Saltar al contenido principal

Acuerdo de Tratamiento de Datos

Fecha de entrada en vigor: 02.07.2025

Última actualización: 02.07.2025

El presente Acuerdo de Tratamiento de Datos («ATD») se celebra entre EdTech Plus B.V. («Nebius Academy» o «el Encargado del tratamiento»), con domicilio social en Gustav Mahlerlaan 300, 1082 ME, Ámsterdam, Países Bajos, y la Empresa («Empresa»), en relación con la prestación de Servicios por parte de Nebius Academy en virtud del Acuerdo aplicable con la Empresa («Acuerdo»). El Encargado del tratamiento y la Empresa son, individualmente, una «Parte» y, conjuntamente, las «Partes».

Mediante la aceptación en línea por parte de la Empresa, las Partes acuerdan que el presente ATD forma parte integrante del Acuerdo. En caso de conflicto entre el presente ATD y el Acuerdo, prevalecerán las disposiciones del ATD exclusivamente en lo relativo al tratamiento de Datos Personales.

1. Definiciones

1.1. Los términos en mayúsculas utilizados pero no definidos en el presente ATD tienen el significado que se les atribuye en el Acuerdo. Los términos definidos en el presente ATD tienen los siguientes significados:

1.2. «Legislación Aplicable de Protección de Datos» designa todas las leyes y normativas de protección de datos y privacidad aplicables al Tratamiento de Datos Personales en virtud del presente ATD, incluidas, en su caso:

  • el Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679, «RGPD»);
  • el «RGPD del Reino Unido» (incorporado al derecho del Reino Unido mediante la Ley de Protección de Datos de 2018 y la legislación conexa del Reino Unido);
  • la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 (revisada el 25 de septiembre de 2020, «LFPD»);
  • la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code §§ 1798.100 y siguientes, en su versión modificada (incluida la Ley de Derechos de Privacidad de California, «CCPA»);
  • cualquier otra legislación de protección de datos o privacidad, sectorial o jurisdiccional, aplicable a la recogida, uso, divulgación, conservación u otro Tratamiento de Datos Personales.

1.3. Los términos «Responsable del tratamiento», «Encargado del tratamiento», «Subencargado», «Tratamiento», «Datos Personales», «Interesado», «Autoridad de Control», «Violación de Datos Personales» y «Estado Miembro» tienen el significado que se les atribuye en el RGPD.

Los términos «Información personal», «Negocio», «Finalidad comercial» y «Consumidor» tienen el significado que se les atribuye en la CCPA.

1.4. «Servicios» designa los servicios que Nebius Academy presta a la Empresa en virtud del Acuerdo.

1.5. «Cláusulas Contractuales Tipo» designa las Cláusulas Contractuales Tipo de la UE para la transferencia de Datos Personales, según se establecen en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.

2. Funciones

2.1. En el tratamiento de Datos Personales conforme a la Legislación Aplicable de Protección de Datos, Nebius Academy actuará como Encargado del tratamiento en nombre de la Empresa (que podrá actuar como Responsable del tratamiento o como Encargado del tratamiento), y Nebius Academy podrá contratar Subencargados de conformidad con el presente ATD. A los efectos de la CCPA, Nebius Academy será considerado «Proveedor de servicios» y la Empresa un «Negocio».

3. Obligaciones de Nebius Academy y cumplimiento de la legislación aplicable

3.1. Cumplimiento e instrucciones

En el tratamiento de Datos Personales conforme a la Legislación Aplicable de Protección de Datos, Nebius Academy:

  1. cumplirá con toda la Legislación Aplicable de Protección de Datos;
  2. tratará los Datos Personales únicamente conforme a las instrucciones documentadas de la Empresa; y
  3. tratará los Datos Personales exclusivamente para los fines autorizados por la Empresa.

