Anexo de Tratamiento de Datos

Última fecha de actualización: 1 de mayo de 2026

Este DPA se incorpora a las Condiciones de servicio comerciales o a cualquier otro acuerdo entre las partes que regule el uso de los Servicios por parte del Cliente (el «Acuerdo»), y forma parte integrante de este. En caso de controversia entre las condiciones del presente DPA y las del Acuerdo, prevalecerán las condiciones establecidas en el primero en lo que respecta al objeto del mismo. Los términos en mayúsculas utilizados en el presente DPA que no hayan sido definidos en el mismo tendrán el significado indicado en el Acuerdo.

1. Definiciones

«Leyes de Protección de Datos Aplicables» se refiere a toda la legislación aplicable en materia de protección de datos y privacidad, incluyendo: (a) el Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679) («RGPD»); (b) el RGPD del Reino Unido y su ley de protección de datos de 2018; (c) la nueva ley federal de protección de datos de Suiza (nFADP); y (d) las leyes estatales de privacidad de EE. UU. aplicables, incluidas la CCPA y otras leyes estatales similares, con sus respectivas modificaciones periódicas.

«Datos Personales del Cliente» se refiere a cualquier dato personal incluido en los Datos del Cliente que haya sido facilitado a través de los Servicios por, o en nombre de, el Cliente o una Filial del Cliente.

«Filial del Cliente» se refiere a cualquier entidad que: (a) está autorizada a utilizar los Servicios en virtud del Acuerdo entre Plaud y el Cliente, y (b) directa o indirectamente controla a, es controlada por, o está bajo control común con el Cliente, entendiéndose por «control» la titularidad de más del 50 % de los derechos de voto de la entidad en cuestión.

«Solicitud del Interesado» se refiere a una solicitud presentada por una persona física que ejerce los derechos que le asisten en virtud de las Leyes sobre Protección de Datos Aplicables con respecto a los Datos personales del Cliente (por ejemplo, acceso, rectificación, supresión, portabilidad o limitación del tratamiento).

«SCC» se refiere a las Cláusulas contractuales tipo anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países con arreglo al RGPD.

«Incidente de Seguridad» se refiere a una violación confirmada de las medidas de seguridad de Plaud que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso no autorizado a, ya sean de carácter accidental o ilícito, los Datos Personales del Cliente.

«Subencargado del Tratamiento» se refiere a cualquier tercero contratado por Plaud (o Filiales de Plaud) para tratar los Datos Personales del Cliente en relación con la prestación de los Servicios.

«Anexo del Reino Unido» se refiere al Anexo sobre Transferencias Internacionales de Datos a las Cláusulas Contractuales Tipo de la Comisión Europea publicado por la autoridad británica de protección de datos (Information Commissioner’s Office) en virtud del artículo 119A(1) de la ley de protección de datos de 2018 del Reino Unido.

Los términos «datos personales», «interesado», «tratamiento», «responsable del tratamiento» y «encargado del tratamiento» tienen el significado que les atribuyen las Leyes de Protección de Datos Aplicables o, en ausencia de tales definiciones, el RGPD. Los términos «responsable del tratamiento» y «encargado del tratamiento» incluyen los conceptos de «empresa» y «proveedor de servicios», respectivamente, tal y como exigen las Leyes de Protección de Datos Aplicables.

2. Funciones y ámbito de aplicación

2.1 Funciones. En lo que respecta a los Datos Personales del Cliente, el Cliente actuará como responsable del tratamiento (o empresa) y Plaud actuará como encargado del tratamiento (o proveedor de servicios) en nombre del Cliente. Cada parte cumplirá con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos Aplicables.

2.2 Finalidad e instrucciones. Plaud tratará los Datos Personales del Cliente únicamente: (a) para prestar, mantener y dar soporte a los Servicios; (b) para cumplir con la legislación aplicable; (c) para proteger la seguridad e integridad de los Servicios; y (d) de conformidad con las demás instrucciones documentadas del Cliente acordadas mutuamente por escrito. El Acuerdo y el presente DPA constituyen las instrucciones documentadas del Cliente en la Fecha de Entrada en Vigor. Plaud informará sin demora al Cliente cuando, en su opinión razonable, una instrucción acerca del tratamiento infrinja las Leyes de Protección de Datos Aplicables.

