Acuerdo de Procesamiento de Datos (DPA)

• Responsable del tratamiento: El Entrenador Personal que utiliza la plataforma CatalysAI para gestionar a sus clientes. El Responsable determina los fines y los medios del tratamiento de los datos personales de sus clientes. • Encargado del tratamiento (Procesador): CatalysAI, empresa con sede en Brasil, que trata datos personales por cuenta del Responsable para la prestación del Servicio.

Este DPA rige el tratamiento de los datos personales de los clientes del Responsable por parte de CatalysAI durante la vigencia del acuerdo de servicio. La duración del tratamiento corresponde al periodo durante el cual el Responsable mantenga una cuenta activa en la plataforma CatalysAI. Tras la cancelación de la cuenta, los datos serán tratados conforme a la Sección 12 (Terminación) de este DPA.

CatalysAI trata datos personales para las siguientes finalidades: • Gestión de entrenamiento personal con inteligencia artificial • Generación de planes de entrenamiento personalizados con IA • Seguimiento del progreso de los clientes • Comunicación entre entrenador y alumnos (check-ins, notificaciones) • Generación de informes y análisis de rendimiento • Procesamiento de pagos y gestión financiera

Se tratan los siguientes tipos de datos personales: • Datos de identificación: nombre, email • Datos de salud: peso, lesiones, dolor, calidad del sueño, medidas corporales, fotos de progreso, composición corporal • Datos de entrenamiento: ejercicios realizados, cargas, series, repeticiones, historial de sesiones • Datos de check-in: sueño, energía, estado de ánimo, dolor, adherencia, feedback • Datos financieros: historial de pagos, estado de suscripción • Datos técnicos: dirección IP, registros de acceso

Los interesados son los clientes/clientes del Entrenador Personal (Responsable del tratamiento) cuyos datos están registrados en la plataforma CatalysAI.

CatalysAI, como Encargado del tratamiento, se compromete a: • Tratar los datos personales únicamente con base en las instrucciones documentadas del Responsable, salvo exigencia legal en contrario • Garantizar que todas las personas autorizadas para tratar datos personales estén comprometidas con la confidencialidad o sujetas a una obligación legal de secreto • Implementar medidas técnicas y organizativas de seguridad adecuadas (conforme la Sección 7) • No contratar subencargados sin la autorización previa del Responsable (ver lista en /subprocessors) • Asistir al Responsable en el cumplimiento de las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad) • Asistir al Responsable en el cumplimiento de las obligaciones relativas a la seguridad, notificación de violaciones, evaluaciones de impacto y consultas previas • Eliminar o devolver todos los datos personales al finalizar el contrato, conforme la Sección 12 • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este DPA

CatalysAI implementa las siguientes medidas técnicas y organizativas: • Cifrado en tránsito: TLS 1.2+ para todas las comunicaciones • Cifrado en reposo: AES-256 para datos almacenados • Hash de contraseñas: bcrypt con salt para todas las contraseñas • Row Level Security (RLS): políticas de seguridad a nivel de fila en la base de datos, garantizando que cada entrenador acceda solo a sus propios datos • Control de acceso basado en roles (RBAC) • Copias de seguridad automáticas regulares • Monitoreo de seguridad y registros de auditoría • Revisión periódica de accesos y permisos

La lista completa y actualizada de subencargados (sub-processors) está disponible en: https://catalysfit.com/subprocessors El Responsable autoriza el uso de los subencargados listados en esa página. CatalysAI notificará al Responsable con 30 días de antelación antes de añadir nuevos subencargados. El Responsable podrá oponerse dentro de 15 días.

Los datos personales pueden transferirse a Estados Unidos a través de los siguientes proveedores: • Supabase (AWS) — base de datos y autenticación • OpenRouter / MiniMax — generación de entrenamientos con IA (solo parámetros anonimizados, sin PII) • Stripe — procesamiento de pagos • Vercel — alojamiento y CDN • Resend — envío de emails transaccionales Estas transferencias están protegidas por: • Cláusulas Contractuales Tipo (CCT) de la Comisión Europea • Certificaciones de los proveedores (SOC 2, ISO 27001) • Cumplimiento del Art. 33 de la LGPD y Capítulo V del RGPD

En caso de violación de datos personales: • CatalysAI (Encargado) notificará al Responsable sin demora indebida, en un máximo de 48 horas después de tener conocimiento de la violación • La notificación incluirá: naturaleza de la violación, categorías de datos afectados, medidas adoptadas y recomendaciones • El Responsable es responsable de notificar a la autoridad de control competente: — RGPD: en un plazo de 72 horas (Art. 33) — LGPD/ANPD: en un plazo de 3 días hábiles • CatalysAI asistirá al Responsable en la investigación y mitigación de la violación

El Responsable puede solicitar evidencias de cumplimiento de este DPA, incluyendo: • Informes sobre las medidas de seguridad implementadas • Certificaciones y conformidades de los subencargados • Registros de tratamiento de datos • Evidencias de las políticas de retención y eliminación Las solicitudes de auditoría deben realizarse por escrito a support@catalysai.app, con un preaviso razonable de 30 días.

Al finalizar el acuerdo de servicio: • CatalysAI eliminará todos los datos personales del Responsable en un plazo de 30 días, salvo que la retención sea exigida por ley • Los datos financieros podrán conservarse hasta 5 años para el cumplimiento de obligaciones legales y fiscales • Las copias de seguridad se eliminarán dentro del ciclo de rotación (máximo 90 días) • El Responsable podrá solicitar la exportación de los datos antes de la eliminación • CatalysAI proporcionará confirmación por escrito de la eliminación de los datos

Este DPA se rige por: • La Ley General de Protección de Datos de Brasil (LGPD — Ley N° 13.709/2018) para Responsables con sede en Brasil • El Reglamento General de Protección de Datos de la UE (RGPD — Reglamento UE 2016/679) para Responsables con sede en la Unión Europea • Se aplicará la ley más protectora cuando exista conflicto entre jurisdicciones

Para cuestiones relacionadas con este DPA: 📧 Email: support@catalysai.app 🌐 Sitio web: catalysai.app