Acuerdo de Tratamiento de Datos
Fecha de entrada en vigor: 23.06.2026
Última actualización: 23.06.2026
El presente Acuerdo de Tratamiento de Datos («ATD») se celebra entre EdTech Plus B.V. («Nebius Academy» o «el Encargado del tratamiento»), con domicilio social en Tripolis Park, Burgerweeshuispad 101, 1076 ER Ámsterdam, Países Bajos, y la Empresa («Empresa»), en relación con la prestación de Servicios por parte de Nebius Academy en virtud del Acuerdo aplicable con la Empresa («Acuerdo»). El Encargado del tratamiento y la Empresa son, individualmente, una «Parte» y, conjuntamente, las «Partes».
Mediante la aceptación en línea por parte de la Empresa, las Partes acuerdan que el presente ATD forma parte integrante del Acuerdo. En caso de conflicto entre el presente ATD y el Acuerdo, prevalecerán las disposiciones del ATD exclusivamente en lo relativo al tratamiento de Datos Personales.
1. Definiciones
1.1. Los términos en mayúsculas utilizados pero no definidos en el presente ATD tienen el significado que se les atribuye en el Acuerdo. Los términos definidos en el presente ATD tienen los siguientes significados:
1.2. «Legislación Aplicable de Protección de Datos» designa todas las leyes y normativas de protección de datos y privacidad aplicables al Tratamiento de Datos Personales en virtud del presente ATD, incluidas, en su caso:
- el Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679, «RGPD»);
- el «RGPD del Reino Unido» (incorporado al derecho del Reino Unido mediante la Ley de Protección de Datos de 2018 y la legislación conexa del Reino Unido);
- la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 (revisada el 25 de septiembre de 2020, «LFPD»);
- la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code §§ 1798.100 y siguientes, en su versión modificada (incluida la Ley de Derechos de Privacidad de California, «CCPA»);
- cualquier otra legislación de protección de datos o privacidad, sectorial o jurisdiccional, aplicable a la recogida, uso, divulgación, conservación u otro Tratamiento de Datos Personales.
1.3. Los términos «Responsable del tratamiento», «Encargado del tratamiento», «Subencargado», «Tratamiento», «Datos Personales», «Interesado», «Autoridad de Control», «Violación de Datos Personales» y «Estado Miembro» tienen el significado que se les atribuye en el RGPD.
Los términos «Información personal», «Negocio», «Finalidad comercial» y «Consumidor» tienen el significado que se les atribuye en la CCPA.
1.4. «Servicios» designa los servicios que Nebius Academy presta a la Empresa en virtud del Acuerdo.
1.5. «Cláusulas Contractuales Tipo» designa las Cláusulas Contractuales Tipo de la UE para la transferencia de Datos Personales, según se establecen en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
2. Funciones
2.1. En el tratamiento de Datos Personales conforme a la Legislación Aplicable de Protección de Datos, Nebius Academy actuará como Encargado del tratamiento en nombre de la Empresa (que podrá actuar como Responsable del tratamiento o como Encargado del tratamiento), y Nebius Academy podrá contratar Subencargados de conformidad con el presente ATD. A los efectos de la CCPA, Nebius Academy será considerado «Proveedor de servicios» y la Empresa un «Negocio».
3. Obligaciones de Nebius Academy y cumplimiento de la legislación aplicable
3.1. Cumplimiento e instrucciones
En el tratamiento de Datos Personales conforme a la Legislación Aplicable de Protección de Datos, Nebius Academy:
- cumplirá con toda la Legislación Aplicable de Protección de Datos;
- tratará los Datos Personales únicamente conforme a las instrucciones documentadas de la Empresa; y
- tratará los Datos Personales exclusivamente para los fines autorizados por la Empresa.
Si Nebius Academy está sujeto a un requisito legal en virtud de la legislación de la Unión Europea o de un Estado Miembro que obligue al tratamiento más allá de las instrucciones de la Empresa, Nebius Academy notificará a la Empresa con antelación, salvo que dicha legislación lo prohíba.
