
  • Control de accesos basado en roles (RBAC)
  • Registros de auditoría inmutables
  • Copias de seguridad cifradas con plan de recuperación
  • Pruebas regulares de seguridad y revisión de dependencias

9. Brecha de seguridad

En caso de brecha que afecte a datos personales del Responsable, el Encargado notificará al Responsable sin dilación indebida, dentro de las 72h siguientes a tener constancia, incluyendo:

  • Naturaleza de la brecha
  • Categorías y número estimado de interesados afectados
  • Medidas adoptadas o propuestas
  • Punto de contacto del Encargado para coordinar respuesta

10. Derechos de auditoría

El Responsable puede solicitar evidencias documentales del cumplimiento (informes de auditoría, certificaciones, descripciones técnicas) hasta una vez al año o tras cualquier brecha relevante. Auditorías in situ requieren acuerdo previo y se ejecutan en horario laboral sin interrumpir el Servicio.

11. Plazo y finalización

Este DPA entra en vigor con la suscripción al Servicio y permanece vigente mientras el Cliente mantenga cuenta activa. A su finalización, el Encargado suprimirá o devolverá los datos personales según instrucción documentada del Responsable, salvo obligación legal de conservación (datos de facturación: 6 años).

12. Responsabilidad

Cada parte responde de sus propios incumplimientos del RGPD. La responsabilidad del Encargado se limita conforme a lo establecido en los Términos del Servicio.

Última actualización: 2026-06-15 · Versión 1.1.0

© 2026 pibiCo