Este documento tiene carácter informativo. No constituye asesoramiento jurídico. Para su interpretación aplicada a tu situación concreta, consulta con un profesional.
| Versión | v1.0 |
|---|---|
| Fecha | 19/05/2026 |
| Base legal | Art.28 Reglamento (UE) 2016/679 (RGPD) |
| Documento | Contractual · vincula a las Partes desde su aceptación |
| Aceptación | Click-through en onboarding del Servicio o firma electrónica |
© 2026 Alethexis · AI Governance & Compliance Framework for SMEs™ · Documento contractual. Basado en Reg.(UE) 2016/679 (RGPD). No constituye asesoramiento jurídico al Cliente sobre sus obligaciones como Responsable; el Cliente debe valorar la idoneidad de este DPA en relación con su propio tratamiento.
Responsable del Tratamiento (en adelante, el «Cliente»):
La persona física o jurídica que contrata el Servicio Alethexis, cuyos datos identificativos completos quedan recogidos en el formulario de alta y reflejados en la cuenta del Servicio. Para los efectos del presente Contrato, el Cliente actúa como Responsable del Tratamiento en los términos del Art.4.7 RGPD.
Encargado del Tratamiento (en adelante, «Alethexis» o el «Encargado»):
ALETHEXIS, S.L. (CIF B88758057 · domicilio social en C/ Tirso de Molina 36, 08940 Cornellà de Llobregat, Barcelona · CNAE 6201), representada por su administrador único Rafael Luque, operadora del Servicio comercializado bajo la marca Alethexis — AI Governance & Compliance Framework for SMEs™. Punto de contacto en materia de privacidad: [email protected]. Para los efectos del presente Contrato, Alethexis actúa como Encargado del Tratamiento en los términos del Art.4.8 RGPD.
I. El Cliente ha contratado el Servicio Alethexis, una aplicación SaaS de gobernanza y cumplimiento de inteligencia artificial y RGPD destinada a PYMEs europeas (en adelante, el «Servicio»), conforme a los términos de servicio publicados y al plan suscrito.
II. La operación del Servicio implica que Alethexis trate datos personales por cuenta del Cliente, lo que configura una relación de encargo del tratamiento sujeta al Art.28 RGPD.
III. Las Partes desean documentar dicho encargo mediante el presente Contrato de Encargado del Tratamiento (en adelante, «DPA» o «Contrato»), que se integra y forma parte indivisible de los términos de servicio.
IV. En caso de contradicción entre el presente DPA y los términos de servicio en materia de protección de datos personales, prevalecerá lo dispuesto en este DPA.
A los efectos del presente DPA, los términos en mayúscula tendrán el significado que se indica a continuación. Los términos no definidos aquí se interpretarán conforme al RGPD.
| Término | Definición |
|---|---|
| Datos Personales | Toda información sobre una persona física identificada o identificable, conforme al Art.4.1 RGPD, que el Cliente trate a través del Servicio. |
| Tratamiento | Cualquier operación o conjunto de operaciones sobre Datos Personales, conforme al Art.4.2 RGPD. |
| Interesado | La persona física a la que se refieren los Datos Personales (Art.4.1 RGPD). En este DPA, los Interesados son las personas físicas cuyos datos son tratados por el Cliente a través del Servicio. |
| Responsable | El Cliente, conforme al Art.4.7 RGPD. |
| Encargado | Alethexis, conforme al Art.4.8 RGPD. |
| Subencargado | El tercero contratado por Alethexis que trate Datos Personales por cuenta de Alethexis en el marco de la prestación del Servicio (Art.28.4 RGPD). La lista actualizada figura en el Anexo II. |
| Brecha de Seguridad | Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (Art.4.12 RGPD). |
| Servicio | La aplicación SaaS Alethexis y sus componentes, incluidos los módulos M1 (Visibilidad), M2 (Gobernanza), M3 (High-Risk Ready) y cualesquiera módulos o complementos adicionales contratados por el Cliente. |
| Usuario | Toda persona física autorizada por el Cliente para acceder al Servicio, asignada a uno de los cinco roles canónicos: Owner, AI Officer, DPO, Contributor o Auditor. |
| Datos de Cuenta | Datos identificativos del Cliente y de sus Usuarios necesarios para la prestación del Servicio (nombre, email, cargo, organización). Respecto de éstos, Alethexis actúa como Responsable independiente, no como Encargado, según se detalla en la política de privacidad pública. |
| Datos Sustantivos | Datos que el Cliente introduce, importa o genera dentro del Servicio en el marco de su tratamiento como Responsable (inventarios de sistemas IA, FRIAs, DPIAs, evidencias, etc.). Sobre estos datos Alethexis actúa como Encargado, y son el objeto de este DPA. |
El presente DPA regula el tratamiento de los Datos Sustantivos que Alethexis realice, por cuenta y en interés del Cliente, exclusivamente en el marco de la prestación del Servicio Alethexis.
