Este documento establece las obligaciones de Guestly como Encargado del Tratamiento de datos personales conforme al RGPD. Se aplica automáticamente a todos los clientes que utilizan la plataforma.
1. Partes del Contrato
RESPONSABLE DEL TRATAMIENTO ("Cliente")
El propietario o gestor del alojamiento vacacional que contrata los servicios de Guestly.
ENCARGADO DEL TRATAMIENTO ("Guestly")
Guestly, plataforma SaaS de asistente virtual para alojamientos turísticos.
2. Objeto del Tratamiento
Guestly tratará datos personales por cuenta del Cliente exclusivamente para:
- Proporcionar el servicio de chatbot de asistencia a huéspedes
- Almacenar y procesar conversaciones para mejorar las respuestas
- Generar embeddings vectoriales de la documentación del alojamiento
- Enviar notificaciones al propietario sobre nuevas conversaciones
3. Categorías de Datos
Datos de Huéspedes
- • Nombre (opcional)
- • Mensajes de chat
- • Idioma de comunicación
- • Identificador de sesión
Datos del Propietario
- • Email de contacto
- • Datos del alojamiento
- • Documentación subida
- • Preferencias de notificación
4. Medidas de Seguridad (Art. 32 RGPD)
Aislamiento Multi-tenant
Row Level Security (RLS) en PostgreSQL
Cifrado en Tránsito
TLS 1.2+ para todas las comunicaciones
Cifrado en Reposo
Cifrado de disco transparente
Sanitización PII
Eliminación automática de DNI, emails y teléfonos
Protección contra Inyección
Validación de prompts contra ataques
5. Subencargados Autorizados
| Proveedor | Función | Ubicación |
|---|---|---|
| Supabase | Base de datos | UE (Frankfurt) |
| Anthropic | Modelo IA (Claude) | EE.UU. (SCC) |
| OpenAI | Embeddings | EE.UU. (SCC) |
| Vercel | Hosting | Global CDN |
6. Derechos de los Interesados
Guestly asistirá al Cliente en el cumplimiento de derechos ARCO-POL:
- Acceso: Exportación de conversaciones
- Rectificación: Modificación de datos incorrectos
- Supresión: Borrado de datos y vectores
- Oposición: Exclusión del tratamiento por IA
- Portabilidad: Descarga en formato estándar
- Limitación: Restricción temporal del procesamiento
7. Obligaciones del Encargado
- Tratar los datos solo según instrucciones documentadas del Cliente
- Garantizar confidencialidad del personal con acceso a datos
- Notificar brechas de seguridad en un plazo máximo de 72 horas
- Eliminar o devolver datos al finalizar la relación contractual
- Permitir auditorías y facilitar información de cumplimiento
Contacto para Protección de Datos
Para ejercer derechos o consultas sobre este DPA: soporte@intelligrow.shop