2.3 No entrenamiento. De conformidad con la cláusula 4.4 del Acuerdo, Plaud no utilizará los Datos Personales del Cliente para entrenar o mejorar los modelos de IA de uso general de Plaud ni los de sus Subencargados del Tratamiento, a menos que el Cliente opte por ello expresamente por escrito.

3. Obligaciones de Plaud

3.1 Confidencialidad del tratamiento. Plaud se asegurará de que todo el personal autorizado a tratar los Datos Personales del Cliente esté sujeto a las obligaciones de confidencialidad pertinentes y haya recibido formación sobre los requisitos de protección de datos aplicables a su función.

3.2 Notificación. Plaud notificará sin demora al Cliente si considera que no puede seguir cumpliendo con las obligaciones que ha contraído en virtud del presente DPA, y el Cliente podrá adoptar las medidas razonables necesarias para detener o subsanar el tratamiento no autorizado.

3.3 Subencargados del Tratamiento. El Cliente concede a Plaud autorización general para contratar a los Subencargados del Tratamiento que figuran en https://es.plaud.ai/pages/trust-center (la «Lista de Subencargados del Tratamiento»), que será actualizada según lo estipulado en esta cláusula. Plaud notificará por escrito con al menos treinta (30) días de antelación la contratación de un nuevo Subencargado del Tratamiento que vaya a tratar los Datos Personales del Cliente. El Cliente podrá oponerse en un plazo de quince (15) días por motivos razonables relacionados con la protección de datos. Si no existe ninguna alternativa comercialmente viable y la objeción no se resuelve, el Cliente podrá rescindir el Servicio afectado por causa justificada y recibir un reembolso prorrateado de las cuotas prepagadas no utilizadas. Dicho derecho de rescisión es el único recurso del Cliente en caso de objeción a un nuevo Subencargado del Tratamiento.

Plaud impondrá a cada Subencargado del Tratamiento obligaciones sobre protección de datos no menos estrictas que las establecidas en el presente DPA, y Plaud seguirá siendo responsable del cumplimiento de las mismas por parte de cada Subencargado del Tratamiento en la misma medida que si Plaud prestara los servicios directamente.

3.4 Derechos de los Interesados. Plaud prestará asistencia técnica y organizativa razonable al Cliente para ayudarlo a responder a las Solicitudes de los Interesados y, cuando así lo exijan las Leyes de Protección de Datos Aplicables, para realizar evaluaciones de impacto en materia de protección de datos y las consultas pertinentes a las autoridades de control.

3.5 Seguridad. Plaud aplicará y mantendrá las medidas de seguridad técnicas y organizativas descritas en el Anexo 2, diseñadas para proteger los Datos Personales del Cliente contra el acceso no autorizado, la destrucción, la pérdida, la alteración y la divulgación. Plaud podrá actualizar dichas medidas, siempre que dichas actualizaciones no reduzcan de manera significativa el nivel general de protección.

4. Obligaciones del Cliente

4.1 Fundamento jurídico y consentimientos. El Cliente declara y garantiza que cuenta con todos los derechos, consentimientos, notificaciones y autorizaciones necesarios exigidos por las Leyes de Protección de Datos Aplicables para facilitar los Datos Personales del Cliente a los Servicios y para autorizar a Plaud a tratarlos tal y como se describe en el presente DPA. Sin perjuicio de lo anterior, el Cliente es el único responsable de obtener todos los consentimientos de grabación necesarios y de proporcionar los avisos requeridos a las personas cuya voz o datos personales se recojan a través de los Servicios o de los dispositivos de Plaud.

4.2 Configuración. El Cliente es responsable de configurar los Servicios de conformidad con sus obligaciones legales. El Cliente no enviará Datos Personales del Cliente a través de canales no seguros ni en tickets de soporte técnico.

4.3 Cooperación. El Cliente cooperará de forma razonable con Plaud para ayudarle a cumplir sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables en relación con los Datos Personales del Cliente.

