Términos y Condiciones

REVERSA — DISRUPTIVE LABS, S.L.

Versión: 1 | Fecha de entrada en vigor: 10/04/2026

1. Objeto y Partes

El presente documento (los “Términos”), junto con la Orden de Pedido correspondiente y los Anexos que formen parte integrante del mismo, regula las condiciones de prestación de los servicios de Reversa al Cliente. En caso de conflicto entre los presentes Términos y la Orden de Pedido, prevalecerá lo dispuesto en la Orden de Pedido. Los Anexos forman parte inseparable de los presentes Términos y tendrán la misma fuerza vinculante.

Reversa: DISRUPTIVE LABS, S.L., CIF B21866249, domicilio en Calle Valle de la Fuenfría 10, P1, 6ºC, 28034 Madrid.

Cliente: la entidad identificada en la Orden de Pedido correspondiente.

2. Descripción del Servicio y Naturaleza de los Outputs

2.1 Descripción

Reversa diseñará, configurará y validará junto con el Cliente una solución personalizada de inteligencia regulatoria en modalidad SaaS (la “Plataforma”), que simplifica los flujos de trabajo de las áreas identificadas y acordadas en la Orden de Pedido, incluyendo la configuración adaptada al contexto operativo del Cliente y soporte continuo durante la vigencia del contrato.

El objetivo del servicio es permitir al Cliente: (i) reducir el tiempo dedicado a la identificación y análisis de cambios regulatorios relevantes; (ii) centralizar la información regulatoria en una única fuente de verdad; y (iii) generar outputs accionables que agilicen la toma de decisiones y la coordinación interna.

2.2 Naturaleza de los outputs: información, no asesoramiento jurídico

Los outputs, análisis, alertas y resúmenes generados por la Plataforma —incluidos aquellos producidos total o parcialmente mediante modelos de inteligencia artificial, algoritmos de procesamiento de lenguaje natural u otras técnicas automatizadas— tienen carácter exclusivamente informativo y orientativo. No constituyen asesoramiento jurídico, regulatorio, fiscal ni de ninguna otra naturaleza profesional, ni sustituyen en modo alguno el criterio de un profesional cualificado. El Cliente reconoce y acepta expresamente que: (a) los modelos de inteligencia artificial pueden generar resultados inexactos, incompletos, desactualizados o que contengan errores (denominados comúnmente “alucinaciones”); (b) la Plataforma no garantiza la corrección, exactitud, integridad ni idoneidad de los outputs para una finalidad concreta; y (c) la responsabilidad última sobre cualquier decisión adoptada a partir de los outputs recae exclusivamente en el Cliente.

La Plataforma es una herramienta de apoyo al proceso de análisis e identificación normativa. Su cobertura se basa en fuentes oficiales monitorizadas (BOE, boletines autonómicos, instituciones europeas, entre otras), pero puede no ser exhaustiva ni capturar la totalidad de las fuentes relevantes para cada situación concreta. Reversa realizará esfuerzos comercialmente razonables para mantener actualizadas las fuentes monitorizadas, sin que ello constituya garantía alguna de exhaustividad.

El Cliente es el único responsable de las decisiones que adopte basándose en los outputs de la Plataforma y de verificar, con los asesores que estime oportunos, la información que la Plataforma le facilite.

3. Acceso, Usuarios y Obligaciones del Cliente

3.1 Acceso y credenciales

El acceso a la Plataforma se realizará mediante credenciales. El Cliente será responsable del uso de sus credenciales y de que sus usuarios cumplan los presentes Términos.

3.2 Usos prohibidos

El Cliente no podrá: (i) revender, redistribuir o sublicenciar el Servicio a terceros; (ii) realizar ingeniería inversa, descompilar, desensamblar o intentar extraer el código fuente, prompts, modelos subyacentes o cualquier componente tecnológico del Servicio; (iii) interferir con la seguridad, integridad o disponibilidad del Servicio, o adoptar cualquier acción que perjudique o pueda perjudicar el rendimiento o funcionamiento correcto de la Plataforma; (iv) usar el Servicio de forma contraria a la legislación vigente o a los derechos de terceros; (v) utilizar robots, arañas web, raspadores web u otros medios o procesos automatizados para acceder, recoger datos o interactuar de otro modo con la Plataforma; (vi) eludir, desactivar o intentar sortear cualquier medida tecnológica de protección implementada por Reversa o sus proveedores; (vii) utilizar el Servicio para desarrollar, entrenar o explotar productos o servicios en competencia con la Plataforma; ni (viii) realizar cualquier uso no autorizado de contenido, marcas, tecnología o propiedad intelectual de Reversa.

Reversa no asume obligación alguna de supervisar el acceso o utilización de la Plataforma por parte del Cliente o sus usuarios, ni de revisar o modificar ningún contenido introducido por estos, pero se reserva el derecho a hacerlo con el fin de: (i) operar, proteger, analizar y mejorar la Plataforma; (ii) verificar el cumplimiento de los presentes Términos; (iii) cumplir la legislación vigente o atender una orden o requerimiento judicial o administrativo; o (iv) prevenir o mitigar riesgos de seguridad o fraude.

