Acuerdo de tratamiento de datos (DPA)
Acuerdo de Tratamiento de Datos (DPA)
- Versión:
- 2026.04
- En vigor desde:
- 01 de abril de 2026
El presente Acuerdo de Tratamiento de Datos (“DPA”) forma parte integrante e indivisible del Contrato de Prestación de Servicios (“MSA”) suscrito entre Glivo LLC (“Glivo”) y el Cliente identificado en el Pedido. El DPA regula el tratamiento de datos personales realizado por Glivo por cuenta del Cliente en el contexto de la prestación de los Servicios, en cumplimiento del Artículo 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD).
En caso de conflicto entre este DPA y el MSA en lo referente al tratamiento de datos personales, prevalecen las disposiciones de este DPA.
1. Objeto y roles de las Partes
1.1 Ámbito
Glivo podrá tratar datos personales (“Datos del Cliente”) por cuenta del Cliente como parte de la prestación de los Servicios. Este DPA regula tal tratamiento, en cumplimiento del Reglamento (UE) 2016/679 (“RGPD”), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) y demás legislación aplicable de protección de datos (en conjunto, “Legislación de Protección de Datos”).
1.2 Roles
a. El Cliente actúa como Responsable del Tratamiento de los Datos del Cliente, siendo el responsable de las decisiones sobre la finalidad y los medios esenciales del tratamiento (Art. 4.7 RGPD);
b. Glivo actúa como Encargado del Tratamiento (Art. 4.8 RGPD), tratando los Datos del Cliente exclusivamente conforme a las instrucciones documentadas del Cliente, según se define en este DPA, en el MSA y en las configuraciones disponibles en los Servicios;
c. Para los datos de registro de Administradores y gestores recogidos directamente por Glivo (nombre, correo electrónico de inicio de sesión, datos de autenticación), Glivo actúa como Responsable del Tratamiento, observados los términos de su Política de Privacidad.
1.3 Detalles del tratamiento
Los detalles sobre la naturaleza, finalidad, duración, categorías de datos e interesados se describen en el Anexo I de este DPA, en cumplimiento de lo dispuesto en el Art. 28.3 del RGPD.
2. Obligaciones de Glivo (como Encargado del Tratamiento)
2.1 Tratamiento conforme a las instrucciones
Glivo trata los Datos del Cliente únicamente con base en las instrucciones documentadas del Cliente (incluso en lo que respecta a transferencias internacionales), salvo cuando una obligación legal exija un tratamiento distinto, en cuyo caso Glivo informa previamente al Cliente, salvo cuando la ley lo prohíba por motivos importantes de interés público.
Se consideran instrucciones documentadas del Cliente:
a. Los términos del MSA, de este DPA y del Pedido; b. Las configuraciones realizadas por el Cliente en las herramientas administrativas de los Servicios (roles, permisos, retención, métricas); c. Las solicitudes específicas formalizadas por escrito por el Cliente.
2.2 Aviso al Cliente
Glivo notifica al Cliente sin demora, en la medida en que la ley lo permita, en caso de:
a. Considerar que una instrucción del Cliente vulnera la Legislación de Protección de Datos; b. Recibir una solicitud jurídicamente vinculante de divulgación de los Datos del Cliente por parte de una autoridad pública.
2.3 Confidencialidad
Glivo garantiza que toda persona autorizada a tratar Datos del Cliente está vinculada por una obligación contractual o legal de confidencialidad apropiada (Art. 28.3.b RGPD), y ha recibido la formación adecuada en materia de protección de datos.
2.4 Seguridad (Art. 32 RGPD)
Glivo implementa y mantiene las medidas técnicas y organizativas adecuadas descritas en el Anexo II de este DPA, dimensionadas para garantizar un nivel de seguridad adecuado al riesgo, en particular para proteger los Datos del Cliente contra el acceso no autorizado, la pérdida, alteración, destrucción o divulgación accidental o ilícita.
Glivo podrá actualizar tales medidas para reflejar la evolución tecnológica y las mejores prácticas, siempre que el nivel general de protección no se reduzca materialmente.
2.5 Anonimización automática (PII)
Como medida adicional de seguridad y privacidad, Glivo aplica, antes de la puesta a disposición de las transcripciones a los responsables del Cliente, anonimización automática de:
- Nombres propios (de personas físicas y empresas terceras);
- NIF, DNI, NIE, CIF;
- Teléfonos y correos electrónicos;
- Direcciones y localizaciones.