Quedan fuera del ámbito de este DPA:
El tratamiento realizado por Alethexis en virtud de este DPA queda subordinado a las instrucciones documentadas del Cliente, recogidas en este Contrato, en los términos de servicio y en la configuración funcional del Servicio.
El tratamiento tiene por objeto permitir al Cliente operar el Servicio Alethexis con la finalidad de ejercer su gobernanza de IA y diligencia RGPD: registro de sistemas IA, clasificación P0–P6, evaluaciones FRIA, DPIA, publicación de política, generación de evidencias y demás funcionalidades contratadas. Los detalles operativos del tratamiento figuran en el Anexo I.
El presente DPA estará en vigor mientras lo esté el contrato de suscripción al Servicio entre las Partes y, en todo caso, hasta que se complete el procedimiento de devolución o supresión previsto en la cláusula 10.
Alethexis se obliga a no tratar los Datos Sustantivos para ninguna finalidad distinta de la prestación del Servicio. En particular, Alethexis declara expresamente que no vende los Datos Sustantivos, no los cede a terceros para sus fines propios, no los utiliza para entrenar modelos de inteligencia artificial propios o de terceros y no realiza profiling sobre ellos.
El detalle de los tipos de Datos Personales tratados y las categorías de Interesados afectados figura en el Anexo I.
A título orientativo y sin carácter exhaustivo, los Interesados pueden incluir empleados, candidatos, pacientes, clientes finales y demás personas físicas cuyos datos el Cliente decida incorporar al Servicio en sus inventarios, FRIAs o DPIAs. Los Datos Personales pueden incluir, si el Cliente así lo decide, categorías especiales del Art.9 RGPD (por ejemplo, datos de salud en sectores como el dental). El Cliente es el único responsable de la legitimación, base jurídica y proporcionalidad de los datos que introduce en el Servicio.
Alethexis, en su condición de Encargado, asume las obligaciones previstas en el Art.28.3 RGPD, conforme se desarrolla a continuación.
Alethexis tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales, salvo que el Derecho de la Unión o del Estado miembro le obligue a otra cosa, en cuyo caso informará al Cliente de tal exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por motivos de interés público.
Constituyen instrucciones documentadas:
Si Alethexis considera que una instrucción infringe el RGPD u otra normativa aplicable de protección de datos, informará al Cliente sin dilación.
Alethexis garantizará que las personas autorizadas para tratar Datos Personales:
Esta obligación se extiende al propio operador del Servicio y a cualquier futuro miembro del equipo, formalizándose mediante NDA y compromiso documentado.
Alethexis aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al Art.32 RGPD. El detalle de estas medidas figura en el Anexo III, que es parte integrante del presente DPA y podrá ser actualizado para reflejar mejoras técnicas, sin que dichas actualizaciones puedan reducir el nivel de protección.
El Cliente concede a Alethexis una autorización general previa para contratar Subencargados, conforme al Art.28.2 RGPD. La lista actualizada de Subencargados autorizados figura en el Anexo II.
Alethexis se obliga a:
Alethexis asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas individualizadas — Arts.15 a 22 RGPD).
