1. Partes y roles
Este DPA se celebra entre tú (el "Responsable") y Lumendra Labs, S.L. (NIF B88772140), con domicilio social en 11520 Rota (Cádiz, España) (el "Encargado"). Se aplica a todos los datos personales que el Encargado trate para prestar Lumen Twin bajo los Términos del Servicio.
2. Objeto y duración
El tratamiento se limita a lo necesario para prestar el servicio durante la suscripción del cliente, más un periodo de 30 días para eliminación tras la terminación.
3. Naturaleza y finalidad
Hosting, recuperación, transformación e inferencia sobre el contenido que el Responsable elige conectar o subir, con el fin de entrenar y operar un gemelo digital personal.
4. Categorías de interesados y datos personales
Empleados, colaboradores y contrapartes del Responsable. Categorías: identificadores, contenido de comunicaciones, eventos de calendario, documentos, muestras de voz (cuando se habilita explícitamente) y embeddings/memoria derivados.
5. Subencargados
Subencargados actuales:
- Supabase Inc. — Postgres gestionado, auth y almacenamiento (región UE).
- Cloudflare Inc. — runtime edge, protección DDoS, CDN.
- Stripe Payments Europe Ltd. — procesamiento de pagos.
- OpenAI, Google, ElevenLabs — inferencia de IA, con flags de no-entrenamiento cuando se soporta.
El Encargado notificará con 30 días de antelación cualquier nuevo subencargado; el Responsable puede oponerse por motivos razonables de protección de datos.
6. Medidas de seguridad
Cifrado en reposo (AES-256) y en tránsito (TLS 1.3); aislamiento lógico por tenant vía row-level security; SSO y llave hardware para accesos privilegiados; logs de auditoría inmutables; revisiones de acceso trimestrales; pentesting anual.
7. Transferencias internacionales
Los datos se almacenan en la UE. Cuando se requieran transferencias fuera del EEE (p. ej., inferencia de IA), aplican las Cláusulas Contractuales Tipo (2021/914), suplementadas si fuera necesario.
8. Asistencia en derechos y brechas
El Encargado asistirá al Responsable en las solicitudes de los interesados en 5 días hábiles y notificará cualquier brecha de datos personales sin demora indebida y dentro de las 72 horas desde su confirmación.
9. Auditoría
El Responsable puede solicitar, como máximo una vez al año, una copia de los últimos informes SOC 2 / ISO 27001. Las auditorías presenciales están disponibles para clientes Enterprise bajo cláusulas de confidencialidad razonables.
10. Devolución y eliminación
A la terminación, el Encargado devolverá o eliminará permanentemente todos los datos personales en 30 días (90 días para backups), a elección del Responsable, certificando la eliminación a solicitud.
11. Responsabilidad y orden de prelación
Este DPA forma parte del Acuerdo. En caso de conflicto sobre protección de datos, prevalece este DPA.
12. Firma
Para firmar el DPA con contrafirma, escribe a support@lumendralabs.com.