El Cliente se compromete a indemnizar y mantener indemne a Reversa, sus socios, administradores, empleados, colaboradores y agentes frente a cualesquiera daños, pérdidas, costes, gastos (incluidos honorarios razonables de abogados) o reclamaciones de terceros que se deriven directa o indirectamente del uso o mal uso de la Plataforma por parte del Cliente o sus usuarios, del incumplimiento de los presentes Términos o de la vulneración de derechos de terceros.

4. Precio, Modificaciones de Alcance y Facturación

El precio aplicable es el indicado en la Orden de Pedido.

Si el Cliente solicita cambios de alcance (nuevos módulos, fuentes adicionales, agentes adicionales o parametrizaciones relevantes), las Partes negociarán de buena fe el ajuste de precio, que será proporcional al incremento razonable de costes y/o valor entregado. Los cambios de alcance se formalizarán por escrito mediante nueva Orden de Pedido o adenda.

Los precios no incluyen IVA u otros impuestos aplicables.

5. Propiedad Intelectual y Datos

5.1 Propiedad de Reversa

Reversa conserva la titularidad exclusiva y todos los derechos de propiedad intelectual e industrial sobre la Plataforma, sus modelos de inteligencia artificial, prompts, algoritmos, metodologías, interfaces, know-how, documentación técnica y cualesquiera mejoras, actualizaciones o desarrollos derivados. Nada en los presentes Términos supone cesión, licencia ni transferencia de dichos derechos al Cliente, salvo el derecho de uso limitado, no exclusivo, intransferible y revocable concedido durante la vigencia del contrato para el acceso y utilización de la Plataforma conforme a lo previsto en la Orden de Pedido.

5.2 Propiedad del Cliente

El Cliente conserva la titularidad de sus datos y contenidos que cargue o genere a través del Servicio, en la medida en que sean de su propiedad.

5.3 Uso de datos para mejora del servicio — Distinción entre datos confidenciales y datos reutilizables

Los documentos, consultas, outputs y cualquier información que el Cliente o sus usuarios introduzcan o generen en la Plataforma en el ejercicio de su actividad profesional y que estén directamente vinculados a su contexto operativo específico se consideran datos de interacción confidenciales del Cliente. Dichos datos son propiedad exclusiva del Cliente. Reversa los tratará únicamente en calidad de encargada del tratamiento, en nombre y por cuenta del Cliente, con sujeción al Acuerdo de Encargo de Tratamiento que figura como Anexo I de los presentes Términos y a las instrucciones documentadas del Cliente.

Reversa podrá tratar datos técnicos y de uso que hayan sido objeto de un proceso de anonimización irreversible —tales como datos de rendimiento, logs de sistema, métricas de uso agregadas (tiempos de respuesta, tipos de consulta de forma agregada, errores técnicos)— de modo que no permitan identificar al Cliente ni a sus usuarios, para operar, mantener y mejorar el Servicio.

Mediante la firma de la Orden de Pedido, el Cliente autoriza expresamente a Reversa a utilizar interacciones y contenidos debidamente anonimizados para la mejora y entrenamiento de sus modelos y agentes de inteligencia artificial, siempre que se haya aplicado un proceso de anonimización efectiva que impida la identificación del Cliente o de sus usuarios. Dicha autorización constituye un consentimiento explícito, específico e informado a los efectos del artículo 6.1.a) del RGPD. El Cliente podrá revocar esta autorización en cualquier momento mediante comunicación escrita dirigida a Reversa, sin que dicha revocación afecte a la licitud del tratamiento realizado con anterioridad ni a la prestación del Servicio principal. La revocación surtirá efectos en un plazo máximo de treinta (30) días naturales desde su recepción por Reversa.

6. Confidencialidad

Cada Parte mantendrá en estricta confidencialidad toda la información no pública de la otra Parte a la que tenga acceso con ocasión del contrato (“Información Confidencial”) y no la divulgará a terceros salvo: (i) cuando resulte necesario para la ejecución del contrato, a personas sujetas a obligaciones de confidencialidad equivalentes; (ii) por obligación legal o requerimiento de autoridad competente, en cuyo caso la Parte obligada informará previamente a la otra, salvo prohibición legal; o (iii) cuando medie consentimiento previo y escrito de la Parte titular. Esta obligación se extenderá durante la vigencia del contrato y durante los cinco (5) años siguientes a su terminación por cualquier causa.

Se considerará información confidencial del Cliente, a título enunciativo y no limitativo: sus datos operativos, estrategia de compliance, estructura organizativa, documentación interna y cualquier output específico de la Plataforma directamente vinculado a su actividad.

Se considerará información confidencial de Reversa, a título enunciativo y no limitativo: sus prompts, arquitectura de agentes de inteligencia artificial, modelos y metodologías de procesamiento, estructura de precios, roadmap de producto y cualquier información técnica relativa al funcionamiento interno de la Plataforma.