A tal efecto, el Servicio incorpora funcionalidades de autoservicio que permiten al Cliente:
Cuando la asistencia requiera intervención técnica directa de Alethexis (por ejemplo, exports complejos o supresiones masivas que excedan la funcionalidad de autoservicio), el Cliente podrá solicitarla a [email protected]. La obligación de atender en primera instancia las solicitudes de los Interesados corresponde al Cliente como Responsable; Alethexis no contesta directamente al Interesado salvo instrucción documentada del Cliente.
Alethexis asistirá al Cliente en el cumplimiento de las obligaciones que incumben al Responsable en virtud de los Arts.32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga. En particular:
alethexis.com/trust), información actualizada sobre su postura de seguridad.Esta asistencia es proporcional al rol de Encargado y no sustituye las obligaciones propias del Cliente como Responsable, en particular las relativas a la determinación de la base jurídica, la información a los Interesados y la respuesta sustantiva a los derechos.
Al término de la prestación del Servicio, Alethexis devolverá los Datos Personales al Cliente o los suprimirá, conforme se detalla en la cláusula 10 y respetando la política de borrado escalonada en cinco niveles allí descrita.
Alethexis pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art.28 RGPD y permitirá y contribuirá a auditorías, incluidas inspecciones, conforme a la cláusula 9. Si Alethexis considera que una instrucción del Cliente en este ámbito infringe el RGPD u otra normativa, lo comunicará inmediatamente al Cliente.
La lista completa de Subencargados autorizados, sus funciones, ubicaciones y mecanismos de garantía figura en el Anexo II.
Determinados terceros utilizados por Alethexis (en particular GitHub para el repositorio de código y Anthropic para asistencia al desarrollo con Claude Code) no acceden a Datos Sustantivos del Cliente. Esta separación es estructural y no contractual, y por ese motivo no se incluyen como Subencargados en el ámbito de este DPA.
Alethexis cuenta con procedimientos internos de detección, contención y respuesta ante Brechas de Seguridad, documentados en su SECURITY_RUNBOOK.md interno y aplicados de forma continua.
Alethexis notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 24 horas siguientes al conocimiento efectivo de una Brecha de Seguridad que afecte a los Datos Sustantivos del Cliente. La notificación se realizará por email a la dirección de contacto registrada en la cuenta del Cliente y, cuando proceda, mediante aviso en el Servicio.
La notificación incluirá, en la medida de lo disponible en el momento del aviso, los elementos previstos en el Art.33.3 RGPD:
Si en el momento de la notificación inicial no se dispone de toda la información, Alethexis remitirá actualizaciones sucesivas conforme avance la investigación.
La notificación a la autoridad de control competente (en España, la AEPD) conforme al Art.33 RGPD y, en su caso, la comunicación a los Interesados conforme al Art.34 RGPD, corresponden al Cliente como Responsable. Alethexis asistirá al Cliente facilitando la información disponible y respondiendo razonablemente a las solicitudes adicionales del Cliente y, en su caso, de la autoridad.
Alethexis conservará durante un mínimo de 5 años las evidencias relativas a Brechas detectadas y notificadas, así como los análisis post-mortem y las medidas correctoras aplicadas, con fines defensivos y de mejora continua.
El Cliente, como Responsable, tiene derecho a verificar el cumplimiento por parte de Alethexis de las obligaciones del Art.28 RGPD y de este DPA, mediante:
alethexis.com/trust), que incluye información actualizada sobre subprocesadores, medidas de seguridad y certificaciones o adhesiones aplicables, en su caso.Salvo que exista una causa razonable que lo justifique (por ejemplo, una Brecha de Seguridad relevante o un requerimiento de autoridad), el derecho de auditoría se ejercerá:
El Cliente podrá realizar la auditoría por sí mismo o a través de un auditor independiente cualificado, que en ningún caso podrá ser un competidor directo de Alethexis. El auditor firmará previamente un acuerdo de confidencialidad (NDA) con Alethexis.
La auditoría se limitará a verificar el cumplimiento de las obligaciones derivadas de este DPA y del Art.28 RGPD. Quedan excluidos: el código fuente propietario, los datos de otros clientes, los secretos comerciales no relacionados con el tratamiento y cualquier información cuya divulgación pudiera comprometer la seguridad del Servicio.