5. Incidentes de Seguridad

5.1 Notificación. Plaud notificará al Cliente por escrito sin demora injustificada y, en cualquier caso, en un plazo de setenta y dos (72) horas a partir del momento en que tenga conocimiento de cualquier Incidente de Seguridad. La notificación no constituye un reconocimiento de culpa ni de responsabilidad.

5.2 Contenido. En la medida en que se disponga de dicha información, la notificación incluirá: (a) la naturaleza del Incidente de Seguridad y, cuando sea posible, las categorías y el número aproximado de interesados y registros afectados; (b) las posibles consecuencias; y (c) las medidas adoptadas o propuestas para hacer frente al incidente. Plaud facilitará más detalles a medida que disponga de ellos.

5.3 Cooperación. Plaud cooperará con la investigación del Cliente y adoptará las medidas razonables que el Cliente le indique para mitigar el Incidente de Seguridad y ayudar al Cliente a cumplir con las Leyes de Protección de Datos Aplicables.

6. Auditorías y cumplimiento normativo

6.1 Certificaciones. Plaud es auditada al menos una vez al año con arreglo a normas de seguridad reconocidas (por ejemplo, SOC 2 Tipo II) por auditores externos independientes. Previa solicitud por escrito del Cliente (no más de una vez por cada periodo de 12 meses, salvo que así lo exijan las Leyes de Protección de Datos Aplicables o en respuesta a un Incidente de Seguridad), Plaud facilitará su informe de auditoría o certificación aplicable más reciente. Puede consultar las certificaciones actuales en https://es.plaud.ai/pages/trust-center .

6.2 Auditorías del Cliente. El Cliente podrá, previa solicitud por escrito y con un preaviso razonable (no inferior a treinta (30) días), llevar a cabo o encargar una auditoría acerca del cumplimiento del presente DPA por parte de Plaud, siempre que: (a) se llegue a un acuerdo mutuo sobre el alcance, el calendario y las medidas de confidencialidad aplicables; (b) la auditoría se realice en horario laboral y con una interrupción mínima de la actividad; y (c) el Cliente corra con todos los gastos asociados. Los resultados de la auditoría constituyen Información Confidencial de ambas partes y solo podrán utilizarse para confirmar el cumplimiento del presente DPA.

7. Devolución y supresión de datos

7.1 Devolución y supresión. Tras la rescisión o la expiración del Acuerdo, Plaud, siguiendo las instrucciones del Cliente, devolverá o suprimirá todos los Datos Personales del Cliente, así como las copias existentes.

7.2 Excepciones. Plaud podrá conservar los Datos Personales del Cliente más allá del plazo establecido en la cláusula 7.1 únicamente en la medida en que lo exijan las Leyes de Protección de Datos Aplicables u otras obligaciones legales, para resolver una disputa entre las partes o para prevenir un uso perjudicial o fraudulento de los Servicios. Los datos conservados seguirán estando sujetos al presente DPA.

8. Transferencias internacionales de datos

8.1 Disposiciones generales. El Cliente reconoce que Plaud y sus Subencargados del Tratamiento podrán tratar los Datos Personales del Cliente en los Estados Unidos y en otros países en los que operen Plaud o sus Subencargados del Tratamiento. Plaud se asegurará de que todas estas transferencias cumplan con las Leyes de Protección de Datos Aplicables, entre otras cosas, mediante la implementación de los mecanismos de transferencia adecuados.

8.2 Transferencias de la UE y el EEE. En la medida en que las transferencias de Datos Personales del Cliente desde el EEE a Plaud requieran un mecanismo de transferencia conforme al RGPD, se incorpora por referencia al presente DPA el Módulo Dos (Responsable del Tratamiento a Encargado del Tratamiento) de las cláusulas contractuales tipo, el cual se considera suscrito por las partes, siendo el Cliente el exportador de datos y Plaud el importador de datos. Las cláusulas contractuales tipo se cumplimentan de la forma especificada en el Anexo 3(A).

