DATA PROCESSING AGREEMENT

Data Processor Agreement pursuant to Article 28 GDPR

Legal Notice: This is a courtesy translation. In case of any contradiction or discrepancy between the English and Spanish versions, the Spanish version shall prevail for all legal purposes.

This Data Processing Agreement ("DPA") forms an integral part of the service contract between the Client (hereinafter, the "Data Controller") and AI SOLUTIONS FOR BUSINESS STRATEGY S.L. (hereinafter, "Bybusiness AI" or the "Data Processor"), and regulates the processing of personal data in accordance with Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation, "GDPR"), and Organic Law 3/2018, of 5 December, on the Protection of Personal Data and guarantee of digital rights (LOPDGDD).

1. Definitions

For the purposes of this DPA, the following definitions apply:

Data Controller: The Client who contracts Bybusiness AI's services and determines the purposes and means of processing personal data.
Data Processor: Bybusiness AI, which processes personal data on behalf of and following the instructions of the Data Controller.
Personal Data: Any information relating to identified or identifiable natural persons contained in the data uploaded by the Client to the Bybusiness AI platform.
Processing: Any operation performed on personal data, including collection, storage, analysis, consultation, transmission or deletion.
Sub-processor: Any third party engaged by Bybusiness AI to assist in processing personal data.
Data Breach: Any security breach leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data.

2. Object and Duration

2.1 Object: This DPA regulates the processing of personal data that the Client uploads to the Bybusiness AI platform for the purpose of business intelligence analysis using artificial intelligence technologies.

2.2 Duration: This DPA shall remain in force for the duration of the service contract between the parties. Upon termination of the contract, the provisions of Clause 11 (Return and Deletion of Data) shall apply.

3. Nature and Purpose of Processing

3.1 Nature of Processing: Automated processing of personal data through artificial intelligence and language models (LLM) to generate business analysis, strategic recommendations, and business intelligence reports.

3.2 Purpose: To provide business intelligence services based on artificial intelligence, including:

Analysis of business data uploaded by the Client
Generation of strategic reports and recommendations
Visualization and presentation of analyzed data
Secure storage of data on the platform

4. Categories of Personal Data and Data Subjects

4.1 Categories of Data Subjects: Depending on the data uploaded by the Client, these may include:

Employees of the Client organization
Customers and suppliers of the Client
Other natural persons whose data are contained in the business documents uploaded to the platform

4.2 Categories of Personal Data: The personal data processed may include:

Identification data: names, surnames, ID numbers
Contact data: email addresses, telephone numbers, postal addresses
Professional data: job position, company, department
Transactional data: purchase and sales information, commercial transactions
Financial data: invoices, payments, budgets (if applicable)
Any other data contained in documents uploaded by the Client to the platform

Important: Bybusiness AI does not process special categories of personal data (Article 9 GDPR) unless expressly authorized in writing by the Client.

5. Obligations of the Data Processor

Bybusiness AI undertakes to:

5.1 Process personal data only on documented instructions from the Data Controller, including with regard to transfers of personal data to third countries or international organizations, unless required by law.
5.2 Ensure that persons authorized to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
5.3 Implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk (see Clause 6).
5.4 Respect the conditions for engaging sub-processors as set out in Clause 7.
5.5 Assist the Data Controller in responding to requests from data subjects exercising their rights under Chapter III of the GDPR.
5.6 Assist the Data Controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the GDPR.
5.7 Delete or return all personal data to the Data Controller at the end of the provision of services, as set out in Clause 11.
5.8 Make available to the Data Controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 GDPR and allow for and contribute to audits conducted by the Data Controller or an auditor mandated by the Data Controller.
5.9 Notify the Data Controller without undue delay (and no later than 24 hours) after becoming aware of a personal data breach.

6. Security Measures

Bybusiness AI implements the following technical and organizational measures to ensure an appropriate level of security:

Infrastructure: All data is hosted on Microsoft Azure servers located exclusively in the European Union (Germany), with enterprise-level security certifications (ISO 27001, SOC 2, etc.).
Encryption: Data in transit is encrypted using TLS 1.3 protocols. Data at rest is encrypted using AES-256 encryption.
Access Control: Multi-factor authentication (MFA) for all user accounts. Role-based access control (RBAC) with least privilege principle.
Network Security: Firewalls, intrusion detection systems, and regular security monitoring.
Backup and Recovery: Regular automated backups with secure storage and tested recovery procedures.
Logging and Monitoring: Comprehensive audit logs of all access and processing activities.
Incident Response: Documented incident response procedures with 24-hour notification commitment.
Staff Training: Regular data protection and security training for all personnel with access to personal data.
Physical Security: Azure data centers have physical security measures including access controls, surveillance, and environmental controls.