Los costes de la auditoría serán de cuenta del Cliente, salvo que la auditoría revele incumplimientos sustanciales imputables a Alethexis, en cuyo caso éste asumirá los costes razonables y directamente relacionados con la auditoría.
Lo anterior se entiende sin perjuicio de las facultades de inspección y auditoría que correspondan a la AEPD, la AESIA u otras autoridades competentes. Alethexis colaborará lealmente con dichas autoridades y mantendrá informado al Cliente, en la medida en que legalmente sea posible.
Al término de la prestación del Servicio, ya sea por terminación del contrato, supresión solicitada por el Cliente o por cualquier otra causa, Alethexis aplicará la siguiente política de borrado escalonada, alineada con el Art.17 RGPD y con las obligaciones mercantiles y de defensa documental aplicables:
| Nivel | Datos | Tratamiento al fin de la prestación |
|---|---|---|
| 1 | Datos personales identificativos de Usuarios (nombre, email, teléfono) | Eliminados o pseudonimizados mediante hash irreversible en un plazo máximo de 30 días desde la solicitud verificada. |
| 2 | Evidencias de cumplimiento del Cliente (FRIA, DPIA, política, RACI, PDFs firmados, registros de incidentes, decisiones) | Se ofrece export completo al Owner del Cliente antes de la supresión. Tras export confirmado, se eliminan del sistema activo. La custodia post-export pasa al Cliente. |
| 3 | Facturas y registros legalmente exigibles (Holded) | Conservados ≥ 6 años conforme al Art.30 CCom y normativa fiscal aplicable. Base legal: Art.17.3.b RGPD (obligación legal). No se eliminan aunque el Cliente solicite Art.17. |
| 4 | Audit logs (audit.access_log) | Pseudonimizados (hash irreversible de user_id, conservación de account_id y evento) con retención de 5 años para defensa ante inspección (AEPD, AESIA u otras). |
| 5 | Backups | Rolling 30 días. Los datos eliminados desaparecen naturalmente del backup en un plazo ≤ 30 días tras la supresión. No se realizan restauraciones selectivas que pudieran reintroducir datos ya eliminados. |
Al cierre del proceso, el Owner del Cliente recibirá un email de confirmación que incluirá:
Tras la cancelación del contrato y antes de iniciar el procedimiento de supresión, Alethexis aplicará un período de gracia de 30 días durante el cual el Cliente podrá:
Transcurrido dicho plazo sin reactivación, se iniciará la cascada de borrado descrita en 10.1.
Cuando el Derecho de la Unión o del Estado miembro exija la conservación de Datos Personales más allá de los plazos anteriores (por ejemplo, requerimientos judiciales, obligaciones fiscales), Alethexis lo comunicará al Cliente y conservará los datos estrictamente necesarios durante el periodo legalmente exigido.
En la versión actual del Servicio (Ola 1), Alethexis ha configurado su infraestructura para que todas las operaciones de tratamiento de Datos Sustantivos se realicen dentro del Espacio Económico Europeo (EEE):
Si en el futuro se incorporase un Subencargado o se realizara un tratamiento que implique transferencia de Datos Sustantivos fuera del EEE, Alethexis:
Cada Parte responderá de los daños causados como consecuencia del incumplimiento de las obligaciones que el RGPD y este DPA le atribuyen en su respectiva condición de Responsable o Encargado, en los términos del Art.82 RGPD.
La responsabilidad de Alethexis frente al Cliente derivada del presente DPA se limita a los daños directamente imputables al incumplimiento por su parte de las obligaciones que le corresponden como Encargado. En particular, Alethexis no responde de:
Salvo en los supuestos de dolo o culpa grave, o cuando el Derecho aplicable no lo permita, la responsabilidad agregada de cada Parte frente a la otra en el marco de este DPA estará limitada conforme a lo previsto en los términos de servicio. Esta limitación no se aplica a las sanciones impuestas por una autoridad de control directamente a una de las Partes, ni a las indemnizaciones a Interesados resultantes de tales sanciones, que se regirán por el Art.82 RGPD.
Si un Interesado, autoridad o tercero reclama por hechos relacionados con el tratamiento objeto de este DPA, ambas Partes cooperarán de buena fe para coordinar la defensa y la respuesta, compartiendo la información razonablemente necesaria.