Si Nebius Academy está sujeto a un requisito legal en virtud de la legislación de la Unión Europea o de un Estado Miembro que obligue al tratamiento más allá de las instrucciones de la Empresa, Nebius Academy notificará a la Empresa con antelación, salvo que dicha legislación lo prohíba.

3.2. Medidas de seguridad

Nebius Academy implementa y mantiene las medidas técnicas y organizativas adecuadas para proteger los Datos Personales. En el Anexo 3 se incluye un resumen de dichas medidas.

3.3. Confidencialidad

Todo el personal y los contratistas de Nebius Academy con acceso a Datos Personales están vinculados por obligaciones de confidencialidad acordes con el presente ATD.

3.4. Subencargados

Nebius Academy podrá contratar Subencargados para colaborar en la prestación de los Servicios. Todo Subencargado estará vinculado por obligaciones de protección de datos al menos tan protectoras como las del presente ATD. En el Anexo 1 figura una lista actualizada de Subencargados.

3.5 Notificación de cambios en los Subencargados

Nebius Academy informará a la Empresa con al menos diez (10) días de antelación antes de añadir o sustituir un Subencargado. La Empresa podrá oponerse por escrito alegando motivos razonables de protección de datos. Si las Partes no logran resolver la objeción dentro de dicho plazo, la Empresa podrá resolver los Servicios afectados sin penalización, quedando únicamente obligada al pago de los Servicios ya prestados.

3.6 Violaciones de Datos Personales

Nebius Academy notificará a la Empresa sin dilación indebida en cuanto tenga conocimiento de cualquier Violación de Datos Personales que afecte a los datos de la Empresa. Nebius Academy proporcionará toda la información y asistencia razonablemente necesarias para que la Empresa cumpla sus obligaciones de notificación de violaciones conforme a la Legislación Aplicable de Protección de Datos.

3.7. Supresión o devolución de Datos Personales

A la expiración o resolución de los Servicios, Nebius Academy, a elección de la Empresa, suprimirá o devolverá todos los Datos Personales tratados en nombre de la Empresa. Nebius Academy podrá conservar Datos Personales únicamente en la medida en que la legislación lo exija, y solo durante el tiempo legalmente establecido.

3.8. Solicitudes de los Interesados. Si Nebius Academy recibe cualquier solicitud de un Interesado relativa al Tratamiento de Datos Personales tratados en nombre de la Empresa, Nebius Academy la remitirá sin demora a la Empresa y no adoptará ninguna otra medida salvo que la Empresa así lo indique. La Empresa es la única responsable de responder a dichas solicitudes.

4. Obligaciones de la Empresa

4.1. Cumplimiento de la legislación.

La Empresa:

  1. cumplirá con toda la Legislación Aplicable de Protección de Datos en lo relativo a su Tratamiento de Datos Personales y a las instrucciones que imparta a Nebius Academy; y
  2. notificará con prontitud a Nebius Academy si la Empresa no puede cumplir alguna de sus obligaciones conforme a la Legislación Aplicable de Protección de Datos.

4.2. Seguridad. La Empresa es responsable de:

(a) utilizar los Servicios de manera segura; y

(b) evaluar y determinar si las medidas de seguridad proporcionadas por Nebius Academy cumplen con las propias obligaciones de la Empresa conforme a la Legislación Aplicable de Protección de Datos.

5. Controles, auditorías e informes

5.1. Informes. A solicitud de la Empresa, Nebius Academy asistirá a la Empresa en la demostración del cumplimiento de los artículos 32 a 36 del RGPD. Además, una vez al año natural y previa solicitud por escrito, Nebius Academy entregará un informe de autoevaluación que detalle su cumplimiento del presente ATD y de la legislación aplicable. Dicho informe cubrirá todas las actividades de tratamiento realizadas por Nebius Academy durante el año natural anterior.