3.2. Medidas de seguridad
Nebius Academy implementa y mantiene las medidas técnicas y organizativas adecuadas para proteger los Datos Personales. En el Anexo 3 se incluye un resumen de dichas medidas.
3.3. Confidencialidad
Todo el personal y los contratistas de Nebius Academy con acceso a Datos Personales están vinculados por obligaciones de confidencialidad acordes con el presente ATD.
3.4. Subencargados
Nebius Academy podrá contratar Subencargados para colaborar en la prestación de los Servicios. Todo Subencargado estará vinculado por obligaciones de protección de datos al menos tan protectoras como las del presente ATD. En el Anexo 1 figura una lista actualizada de Subencargados.
3.5 Notificación de cambios en los Subencargados
Nebius Academy informará a la Empresa con al menos diez (10) días de antelación antes de añadir o sustituir un Subencargado. La Empresa podrá oponerse por escrito alegando motivos razonables de protección de datos. Si las Partes no logran resolver la objeción dentro de dicho plazo, la Empresa podrá resolver los Servicios afectados sin penalización, quedando únicamente obligada al pago de los Servicios ya prestados.
3.6 Violaciones de Datos Personales
Nebius Academy notificará a la Empresa sin dilación indebida en cuanto tenga conocimiento de cualquier Violación de Datos Personales que afecte a los datos de la Empresa. Nebius Academy proporcionará toda la información y asistencia razonablemente necesarias para que la Empresa cumpla sus obligaciones de notificación de violaciones conforme a la Legislación Aplicable de Protección de Datos.
3.7. Supresión o devolución de Datos Personales
A la expiración o resolución de los Servicios, Nebius Academy, a elección de la Empresa, suprimirá o devolverá todos los Datos Personales tratados en nombre de la Empresa. Nebius Academy podrá conservar Datos Personales únicamente en la medida en que la legislación lo exija, y solo durante el tiempo legalmente establecido.
3.8. Solicitudes de los Interesados. Si Nebius Academy recibe cualquier solicitud de un Interesado relativa al Tratamiento de Datos Personales tratados en nombre de la Empresa, Nebius Academy la remitirá sin demora a la Empresa y no adoptará ninguna otra medida salvo que la Empresa así lo indique. La Empresa es la única responsable de responder a dichas solicitudes.
4. Obligaciones de la Empresa
4.1. Cumplimiento de la legislación.
La Empresa:
- cumplirá con toda la Legislación Aplicable de Protección de Datos en lo relativo a su Tratamiento de Datos Personales y a las instrucciones que imparta a Nebius Academy; y
- notificará con prontitud a Nebius Academy si la Empresa no puede cumplir alguna de sus obligaciones conforme a la Legislación Aplicable de Protección de Datos.
4.2. Seguridad. La Empresa es responsable de:
(a) utilizar los Servicios de manera segura; y
(b) evaluar y determinar si las medidas de seguridad proporcionadas por Nebius Academy cumplen con las propias obligaciones de la Empresa conforme a la Legislación Aplicable de Protección de Datos.
5. Controles, auditorías e informes
5.1. Informes. A solicitud de la Empresa, Nebius Academy asistirá a la Empresa en la demostración del cumplimiento de los artículos 32 a 36 del RGPD. Además, una vez al año natural y previa solicitud por escrito, Nebius Academy entregará un informe de autoevaluación que detalle su cumplimiento del presente ATD y de la legislación aplicable. Dicho informe cubrirá todas las actividades de tratamiento realizadas por Nebius Academy durante el año natural anterior.
5.2. Auditorías. Nebius Academy permitirá que un auditor independiente y debidamente cualificado, designado por la Empresa, inspeccione las instalaciones y registros de Nebius Academy para verificar el cumplimiento del presente ATD. Dichas inspecciones requieren un preaviso por escrito de al menos 30 (treinta) días y no podrán realizarse más de una vez por año natural.