7. Sub-processors

7.1 Authorization: The Data Controller authorizes Bybusiness AI to engage the sub-processors listed below. Bybusiness AI shall inform the Data Controller of any intended changes concerning the addition or replacement of sub-processors, giving the Data Controller the opportunity to object to such changes within 30 calendar days.

7.2 Current Sub-processors:

Sub-processor	Service	Location
Microsoft Corporation	Cloud Infrastructure (Azure)	Germany (EU)

7.3 Sub-processor Obligations: Bybusiness AI shall ensure that sub-processors are bound by the same data protection obligations as set out in this DPA and shall remain fully liable to the Data Controller for the performance of the sub-processor's obligations.

8. Data Subject Rights

8.1 Bybusiness AI shall assist the Data Controller in responding to requests from data subjects exercising their rights under GDPR (access, rectification, erasure, restriction, data portability, and objection).

8.2 If Bybusiness AI receives a request directly from a data subject, it shall forward the request to the Data Controller without undue delay and shall not respond to the request itself unless instructed by the Data Controller.

8.3 Bybusiness AI shall provide reasonable assistance to the Data Controller, taking into account the nature of the processing and the information available, to enable the Data Controller to respond to data subject requests within the legal timeframes (generally 1 month).

9. Data Breach Notification

9.1 Bybusiness AI shall notify the Data Controller without undue delay, and in any case within 24 hours, after becoming aware of a personal data breach.

9.2 The notification shall include, to the extent possible:

Description of the nature of the breach, including categories and approximate number of data subjects and data records affected
Contact details of the data protection point of contact
Description of the likely consequences of the breach
Description of measures taken or proposed to address the breach and mitigate its adverse effects

9.3 Bybusiness AI shall cooperate with the Data Controller and provide further information and assistance as reasonably required to enable the Data Controller to comply with its obligations under Articles 33 and 34 GDPR.

10. Audits and Inspections

10.1 Bybusiness AI shall make available to the Data Controller all information necessary to demonstrate compliance with this DPA and the obligations laid down in Article 28 GDPR.

10.2 The Data Controller may conduct audits, including inspections, to verify Bybusiness AI's compliance with this DPA. Such audits shall be:

Conducted upon reasonable advance notice (minimum 30 days)
Conducted during normal business hours
Conducted in a manner that does not unreasonably interfere with Bybusiness AI's operations
Limited to once per year, unless there is reasonable cause for additional audits

10.3 The Data Controller may appoint a qualified independent auditor to conduct audits on its behalf. The auditor must be bound by confidentiality obligations.

10.4 Reasonable costs associated with audits shall be borne by the Data Controller, except where the audit reveals non-compliance with this DPA, in which case Bybusiness AI shall bear the costs.

11. Return and Deletion of Data

11.1 Upon termination of the service contract, or upon the Data Controller's written request, Bybusiness AI shall, at the Data Controller's choice:

Return all personal data to the Data Controller in a structured, commonly used, and machine-readable format; and/or
Securely delete all personal data and certify to the Data Controller that this has been done

11.2 The return or deletion shall be completed within 30 days of contract termination or the Data Controller's request.

11.3 Bybusiness AI may retain personal data to the extent required by applicable law, and only for the purposes and duration required by such law. Bybusiness AI shall inform the Data Controller of any such legal requirements.

11.4 After deletion, personal data shall be irrecoverably destroyed, including all backup copies, except where retention is required by law.

12. International Data Transfers

12.1 All personal data processed by Bybusiness AI is stored and processed exclusively within the European Economic Area (EEA), specifically in Germany.

12.2 Bybusiness AI shall not transfer personal data outside the EEA without prior written authorization from the Data Controller and without ensuring appropriate safeguards are in place as required by Chapter V of the GDPR.

12.3 The language models and AI processing are deployed on private servers in Azure EU regions and do not involve any data transfer to third countries.

13. Liability and Indemnification

13.1 Each party shall be liable for damages caused by its processing of personal data to the extent provided by Articles 82 to 84 of the GDPR.

13.2 Bybusiness AI shall indemnify the Data Controller against any claims, losses, or damages arising from Bybusiness AI's breach of this DPA or applicable data protection laws.

13.3 The Data Controller shall indemnify Bybusiness AI against any claims arising from the Data Controller's instructions that violate applicable data protection laws.