El presente DPA entrará en vigor en la fecha de su aceptación por el Cliente (click-through en el onboarding del Servicio o firma electrónica) y permanecerá vigente mientras lo esté el contrato de suscripción al Servicio entre las Partes, salvo que las cláusulas de devolución y supresión (cláusula 10) o de auditoría (cláusula 9) requieran su aplicación posterior.
Alethexis podrá modificar el presente DPA en los siguientes supuestos:
Las modificaciones se notificarán al Cliente con un preaviso razonable, mínimo 30 días naturales cuando sea materialmente posible, mediante email y aviso en el Servicio. Si la modificación reduce sustancialmente el nivel de protección o introduce cambios que el Cliente razonablemente no pueda aceptar, el Cliente tendrá derecho a resolver el contrato de suscripción sin penalización.
Si alguna disposición de este DPA es declarada nula o inaplicable, el resto del Contrato mantendrá su validez. Las Partes negociarán de buena fe una cláusula sustitutoria que refleje, en la medida de lo posible, la intención original.
El presente DPA se rige por la legislación española y por el Derecho de la Unión Europea aplicable, en particular el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Las Partes se someten, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, a los Juzgados y Tribunales de la ciudad de Barcelona (España) para la resolución de cualquier controversia derivada de este DPA, sin perjuicio de las competencias atribuidas por ley a la AEPD o a otras autoridades de control.
Tratamiento de Datos Personales por parte de Alethexis, por cuenta del Cliente, en el marco de la prestación del Servicio Alethexis (módulos M1 Visibilidad, M2 Gobernanza, M3 High-Risk Ready y, en su caso, Agentic Add-on).
Mientras esté vigente el contrato de suscripción al Servicio, más los plazos de devolución y conservación previstos en la cláusula 10 del DPA.
| Aspecto | Detalle |
|---|---|
| Naturaleza | Tratamiento automatizado en plataforma SaaS multi-tenant con aislamiento por Row Level Security (RLS) por account_id. |
| Finalidad principal | Permitir al Cliente operar las secciones funcionales del Servicio: inventario de sistemas IA, clasificación P0–P6, evaluaciones FRIA y DPIA, política de uso, gobernanza (comité, RACI, riesgos, decisiones, cambios, operaciones), evidencias y referencias. |
| Finalidades secundarias autorizadas | Generación de PDFs probatorios (Política, Comité, RACI, FRIA, DPIA), audit log inmutable, notificaciones del Servicio, soporte técnico previa autorización del Cliente. |
Los siguientes tipos se incluyen a título orientativo. La determinación efectiva corresponde al Cliente.
| Categoría | Ejemplos | Origen |
|---|---|---|
| Datos identificativos de Usuarios | Nombre, apellidos, email profesional, cargo, rol asignado | Alta de usuarios por el Cliente |
| Datos identificativos de Interesados terceros | Nombre, identificadores internos, datos de contacto | Introducidos por el Cliente en FRIA, DPIA, evidencias |
| Datos profesionales | Departamento, puesto, organización | FRIA, DPIA, registros operativos |
| Datos sensibles · Art.9 RGPD (cuando proceda) | Datos de salud (p. ej., sector dental), otros del Art.9 que el Cliente decida tratar | Decisión del Cliente |
| Datos relativos a sistemas IA | Identificadores de proveedor, configuración, evaluaciones técnicas (no necesariamente personales en sí mismos, pero pueden estar asociados a Interesados) | Configuración del Cliente |
| Audit log | account_id, user_id, acción realizada, timestamp, metadatos de evento | Generación automática por el Servicio |
El Cliente se compromete a no introducir en el Servicio Datos Personales innecesarios para la finalidad declarada, conforme al principio de minimización del Art.5.1.c RGPD.