5.3. Costes. Nebius Academy podrá facturar a la Empresa los gastos adicionales razonables incurridos en el cumplimiento de las obligaciones establecidas en la presente Sección 5.
6. Transferencias internacionales de datos y lugar de tratamiento
6.1. Lugar de tratamiento. Nebius Academy tratará los Datos Personales de la Empresa dentro de la región geográfica seleccionada por la Empresa.
6.2. Transferencias al amparo de Decisiones de adecuación. Los Datos Personales podrán transferirse desde el EEE, el Reino Unido o Suiza a cualquier jurisdicción que haya sido reconocida como proveedora de un nivel adecuado de protección de datos por la Comisión Europea, la Oficina del Comisionado de Información del Reino Unido o el Comisionado Federal Suizo de Protección de Datos e Información (conjuntamente, «Decisiones de adecuación») sin necesidad de garantías adicionales.
6.3. Cláusulas Contractuales Tipo. Las Cláusulas Contractuales Tipo de la UE se incorporan al presente Acuerdo y forman parte del mismo por referencia. Una copia de dichas cláusulas se adjunta como Anexo 2.
7. Disposiciones generales
7.1. Divisibilidad. Si cualquier disposición del presente ATD se considerara inválida o inaplicable, dicha determinación no afectará a la validez o aplicabilidad de las demás disposiciones.
7.2. Limitación de responsabilidad. La responsabilidad de cada Parte —y de sus respectivas Filiales— en virtud del o en relación con el presente ATD estará sujeta a las limitaciones y exclusiones establecidas en el Acuerdo.
7.3. Legislación aplicable y jurisdicción. El presente ATD se regirá e interpretará de conformidad con la legislación de los Países Bajos. Las Partes acuerdan que los tribunales de Ámsterdam tendrán jurisdicción exclusiva para resolver cualquier controversia derivada del o relacionada con el presente ATD.
ANEXO 1 - Detalles del tratamiento
Naturaleza y finalidad del tratamiento:
- Prestar los Servicios a la Empresa;
- Ejecutar los Servicios conforme a lo establecido en el Acuerdo y el presente ATD, incluida la gestión de las solicitudes de la Empresa;
- Actuar conforme a las instrucciones escritas de la Empresa de acuerdo con el Acuerdo;
- Garantizar el cumplimiento de toda la legislación y normativa aplicable y de las condiciones del presente ATD.
Duración del tratamiento
El Encargado del tratamiento tratará los Datos Personales durante la vigencia del Acuerdo y conservará dichos datos durante treinta (30) días tras su resolución, salvo que se acuerde otra cosa por escrito.
Categorías de Interesados:
Empleados de la Empresa u otras personas físicas designadas por la Empresa (usuarios de la Empresa)
Categorías de Datos Personales. Categorías de datos personales tratados:
Habitualmente, incluyen las siguientes categorías de datos:
- Nombre completo
- Correo electrónico
- Nombre de la empresa
- Sesiones de formación del usuario
Subencargados
El Encargado del tratamiento podrá contratar a los siguientes Subencargados para prestar los Servicios:
| Nombre del Subencargado | Finalidad | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Servicios en la nube | UE |
| Mailgun | Mensajería transaccional | UE |
| Anthropic | LLM generativo para asistente de IA | EE. UU. |
| OpenAI | LLM generativo para asistente de IA | EE. UU. |
| Hubspot | Envío de recordatorios de formación, actualizaciones y contenido de aprendizaje relevante | UE |
| Tableau | Seguimiento del progreso individual del estudiante | UE |
| PostHog | Analítica de producto, incluidos informes, mapas de calor, grabación de sesiones e indicadores de funcionalidad | UE |
ANEXO 2 - Cláusulas Contractuales Tipo
Transferencias internacionales de datos del EEE
- Las Partes acuerdan por el presente las Cláusulas Contractuales Tipo según se establecen en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 («CCT»).