5.2. Auditorías. Nebius Academy permitirá que un auditor independiente y debidamente cualificado, designado por la Empresa, inspeccione las instalaciones y registros de Nebius Academy para verificar el cumplimiento del presente ATD. Dichas inspecciones requieren un preaviso por escrito de al menos 30 (treinta) días y no podrán realizarse más de una vez por año natural.

5.3. Costes. Nebius Academy podrá facturar a la Empresa los gastos adicionales razonables incurridos en el cumplimiento de las obligaciones establecidas en la presente Sección 5.

6. Transferencias internacionales de datos y lugar de tratamiento

6.1. Lugar de tratamiento. Nebius Academy tratará los Datos Personales de la Empresa dentro de la región geográfica seleccionada por la Empresa.

6.2. Transferencias al amparo de Decisiones de adecuación. Los Datos Personales podrán transferirse desde el EEE, el Reino Unido o Suiza a cualquier jurisdicción que haya sido reconocida como proveedora de un nivel adecuado de protección de datos por la Comisión Europea, la Oficina del Comisionado de Información del Reino Unido o el Comisionado Federal Suizo de Protección de Datos e Información (conjuntamente, «Decisiones de adecuación») sin necesidad de garantías adicionales.

6.3. Cláusulas Contractuales Tipo. Las Cláusulas Contractuales Tipo de la UE se incorporan al presente Acuerdo y forman parte del mismo por referencia. Una copia de dichas cláusulas se adjunta como Anexo 2.

7. Disposiciones generales

7.1. Divisibilidad. Si cualquier disposición del presente ATD se considerara inválida o inaplicable, dicha determinación no afectará a la validez o aplicabilidad de las demás disposiciones.

7.2. Limitación de responsabilidad. La responsabilidad de cada Parte —y de sus respectivas Filiales— en virtud del o en relación con el presente ATD estará sujeta a las limitaciones y exclusiones establecidas en el Acuerdo.

7.3. Legislación aplicable y jurisdicción. El presente ATD se regirá e interpretará de conformidad con la legislación de los Países Bajos. Las Partes acuerdan que los tribunales de Ámsterdam tendrán jurisdicción exclusiva para resolver cualquier controversia derivada del o relacionada con el presente ATD.

ANEXO 1 - Detalles del tratamiento

Naturaleza y finalidad del tratamiento:

  1. Prestar los Servicios a la Empresa;
  2. Ejecutar los Servicios conforme a lo establecido en el Acuerdo y el presente ATD, incluida la gestión de las solicitudes de la Empresa;
  3. Actuar conforme a las instrucciones escritas de la Empresa de acuerdo con el Acuerdo;
  4. Garantizar el cumplimiento de toda la legislación y normativa aplicable y de las condiciones del presente ATD.

Duración del tratamiento

El Encargado del tratamiento tratará los Datos Personales durante la vigencia del Acuerdo y conservará dichos datos durante treinta (30) días tras su resolución, salvo que se acuerde otra cosa por escrito.

Categorías de Interesados:

Empleados de la Empresa u otras personas físicas designadas por la Empresa (usuarios de la Empresa)

Categorías de Datos Personales. Categorías de datos personales tratados:

Habitualmente, incluyen las siguientes categorías de datos:

  • Nombre completo
  • Correo electrónico
  • Nombre de la empresa
  • Sesiones de formación del usuario

Subencargados

El Encargado del tratamiento podrá contratar a los siguientes Subencargados para prestar los Servicios:

Nombre del SubencargadoFinalidadUbicación
Amazon Web Services (AWS)Servicios en la nubeUE
MailgunMensajería transaccionalUE
AnthropicLLM generativo para asistente de IAEE. UU.
OpenAILLM generativo para asistente de IAEE. UU.
HubspotEnvío de recordatorios de formación, actualizaciones y contenido de aprendizaje relevanteUE
TableauSeguimiento del progreso individual del estudianteUE
PostHogAnalítica de producto, incluidos informes, mapas de calor, grabación de sesiones e indicadores de funcionalidadUE

