CONDICIONES GENERALES DE SERVICIOS Y DE USO (B2B)

GINI: Asistente de IA MyTraffic

Versión 2.0 – Fecha: 15/06/2026

1. Menciones legales

Geoblink SL, empresa MyTraffic

C/ Francisco de Rojas nº 5, Esc. DCH, Planta 1, Puerta 3, 28010 Madrid.

Correo de soporte: support@mytraffic.fr (en adelante, "MYTRAFFIC")

2. Preámbulo: MyTraffic y el Servicio

MyTraffic desarrolla soluciones de análisis y cartografía destinadas a profesionales, que permiten acceder a indicadores y análisis relacionados (en particular) con la afluencia, el entorno comercial, la dinámica de las zonas y el apoyo a la toma de decisiones en materia de implantación.

GINI es un servicio de IA conversacional integrado en el ecosistema MyTraffic: los Usuarios Autorizados envían Prompts y obtienen Outputs (respuestas, recomendaciones, síntesis, tablas).

Los Outputs son una ayuda a la toma de decisiones y no constituyen asesoramiento profesional ni una garantía de rendimiento.

3. Definiciones

A los efectos de las presentes CGSU, los términos que comienzan con mayúscula tienen el siguiente significado:

« Orden de compra / Presupuesto »: documento contractual o soporte equivalente (incluida la suscripción en línea, plan tarifario, interfaz de administración o condiciones particulares aceptadas electrónicamente) que precisa, según la oferta aplicable, el alcance del Servicio, la duración, las funcionalidades, los cupos de uso, el precio y, en su caso, las condiciones de acceso API.

« Cliente »: persona jurídica o física que actúa a título profesional y que ha suscrito el Servicio.

« Créditos »: unidad de consumo del Servicio, que constituye un Cupo en el sentido de las presentes.

« Usuario Autorizado »: persona autorizada por el Cliente a acceder al Servicio mediante una cuenta.

« Cuenta »: cuenta que permite el acceso al Servicio, creada para el Cliente y/o sus Usuarios Autorizados.

« Período de facturación »: período mensual o anual según la oferta suscrita, tal como se indica en el momento de la suscripción a través de la Interfaz del Servicio y/o la Orden de compra/Presupuesto.

« Reestructuración de Paquete »: toda modificación por parte de MyTraffic de la asignación de funcionalidades, módulos u opciones entre los planes tarifarios, niveles o paquetes disponibles, incluyendo en particular el traslado de una funcionalidad de un nivel a un nivel superior, la conversión de una funcionalidad incluida en una opción de pago, o la agrupación o desagregación de funcionalidades entre las ofertas. La Reestructuración de Paquete no comprende las modificaciones de los Cupos (volúmenes de uso), que se rigen por el artículo 5.3.2.

« Servicio »: aplicación web de MyTraffic accesible mediante navegador; acceso API únicamente si está previsto en la Orden de compra / Presupuesto.

« Interfaz del Servicio »: interfaz aplicativa (en particular panel de control, pantallas de gestión) que permite al Cliente consultar o gestionar, según la oferta, las funcionalidades, los cupos, los Usuarios Autorizados y los parámetros del Servicio.

« Organización »: entidad "Cliente" en el sentido contractual, vinculada a una Cuenta, dentro de la cual se gestionan los Usuarios Autorizados, los Asientos y los Cupos.

« Cupos »: límites de uso aplicables al Servicio según la oferta (por ejemplo número de solicitudes, volumen de procesamiento, créditos, documentos, Usuarios Autorizados, o cualquier otra métrica de uso indicada en la Orden de compra / Presupuesto, en el plan tarifario y/o en la Interfaz del Servicio).

« Prompt / Input »: instrucción, pregunta o solicitud enviada a GINI por un Usuario Autorizado.

« Asiento »: derecho de acceso nominativo que permite a una (1) persona física, Usuario Autorizado, acceder al Servicio por cuenta del Cliente.

« Output / Resultado »: contenido generado por GINI en respuesta a un Prompt y/o a partir de un Documento del Cliente (por ejemplo recomendaciones, síntesis, tablas, análisis).

« Documentos del Cliente »: archivos, documentos o datos cargados por el Cliente o un Usuario Autorizado en GINI (en particular PDF, hojas de cálculo o documentos similares), en su caso.

« Contenido del Cliente »: conjunto de Prompts, Documentos del Cliente y contenidos proporcionados por el Cliente en el marco del Servicio.