- Se aplicará el Módulo Cuatro (encargado a responsable) de las CCT cuando Nebius Academy sea encargado del tratamiento de los Datos Personales y la Empresa sea responsable del tratamiento de los datos personales.
- Se aplicará el Módulo Tres (encargado a encargado) de las CCT cuando la Empresa sea encargado del tratamiento de los datos personales y Nebius Academy actúe como Subencargado.
- La Cláusula 7 de las CCT (Cláusula de adhesión) no será de aplicación.
- A los efectos de la Cláusula 9 de las CCT (relativa a las transferencias del Módulo Tres), las Partes eligen la opción 2 «Autorización general por escrito» de la Cláusula 9 de las CCT, y especifican que el encargado del tratamiento informará por escrito al responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con al menos treinta (30) días de antelación, otorgando así al responsable del tratamiento tiempo suficiente para oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. Las Partes acuerdan asimismo que la lista acordada de subencargados pertinente se facilita en el Anexo 1 del presente ATD y podrá modificarse periódicamente conforme a lo acordado en esta cláusula.
- A los efectos de la Cláusula 11 de las CCT, el texto opcional no será de aplicación.
- A los efectos de la Cláusula 17 de las CCT, se aplicará la opción 1, y las Partes acuerdan que las CCT se regirán por la legislación de los Países Bajos.
- A los efectos de la Cláusula 18(b), las controversias se resolverán ante los tribunales de los Países Bajos.
- El Anexo I.A de las CCT se cumplimentará según se indica en el Anexo 1.
- El Anexo I.B de las Cláusulas Contractuales Tipo se cumplimentará conforme a lo descrito en el Anexo I del presente ATD.
- El plazo de conservación de los datos personales será el de la vigencia del Acuerdo, salvo que se acuerde otra cosa en el Acuerdo y/o el ATD.
- En relación con las transferencias a Subencargados, el objeto, la naturaleza y la duración del tratamiento se establecen en el Anexo 1 del presente ATD.
- El Anexo I.C de las CCT se cumplimentará del siguiente modo: La autoridad de control competente de conformidad con la Cláusula 13 será la autoridad de control del Estado Miembro estipulado en la Sección 7 anterior.
- El Anexo 3 del presente ATD constituye el Anexo II de las CCT.
- Las Partes acuerdan que las demás cláusulas y garantías adicionales incorporadas por el presente ATD a las CCT no contradicen directa ni indirectamente las CCT ni menoscaban los derechos o libertades fundamentales de los interesados.
- En la medida en que exista conflicto entre las Cláusulas Contractuales Tipo y cualesquiera otros términos del presente ATD o del Acuerdo con la Empresa, prevalecerán las disposiciones de las Cláusulas Contractuales Tipo.
- En caso de transferencia desde el EEE o desde el Reino Unido, las Partes acuerdan complementar la(s) transferencia(s) internacional(es) de datos con las garantías y declaraciones adecuadas.
ANEXO 3 - Medidas de Seguridad y Organizativas
A. Medidas Técnicas y Organizativas
1. Gobierno de Seguridad de la Información
- Políticas y Estándares
- Política de Seguridad de la Información
- Política de Gestión de Accesos
- Política de Gestión de Registros de Auditoría
- Política de Clasificación de Datos y Criticidad de Sistemas
- Política de Protección de Datos
- Política de Continuidad del Negocio y Resiliencia
- Política de Gestión de Cambios
- Política de Gestión de Vulnerabilidades y Configuración
- Política de Monitoreo y Respuesta a Incidentes - Roles y Responsabilidades
- Ingeniero Sénior de Seguridad responsable de la gestión del programa de seguridad, el análisis de riesgos y la supervisión del cumplimiento.
- Departamento Legal responsable del análisis de riesgos legales, la revisión de contratos con proveedores y el asesoramiento sobre obligaciones regulatorias.
- Roles definidos para el CTO, Director de Operaciones Tecnológicas, TI, SRE, Desarrollo, y Propietarios de Datos y Sistemas.