7. Limitación de Responsabilidad y Naturaleza del Servicio

Salvo en los supuestos de dolo o de responsabilidad que no pueda limitarse o excluirse por ley imperativa, la responsabilidad total acumulada de Reversa frente al Cliente por cualesquiera reclamaciones derivadas del contrato o relacionadas con el mismo —ya sean de naturaleza contractual, extracontractual o de cualquier otra índole— no excederá, en ningún caso, el importe efectivamente pagado por el Cliente a Reversa en los doce (12) meses inmediatamente anteriores al hecho que origine la reclamación. En ningún caso Reversa será responsable frente al Cliente por daños indirectos, incidentales, especiales o consecuenciales, incluidos, sin limitación, lucro cesante, pérdida de datos, pérdida de oportunidades de negocio, daño reputacional o interrupción de actividad, con independencia de que Reversa hubiera sido advertida de la posibilidad de tales daños.

La Plataforma se ofrece “tal cual” (as is) y “según disponibilidad” (as available), sin garantía de ningún tipo, ya sea expresa, implícita o legal, incluidas, sin limitación, las garantías implícitas de comerciabilidad, calidad satisfactoria, adecuación a un fin particular, no infracción de derechos de terceros o ausencia de errores. Reversa no garantiza que la Plataforma esté libre de errores, interrupciones, virus, malware u otros componentes dañinos, ni que funcione de forma continua, ininterrumpida o segura. La Plataforma facilita el acceso y análisis de información regulatoria de fuentes públicas mediante técnicas de inteligencia artificial. Reversa no garantiza: (i) la exhaustividad, exactitud o actualización en tiempo real de la información obtenida de fuentes externas; (ii) que los outputs —incluidos los generados mediante modelos de inteligencia artificial— sean correctos, completos, actualizados o adecuados para una decisión concreta del Cliente; ni (iii) resultado alguno derivado del uso de la Plataforma. La responsabilidad de Reversa como prestadora de servicios de la sociedad de la información se rige por las reglas generales de responsabilidad civil, penal y administrativa, con los límites previstos en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), y la normativa aplicable.

El Cliente reconoce y acepta expresamente que los outputs de la Plataforma constituyen un punto de partida informativo sujeto a verificación profesional independiente, que ningún output constituye asesoramiento jurídico, y que el uso de la Plataforma se realiza bajo su exclusiva cuenta y riesgo.

El Cliente reconoce y acepta que el acceso a la Plataforma está sujeto a interrupciones y puede no estar disponible en todo momento, dependiendo, entre otros factores, de tareas de mantenimiento programado o no programado, actualizaciones, problemas de conectividad a Internet, fallos de proveedores de infraestructura u otras circunstancias ajenas al control razonable de Reversa. Reversa podrá restringir la disponibilidad de la Plataforma o de determinadas áreas o funcionalidades cuando sea necesario por razones de capacidad, seguridad o integridad de sus servidores, o para llevar a cabo medidas de mantenimiento que aseguren el funcionamiento correcto o mejorado del Servicio. Reversa no asumirá responsabilidad alguna por cualquier indisponibilidad provocada por circunstancias fuera de su control razonable, incluyendo, sin limitación, supuestos de fuerza mayor.

8. Duración, Renovación y Terminación

El contrato entra en vigor en la fecha de inicio indicada en la Orden de Pedido y tendrá la duración establecida en la misma. Cualquiera de las Partes podrá resolver el contrato por incumplimiento esencial de la otra Parte si dicho incumplimiento no se subsana en un plazo de treinta (30) días naturales desde la recepción de requerimiento escrito en tal sentido. Asimismo, el uso indebido de la Plataforma o la violación de los presentes Términos podrá dar lugar, a discreción exclusiva de Reversa, a la suspensión inmediata de los privilegios de acceso del Cliente y sus usuarios, sin necesidad de preaviso y sin perjuicio de las demás acciones legales o contractuales que pudieran corresponder a Reversa, incluida la resolución del contrato.

Al término del período piloto, las Partes deberán confirmar por escrito (correo electrónico válido) si continúan el servicio en modalidad anual.

Al finalizar el contrato por cualquier causa, el Cliente dejará de tener acceso al Servicio. Reversa podrá eliminar los datos del Cliente conforme a sus políticas de retención, salvo obligación legal de conservación. En particular, los datos personales se conservarán durante los plazos de prescripción exigidos por la legislación vigente y, cuando proceda su supresión, se bloquearán conforme al artículo 32 de la LOPDGDD, quedando reservados exclusivamente para su puesta a disposición de jueces, fiscalía o autoridades competentes. Las obligaciones de confidencialidad, limitación de responsabilidad y propiedad intelectual sobrevivirán a la terminación del contrato.

