Helium – logotipo de la agencia de automatización con IA

heyteo

🇪🇸
Helium – logotipo de la agencia de automatización con IA

heyteo

🇪🇸
Helium – logotipo de la agencia de automatización con IA

heyteo

AVV

AVV

Contrato de encargo del tratamiento (AVV)

de heyteo AG, Steigstrasse 18, 8463 Benken (ZH), Suiza

Versión 2.0 · Válido desde el 21 de mayo de 2026

1 Definiciones

1.1 Contrato principal. El contrato celebrado entre heyteo y el Partner para la prestación de los servicios de heyteo — compuesto por las condiciones de uso (NB), las condiciones generales de proyecto (APB) y el formulario de pedido o un acuerdo equivalente — en el que el presente AVV se ha incorporado como parte integrante.

1.2 Servicios. Los servicios de agente de software y chat de IA prestados por el proveedor conforme al contrato principal, incluidas variantes específicas de producto como, por ejemplo, Teo HR Coach o agentes de conserjería específicos del sector.

1.3 Subcontratistas. Terceros que procesan datos personales por cuenta de heyteo.

1.4 Datos personales. Toda la información relativa a una persona física determinada o determinable que se transmite a heyteo en el marco del contrato principal y de la cual el Partner es responsable.

1.5 AVV. El presente contrato de encargo del tratamiento, incluidos el Anexo 1 y el Anexo 2, que como anexo forma parte integrante del contrato principal.

2 Objeto del contrato

2.1 El Partner encarga a heyteo el tratamiento de datos personales conforme a las disposiciones de este AVV. El Partner es responsable de los datos personales.

2.2 El objeto de los datos personales a tratar, la duración del tratamiento, el tipo y la categoría de los datos personales, así como la finalidad del tratamiento, se desprenden del contrato principal y del Anexo 1 del presente AVV, siempre que no estén ya suficientemente concretados en el contrato principal y en el formulario de pedido.

3 Tratamiento conforme a las instrucciones

3.1 Heyteo trata los datos personales exclusivamente para los fines del contrato principal, incluido el presente AVV, y conforme a las instrucciones documentadas del Partner.

3.2 El Partner puede, en cualquier momento, emitir nuevas instrucciones en relación con el tratamiento de datos personales o complementar o modificar las instrucciones existentes, siempre que se deriven de las leyes de protección de datos aplicables o se realicen en relación con el cumplimiento del contrato principal. Esto incluye, en particular, desviaciones en relación con la rectificación, supresión y bloqueo de datos personales. Tanto el Partner como heyteo están obligados a documentar todas las instrucciones impartidas por el Partner.

3.3 Si heyteo considera que una instrucción del Partner infringe las disposiciones aplicables en materia de protección de datos, heyteo lo comunicará al Partner sin demora. Heyteo estará autorizado a rechazar la ejecución de una instrucción manifiestamente ilícita.

3.4 Las obligaciones imperativas aplicables en materia de protección de datos de heyteo no se verán afectadas por el derecho de instrucción del Partner.

4 Confidencialidad

Heyteo se compromete a obligar a todos los empleados encargados del tratamiento de datos personales a mantener la confidencialidad de dichos datos. Esta obligación de confidencialidad seguirá vigente incluso después de la finalización de la actividad para el Partner.

5 Medidas de protección

Heyteo garantiza que se han adoptado medidas técnicas y organizativas adecuadas (TOMs) conforme al art. 8 DSG o al art. 32 DSGVO, para garantizar un nivel de protección adecuado para el tratamiento de los datos personales. A petición, heyteo pondrá a disposición del Partner información sobre las TOMs implementadas. La entrega de estas pruebas podrá realizarse bajo condiciones razonables de confidencialidad. El Partner reconoce que los datos personales también se transmitirán a subcontratistas y que, incluso con una selección y revisión cuidadosas de los subcontratistas, no puede garantizarse una protección absoluta de los datos personales.