La anonimización combina algoritmos de expresiones regulares y modelos de lenguaje. Glivo adopta esfuerzos razonables para que la anonimización sea efectiva, sin garantía absoluta de eliminación en todos los casos, dada la naturaleza probabilística del proceso.
2.6 Solicitudes de los interesados
Glivo, en la medida en que sea legalmente permitido, notifica al Cliente en caso de recibir directamente una solicitud de ejercicio de derechos de un interesado relativa a Datos del Cliente.
Glivo no responde a tales solicitudes sin autorización previa del Cliente, salvo cuando el Cliente haya autorizado, en la configuración de los Servicios, la redirección automática.
Glivo, considerando la naturaleza del tratamiento y en la medida técnicamente posible, asiste al Cliente con medidas técnicas y organizativas adecuadas para que pueda atender solicitudes de los interesados dentro del plazo legal de un mes (Art. 12.3 RGPD).
2.7 Asistencia al Cliente
Glivo presta asistencia razonable al Cliente, considerando la naturaleza del tratamiento y la información disponible, para que el Cliente cumpla sus obligaciones bajo la Legislación de Protección de Datos (Art. 28.3.e y f RGPD), incluyendo:
a. Realización de Evaluaciones de Impacto en Protección de Datos (EIPD) que afecten al tratamiento por Glivo (Art. 35 RGPD); b. Consultas previas a la AEPD u otras autoridades de control (Art. 36 RGPD); c. Respuesta a investigaciones o requerimientos de autoridades.
2.8 Notificación de violaciones de datos (Art. 33 RGPD)
Glivo notifica al Cliente sin dilación indebida tras tener conocimiento de una violación de datos personales (data breach) que afecte a Datos del Cliente. La notificación inicial se envía en un plazo de 48 horas desde la confirmación del incidente, e incluye, en la medida del conocimiento disponible:
a. Naturaleza del incidente, categorías y número aproximado de interesados y registros afectados; b. Probable consecuencia; c. Medidas adoptadas o propuestas para contener y mitigar el incidente; d. Persona de contacto para información adicional.
Glivo mantiene al Cliente actualizado sobre la evolución de las investigaciones y presta asistencia razonable para que el Cliente cumpla sus obligaciones:
- De notificación a la autoridad de control competente (AEPD en España) en el plazo máximo de 72 horas desde que tenga conocimiento de la violación, conforme al Art. 33 RGPD;
- De comunicación a los interesados afectados cuando la violación sea susceptible de implicar un alto riesgo para sus derechos y libertades, conforme al Art. 34 RGPD.
2.9 Evaluación de cumplimiento y auditoría (Art. 28.3.h RGPD)
Mediante solicitud razonable y por escrito del Cliente, y en la medida exigida por la Legislación de Protección de Datos, Glivo:
a. Pone a disposición, como máximo una vez al año, sus políticas de privacidad y seguridad, así como demás información necesaria para demostrar el cumplimiento de este DPA;
b. Permite inspecciones y auditorías realizadas por el Cliente o por un tercero independiente designado, mediante acuerdo de confidencialidad previo, observados los siguientes parámetros:
- La auditoría se realiza de forma que cause la mínima interrupción a las operaciones de Glivo;
- Se limita al ámbito necesario para verificar el cumplimiento de este DPA;
- Se realiza como máximo una vez al año, salvo en caso de incidente grave o de exigencia de la autoridad de control;
- Los costes de la auditoría corren por cuenta del Cliente, salvo si se identifica un incumplimiento material por parte de Glivo.
Glivo podrá, alternativamente, poner a disposición informes de auditoría independientes (p. ej., SOC 2, ISO 27001) para cumplir esta obligación. Tales informes se consideran Información Confidencial de Glivo.
2.10 Devolución o eliminación de los datos (Art. 28.3.g RGPD)
Tras la finalización o resolución del MSA, Glivo, mediante instrucción del Cliente dada en un plazo de 30 días desde la finalización:
a. Devuelve los Datos del Cliente en formato estructurado y de uso común; o b. Procede a la eliminación definitiva de los Datos del Cliente y sus copias.
Transcurridos 60 días desde la finalización sin instrucción contraria, Glivo procede a la eliminación automática, salvo la conservación exigida por ley (registros financieros, resoluciones judiciales, defensa en procesos), supuesto en el que los datos serán aislados y protegidos contra cualquier otro tratamiento.