ANEXO 2 - Cláusulas Contractuales Tipo

Transferencias internacionales de datos del EEE

  1. Las Partes acuerdan por el presente las Cláusulas Contractuales Tipo según se establecen en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 («CCT»).
  2. Se aplicará el Módulo Cuatro (encargado a responsable) de las CCT cuando Nebius Academy sea encargado del tratamiento de los Datos Personales y la Empresa sea responsable del tratamiento de los datos personales.
  3. Se aplicará el Módulo Tres (encargado a encargado) de las CCT cuando la Empresa sea encargado del tratamiento de los datos personales y Nebius Academy actúe como Subencargado.
  4. La Cláusula 7 de las CCT (Cláusula de adhesión) no será de aplicación.
  5. A los efectos de la Cláusula 9 de las CCT (relativa a las transferencias del Módulo Tres), las Partes eligen la opción 2 «Autorización general por escrito» de la Cláusula 9 de las CCT, y especifican que el encargado del tratamiento informará por escrito al responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con al menos treinta (30) días de antelación, otorgando así al responsable del tratamiento tiempo suficiente para oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. Las Partes acuerdan asimismo que la lista acordada de subencargados pertinente se facilita en el Anexo 1 del presente ATD y podrá modificarse periódicamente conforme a lo acordado en esta cláusula.
  6. A los efectos de la Cláusula 11 de las CCT, el texto opcional no será de aplicación.
  7. A los efectos de la Cláusula 17 de las CCT, se aplicará la opción 1, y las Partes acuerdan que las CCT se regirán por la legislación de los Países Bajos.
  8. A los efectos de la Cláusula 18(b), las controversias se resolverán ante los tribunales de los Países Bajos.
  9. El Anexo I.A de las CCT se cumplimentará según se indica en el Anexo 1.
  10. El Anexo I.B de las Cláusulas Contractuales Tipo se cumplimentará conforme a lo descrito en el Anexo I del presente ATD.
  11. El plazo de conservación de los datos personales será el de la vigencia del Acuerdo, salvo que se acuerde otra cosa en el Acuerdo y/o el ATD.
  12. En relación con las transferencias a Subencargados, el objeto, la naturaleza y la duración del tratamiento se establecen en el Anexo 1 del presente ATD.
  13. El Anexo I.C de las CCT se cumplimentará del siguiente modo: La autoridad de control competente de conformidad con la Cláusula 13 será la autoridad de control del Estado Miembro estipulado en la Sección 7 anterior.
  14. El Anexo 3 del presente ATD constituye el Anexo II de las CCT.
  15. Las Partes acuerdan que las demás cláusulas y garantías adicionales incorporadas por el presente ATD a las CCT no contradicen directa ni indirectamente las CCT ni menoscaban los derechos o libertades fundamentales de los interesados.
  16. En la medida en que exista conflicto entre las Cláusulas Contractuales Tipo y cualesquiera otros términos del presente ATD o del Acuerdo con la Empresa, prevalecerán las disposiciones de las Cláusulas Contractuales Tipo.
  17. En caso de transferencia desde el EEE o desde el Reino Unido, las Partes acuerdan complementar la(s) transferencia(s) internacional(es) de datos con las garantías y declaraciones adecuadas.

ANEXO 3 - Medidas de seguridad y organizativas

A. Medidas técnicas y organizativas

1. Gobernanza de la seguridad de la información

  • Políticas y normas
    - Política de control de acceso
    - Política de protección de datos
    - Política de gestión de activos
    - Política de gestión de dispositivos
    - Política de respuesta ante incidentes
  • Funciones y responsabilidades
    - El Director de Seguridad de la Información (CISO) realiza el análisis de riesgos de seguridad
    - El departamento jurídico realiza el análisis de riesgos legales
  • Gestión de riesgos
    - Los riesgos de seguridad de la información y cumplimiento se reidentifican, analizan y reevalúan anualmente

