Acuerdo de Procesamiento de Datos (DPA)

1. Roles

El cliente actúa como Responsable del tratamiento. Tessera actúa como Encargado del tratamiento. Tessera procesa datos personales únicamente conforme a las instrucciones documentadas del cliente, salvo cuando lo exija la legislación aplicable.

2. Objeto y duración

El procesamiento se realiza durante la vigencia del contrato comercial entre las partes. Cubre exclusivamente los datos personales que el cliente procese a través de la API de Tessera (api.tesseraai.cloud).

3. Naturaleza del procesamiento

Tessera procesa los datos exclusivamente para: ejecutar las solicitudes de inferencia del cliente, mantener logs de servicio durante 90 días, y cumplir obligaciones de seguridad y disponibilidad. No se procesan los datos para entrenamiento de modelos, perfilado interno ni análisis comercial.

4. Categorías de datos e interesados

Las categorías concretas dependen del caso de uso del cliente. Por defecto, Tessera procesa los datos enviados en el cuerpo de los requests (texto, audio, embeddings) sin clasificación previa. Si el cliente envía categorías especiales del artículo 9 RGPD, debe declararlo previamente y firmar un anexo específico.

5. Subprocesadores

Tessera utiliza los subprocesadores listados en /subprocessors. Cualquier cambio se notifica al cliente con preaviso mínimo de 30 días, durante los cuales el cliente puede oponerse y rescindir el contrato sin penalización si la oposición no se resuelve.

6. Medidas técnicas y organizativas

Tessera implementa las siguientes medidas mínimas:

• Cifrado en tránsito (TLS 1.3) en todas las comunicaciones API.
• Cifrado en reposo (AES-256) para logs y datos persistidos.
• Aislamiento de tenants en planes Pro y superiores; multi-tenancy controlado en Lite y Async.
• Control de acceso basado en roles (RBAC) y autenticación multi-factor obligatoria para personal interno.
• Auditoría centralizada de accesos a datos del cliente.
• Plan de continuidad y recuperación documentado, con simulacros trimestrales.
• Programa de gestión de vulnerabilidades con SLA de parche para CVEs críticas.

7. Notificación de brechas

Tessera notifica al cliente cualquier brecha de seguridad que afecte a sus datos sin demora indebida y en un plazo máximo de 48 horas desde su conocimiento. La notificación incluye descripción, datos afectados, medidas adoptadas y contacto del DPO.

8. Cooperación y auditoría

Tessera coopera con el cliente en la atención de derechos del interesado, evaluaciones de impacto (DPIA) y auditorías. Los clientes Scale y Enterprise pueden solicitar auditoría in situ con preaviso razonable o aceptar informes de auditoría externa equivalente (SOC 2 cuando esté disponible).

9. Devolución y eliminación al fin del contrato

Al finalizar el contrato, Tessera devuelve al cliente los datos en formato estructurado durante 30 días. Pasado ese plazo, los datos se eliminan irreversiblemente, salvo obligación legal de retención específica.

10. Transferencias internacionales

Si el cliente contrata residencia EU, los datos no salen del EEE. Para residencia LATAM o US, las transferencias se realizan bajo Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914) o decisiones de adecuación equivalentes.