8.3 Transferencias sujetas a la legislación británica. En la medida en que las transferencias estén sujetas a la legislación británica en materia de protección de datos, se incorpora por referencia el Anexo del Reino Unido que figura en el Anexo 3(B), el cual se considera suscrito por las partes.

8.4 Transferencias sujetas a la legislación suiza. En la medida en que las transferencias estén sujetas a la legislación suiza en materia de protección de datos (nFADP), se incorpora por referencia el Anexo de Suiza que figura en el Anexo 3(C), el cual se considera suscrito por las partes.

8.5 Prevalencia. En caso de controversia entre los mecanismos de transferencia aplicables (las SCC, el Anexo del Reino Unido o el Anexo de Suiza), el presente DPA y el Acuerdo, prevalecerá el mecanismo de transferencia aplicable, seguido del presente DPA.

9. Leyes estatales de privacidad de  EE. UU.

En la medida en que sean de aplicación las leyes estatales de privacidad de EE. UU. (incluida la CCPA), Plaud actúa como «proveedor de servicios» o «encargado del tratamiento» y certifica que:

• tratará los Datos Personales del Cliente únicamente para los fines comerciales descritos en el presente DPA y en el Acuerdo;

• no «venderá» ni «compartirá» (según la definición de la CCPA) los Datos Personales del Cliente;

• no conservará, utilizará ni divulgará los Datos Personales del Cliente fuera de la relación comercial directa entre las partes, salvo en los casos en que así lo exija la ley;

• no combinará los Datos Personales del Cliente con datos personales procedentes de otras fuentes, salvo en los casos permitidos por la legislación aplicable o cuando siga las instrucciones del Cliente;

• permitirá al Cliente adoptar medidas razonables para garantizar que el tratamiento de Plaud sea coherente con las obligaciones del Cliente en virtud de la legislación aplicable; y

• notificará al Cliente sin demora si Plaud determina que ya no puede seguir cumpliendo con lo dispuesto en la presente cláusula 9.

10. Vigencia y modificaciones

10.1 Vigencia. El presente DPA permanecerá en vigor mientras dure la validez del Acuerdo, y seguirá vigente tras la rescisión de este último hasta que Plaud haya cumplido con las obligaciones de supresión contraídas en la cláusula 7.

10.2 Modificaciones. Plaud podrá modificar el presente DPA previa notificación por escrito con una antelación razonable cuando así lo exijan los cambios en las Leyes de Protección de Datos Aplicables o directrices normativas vinculantes. Las modificaciones sustanciales que reduzcan de manera significativa los derechos del Cliente podrán ser impugnadas en un plazo de quince (15) días a partir de la notificación; si la controversia no se resuelve en un plazo de treinta (30) días, cualquiera de las partes podrá rescindir el Acuerdo mediante notificación por escrito con treinta (30) días de antelación.

Anexo 1: Datos del tratamiento

A. Partes

Exportador de datos: El Cliente y/o las Filiales del Cliente. Datos de contacto según se especifican en el Formulario de Pedido.

Importador de datos: Plaud, Inc., 8 The Green, Ste A, Dover, Delaware 19901. Persona de contacto en materia de protección de datos: privacy@plaud.ai.

B. Descripción del tratamiento

Categorías de Interesados. (a) Usuarios Autorizados; (b) terceros cuyos datos personales se recogen en grabaciones de audio u otros Datos del Cliente remitidos a los Servicios (por ejemplo, participantes en reuniones, clientes, compañeros de trabajo).

Categorías de Datos Personales. Son determinadas por el Cliente y pueden incluir:

• Datos de contacto (nombres, direcciones de correo electrónico)

• Grabaciones de audio y datos de voz recogidos a través de dispositivos de Plaud (por ejemplo, NotePin, Note) o subidos por el Cliente

• Datos derivados: transcripciones, resúmenes de reuniones y puntos de acción generados por IA

• Metadatos de las reuniones (fecha, duración, participantes)

• Datos de uso del dispositivo y de la cuenta

• Cualquier otro dato personal contenido en los Datos del Cliente remitidos a los Servicios

Categorías especiales. Las grabaciones de audio y las transcripciones pueden contener, de forma incidental, datos de categorías especiales (por ejemplo, información sobre salud u opiniones políticas). El Cliente es el único responsable de garantizar que existe una base legal para el tratamiento de dichos datos.