9. Protección de Datos

El tratamiento de datos personales en el contexto de la prestación del Servicio se rige por la Política de Privacidad de Reversa, disponible en la Plataforma, y por el Acuerdo de Encargo de Tratamiento que figura como Anexo I de los presentes Términos (el “DPA”). El DPA forma parte integrante de los presentes Términos y regula las condiciones en las que Reversa, en calidad de encargada del tratamiento, tratará los datos personales del Cliente. En caso de conflicto entre los presentes Términos y el DPA en materia de protección de datos, prevalecerá lo dispuesto en el DPA. Ambas Partes se comprometen a cumplir en todo momento el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y cualesquiera otras normas aplicables en materia de protección de datos.

10. Modificaciones de los Términos

Reversa podrá modificar los presentes Términos con un preaviso mínimo de treinta (30) días naturales. Las modificaciones se notificarán al Cliente por correo electrónico o a través de la Plataforma. Si el Cliente no comunica su rechazo por escrito dentro del plazo de preaviso, se entenderá que acepta la versión actualizada. En caso de rechazo, el Cliente podrá resolver el contrato sin penalización hasta la fecha de entrada en vigor de la modificación, sin perjuicio de las obligaciones devengadas con anterioridad.

11. Ley Aplicable y Jurisdicción

Los presentes Términos y cualesquiera disputas o reclamaciones que surjan de los mismos o en relación con ellos, su objeto o su formación (incluidas las disputas o reclamaciones de naturaleza extracontractual), se regirán e interpretarán de conformidad con la legislación española. Las Partes se someten expresamente a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Madrid, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

12. Miscelánea

Los presentes Términos, junto con la Orden de Pedido y los Anexos, constituyen el acuerdo íntegro entre las Partes respecto del objeto del contrato y sustituyen cualesquiera acuerdos, negociaciones o comunicaciones previas, ya sean orales o escritas. La nulidad o inaplicabilidad de cualquier cláusula de los presentes Términos no afectará a la validez ni exigibilidad de las restantes disposiciones, que permanecerán en pleno vigor y efecto. La falta de ejercicio o el retraso en el ejercicio de cualquier derecho por cualquiera de las Partes no constituirá renuncia al mismo ni impedirá su ejercicio futuro. Las comunicaciones contractualmente relevantes se realizarán por escrito; a estos efectos, el correo electrónico tendrá valor equivalente al escrito a todos los efectos contractuales. Ninguna de las Partes podrá ceder o transferir los derechos u obligaciones derivados de los presentes Términos sin el consentimiento previo y escrito de la otra Parte.

Anexo I — Acuerdo de Encargo de Tratamiento de Datos Personales

El presente Acuerdo de Encargo de Tratamiento (en adelante, el “DPA”) complementa los Términos y Condiciones del Servicio de Reversa (los “Términos”) y la Política de Privacidad de Reversa, según se actualicen en cada momento, y forma parte integrante de los mismos. El DPA se suscribe entre el Cliente identificado en la Orden de Pedido correspondiente (el “Responsable del Tratamiento” o “Cliente”) y DISRUPTIVE LABS, S.L. (“Reversa” o el “Encargado del Tratamiento”). En caso de conflicto entre el presente DPA y los Términos o la Política de Privacidad en materia de protección de datos personales, prevalecerá lo dispuesto en el presente DPA.

1. Definiciones e Interpretación

1.1 Los términos “Responsable del Tratamiento”, “Encargado del Tratamiento”, “Interesado”, “Datos Personales”, “Violación de la Seguridad de los Datos Personales”, “Tratamiento” (incluidas sus formas derivadas “Tratar” y “Tratado”) tendrán el significado que les atribuye el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, “RGPD”), o, en su caso, el significado de los términos esencialmente equivalentes en la demás Normativa de Protección de Datos aplicable.

1.2 “Normativa de Protección de Datos” significa toda normativa aplicable relativa al Tratamiento, la privacidad y el uso de Datos Personales, incluidos: (i) el RGPD; (ii) la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); (iii) cualesquiera leyes que implementen, sustituyan, amplíen, refundan o modifiquen las anteriores; (iv) cualesquiera normas nacionales o reglamentarias correspondientes; y (v) las directrices, códigos de conducta o mecanismos de certificación emitidos por las autoridades de control competentes en relación con dichas normas.

1.3 “Datos Personales del Cliente” significa los Datos Personales proporcionados o puestos a disposición de Reversa por el Cliente (o recogidos o generados por cuenta de este) en el marco de la prestación del Servicio.

1.4 Los términos en mayúscula no definidos en el presente DPA tendrán el significado que se les atribuye en los Términos, la Orden de Pedido o la Política de Privacidad, según corresponda.

1.5 Las referencias a normas jurídicas incluyen su legislación de desarrollo y se entenderán referidas a dichas normas en su versión vigente en cada momento.