| Categoría | Descripción |
|---|---|
| Usuarios del Cliente | Personas físicas autorizadas por el Cliente para acceder al Servicio, en los cinco roles canónicos: Owner, AI Officer, DPO, Contributor, Auditor. |
| Empleados del Cliente | Personas físicas cuyos datos puedan aparecer en los inventarios, evaluaciones FRIA, DPIA o evidencias que el Cliente registre en el Servicio (por ejemplo, empleados afectados por un sistema IA de recursos humanos). |
| Candidatos | En sistemas IA de selección u onboarding registrados por el Cliente. |
| Pacientes y/o clientes finales | Cuando el Cliente registre sistemas IA que los traten (p. ej., clínicas dentales con sistemas de diagnóstico asistido). |
| Proveedores y contactos profesionales | Cuando el Cliente registre datos relativos a proveedores GPAI u otros terceros en VIS-4 (due diligence). |
| Otras personas físicas | Cualesquiera otros Interesados cuyos datos el Cliente decida registrar dentro del Servicio. |
Recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación interna entre Subencargados conforme al Anexo II, alineación, restricción, supresión, destrucción y export.
Espacio Económico Europeo (EEE). Detalle por Subencargado en el Anexo II.
Versión: 1.0 · Fecha: 19/05/2026 · Actualización pública en alethexis.com/legal/subprocessors.
| # | Subencargado | Denominación legal | Ubicación principal | Finalidad / Servicio prestado | Mecanismo de garantía |
|---|---|---|---|---|---|
| 1 | Supabase | Supabase Inc. (operación EU vía Supabase EU) | Frankfurt (eu-central-1) · Alemania | Base de datos PostgreSQL, autenticación, almacenamiento de ficheros, Edge Functions, monitorización de la base de datos. Trata todos los Datos Sustantivos del Cliente. | DPA Supabase firmado · operación en el EEE. |
| 2 | Vercel | Vercel Inc. | EU (FRA1 Frankfurt) con failover en otras regiones UE | Hosting del frontend Next.js y red edge. Procesa logs HTTP y metadatos de request; no almacena Datos Sustantivos. | DPA Vercel firmado · Cláusulas Contractuales Tipo UE cuando proceda. |
| 3 | Stripe Payments Europe | Stripe Payments Europe Limited | Irlanda (Unión Europea) | Procesamiento de pagos y suscripciones. Trata datos de pago y datos fiscales del Cliente. Actúa como subencargado independiente con responsabilidad propia sobre los datos de pago, conforme a su propio acuerdo de tratamiento. | Stripe Data Processing Agreement · operación en el EEE. |
| 4 | Holded | Holded Technologies, S.L. | España | Facturación legal, secuencia oficial de facturas, integración contable. Trata datos fiscales del Cliente. | DPA Holded firmado · operación en España. |
| 5 | Resend | Resend (Plus Five Five, Inc.) | EU (configuración EU disponible) | Envío transaccional de email (notificaciones del Servicio, recuperación de contraseña, alertas). Trata dirección de email destinataria y contenido del email. | DPA Resend firmado · Cláusulas Contractuales Tipo UE cuando proceda. |
| 6 | Sentry | Functional Software, Inc. (operación EU) | EU (Frankfurt) | Monitorización de errores. Trata stack traces con scrubbing automático de PII, metadatos del error y, en su caso, identificadores de Usuario pseudonimizados. | DPA Sentry · configuración EU activa. |
Notas:
Las siguientes medidas son las aplicadas en el momento de la firma del DPA. Pueden ser actualizadas para reflejar mejoras, sin que dichas actualizaciones puedan reducir el nivel de protección.
account_id. Tests de RLS automatizados en CI; ningún cambio se despliega si los tests fallan.audit.access_log con REVOKE UPDATE, DELETE a nivel de base de datos. Conservación 5 años.pnpm audit y Dependabot.max-age=63072000; includeSubDomains; preload.unsafe-inline ni unsafe-eval en script-src.SECURITY_RUNBOOK.md interno, con plazo de notificación al Cliente ≤ 24 horas (cláusula 8).© 2026 Alethexis · AI Governance & Compliance Framework for SMEs™ · Documento contractual confidencial · Basado en Reg.(UE) 2024/1689 (EU AI Act) y Reg.(UE) 2016/679 (RGPD). No constituye asesoramiento jurídico al Cliente sobre sus obligaciones como Responsable.