2. Gestión de vulnerabilidades y parches

  • Escaneo automatizado
    - Monitorización continua mediante escáneres SAST, DAST, SCA e IaC integrados en los pipelines de CI/CD
  • Gestión de defectos
    - Los hallazgos se clasifican en la plataforma de gestión de defectos; las vulnerabilidades confirmadas se rastrean y remedian mediante flujos de trabajo de Jira
    - Reuniones trimestrales de revisión de vulnerabilidades
  • Despliegue de parches
    - Los parches de seguridad críticos se despliegan con prontitud según su gravedad

3. Seguridad de las aplicaciones

  • SDLC seguro
    - Requisitos de seguridad y modelado de amenazas en la fase de diseño
    - Prácticas de codificación segura aplicadas mediante formación y directrices
    - Revisiones periódicas de código y arquitectura
    - Pruebas dinámicas (DAST) y estáticas (SAST) durante las fases de desarrollo y control de calidad
  • Validación previa al despliegue
    - Verificaciones de configuración y escaneos de vulnerabilidades antes del lanzamiento

4. Seguridad de redes y sistemas

  • Infraestructura
    - Producción en AWS eu-west-3; ClickHouse cloud en eu-central-1
    - VPC privadas con ACL de red estrictas
  • Control de acceso
    - Autenticación multifactor (MFA) obligatoria para todo acceso de administradores y usuarios
    - El proveedor de identidad garantiza que los clientes solo accedan a sus propios datos
  • Cifrado
    - En tránsito: TLS 1.2+ para todo el tráfico de red
    - En reposo: AES-256-GCM en almacenamiento y bases de datos

5. Protección de datos

  • Cifrado de bases de datos
    - Clúster de AWS RDS Aurora PostgreSQL cifrado con AWS KMS (AES-256-GCM)
  • Gestión de datos
    - Datos personales enmascarados, hasheados o anonimizados cuando corresponda
    - Cifrado de todos los datos personales en reposo y en tránsito
  • Controles de almacenamiento
    - Los almacenes de datos se ubican en redes privadas, accesibles únicamente para administradores autorizados

6. Gestión de incidentes

  • Detección y respuesta
    - Monitorización de anomalías y violaciones mediante herramientas de seguridad y SIEM
    - Equipo de Respuesta ante Incidentes activado tras la detección
  • Escalado y notificación
    - Matriz de escalado definida con participación del CISO y el departamento jurídico
    - Notificación de incidentes a las autoridades de control conforme a la legislación de protección de datos aplicable

7. Concienciación y formación en seguridad

  • Formación periódica
    - Formación anual de concienciación en seguridad y privacidad para todo el personal
  • Directrices internas
    - Directrices de codificación segura publicadas y manuales de gestión de incidentes

9. Mejora continua

  • Reevaluación periódica de riesgos y controles
  • Talleres de lecciones aprendidas tras incidentes o auditorías
  • Perfeccionamiento continuo de las medidas técnicas y los procesos organizativos

B. Asistencia en relación con los derechos de los Interesados

Para apoyar al Responsable del tratamiento en la atención de solicitudes de los interesados conforme al RGPD, Nebius Academy garantizará que puede:

  1. Notificación inmediata
    • Informar inmediatamente al Responsable del tratamiento de cualquier solicitud de un interesado que reciba.
  2. Cooperación y suministro de datos
    • A cargo de Nebius Academy, facilitar toda la información y copias de los datos personales pertinentes en un plazo de tres (3) días desde la solicitud del Responsable del tratamiento.
    • Cuando proceda, prestar la asistencia que razonablemente solicite el responsable del tratamiento para cumplir con la solicitud correspondiente dentro de los plazos establecidos por el RGPD.

Gestión de solicitudes de derechos

  • Asistir al Responsable del tratamiento en la atención de solicitudes de acceso, rectificación, supresión, limitación y portabilidad de datos.