2. Tratamiento de los Datos Personales del Cliente

2.1 A los efectos del presente DPA, el Cliente actúa como Responsable del Tratamiento y Reversa actúa como Encargado del Tratamiento respecto de los Datos Personales del Cliente descritos en el Apéndice 1, salvo que se indique expresamente lo contrario. Reversa Tratará los Datos Personales del Cliente únicamente: (a) conforme a lo previsto en el presente DPA, los Términos y la Orden de Pedido; (b) cuando así lo exija una obligación legal aplicable a Reversa, en cuyo caso Reversa informará al Cliente de dicha obligación legal antes de proceder al Tratamiento, salvo que la ley lo prohíba; o (c) conforme a las instrucciones documentadas del Cliente. El objeto, la duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados se describen en el Apéndice 1. No se Tratarán categorías especiales de Datos Personales sin la autorización previa y por escrito del Cliente.

2.2 Las Partes reconocen que, además del Tratamiento de Datos Personales como Encargado del Tratamiento por cuenta del Cliente, Reversa podrá Tratar determinados Datos Personales como Responsable independiente del Tratamiento para las siguientes finalidades limitadas: (i) gestión y administración de la cuenta del Cliente; (ii) facturación y procesamiento de pagos; (iii) cumplimiento de obligaciones legales y regulatorias aplicables a Reversa; y (iv) administración interna del servicio y seguridad. Dicho Tratamiento se llevará a cabo de conformidad con la Política de Privacidad de Reversa y la Normativa de Protección de Datos aplicable, y queda fuera del ámbito de aplicación del presente DPA.

2.3 Reversa Tratará los Datos Personales del Cliente exclusivamente de conformidad con el presente DPA y en la medida necesaria para la prestación del Servicio.

2.4 Reversa se compromete a: (i) cumplir la Normativa de Protección de Datos aplicable en todo Tratamiento de los Datos Personales del Cliente; (ii) cooperar y asistir al Cliente en la realización de evaluaciones de impacto relativas a la protección de datos y en las consultas con las autoridades de control competentes, así como en la atención de requerimientos, investigaciones o consultas de dichas autoridades; (iii) garantizar que sus políticas, medidas y procedimientos cumplen la Normativa de Protección de Datos y que dispone de las bases jurídicas, consentimientos y avisos informativos necesarios para el lícito Tratamiento y, en su caso, la comunicación de los Datos Personales del Cliente a terceros destinatarios durante la vigencia y para las finalidades del presente DPA; y (iv) Tratar los Datos Personales del Cliente únicamente en los términos previstos en la cláusula 2.1 anterior. Reversa revisará periódicamente sus avisos y políticas de privacidad y los mantendrá actualizados.

2.5 El Cliente se compromete a: (i) garantizar que el Tratamiento encargado en virtud del presente DPA y la comunicación de Datos Personales asociada se realizan en estricto cumplimiento de la Normativa de Protección de Datos aplicable; (ii) facilitar a Reversa los Datos Personales del Cliente necesarios para la prestación del Servicio; (iii) velar, antes y durante el Tratamiento, por el cumplimiento de la Normativa de Protección de Datos por parte de Reversa; (iv) supervisar el Tratamiento, incluyendo la realización de inspecciones y auditorías conforme a lo previsto en el presente DPA; (v) cumplir recíprocamente las obligaciones establecidas en el presente DPA en lo que le resulten aplicables; y (vi) cualesquiera otras obligaciones derivadas de la legislación vigente y aplicable.

3. Personal de Reversa

3.1 Reversa garantizará que todo el personal autorizado para Tratar los Datos Personales del Cliente está sujeto a obligaciones contractuales o legales de confidencialidad adecuadas y Tratará dichos Datos Personales únicamente en la medida necesaria para la prestación del Servicio.

3.2 Reversa cesará en el Tratamiento de los Datos Personales del Cliente cuando ya no sea necesario para la prestación del Servicio, salvo que la conservación sea exigida por la legislación aplicable. A la terminación o expiración del contrato, y a elección del Cliente, Reversa suprimirá o devolverá los Datos Personales del Cliente en un plazo máximo de treinta (30) días naturales desde la recepción de solicitud escrita del Cliente. Cuando proceda la supresión, Reversa adoptará las medidas razonables para eliminar de forma segura dichos Datos Personales, incluidas las copias de seguridad, de conformidad con sus prácticas de retención. En todo caso, la supresión o devolución de los Datos Personales del Cliente quedará condicionada al cumplimiento de las obligaciones legales de conservación aplicables a Reversa. Los Datos Personales retenidos en virtud de dichas obligaciones legales permanecerán sujetos a las garantías del presente DPA y se bloquearán conforme al artículo 32 de la LOPDGDD.

4. Seguridad

4.1 Las Partes declaran que han implementado y mantendrán las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente frente a Violaciones de la Seguridad de los Datos Personales, las cuales cumplirán en todo momento, como mínimo, los estándares exigidos por la Normativa de Protección de Datos.