Duración. El tratamiento se llevará a cabo de forma continua durante la vigencia del Acuerdo, según lo determinen la configuración y el uso de los Servicios por parte del Cliente.

Naturaleza y finalidad. Prestación de servicios de transcripción, resumen y otros servicios relacionados basados en la IA. Las actividades de tratamiento incluyen la recogida, el almacenamiento, la transcripción, el resumen y la supresión de los Datos Personales del Cliente, según sea necesario para prestar los Servicios.

C. Autoridad de control competente

Cuando el exportador de datos esté establecido en un Estado miembro de la UE: la autoridad de control de dicho Estado miembro. Cuando el exportador de datos no esté establecido en la UE, pero se encuentre dentro del ámbito de aplicación territorial del RGPD: la Comisión de Protección de Datos de Irlanda.

Anexo 2: Medidas de seguridad técnicas y organizativas

Plaud cuenta con un programa de seguridad de la información por escrito diseñado para proteger los Datos Personales del Cliente contra el acceso no autorizado, la destrucción, la pérdida, la alteración y la divulgación. Plaud podrá actualizar dichas medidas, siempre que dichas actualizaciones no reduzcan de manera significativa la protección general. Puede consultar las certificaciones actuales e información adicional en https://es.plaud.ai/pages/trust-center .

Anexo 3: Mecanismos de transferencias internacionales de datos

A. Cláusulas contractuales tipo de la UE (Módulo Dos: Responsable del Tratamiento a Encargado del Tratamiento)

Las cláusulas contractuales tipo de la UE se incorporan por referencia y se consideran suscritas por las partes, habiendo elegido las siguientes opciones:

•  Cláusula 7 (Cláusula de adhesión): no aplicable.

•  Cláusula 9 (Subencargados del Tratamiento): Opción 2 (autorización general escrita); plazo de preaviso según la cláusula 3.2(c).

•  Cláusula 11 (Reparación): no se aplica la formulación opcional relativa a la reparación independiente.

•  Cláusula 17 (Legislación aplicable): Opción 1 (legislación de la República de Irlanda).

•  Cláusula 18 (Foro): Tribunales de la República de Irlanda.

•  Anexo I.A (Partes): Anexo 1, apartado A.

•  Anexo I.B (Descripción de la transferencia): Anexo 1, apartado B.

•  Anexo I.C (Autoridad de control): Anexo 1, apartado C.

•  Anexo II (Medidas técnicas y organizativas): Anexo 2.

•  Anexo III (Subencargados del Tratamiento): https://es.plaud.ai/pages/trust-center .

B. Anexo del Reino Unido

El Anexo del Reino Unido (versión B.1.0) se incorpora por referencia y se considera suscrito por las partes. Las cláusulas contractuales tipo elegidas son las indicadas en el Anexo 3(A). En lo que respecta a la tabla 4, Plaud (en calidad de importador de datos) podrá rescindir el Anexo del Reino Unido cuando se modifiquen las cláusulas contractuales tipo aprobadas por la UE.

C. Anexo de Suiza

En el caso de las transferencias sujetas exclusivamente a la legislación suiza en materia de protección de datos (nFADP), las cláusulas contractuales tipo del Anexo 3(A) se modifican de la siguiente manera: las referencias al RGPD y a la UE/EEE se sustituyen por referencias a la legislación suiza en materia de protección de datos y a Suiza; la autoridad de control competente es el FDPIC (Delegado federal de protección de datos e información); la ley aplicable es la suiza; y las disputas se resolverán ante los tribunales suizos. Cuando las transferencias estén sujetas tanto a la legislación suiza como al RGPD, se aplicarán ambas normativas.

Anexo 4: Subencargados del Tratamiento Autorizados

La lista actualizada de Subencargados del Tratamiento Autorizados de Plaud (que incluye el nombre, el país y la finalidad del tratamiento) se puede consultar en https://es.plaud.ai/pages/trust-center .