Última actualización: 1 de enero de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre RouterShift ("Procesador" o "nosotros") y el cliente ("Responsable" o "tú"). Este DPA rige el procesamiento de Datos Personales que nos proporcionas a través de tu uso de la pasarela de API de RouterShift y servicios relacionados (los "Servicios"). Este DPA aplica cuando y en la medida en que RouterShift procesa Datos Personales en tu nombre como Procesador, y cuando el GDPR, UK GDPR, CCPA u otras leyes de protección de datos aplicables sean de aplicación.
"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable procesada por RouterShift en tu nombre en conexión con los Servicios. "Procesamiento" significa cualquier operación realizada sobre Datos Personales, ya sea por medios automatizados o no. "Subprocesador" significa cualquier tercero contratado por RouterShift para procesar Datos Personales en tu nombre. "Leyes de Protección de Datos" significa todas las leyes de privacidad y protección de datos aplicables, incluyendo el GDPR, UK GDPR, CCPA y sus reglamentos de implementación. Los términos en mayúscula no definidos en este DPA tienen los significados otorgados en los Términos de Servicio.
RouterShift procesa Datos Personales únicamente con el propósito de proporcionar, mantener y mejorar los servicios de pasarela de API. Las actividades de procesamiento incluyen: (a) enrutar solicitudes API a proveedores de modelos de IA de terceros según tus indicaciones; (b) registrar solicitudes API para depuración, facturación y prevención de abuso; (c) generar analíticas de uso y registros de facturación; (d) autenticar claves API y gestionar cuentas de usuario. Las categorías de Datos Personales procesados dependen de tu uso de los Servicios y pueden incluir: payloads de solicitudes API (que pueden contener datos personales incrustados en los prompts), identificadores de claves API, direcciones de correo electrónico (para gestión de cuentas), direcciones IP (para limitación de velocidad y seguridad) e información de pago (procesada por nuestro procesador de pagos, no almacenada por nosotros).
Como Responsable, eres responsable de: (a) determinar los fines y medios del procesamiento de Datos Personales a través de los Servicios; (b) asegurar que tienes una base legal para procesar cualquier Dato Personal que envíes a los Servicios, incluyendo obtener los consentimientos necesarios; (c) proporcionar aviso adecuado a los titulares de datos sobre tu uso de RouterShift como procesador; (d) no enviar categorías especiales de datos personales (según definidos en el Artículo 9 del GDPR) ni datos relativos a condenas penales salvo acuerdo explícito por escrito; (e) cumplir con tus propias obligaciones bajo las Leyes de Protección de Datos aplicables, incluidas las solicitudes de derechos de los titulares de datos.
RouterShift deberá: (a) procesar Datos Personales solo según tus instrucciones documentadas, incluidas las de este DPA y los Términos de Servicio; (b) asegurar que las personas autorizadas para procesar Datos Personales estén sujetas a obligaciones de confidencialidad; (c) implementar y mantener medidas técnicas y organizativas apropiadas según descritas en la Sección 6 de nuestra Política de Privacidad (Medidas de Seguridad); (d) asistirte en la respuesta a solicitudes de derechos de los titulares de datos cuando sea posible, y reenviar directamente a ti cualquier solicitud que recibamos; (e) asistirte en el cumplimiento de tus obligaciones respecto a notificación de brechas de datos, evaluaciones de impacto de protección de datos y consulta previa con autoridades supervisoras; (f) eliminar o devolver todos los Datos Personales tras la terminación de los Servicios, salvo que la conservación sea requerida por ley aplicable; (g) ponerte a disposición toda la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías realizadas por ti o un auditor independiente.
Autorizas a RouterShift a contratar las siguientes categorías de subprocesadores: (a) proveedores de infraestructura en la nube (para hosting y computación); (b) proveedores de modelos de IA de terceros (a quienes se enrutan las solicitudes API como parte de los Servicios); (c) procesadores de pagos (para facturación y pagos); (d) proveedores de servicios de correo electrónico (para correos transaccionales); (e) proveedores de monitoreo y analíticas. Una lista actualizada de subprocesadores está disponible en routershift.com/subprocessors. RouterShift te informará de cualquier cambio previsto en los subprocesadores actualizando esta lista. Puedes objetar un nuevo subprocesador dentro de los 14 días siguientes a la notificación terminando los Servicios. RouterShift celebra acuerdos escritos con todos los subprocesadores que contienen obligaciones de protección de datos no menos protectoras que las de este DPA. RouterShift permanece responsable de los actos y omisiones de sus subprocesadores.
Los Datos Personales pueden ser transferidos y procesados en países fuera del Espacio Económico Europeo (EEE), el Reino Unido o tu país de residencia. Cuando tales transferencias ocurran, se rigen por: (a) Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea; (b) el Apéndice de Transferencia Internacional de Datos del Reino Unido a las SCC de la UE, donde aplica el UK GDPR; y/o (c) otros mecanismos de transferencia válidos reconocidos bajo las Leyes de Protección de Datos aplicables. Las SCC se incorporan por referencia a este DPA.
RouterShift conserva los Datos Personales de la siguiente manera: (a) registros de solicitudes API (incluyendo prompts y respuestas) durante 90 días, después de los cuales se agregan o eliminan; (b) registros de facturación y pago durante el período requerido por las regulaciones fiscales y contables aplicables (típicamente 7 años); (c) información de cuenta durante la vigencia de tu cuenta más 30 días después de la eliminación de la cuenta, después de lo cual se anonimiza o elimina. Tras la terminación, RouterShift eliminará todos los Datos Personales dentro de los 30 días, salvo que la conservación sea requerida por ley. Puedes solicitar la eliminación anticipada de Datos Personales específicos contactando a privacy@routershift.com.
RouterShift mantiene un plan de respuesta a incidentes de seguridad. En caso de una Brecha de Datos Personales, RouterShift deberá: (a) notificarte sin demora indebida, y en cualquier caso dentro de las 72 horas posteriores a tener conocimiento de la brecha; (b) proporcionarte una descripción de la naturaleza de la brecha, las categorías y número aproximado de titulares de datos y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas; (c) cooperar contigo en la investigación y mitigación de la brecha; (d) asistirte en la notificación a autoridades supervisoras y titulares de datos cuando sea requerido.
Este DPA entra en vigor en la fecha en que aceptas los Términos de Servicio y continúa hasta la terminación de tu cuenta o la terminación del DPA de acuerdo con sus términos. Cualquiera de las partes puede rescindir este DPA con efecto inmediato si la otra parte incumple materialmente y no remedia la infracción dentro de los 30 días siguientes a la notificación por escrito. Tras la terminación, RouterShift, a tu elección, eliminará o devolverá todos los Datos Personales y eliminará todas las copias existentes, salvo que la conservación sea requerida por la ley aplicable. Las obligaciones de este DPA que por su naturaleza deban sobrevivir a la terminación sobrevivirán, incluidas las disposiciones de confidencialidad, seguridad de datos y limitación de responsabilidad.