« Datos MyTraffic »: conjuntos de datos, analíticas, indicadores, metodologías, modelos, contenidos y elementos proporcionados por MyTraffic independientemente del Contenido del Cliente.

« Proveedores de IA terceros » o « LLM Providers »: prestadores terceros que intervienen en la ejecución de la totalidad o parte del Servicio, actuando como subencargados del tratamiento en el sentido del artículo 28 del RGPD. Se distinguen dos niveles: (i) los proveedores de capa de agregación o enrutamiento (en particular AWS Bedrock (Amazon Web Services), que agrega el acceso a los proveedores de modelos en sentido descendente a través de la región eu-west-1 (Irlanda)); y (ii) los proveedores de modelos de IA accesibles a través de dicha capa de agregación (por ejemplo Anthropic, OpenAI, Mistral, Google, y cualquier otro proveedor incluido en la documentación del Trust Center aplicable). La lista de subencargados activos puede evolucionar y se pone a disposición del Cliente a través del Trust Center o documentación equivalente.

« DPA »: acuerdo de tratamiento de datos personales (Data Processing Agreement) celebrado entre las Partes cuando sea aplicable (artículo 28 del RGPD).

« Ámbito Geográfico » (Country Scope): la lista y el número de países respecto de los cuales el Cliente está autorizado a utilizar el Servicio, tal como se especifica en la Orden de compra / Presupuesto o, para las ofertas de autoservicio, tal como haya sido seleccionado por el Cliente en el momento de la suscripción a través de la Interfaz del Servicio. El Ámbito Geográfico constituye un parámetro contractual de la oferta suscrita. MyTraffic no restringe técnicamente el acceso a países que excedan el Ámbito Geográfico contratado a nivel de la plataforma; el cumplimiento del Ámbito Geográfico contratado es responsabilidad exclusiva del Cliente y podrá ser verificado por MyTraffic en la renovación.

« AUP »: Política de Uso Aceptable incluida en el Anexo 2.

« Trust Center Summary »: resumen informativo de las medidas de seguridad, privacidad y organización incluido en el Anexo 5, proporcionado con fines de transparencia.

4. Documentos contractuales – Orden de prioridad

Los documentos contractuales aplicables al Servicio son, por orden de prioridad decreciente:

  1. la Orden de compra / Presupuesto y, en su caso, las condiciones particulares aceptadas por las Partes;
  2. el DPA y cualquier anexo relativo al tratamiento de datos personales, cuando sean aplicables;
  3. las Condiciones de Evaluación / Trial, en su caso;
  4. las presentes CGU y sus anexos (incluidos la AUP (Anexo 2), el Anexo de Incidente de Seguridad (Anexo 3), el Anexo de Seguridad de IA (Anexo 4) y el Resumen del Centro de Confianza / Trust Center Summary (Anexo 5));
  5. el plan tarifario, la Interfaz del Servicio y cualquier documentación o información de referencia puesta a disposición por MyTraffic.