2. Gestión de Vulnerabilidades y Parches
- Escaneo Automatizado
- Escaneo continuo de seguridad en la nube e infraestructura mediante una plataforma automatizada de gestión de postura en la nube.
- Ciclo de escaneo semanal con priorización basada en severidad y notificación al propietario del activo. - Implementación de Parches
- Parches críticos de seguridad implementados de acuerdo con plazos de remediación definidos según la severidad.
3. Seguridad de Redes y Sistemas
- Infraestructura
- Cargas de trabajo de producción alojadas en Amazon Web Services (AWS)
- Nubes Privadas Virtuales (VPC) privadas con acceso de red controlado mediante reglas restrictivas de grupos de seguridad y ACLs de red, siguiendo un modelo de segmentación de red basado en el principio de privilegio mínimo - Control de Acceso
- Autenticación multifactor (MFA) aplicada para todo acceso administrativo y de usuarios a sistemas críticos
- Gestión jerárquica de identidad a través de proveedores centralizados de identidad con aprovisionamiento y desaprovisionamiento automatizados
- Control de acceso basado en roles aplicado mediante pertenencia a grupos en todos los sistemas
- Controles de cuentas inactivas aplicados conforme a un umbral de inactividad definido - Cifrado
- En tránsito: TLS para todo el tráfico de red
- En reposo: AES-256 en almacenamiento y bases de datos mediante AWS KMS
4. Protección de Datos
- Cifrado de Bases de Datos
- Clústeres de bases de datos de producción cifrados mediante AWS KMS - Manejo de Datos
- Cifrado de datos en reposo y en tránsito - Controles de Almacenamiento
- Almacenes de datos ubicados en redes privadas, accesibles únicamente por personal autorizado mediante procedimientos de acceso controlado
5. Gestión de Incidentes
- Detección y Respuesta
- Monitoreo continuo de anomalías y eventos de seguridad mediante SIEM y agregación centralizada de registros
- Clasificación definida de severidad de incidentes y rutas de escalamiento con procedimientos de respuesta documentados - Escalamiento y Reporte
- Matriz de escalamiento definida que involucra al Equipo de Seguridad, al Director de Operaciones Tecnológicas y al Departamento Legal.
- Obligaciones de reporte de incidentes a autoridades de supervisión conforme a las leyes de protección de datos aplicables
6. Continuidad del Negocio
- Arquitectura de Resiliencia
- Sistemas de producción desplegados en múltiples zonas de disponibilidad con conmutación por error automatizada
- Objetivos documentados de tiempo de recuperación y punto de recuperación para sistemas críticos - Pruebas
- Simulacros anuales de recuperación y conmutación por error con criterios documentados de aprobación/rechazo y conservación de evidencias
7. Mejora Continua
- Revisión trimestral de derechos de acceso, postura de seguridad y efectividad de controles, reportada a la alta dirección
- Revisiones posteriores a incidentes con análisis estructurado de causa raíz y acciones de remediación con seguimiento
- Ciclo anual de revisión de todas las políticas y documentación de soporte
B. Asistencia en relación con los derechos de los Interesados
Para apoyar al Responsable del tratamiento en la atención de solicitudes de los interesados conforme al RGPD, Nebius Academy garantizará que puede:
- Notificación inmediata
- Informar inmediatamente al Responsable del tratamiento de cualquier solicitud de un interesado que reciba.
- Cooperación y suministro de datos
- A cargo de Nebius Academy, facilitar toda la información y copias de los datos personales pertinentes en un plazo de tres (3) días desde la solicitud del Responsable del tratamiento.
- Cuando proceda, prestar la asistencia que razonablemente solicite el responsable del tratamiento para cumplir con la solicitud correspondiente dentro de los plazos establecidos por el RGPD.
Gestión de solicitudes de derechos
- Asistir al Responsable del tratamiento en la atención de solicitudes de acceso, rectificación, supresión, limitación y portabilidad de datos.