14. Contact and Communication

For all matters related to this DPA, please contact:

Bybusiness AI - Data Protection Contact:
Email: info@bybusiness-ai.com
General Contact: info@bybusiness-ai.com
Company: AI SOLUTIONS FOR BUSINESS STRATEGY S.L.
Tax ID: B21784491

15. Amendments

15.1 Bybusiness AI may update this DPA to reflect changes in applicable laws, regulations, or processing practices.

15.2 Material changes shall be communicated to the Data Controller at least 30 days in advance. The Data Controller may object to such changes within this period.

15.3 If the Data Controller objects to material changes, either party may terminate the service contract with 30 days' notice, subject to the provisions of Clause 11.

16. Governing Law and Jurisdiction

This DPA shall be governed by and construed in accordance with Spanish law. Any disputes arising from this DPA shall be subject to the exclusive jurisdiction of the courts of Barcelona, Spain, unless mandatory consumer protection laws require otherwise.

Last Updated: December 2024
This Data Processing Agreement is effective as of the date of acceptance by the Client.

ACUERDO DE ENCARGADO DEL TRATAMIENTO

Contrato de Encargado del Tratamiento según el Artículo 28 RGPD

El presente Acuerdo de Encargado del Tratamiento ("AET") forma parte integrante del contrato de prestación de servicios entre el Cliente (en adelante, el "Responsable del Tratamiento") y AI SOLUTIONS FOR BUSINESS STRATEGY S.L. (en adelante, "Bybusiness AI" o el "Encargado del Tratamiento"), y regula el tratamiento de datos personales de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, "RGPD"), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Definiciones

A los efectos del presente AET, se entiende por:

Responsable del Tratamiento: El Cliente que contrata los servicios de Bybusiness AI y determina los fines y medios del tratamiento de datos personales.
Encargado del Tratamiento: Bybusiness AI, que trata datos personales por cuenta y siguiendo instrucciones del Responsable del Tratamiento.
Datos Personales: Toda información relativa a personas físicas identificadas o identificables contenida en los datos que el Cliente suba a la plataforma de Bybusiness AI.
Tratamiento: Cualquier operación realizada sobre datos personales, incluyendo recopilación, almacenamiento, análisis, consulta, transmisión o supresión.
Subencargado: Cualquier tercero contratado por Bybusiness AI para colaborar en el tratamiento de datos personales.
Violación de Seguridad: Toda brecha de seguridad que ocasione destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilícita.

2. Objeto y Duración

2.1 Objeto: El presente AET regula el tratamiento de datos personales que el Cliente suba a la plataforma de Bybusiness AI con la finalidad de realizar análisis de inteligencia de negocio mediante tecnologías de inteligencia artificial.

2.2 Duración: Este AET permanecerá vigente durante la duración del contrato de prestación de servicios entre las partes. Al finalizar el contrato, se aplicarán las disposiciones de la Cláusula 11 (Devolución y Supresión de Datos).

3. Naturaleza y Finalidad del Tratamiento

3.1 Naturaleza del Tratamiento: Tratamiento automatizado de datos personales mediante inteligencia artificial y modelos de lenguaje (LLM) para generar análisis empresariales, recomendaciones estratégicas e informes de inteligencia de negocio.

3.2 Finalidad: Prestar servicios de inteligencia de negocio basados en inteligencia artificial, incluyendo:

Análisis de datos empresariales cargados por el Cliente
Generación de informes y recomendaciones estratégicas
Visualización y presentación de datos analizados
Almacenamiento seguro de datos en la plataforma

4. Categorías de Datos Personales y de Interesados

4.1 Categorías de Interesados: En función de los datos que el Cliente suba, podrán incluirse:

Empleados de la organización del Cliente
Clientes y proveedores del Cliente
Otras personas físicas cuyos datos consten en los documentos empresariales subidos a la plataforma

4.2 Categorías de Datos Personales: Los datos personales tratados pueden incluir:

Datos identificativos: nombres, apellidos, números de identificación
Datos de contacto: direcciones de correo electrónico, teléfonos, direcciones postales
Datos profesionales: puesto de trabajo, empresa, departamento
Datos transaccionales: información de compras y ventas, transacciones comerciales
Datos financieros: facturas, pagos, presupuestos (si procede)
Cualquier otro dato contenido en documentos que el Cliente suba a la plataforma

Importante: Bybusiness AI no trata categorías especiales de datos personales (Artículo 9 RGPD) salvo autorización expresa por escrito del Cliente.