3. Obligaciones del Cliente (como Responsable del Tratamiento)
3.1 Notificaciones y autorizaciones
El Cliente declara, garantiza y mantiene, durante todo el Plazo, que:
a. Cuenta con base jurídica adecuada bajo el RGPD para el tratamiento de los datos personales introducidos en los Servicios (en particular, interés legítimo para la grabación de atenciones comerciales, conforme al Art. 6.1.f, habiendo realizado y documentado el correspondiente juicio de ponderación (LIA));
b. Ha facilitado toda la información exigida a los interesados conforme a los Arts. 13 y 14 del RGPD, en particular mediante:
- Señalización visible de grabación en los puntos de atención;
- Política de privacidad accesible;
- Acuerdo de Información y Autorización firmado por los vendedores antes del primer uso;
c. Ha realizado la Evaluación de Impacto en Protección de Datos (EIPD) cuando proceda (Art. 35 RGPD), en particular por el uso de tecnología innovadora o por el tratamiento sistemático de datos de trabajadores;
d. Ha cumplido la legislación laboral aplicable sobre dispositivos de control y derechos digitales en el trabajo (Arts. 20.3 y 20 bis del Estatuto de los Trabajadores; Arts. 87 a 91 LOPDGDD), incluyendo la información expresa, clara e inequívoca a los trabajadores y, en su caso, la consulta a los representantes legales de los trabajadores (Art. 64.5.f ET);
e. Cuenta con todos los derechos, consentimientos y autorizaciones necesarios para facilitar los Datos del Cliente a Glivo y autorizar el tratamiento conforme a este DPA.
3.2 Cooperación
El Cliente coopera razonablemente con Glivo para que esta cumpla sus obligaciones bajo la Legislación de Protección de Datos, especialmente en la atención a interesados y autoridades.
3.3 Configuraciones y decisiones
El Cliente reconoce y acepta ser responsable de ciertas configuraciones y decisiones de diseño de los Servicios y de su implementación conforme a la Legislación de Protección de Datos, incluyendo:
a. Períodos de conservación de los datos (configurables en los Servicios); b. Atribución de roles y permisos a los Usuarios Finales; c. Definición de métricas y prompts que orientan el análisis de la IA; d. Decisiones de eliminación de grabaciones específicas; e. Elección sobre la exportación de datos fuera de la plataforma.
3.4 Atención a interesados
El Cliente es el responsable principal de recibir y responder a las solicitudes de los interesados (Arts. 12 a 22 RGPD). Glivo actúa únicamente como auxiliar, conforme al punto 2.6.
3.5 Categorías especiales y datos de menores
El Cliente se compromete a no introducir intencionalmente en los Servicios datos de las categorías especiales (Art. 9 RGPD: salud, religión, opiniones políticas, orientación sexual, datos biométricos para identificación, datos genéticos) ni datos de menores. En caso de que dichos datos surjan accidentalmente en las grabaciones, el Cliente reconoce los límites técnicos de la anonimización automática.
4. Encargados ulteriores (Art. 28.2 RGPD)
4.1 Autorización general
El Cliente concede a Glivo autorización general por escrito para contratar encargados ulteriores que asistan en la prestación de los Servicios, listados en https://glivo.ai/subprocessors (o URL equivalente), actualizados periódicamente.
4.2 Notificación de nuevos encargados ulteriores
Glivo notifica al Cliente sobre nuevos encargados o sustitución de encargados existentes con antelación razonable (mínimo de 15 días), por correo electrónico a los contactos informados o aviso en la plataforma.
4.3 Derecho de oposición
El Cliente podrá oponerse a la contratación de un nuevo encargado ulterior en el plazo de 15 días desde la notificación, mediante justificación razonable fundada en riesgo para la protección de los datos. En tal caso, las Partes negocian de buena fe alternativas comercialmente viables. Si no se alcanzara acuerdo, cualquiera de las Partes podrá resolver el MSA proporcionalmente, con reembolso pro rata de las tarifas prepagadas.
4.4 Obligaciones de los encargados ulteriores
Glivo suscribe con cada encargado ulterior un contrato escrito que impone obligaciones equivalentes a las de este DPA, en particular en cuanto a confidencialidad, seguridad, instrucciones de tratamiento y cooperación (Art. 28.4 RGPD).