6 Obligaciones de apoyo

Heyteo apoya al Partner en relación con el proyecto, previa solicitud, en cualquier momento y en la medida de lo posible, para el cumplimiento de las leyes de protección de datos aplicables. En particular, heyteo se compromete a:

a) apoyar al Partner en la elaboración de una eventual evaluación de impacto sobre la protección de datos y proporcionar información para que este pueda cumplir, dentro de los plazos legales, sus obligaciones en materia de protección de datos de responder a las solicitudes de personas afectadas y autoridades de control (acceso, rectificación, supresión, portabilidad de datos, oposición, toma de decisiones automatizada) (véase el capítulo III del RGPD y los arts. 25 y ss. de la DSG);

b) remitir sin demora al Partner las solicitudes de terceros en materia de protección de datos, siempre que heyteo no esté legalmente obligado a responder por sí mismo a dichas solicitudes;

c) apoyar al Partner, teniendo en cuenta la información de que disponga, en el cumplimiento de las obligaciones establecidas en los arts. 32 a 36 del RGPD o en los arts. 8, 22 y 24 de la DSG (medidas de seguridad de los datos, evaluación de impacto sobre la protección de datos, consulta previa, notificación de violaciones);

d) notificar sin demora al Partner si (i) heyteo adquiere conocimiento de una violación real o presunta de la protección de datos en relación con los datos personales, (ii) heyteo tiene conocimiento de una afectación real o inminente de los datos personales por su parte que impida el cumplimiento del contrato principal o de este AVV, o (iii) heyteo tiene conocimiento de la existencia de eventuales solicitudes de las autoridades de acceso o de acceso efectivo a datos personales, siempre que dicha notificación no esté prohibida por ley.

7 Devolución o supresión

7.1 Heyteo, a petición del Partner — a más tardar al expirar el plazo de conservación mencionado a continuación — devolverá al Partner todos los datos personales o los suprimirá o anonimizará, salvo que heyteo esté sujeto a una obligación legal de conservación. Heyteo confirmará por escrito la supresión a petición del Partner.

7.2 Plazo de conservación. En la medida en que lo permita la ley y sea necesario contractualmente, heyteo conservará los datos personales conforme a su política de privacidad durante diez (10) años desde la finalización del servicio para el respectivo Partner. Los contenidos introducidos por los usuarios y las respuestas proporcionadas por los sistemas se suprimirán o anonimizarán, por regla general, después de 48 meses. Los datos técnicos suelen suprimirse al cabo de pocos días, y a más tardar después de 2 años.

8 Derechos de control

Para verificar el cumplimiento de este AVV por parte de heyteo, heyteo pondrá a disposición del Partner toda la información necesaria en materia de protección de datos. El Partner estará autorizado a hacer llevar a cabo, durante el horario de funcionamiento y sin perturbar la actividad empresarial, una auditoría de protección de datos en relación con los datos personales por un auditor designado por el Partner, a costa del Partner.

9 Subcontratistas y comunicación al extranjero

9.1 Heyteo está autorizado a recurrir a los subcontratistas enumerados en el Anexo 2 del presente AVV para ejecutar el proyecto. Si heyteo tiene la intención de incorporar subcontratistas adicionales o eliminar subcontratistas individuales, informará al Partner en consecuencia y le comunicará la identidad de dichos subcontratistas. En caso de objeciones por parte del Partner, las partes se consultarán previamente.

9.2 La contratación de subcontratistas como encargados del tratamiento de datos personales es admisible en la medida en que estos cumplan, dentro del alcance del subencargo, los requisitos del presente contrato. Salvo que las partes acuerden lo contrario, heyteo estará obligado a celebrar con los subcontratistas acuerdos sobre medidas adecuadas de protección de datos y seguridad de la información, y a garantizar que los subcontratistas cumplan a su vez los requisitos de este AVV.