5. Objeto: alcance del Servicio

  1. Las presentes CGU tienen por objeto definir las condiciones de acceso y de uso de GINI, así como los derechos y obligaciones de las Partes, incluida la gestión de datos, la seguridad, el cumplimiento y la responsabilidad.
  2. El alcance funcional, los módulos activados, los cupos, el número de Usuarios Autorizados y, en su caso, el acceso API se definen en la Orden de compra cuando corresponda; en caso contrario, en el plan/interfaz. Las funcionalidades, módulos y opciones accesibles por el Cliente en todo momento son las incluidas en la oferta suscrita tal como se define en el plan tarifario entonces vigente, en la Interfaz del Servicio y/o en la Orden de compra/Presupuesto. El Cliente reconoce que el alcance funcional de cada plan tarifario puede evolucionar con el tiempo, en particular en el marco de una Reestructuración de Paquete tal como se define en el artículo 3, en las condiciones previstas en el artículo 5.6. Salvo acuerdo expreso y por escrito de MyTraffic, ninguna funcionalidad no incluida en la oferta suscrita (en particular las funcionalidades «Enterprise») podrá ponerse a disposición del Cliente, incluso de forma gratuita o promocional. El Cliente reconoce que el funcionamiento del Servicio implica la transmisión de Prompts, del historial de conversación y, en su caso, de los Documentos del Cliente a Proveedores de IA terceros que actúan como subencargados del tratamiento, incluso a través de una capa de agregación de modelos de IA. Dichas transmisiones pueden implicar a proveedores situados fuera del Espacio Económico Europeo, en cuyo caso se aplican mecanismos de transferencia adecuados (incluidas las cláusulas contractuales tipo). MyTraffic implementa medidas técnicas destinadas a minimizar los datos personales expuestos en dichas transmisiones, en particular mediante configuraciones de Zero Data Retention (ZDR) cuando estén disponibles y sean aplicables.
  3. Ofertas en línea, prueba y uso variable (Trial / Freemium / Usage-based). Cuando el Cliente suscribe el Servicio mediante una oferta en línea, una prueba, una oferta gratuita ("freemium") o una oferta basada en el uso, las funcionalidades disponibles, los Cupos, los límites técnicos y las posibles restricciones (incluidas limitaciones de tasa, volúmenes, número de documentos y/o priorización) serán los (i) del plan tarifario suscrito y/o (ii) los indicados en la Interfaz del Servicio en el momento del uso.
    1. En caso de superación de los Cupos o de uso anormal (en particular, en caso de volúmenes anormales de datos tratados o de tokens LLM generados), MyTraffic podrá aplicar limitaciones, suspender temporalmente determinadas funcionalidades o invitar al Cliente a actualizar su oferta.
    2. Los Cupos y las métricas de uso podrán ajustarse de manera razonable con el fin de:
        1. prevenir abusos,
        2. proteger la seguridad, el rendimiento o la integridad del Servicio,
        3. tener en cuenta evoluciones técnicas o normativas, o
        4. repercutir evoluciones sustanciales de los costes vinculados a proveedores terceros indispensables para el funcionamiento del Servicio, en particular los proveedores de modelos de inteligencia artificial.
    3. Estos ajustes de los Cupos (tal como se definen en las presentes, es decir, los volúmenes de uso, los límites de tasa y los umbrales de procesamiento) no deberán tener como efecto reducir sustancialmente los volúmenes de uso del Cliente en virtud de una Orden de compra en curso, salvo acuerdo de las Partes o la implementación por parte de MyTraffic de medidas alternativas razonables (como un ajuste tarifario, un cambio de modelo o una modificación del alcance de uso). A efectos aclaratorios, la asignación de funcionalidades y módulos entre los planes tarifarios se rige exclusivamente por el artículo 5.6 (Reestructuración de Paquete) y no está sujeta a las limitaciones previstas en el presente artículo 5.3.2.

5.3 Créditos

Volúmenes Para los planes con uso limitado, el Servicio incluye un número fijo de Créditos por Período de facturación, tal como se especifica en el plan tarifario aplicable y/o en la Interfaz del Servicio. Se consume un (1) Crédito por cada conversación o flujo de trabajo iniciado. Pueden consumirse Créditos adicionales cuando el volumen de datos tratados dentro de una misma conversación supera el umbral definido en la Interfaz del Servicio. Los Créditos no consumidos al término de un Período de facturación no se trasladan al período siguiente y se reinician en la renovación.

Los planes ilimitados no funcionan con un modelo de consumo basado en Créditos.

Ofertas mensuales Algunas ofertas mensuales pueden estar limitadas a un número de Asientos y a Cupos específicos, tal como se muestran en la Interfaz del Servicio en el momento de la suscripción. Estas ofertas pueden no permitir la compra de Asientos adicionales u opciones, salvo actualización a una oferta elegible.

Principio de consumo: Algunas ofertas mensuales pueden no permitir la compra de Créditos adicionales de forma aislada; en ese caso, cualquier necesidad de uso adicional requerirá la actualización a una oferta elegible, según las condiciones disponibles en la Interfaz del Servicio y/o a través de los equipos comerciales de MyTraffic.

Uso razonable Con el fin de prevenir abusos y proteger el rendimiento del Servicio, se aplica un límite de uso razonable a nivel de la Organización, que incluye, en particular:

  1. un límite medio de dos millones (2 000 000) de tokens LLM generados por conversación, y
  2. un umbral global de conversaciones y/o flujos de trabajo iniciados durante un período determinado.

Más allá de estas salvaguardas, MyTraffic se reserva el derecho de limitar temporalmente el Servicio, bloquear temporalmente la Cuenta, suspender el acceso o invitar al Cliente a actualizar su oferta, de conformidad con las presentes.