5. Obligaciones del Encargado del Tratamiento

Bybusiness AI se compromete a:

5.1 Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, incluso con respecto a las transferencias de datos personales a terceros países u organizaciones internacionales, salvo que esté obligado a ello por el Derecho aplicable.
5.2 Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
5.3 Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (véase Cláusula 6).
5.4 Respetar las condiciones para recurrir a subencargados establecidas en la Cláusula 7.
5.5 Asistir al Responsable del Tratamiento en la respuesta a las solicitudes de ejercicio de derechos de los interesados conforme al Capítulo III del RGPD.
5.6 Asistir al Responsable del Tratamiento para garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD.
5.7 Suprimir o devolver todos los datos personales al Responsable del Tratamiento al término de la prestación de servicios, según lo establecido en la Cláusula 11.
5.8 Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitir y contribuir a las auditorías realizadas por el Responsable o un auditor autorizado por este.
5.9 Notificar al Responsable del Tratamiento sin dilación indebida (y en cualquier caso en un plazo máximo de 24 horas) después de tener conocimiento de una violación de seguridad de datos personales.

6. Medidas de Seguridad

Bybusiness AI implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad apropiado:

Infraestructura: Todos los datos se alojan en servidores de Microsoft Azure ubicados exclusivamente en la Unión Europea (Alemania), con certificaciones de seguridad de nivel empresarial (ISO 27001, SOC 2, etc.).
Cifrado: Los datos en tránsito se cifran mediante protocolos TLS 1.3. Los datos en reposo se cifran mediante cifrado AES-256.
Control de Acceso: Autenticación multifactor (MFA) para todas las cuentas de usuario. Control de acceso basado en roles (RBAC) con principio de privilegio mínimo.
Seguridad de Red: Firewalls, sistemas de detección de intrusos y monitorización de seguridad continua.
Copias de Seguridad y Recuperación: Copias de seguridad automatizadas periódicas con almacenamiento seguro y procedimientos de recuperación probados.
Registro y Monitorización: Registros de auditoría completos de todas las actividades de acceso y tratamiento.
Respuesta a Incidentes: Procedimientos documentados de respuesta a incidentes con compromiso de notificación en 24 horas.
Formación del Personal: Formación periódica en protección de datos y seguridad para todo el personal con acceso a datos personales.
Seguridad Física: Los centros de datos de Azure cuentan con medidas de seguridad física que incluyen controles de acceso, vigilancia y controles ambientales.

7. Subencargados

7.1 Autorización: El Responsable del Tratamiento autoriza a Bybusiness AI a contratar a los subencargados que se relacionan a continuación. Bybusiness AI informará al Responsable del Tratamiento de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios en un plazo de 30 días naturales.

7.2 Subencargados Actuales:

Subencargado	Servicio	Ubicación
Microsoft Corporation	Infraestructura Cloud (Azure)	Alemania (UE)

7.3 Obligaciones del Subencargado: Bybusiness AI garantizará que los subencargados queden sujetos a las mismas obligaciones de protección de datos establecidas en el presente AET y seguirá siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del subencargado.

8. Derechos de los Interesados

8.1 Bybusiness AI asistirá al Responsable del Tratamiento en la respuesta a las solicitudes de los interesados que ejerzan sus derechos conforme al RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición).

8.2 Si Bybusiness AI recibe una solicitud directamente de un interesado, remitirá la solicitud al Responsable del Tratamiento sin dilación indebida y no responderá a la solicitud por sí mismo salvo que el Responsable se lo indique.

8.3 Bybusiness AI prestará asistencia razonable al Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información disponible, para que el Responsable pueda responder a las solicitudes de los interesados dentro de los plazos legales (generalmente 1 mes).

9. Notificación de Violaciones de Seguridad

9.1 Bybusiness AI notificará al Responsable del Tratamiento sin dilación indebida, y en cualquier caso en un plazo máximo de 24 horas, después de tener conocimiento de una violación de seguridad de datos personales.

9.2 La notificación incluirá, en la medida de lo posible:

Descripción de la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y de registros de datos afectados
Datos de contacto del punto de contacto de protección de datos
Descripción de las posibles consecuencias de la violación
Descripción de las medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos adversos

9.3 Bybusiness AI cooperará con el Responsable del Tratamiento y proporcionará información adicional y asistencia que sea razonablemente necesaria para permitir al Responsable cumplir con sus obligaciones conforme a los artículos 33 y 34 del RGPD.

10. Auditorías e Inspecciones

10.1 Bybusiness AI pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento del presente AET y de las obligaciones establecidas en el artículo 28 del RGPD.