4.5 Responsabilidad
Glivo permanece plenamente responsable de los actos y omisiones de sus encargados ulteriores en la misma medida en que sería responsable si hubiera realizado tales actos directamente, observadas las limitaciones de responsabilidad del MSA (Art. 28.4 RGPD).
5. Transferencias internacionales de datos (Capítulo V del RGPD)
5.1 Múltiples jurisdicciones
Glivo podrá tratar los Datos del Cliente en una o varias jurisdicciones, incluyendo aquellas donde se ubican sus encargados ulteriores, prestadores y proveedores de la nube. En particular, Glivo LLC tiene su sede en los Estados Unidos de América.
5.2 Garantías
Cuando proceda una transferencia internacional fuera del Espacio Económico Europeo, Glivo adopta una o varias de las siguientes garantías previstas en los Arts. 44 a 49 del RGPD:
a. Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), incluido el módulo aplicable (responsable-encargado o encargado-encargado ulterior); b. Decisiones de adecuación emitidas por la Comisión Europea, cuando sean aplicables (incluyendo, para EE. UU., el EU-U.S. Data Privacy Framework, mientras esté vigente, respecto de entidades certificadas); c. Evaluación de Impacto de la Transferencia (Transfer Impact Assessment, conforme a la doctrina Schrems II del TJUE, asunto C-311/18) para evaluar la legislación del tercer país; d. Medidas suplementarias técnicas (cifrado reforzado, anonimización previa) y organizativas, conforme a las Recomendaciones 01/2020 del CEPD, cuando sea necesario; e. Compromiso contractual de los encargados ulteriores de no retener los datos tras el tratamiento ni utilizarlos para entrenar modelos propios; f. Por las normas corporativas vinculantes (BCR), cuando sean aplicables.
5.3 Transparencia
La lista actualizada de encargados ulteriores y sus localizaciones está disponible en https://glivo.ai/subprocessors o puede solicitarse por escrito al DPO de Glivo.
6. Disposiciones adicionales — otras jurisdicciones
6.1 Cliente sujeto a regulaciones específicas
Cuando el Cliente esté sujeto a regulaciones sectoriales más allá del RGPD (p. ej., regulaciones sanitarias, financieras, del sector público), las Partes podrán suscribir adendas específicas para atender a tales exigencias, observadas las obligaciones de este DPA como base mínima.
6.2 No comercialización de datos
Glivo declara expresamente que:
a. No “vende” Datos del Cliente, en cualquier interpretación aplicable; b. No comparte Datos del Cliente para publicidad comportamental ni cross-context; c. No combina Datos del Cliente con datos personales de otras fuentes para fines externos a la prestación de los Servicios; d. No usa Datos del Cliente para entrenar modelos propios de Glivo, salvo autorización expresa del Cliente.
7. Definiciones
- Autoridad de control: entidad pública independiente competente para supervisar la aplicación del RGPD; en España, la Agencia Española de Protección de Datos (AEPD).
- Datos del Cliente: datos personales tratados por Glivo por cuenta del Cliente para la prestación de los Servicios.
- Datos personales: según se define en el Art. 4.1 del RGPD.
- Categorías especiales: según se define en el Art. 9 del RGPD.
- Legislación de Protección de Datos: RGPD, LOPDGDD y demás legislación aplicable.
- Responsable del Tratamiento: según se define en el Art. 4.7 del RGPD.
- Encargado del Tratamiento: según se define en el Art. 4.8 del RGPD.
- Encargado ulterior: prestador contratado por Glivo (encargado) para asistir en el tratamiento de los Datos del Cliente.
- Interesado: según se define en el Art. 4.1 del RGPD.
- Tratamiento: según se define en el Art. 4.2 del RGPD.
- Violación de datos personales: según el Art. 4.12 del RGPD.
Anexo I — Detalles del tratamiento (Art. 28.3 RGPD)
1. Naturaleza y finalidad
Prestación de los Servicios de grabación, transcripción automática, anonimización de PII y análisis por inteligencia artificial de atenciones comerciales, con el objetivo de coaching y desarrollo profesional de los vendedores del Cliente.
2. Duración
Duración del MSA, incrementada con el plazo necesario para la devolución o eliminación de los datos, conforme a la Cláusula 2.10.