9.3 El Partner acepta que los datos personales puedan ser utilizados por los subcontratistas y por heyteo también para los fines enumerados en el Anexo 1 del AVV, y se compromete a informar a los usuarios de este uso que va más allá de la finalidad del proyecto.

9.4 El Partner reconoce y acepta que heyteo también puede transmitir datos personales a subcontratistas que no estén certificados específicamente para datos de RR. HH., y que heyteo no está obligado, en relación con dichos datos personales, a adoptar medidas contractuales o técnicas de protección que vayan más allá del nivel acordado en este AVV. En la medida en que Teo HR Coach forme parte de los Servicios, el Partner se compromete, antes de transmitir los datos personales a heyteo, a obtener el consentimiento de los usuarios afectados para la transmisión de los datos de usuario correspondientes a WhatsApp/Meta Platforms Inc. y Twilio Inc. en los EE. UU.

10 Derecho aplicable y fuero

10.1 Este AVV se rige exclusivamente por el derecho suizo, con exclusión de las normas de conflicto de leyes.

10.2 El fuero exclusivo para todas las controversias derivadas de o relacionadas con este AVV es Andelfingen, cantón de Zúrich, Suiza, sin perjuicio de los fueros imperativos.

11 Relación con los anexos y con el contrato principal

11.1 En caso de discrepancias entre los Anexos de este AVV y el cuerpo principal de este AVV, prevalecerá el cuerpo principal del AVV sobre los Anexos.

11.2 En caso de discrepancias entre este AVV y el resto del contrato principal (NB, APB, formulario de pedido), este AVV prevalecerá en materia de protección de datos.

Anexo 1 del AVV — Objeto, tipo, finalidad

1 Objeto, tipo y finalidad del tratamiento

Además de la prestación de los servicios del contrato principal, los datos personales se tratarán para los fines aquí descritos. Se aplican complementariamente las siguientes disposiciones de protección de datos y políticas de tratamiento de los subcontratistas utilizados:

- WhatsApp Ireland Ltd. — Merrion Road, Dublin 4, D04 X2K5 — Irlanda

- OpenAI Ireland Ltd. — 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43 — Irlanda - Google Ireland Ltd. — Gordon House, Barrow Street, Dublin 4 — Irlanda

- Twilio, Inc. — 101 Spear St, San Francisco, California 94105 — EE. UU.

- XIAG AG — Archstrasse 7, 8400 Winterthur — Suiza

2 Duración del tratamiento

Los datos personales de los que el Partner es responsable se tratarán durante la vigencia del contrato principal, así como durante los plazos de conservación establecidos en la cláusula 7 de este AVV.

3 Tipo de datos personales

Información introducida por el usuario, respuestas proporcionadas por los agentes de software, datos de contacto y datos básicos de los usuarios (en la medida en que se transmitan), así como datos técnicos (p. ej., dirección IP, datos del dispositivo y de conexión). Una concreción específica del producto puede desprenderse del formulario de pedido o de un acuerdo específico del proyecto.

4 Categorías de datos personales

Datos de clientes y usuarios.

Anexo 2 del AVV — Subcontratistas

Estado: 21 de mayo de 2026

Nombre de la empresa

Sede

País

WhatsApp Ireland Ltd.

Merrion Road, Dublin 4, D04 X2K5

Irlanda

OpenAI Ireland Ltd.

1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43

Irlanda

Google Ireland Ltd.

Gordon House, Barrow Street, Dublin 4

Irlanda

Twilio, Inc.

101 Spear St, San Francisco, California 94105

EE. UU.

XIAG AG

Archstrasse 7, 8400 Winterthur

Suiza

Nota: Esta lista incluye subcontratistas que tratan datos personales de los usuarios finales en el marco de la prestación del servicio. Los proveedores de servicios de pago, CRM y contabilidad de heyteo (para la gestión de la relación comercial con el Partner) no tratan datos personales de usuarios finales en el sentido de este AVV.