4.2 Reversa garantizará que dispone de las medidas técnicas y organizativas de seguridad apropiadas, descritas en el Apéndice 2, para proteger los Datos Personales del Cliente frente al Tratamiento no autorizado o ilícito y frente a la pérdida accidental, destrucción o daño, adecuadas al perjuicio que pudiera derivarse de dicho Tratamiento no autorizado o ilícito o de la pérdida, destrucción o daño accidentales, y a la naturaleza de los datos a proteger, teniendo en cuenta el estado de la técnica y el coste de implementación de las medidas, garantizando que la disponibilidad y el acceso a los Datos Personales puedan restablecerse de forma oportuna tras un incidente, y evaluando y valorando periódicamente la eficacia de las medidas técnicas y organizativas adoptadas.

5. Notificaciones y Violaciones de la Seguridad de los Datos Personales

5.1 Si Reversa recibe cualquier reclamación, solicitud o petición en relación con el Tratamiento de los Datos Personales del Cliente (en particular, las relativas al ejercicio de los derechos de los Interesados conforme a la Normativa de Protección de Datos aplicable), Reversa la remitirá al Cliente sin dilación indebida y cooperará y asistirá al Cliente en la atención de la misma conforme a las instrucciones del Cliente.

5.2 Si Reversa tiene conocimiento de cualquier Violación de la Seguridad de los Datos Personales, lo notificará al Cliente sin dilación indebida y, en todo caso, en un plazo máximo de treinta y seis (36) horas, investigará la Violación, adoptará las medidas necesarias para remediar o mitigar los daños y prevenir su recurrencia (proporcionando al Cliente información detallada durante todo el proceso), y cooperará con el Cliente en la notificación a las autoridades de control competentes o a los Interesados afectados, cuando proceda.

5.3 Reversa, teniendo en cuenta la naturaleza del Tratamiento, asistirá al Cliente mediante las medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, en el cumplimiento de su obligación de atender las solicitudes de ejercicio de los derechos de los Interesados conforme a la Normativa de Protección de Datos aplicable, incluidos los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Reversa notificará al Cliente cualquier solicitud de este tipo sin dilación indebida y, en todo caso, en un plazo máximo de cinco (5) días hábiles desde su recepción, y prestará la cooperación razonable para que el Cliente pueda responder dentro de los plazos exigidos por la Normativa de Protección de Datos aplicable.

6. Subencargados del Tratamiento

6.1 El Cliente otorga una autorización general a Reversa para contratar subencargados del tratamiento que Traten los Datos Personales del Cliente en relación con la prestación del Servicio.

6.2 Reversa garantizará que todo subencargado del tratamiento quede vinculado por obligaciones escritas que ofrezcan, como mínimo, el mismo nivel de protección de los Datos Personales del Cliente que el establecido en el presente DPA.

6.3 Reversa seguirá siendo plenamente responsable frente al Cliente del cumplimiento de las obligaciones de cualquier subencargado del tratamiento y de cualesquiera actos u omisiones de dicho subencargado en relación con el Tratamiento de los Datos Personales del Cliente, como si fueran propios, en los términos del presente DPA y de los Términos.

6.4 Reversa informará al Cliente de cualquier incorporación o sustitución prevista de subencargados del tratamiento con una antelación razonable, otorgando al Cliente la posibilidad de formular objeciones fundadas en motivos razonables de protección de datos en un plazo de catorce (14) días naturales desde dicha notificación. Si el Cliente formula una objeción razonable y Reversa no puede atenderla de forma razonable, cualquiera de las Partes podrá resolver los Servicios afectados de conformidad con los Términos.

6.5 La lista actualizada de subencargados del tratamiento autorizados figura en el Apéndice 3 del presente DPA.

7. Transferencias Internacionales de Datos

7.1 Reversa (o cualquier subencargado del tratamiento) únicamente transferirá los Datos Personales del Cliente a un país situado fuera del Espacio Económico Europeo (EEE) o a una organización internacional cuando dicha transferencia esté sujeta a garantías adecuadas y cumpla la Normativa de Protección de Datos aplicable.

7.2 Cuando se realicen dichas transferencias, Reversa implementará las garantías adecuadas, incluido el uso de cláusulas contractuales tipo adoptadas por la Comisión Europea (incluida la Decisión de Ejecución (UE) 2021/914 de la Comisión), normas corporativas vinculantes u otros mecanismos de transferencia válidos conforme a la Normativa de Protección de Datos aplicable. Para la óptima prestación del Servicio, Reversa o sus subencargados podrán almacenar los Datos Personales del Cliente en servidores ubicados fuera del EEE, en cuyo caso las garantías mencionadas serán de aplicación en la forma y manera adecuadas a la posición de Reversa como Encargado del Tratamiento.

8. Registros y Auditorías

8.1 Reversa mantendrá registros completos y precisos y la información necesaria para demostrar el cumplimiento del presente DPA, poniéndolos a disposición del Cliente de forma inmediata previa solicitud. Reversa facilitará al Cliente toda la información razonablemente necesaria para acreditar el cumplimiento del presente DPA y de la Normativa de Protección de Datos aplicable, y permitirá y contribuirá a las auditorías realizadas por el Cliente o por un auditor independiente designado por este, con sujeción a un preaviso razonable y a obligaciones de confidencialidad.