3. Categorías de Datos del Cliente
a. Datos de registro de Usuarios Finales (nombre, correo electrónico, teléfono, puesto, unidad); b. Audio de atenciones comerciales; c. Transcripciones textuales de las atenciones (con PII anonimizada); d. Análisis e indicadores generados por la IA; e. Datos de uso de los Servicios (registros, sesiones, dispositivos); f. Eventuales datos personales de clientes finales mencionados durante la conversación (sujetos a anonimización automática).
4. Categorías de interesados
a. Clientes finales atendidos por los Usuarios Finales del Cliente; b. Vendedores que utilizan los Servicios; c. Responsables y administradores del Cliente; d. Eventualmente, terceros mencionados en las conversaciones.
5. Categorías especiales
No existe intención de tratar datos de las categorías especiales (Art. 9 RGPD). Se orienta al Cliente para evitar recoger tales datos durante las atenciones. En caso de que surjan accidentalmente, son sometidos a anonimización automática como capa adicional de protección.
6. Frecuencia
Tratamiento continuo, conforme al uso de los Servicios por el Cliente.
7. Períodos de conservación
| Categoría | Plazo estándar |
|---|---|
| Audio en bruto | 90 días (configurable) |
| Transcripciones anonimizadas | Según política del Cliente |
| Resultados de análisis | Según política del Cliente |
| Datos de registro | Vínculo + plazos legales |
| Registros de auditoría | Hasta 6 años |
Anexo II — Medidas técnicas y organizativas de seguridad (Art. 32 RGPD)
1. Medidas técnicas
a. Cifrado en tránsito: TLS 1.2 o superior en todas las conexiones; b. Cifrado en reposo: AES-256 o equivalente para audios, transcripciones y datos sensibles; c. Aislamiento de datos por organización (Row-Level Security en la base de datos); d. Anonimización automática de PII en transcripciones, antes de la puesta a disposición a los responsables; e. Autenticación con contraseña robusta, hash con algoritmos modernos (bcrypt/argon2), tokens con expiración; f. Control de acceso basado en roles (RBAC), principio de mínimo privilegio; g. Registros de auditoría de accesos administrativos y operaciones sensibles; h. Copias de seguridad regulares con política de retención y prueba periódica de restauración; i. Monitorización continua de seguridad y detección de anomalías.
2. Medidas organizativas
a. Políticas internas de seguridad de la información y privacidad; b. Formación periódica del equipo en protección de datos y seguridad; c. Acuerdos de confidencialidad suscritos por todos los colaboradores y prestadores; d. Revisión periódica de accesos y permisos; e. Plan de respuesta a incidentes documentado y probado; f. Plan de continuidad de negocio y recuperación ante desastres; g. Evaluación periódica de proveedores y encargados ulteriores; h. Delegado de Protección de Datos (DPO) designado.
3. Certificaciones
Glivo opera en centros de datos certificados conforme a estándares internacionales de seguridad de la información (ISO 27001, SOC 2 Type II o equivalentes). Las certificaciones específicas pueden solicitarse mediante NDA.
Anexo III — Encargados ulteriores
La lista actualizada de encargados ulteriores se mantiene en https://glivo.ai/subprocessors (o URL equivalente).
Las categorías actuales incluyen:
| Categoría | Finalidad |
|---|---|
| Proveedor de la nube | Alojamiento de aplicación, base de datos y almacenamiento |
| Modelos de lenguaje (LLM) | Análisis de las transcripciones, generación de insights |
| Transcripción de audio | Conversión de audio en texto |
| Correo transaccional | Envío de notificaciones y comunicaciones |
| Monitorización y registros | Observabilidad, seguridad, uptime |
| Procesamiento de pagos | Cobro de tarifas (cuando aplique) |
Glivo actualiza esta lista mediante notificación previa al Cliente, conforme a la Cláusula 4.
Aceptación
Al aceptar el MSA, el Cliente acepta íntegramente este DPA, declarando haber:
- Leído y comprendido todas las cláusulas y anexos;
- Capacidad legal para suscribir este DPA en nombre de la persona jurídica que representa;
- Conocimiento de las obligaciones del Cliente como Responsable del Tratamiento, en particular en cuanto a la base jurídica, señalización a los clientes finales y atención a los interesados.
Glivo LLC — Wyoming, EE. UU. · Delegado de Protección de Datos (DPO): [a definir] — hello@glivo.ai
Representante UE (Art. 27 RGPD): [a definir]
Versión: abril/2026.