10.2 El Responsable del Tratamiento podrá realizar auditorías, incluidas inspecciones, para verificar el cumplimiento del presente AET por parte de Bybusiness AI. Dichas auditorías deberán:

Realizarse con preaviso razonable (mínimo 30 días)
Llevarse a cabo durante el horario comercial normal
Efectuarse de manera que no interfiera indebidamente con las operaciones de Bybusiness AI
Limitarse a una vez al año, salvo que exista causa razonable para auditorías adicionales

10.3 El Responsable del Tratamiento podrá designar a un auditor independiente cualificado para realizar auditorías en su nombre. El auditor deberá estar sujeto a obligaciones de confidencialidad.

10.4 Los costes razonables asociados con las auditorías correrán a cargo del Responsable del Tratamiento, salvo que la auditoría revele un incumplimiento del presente AET, en cuyo caso Bybusiness AI asumirá los costes.

11. Devolución y Supresión de Datos

11.1 Al término del contrato de prestación de servicios, o previa solicitud por escrito del Responsable del Tratamiento, Bybusiness AI, a elección del Responsable:

Devolverá todos los datos personales al Responsable del Tratamiento en un formato estructurado, de uso común y lectura mecánica; y/o
Suprimirá de forma segura todos los datos personales y certificará al Responsable que lo ha hecho

11.2 La devolución o supresión se completará en un plazo de 30 días desde la terminación del contrato o la solicitud del Responsable.

11.3 Bybusiness AI podrá conservar datos personales en la medida que lo exija la legislación aplicable, y únicamente para los fines y durante el tiempo que exija dicha legislación. Bybusiness AI informará al Responsable de cualquier requisito legal de este tipo.

11.4 Tras la supresión, los datos personales serán destruidos de forma irrecuperable, incluyendo todas las copias de seguridad, salvo que la ley exija su conservación.

12. Transferencias Internacionales de Datos

12.1 Todos los datos personales tratados por Bybusiness AI se almacenan y procesan exclusivamente dentro del Espacio Económico Europeo (EEE), específicamente en Alemania.

12.2 Bybusiness AI no transferirá datos personales fuera del EEE sin autorización previa por escrito del Responsable del Tratamiento y sin garantizar que existan las salvaguardias apropiadas conforme al Capítulo V del RGPD.

12.3 Los modelos de lenguaje y el procesamiento de IA están desplegados en servidores privados en regiones de Azure en la UE y no implican transferencia de datos a terceros países.

13. Responsabilidad e Indemnización

13.1 Cada parte será responsable de los daños causados por su tratamiento de datos personales en la medida prevista en los artículos 82 a 84 del RGPD.

13.2 Bybusiness AI indemnizará al Responsable del Tratamiento frente a cualquier reclamación, pérdida o daño derivado del incumplimiento por parte de Bybusiness AI del presente AET o de las leyes aplicables de protección de datos.

13.3 El Responsable del Tratamiento indemnizará a Bybusiness AI frente a cualquier reclamación derivada de instrucciones del Responsable que infrinjan las leyes aplicables de protección de datos.

14. Contacto y Comunicación

Para todos los asuntos relacionados con el presente AET, contacte con:

Bybusiness AI - Contacto de Protección de Datos:
Email: info@bybusiness-ai.com
Contacto General: info@bybusiness-ai.com
Empresa: AI SOLUTIONS FOR BUSINESS STRATEGY S.L.
NIF: B21784491

15. Modificaciones

15.1 Bybusiness AI podrá actualizar el presente AET para reflejar cambios en las leyes, normativas o prácticas de tratamiento aplicables.

15.2 Los cambios sustanciales se comunicarán al Responsable del Tratamiento con al menos 30 días de antelación. El Responsable podrá oponerse a dichos cambios dentro de este plazo.

15.3 Si el Responsable del Tratamiento se opone a cambios sustanciales, cualquiera de las partes podrá resolver el contrato de prestación de servicios con un preaviso de 30 días, sujeto a las disposiciones de la Cláusula 11.

16. Ley Aplicable y Jurisdicción

El presente AET se regirá e interpretará de conformidad con la legislación española. Cualquier controversia derivada del presente AET se someterá a la jurisdicción exclusiva de los tribunales de Barcelona, España, salvo que las leyes imperativas de protección del consumidor requieran otra cosa.

Última Actualización: Diciembre 2024
Este Acuerdo de Encargado del Tratamiento tiene efectos desde la fecha de aceptación por parte del Cliente.