8.2 Reversa podrá satisfacer las obligaciones de la cláusula anterior proporcionando certificaciones, informes o evaluaciones independientes pertinentes.

9. Duración y Terminación

9.1 El presente DPA entrará en vigor en la fecha de suscripción de la Orden de Pedido y permanecerá vigente mientras Reversa Trate Datos Personales del Cliente en el marco de la prestación del Servicio, incluyendo los períodos de conservación legalmente exigidos tras la terminación del contrato.

9.2 Las obligaciones de confidencialidad previstas en la cláusula 10 del presente DPA sobrevivirán a la terminación o expiración del mismo y permanecerán vigentes de forma indefinida.

10. Confidencialidad

Las Partes no divulgarán, sin el consentimiento previo y por escrito de la otra Parte, ninguna información revelada o puesta a disposición, en cualquier forma o soporte, directa o indirectamente, antes o después de la fecha del presente DPA, en relación con el Tratamiento, así como la información relativa a los servicios, planes financieros, derechos de propiedad intelectual e industrial, clientes, proveedores, empleados, planes, know-how, diseños, secretos comerciales, información técnica o software, cualquier otra información que cada Parte desee proteger frente a su divulgación no restringida y que esté marcada como confidencial o propietaria o que, por su naturaleza, sea claramente confidencial, así como cualesquiera hallazgos, datos o análisis derivados de dicha información, salvo que su divulgación sea exigida en un procedimiento judicial o administrativo o por imperativo legal. En tal caso, la Parte obligada informará previamente a la otra para que pueda adoptar las medidas legales necesarias para garantizar la protección de la información en el ámbito de la divulgación obligatoria.

11. Indemnización

11.1 Cada Parte indemnizará y mantendrá indemne a la otra Parte frente a cualesquiera pérdidas directas, daños, costes y gastos (incluidos honorarios razonables de abogados) derivados de un incumplimiento material por la Parte indemnizante de sus obligaciones en virtud del presente DPA o de la Normativa de Protección de Datos aplicable, con sujeción a las siguientes condiciones: (i) la responsabilidad de la Parte indemnizante se limitará a las pérdidas directamente atribuibles a sus propios actos u omisiones; (ii) ninguna de las Partes será responsable frente a la otra por daños indirectos, incidentales, especiales o consecuenciales, incluidos lucro cesante, pérdida de ingresos o pérdida de oportunidades de negocio, cualquiera que sea su causa; y (iii) la Parte indemnizante no será responsable de ningún incumplimiento causado exclusivamente por los actos u omisiones de un subencargado del tratamiento, salvo en la medida en que la Parte indemnizante haya incumplido sus obligaciones conforme a la cláusula 6 del presente DPA respecto de dicho subencargado.

11.2 No obstante lo anterior, en el supuesto de que Reversa, en calidad de Encargado del Tratamiento, incumpla las disposiciones del presente DPA como consecuencia directa de actos, omisiones o instrucciones del Cliente, el Cliente asumirá la responsabilidad por el incumplimiento resultante e indemnizará a Reversa frente a cualesquiera pérdidas directas, daños, costes y gastos derivados de ello, incluidas cualesquiera reclamaciones de Interesados o sanciones impuestas por las autoridades de control competentes atribuibles a dichos actos, omisiones o instrucciones.

12. Ley Aplicable y Jurisdicción

El presente DPA y cualesquiera disputas o reclamaciones que surjan del mismo o en relación con él, su objeto o su formación (incluidas las disputas o reclamaciones de naturaleza extracontractual), se regirán e interpretarán de conformidad con la legislación española. Las Partes se someten expresamente a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Madrid, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

13. Comunicaciones

13.1 Todas las comunicaciones y notificaciones realizadas en virtud del presente DPA deberán formularse por escrito y se remitirán personalmente, por correo postal o por correo electrónico a la dirección o dirección de correo electrónico indicada en la Orden de Pedido o a cualquier otra dirección que las Partes notifiquen en cada momento.

13.2 Para cualquier consulta relativa al Tratamiento de Datos Personales en virtud del presente DPA, el Cliente podrá dirigirse a Reversa a través de la dirección de correo electrónico tomas@reversa.ai o a cualquier otra dirección de contacto que Reversa notifique en cada momento.

Apéndice 1 — Información sobre el Tratamiento

1. Naturaleza y Finalidad del Tratamiento

El Tratamiento de los Datos Personales del Cliente se lleva a cabo con la finalidad de prestar el Servicio ofrecido por Reversa a través de la Plataforma, incluyendo, sin limitación: (a) provisión, configuración y soporte de la Plataforma de inteligencia regulatoria en modalidad SaaS, conforme a lo especificado en los Términos y la Orden de Pedido correspondiente; (b) comunicación con el Cliente y sus usuarios; (c) gestión de cuentas de usuario, facturación y procesamiento de pagos; (d) operaciones técnicas, incluidos alojamiento, almacenamiento, copias de seguridad y monitorización de sistemas; (e) registro de seguridad, control de acceso, prevención de abusos y depuración de errores; y (f) mantenimiento de registros para el cumplimiento de obligaciones legales, contables, fiscales o regulatorias. Cuando sea necesario, los Datos Personales podrán ser Tratados asimismo para el cumplimiento de obligaciones legales o para el ejercicio o la defensa de reclamaciones.

