Información legal
Acuerdo de tratamiento de datos
Marco vigente desde junio de 2026
¿Qué es el DPA y a quién aplica?
El Acuerdo de Tratamiento de Datos (Data Processing Agreement o DPA, por sus siglas en inglés) es el contrato exigido por el artículo 28 del Reglamento (UE) 2016/679 (RGPD) entre un responsable del tratamiento (el cliente que contrata Stratum) y un encargado del tratamiento (Stratum, en cuanto presta servicio SaaS sobre datos del cliente).
Este DPA no aplica a los visitantes del sitio web, cuyo tratamiento se rige por la Política de privacidad. Aplica exclusivamente a las organizaciones que contraten Stratum como herramienta de gobernanza y, por tanto, traten datos personales de sus empleados, clientes o terceros dentro de la plataforma.
Cláusulas principales
El marco contractual de Stratum incluye, como mínimo, las siguientes garantías hacia el cliente responsable:
Finalidad limitada
Stratum trata los datos personales del cliente exclusivamente para prestar el servicio contratado: gestión del inventario de sistemas de IA, clasificación AI Act, generación de documentación y emisión de informes ejecutivos. No se utilizan para ninguna otra finalidad propia.
No entrenamiento de modelos
Los datos del cliente no se utilizan para entrenamiento de modelos de inteligencia artificial, ni propios de Stratum ni de proveedores de API contratados por Stratum. Este compromiso es contractual, no comercial, y se replica en los contratos con los proveedores de modelos (Anthropic, OpenAI u otros) que Stratum utilice.
Ubicación de los datos
Los datos del cliente se alojan en datacenter europeo a elección del propio cliente: Madrid por defecto, con alternativa en París, Frankfurt o Dublín. Sin transferencia internacional fuera del Espacio Económico Europeo por defecto. Las ubicaciones disponibles por plan se detallan en la página de precios.
Aislamiento multitenant
Los datos de cada cliente están aislados a nivel de base de datos mediante Row Level Security, no a nivel de lógica de aplicación. Cada consulta se filtra por tenant en el motor PostgreSQL, evitando la categoría de errores de fuga entre clientes propia de aplicaciones donde el aislamiento se delega al código.
Medidas de seguridad
Cifrado en tránsito (TLS) y en reposo, control de acceso por roles, registros de actividad, copias de seguridad periódicas, y procedimiento documentado de respuesta ante incidentes con notificación al cliente conforme al artículo 33 del RGPD.
Sub-encargados
Stratum se apoya en sub-encargados del tratamiento (proveedores de infraestructura, modelos de IA, correo transaccional). La lista actualizada de sub-encargados se facilita al cliente al firmar el contrato y cualquier modificación se notifica con antelación suficiente para que el cliente pueda objetar conforme al artículo 28.2 del RGPD.
Devolución y supresión al finalizar el contrato
Al término de la relación contractual, el cliente puede solicitar la devolución de sus datos en formatos abiertos (CSV, PDF, Markdown). Tras la devolución, los datos se suprimen de los sistemas activos en un plazo máximo de 30 días, salvo obligación legal de conservación que afecte a copias de seguridad concretas, que se eliminan en su ciclo natural de rotación.
Asistencia al responsable
Stratum asiste al cliente responsable en el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad, limitación) y en el cumplimiento de las obligaciones de los artículos 32 a 36 del RGPD, en la medida que la naturaleza del tratamiento y la información disponible lo permitan.
Auditoría
El cliente responsable puede solicitar auditoría sobre el cumplimiento del DPA con preaviso razonable. Para clientes de plan Enterprise, las condiciones específicas de auditoría (frecuencia, alcance, sufragio) se detallan en el contrato marco.
Versión completa del DPA
La versión contractual íntegra del DPA, con las cláusulas específicas adaptadas al plan contratado, se entrega al cliente en el proceso de contratación. Forma parte del contrato marco de servicio y prevalece sobre cualquier resumen publicado en esta página informativa.
Para solicitar una versión preliminar del DPA antes de la contratación, o para revisar cláusulas específicas en el marco de un proceso de procurement corporativo, contactar en contacto@stratumtdd.com.
Estado actual
Stratum opera actualmente en fase previa a su constitución societaria. El marco DPA descrito en esta página recoge los compromisos vinculantes que se trasladan al contrato definitivo en cuanto la sociedad mercantil titular del servicio queda constituida y se firman los primeros contratos B2B. Esta información se actualizará en consecuencia.
Responsable del servicio: Francisco de Paula Requena Paredes. Contacto legal: contacto@stratumtdd.com.