2. Duración del Tratamiento

Los Datos Personales del Cliente serán Tratados durante la vigencia del contrato entre las Partes y: (a) durante el tiempo necesario para la finalidad específica para la que fueron recogidos; (b) durante los plazos exigidos por la legislación aplicable (por ejemplo, obligaciones de conservación contable o fiscal); y (c) tras la terminación del contrato, los datos serán devueltos o suprimidos conforme a lo previsto en la cláusula 3.2 del presente DPA, salvo que la legislación aplicable exija su conservación.

3. Datos Personales objeto del Tratamiento

Reversa podrá Tratar las siguientes categorías de Datos Personales del Cliente en el marco de la prestación del Servicio:

No se Tratarán categorías especiales de Datos Personales.

4. Categorías de Interesados

El grupo de Interesados afectados por el Tratamiento de sus Datos Personales está compuesto por los usuarios de la Plataforma, los representantes, empleados y colaboradores del Cliente, y los proveedores de servicios. En caso de que el Cliente no sea el propio Interesado afectado por el Tratamiento, el Cliente garantiza que ha obtenido todos los consentimientos y autorizaciones necesarios de los Interesados y/o, en su caso, les ha informado del Tratamiento de sus Datos Personales por parte de Reversa.

Apéndice 2 — Medidas Técnicas y Organizativas (MTO)

Reversa implementa las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme a lo descrito a continuación.

1. Medidas organizativas

Las responsabilidades en materia de seguridad de la información y protección de datos están definidas y se revisan periódicamente. El acceso a los sistemas está restringido al personal autorizado en función de su rol y necesidad (principio de mínimo privilegio). El personal con acceso a Datos Personales está sujeto a obligaciones de confidencialidad. Se imparte formación interna en materia de concienciación sobre seguridad y privacidad. Existen procedimientos de gestión y respuesta ante incidentes. Los proveedores y prestadores de infraestructura son evaluados desde la perspectiva de seguridad y protección de datos. Se realizan evaluaciones de riesgos periódicas. Las medidas se revisan y actualizan para reflejar los cambios en el riesgo, la tecnología y los requisitos regulatorios. Se aplican los principios de protección de datos desde el diseño y por defecto. Existe un proceso de gestión y notificación de Violaciones de la Seguridad de los Datos Personales.

2. Medidas técnicas

Los Datos Personales en tránsito se cifran mediante protocolos seguros (por ejemplo, HTTPS/TLS). El acceso a la infraestructura está protegido mediante controles de autenticación y registro de actividad. Los sistemas están sujetos a actualizaciones periódicas, aplicación de parches y gestión de vulnerabilidades. Se implementan mecanismos de monitorización y registro para detectar y responder a incidentes de seguridad. Existen procedimientos de copia de seguridad y recuperación para garantizar la disponibilidad y resiliencia. Los cambios en los sistemas de producción siguen procesos definidos de gestión del cambio. Los entornos de producción y no producción están segregados.

3. Medidas de subencargados e infraestructura

Reversa se apoya en proveedores de infraestructura y subencargados del tratamiento establecidos que implementan medidas de seguridad apropiadas, incluidas: seguridad física de los centros de datos, protección de red e infraestructura, controles de redundancia, disponibilidad y resiliencia, y certificaciones y auditorías independientes (por ejemplo, ISO 27001, informes SOC). Reversa contrata a estos proveedores bajo condiciones contractuales y de protección de datos adecuadas y revisa periódicamente sus compromisos de seguridad.

4. Responsabilidad compartida

Cuando el Servicio se integre en entornos controlados por el Cliente, el Cliente será responsable de: la seguridad de sus sistemas, infraestructura y entorno de alojamiento; la gestión del acceso de usuarios, la autenticación y los roles; la aplicación de actualizaciones y parches; y la gestión de la retención y supresión de datos.

5. Minimización de datos

Reversa Trata únicamente los Datos Personales necesarios para la prestación del Servicio, tales como el contenido introducido en la Plataforma para su procesamiento, la información de licencia y los metadatos operativos. Reversa no utiliza el contenido del Cliente para entrenar modelos de inteligencia artificial sin la autorización expresa del Cliente conforme a lo previsto en la cláusula 5.3 de los Términos, y no conserva dicho contenido más allá de lo necesario para la prestación del Servicio.

Apéndice 3 — Subencargados del Tratamiento

De conformidad con el presente DPA, los subencargados del tratamiento actualmente autorizados y/o las transferencias de los Datos Personales del Cliente se detallan en la tabla siguiente.

*Reversa utiliza modelos de inteligencia artificial de proveedores líderes de mercado (Gemini, Anthropic, Grok & OpenAI) dentro de un sistema cerrado.