Imposibilidad de compra aislada de Créditos: Salvo estipulación contraria en la Orden de compra/Presupuesto, el Cliente no podrá comprar Créditos (o un cupo de conversaciones/flujos de trabajo) de manera aislada. Toda necesidad de uso adicional implicará una actualización de la oferta (cambio de paquete y/o adición de Asientos) según las modalidades disponibles en la Interfaz del Servicio y/o a través de los equipos comerciales.

Ámbito Geográfico: ofertas de autoservicio. Para las ofertas de autoservicio, el Cliente selecciona en el momento de la suscripción el país o países respecto de los cuales tiene previsto utilizar el Servicio («Ámbito Geográfico» / Country Scope), tal como se muestra en la Interfaz del Servicio. El Ámbito Geográfico constituye un parámetro contractual de la oferta suscrita. MyTraffic no restringe técnicamente el acceso a países que excedan el Ámbito Geográfico contratado a nivel de la plataforma; el cumplimiento del Ámbito Geográfico contratado es responsabilidad exclusiva del Cliente y podrá ser verificado por MyTraffic en la renovación.

Paquetes Geográficos (Geo Packages). MyTraffic podrá ofrecer paquetes de precios regionales pre-configurados («Paquetes Geográficos») correspondientes a un conjunto predefinido de países, tal como se comunique en el momento de la oferta o se recoja en la Orden de compra / Presupuesto. Los Paquetes Geográficos constituyen modalidades tarifarias contractuales vinculadas al Ámbito Geográfico contratado. Cualquier ampliación del Ámbito Geográfico más allá del Paquete Geográfico contratado requerirá una nueva Orden de compra o una enmienda escrita, y estará sujeta a los precios entonces vigentes aplicables al ámbito ampliado.

5.4 Contenido del Cliente que puede incluir información sensible para la empresa

El Cliente reconoce y acepta que, según sus usos, el Contenido del Cliente proporcionado al Servicio (Inputs, documentos cargados, textos, tablas) puede contener:

  1. información confidencial y/o secretos comerciales del Cliente o de terceros, y/o
  2. datos personales.

El Cliente sigue siendo responsable de la elección de la información que transmite a través del Servicio, de conformidad con las presentes CGU, con la AUP (Anexo 2) y, cuando corresponda, con el DPA.

5.5 Carga de archivos

El Servicio permite al Cliente y a sus Usuarios Autorizados cargar archivos y documentos (en particular en formato PDF, hojas de cálculo o documentos similares) para permitir su análisis, síntesis o tratamiento por GINI en el marco de las funcionalidades del Servicio.

  1. Conservación de datos en el marco del Servicio. Se aplican los siguientes plazos de conservación a los datos tratados en el marco del Servicio:
    1. Prompts e historial de conversación: conservados durante la sesión activa y por un período no superior a doce (12) meses a partir de la fecha de interacción, sujeto a la implementación de una purga automática actualmente en desarrollo.
    2. Documentos del Cliente (archivos cargados): conservados únicamente durante la sesión de tratamiento; se implementa la supresión inmediata tras el tratamiento cuando sea técnicamente posible;
    3. Metadatos técnicos (marcas temporales, identificadores de modelo, recuento de tokens): conservados por un período no superior a noventa (90) días con fines de seguridad y trazabilidad;
    4. Datos transmitidos a Proveedores de IA terceros: MyTraffic implementa garantías contractuales con cada proveedor que recibe Contenido del Cliente, en particular Acuerdos de Tratamiento de Datos (DPA) que incorporan cláusulas contractuales tipo (CCT 2021 Módulo 2) de conformidad con el artículo 28 del RGPD. La configuración Zero Data Retention (ZDR) se implementa cuando está disponible y resulta aplicable, como medida técnica complementaria.

MyTraffic no garantiza que la configuración ZDR esté activada para todos los proveedores en todo momento; las garantías contractuales constituyen el mecanismo de cumplimiento principal.

El Cliente podrá solicitar la supresión anticipada de sus datos dirigiéndose a MyTraffic en la dirección support@mytraffic.fr, sin perjuicio de las obligaciones legales de conservación aplicables.

5.6 Reestructuración de Paquete

  1. Derecho de reestructuración. MyTraffic se reserva el derecho de modificar, en cualquier momento, la asignación de funcionalidades, módulos y opciones entre sus planes tarifarios, niveles y paquetes («Reestructuración de Paquete»), en particular mediante: (i) el traslado de una funcionalidad de un plan tarifario a un plan de nivel superior; (ii) la conversión de una funcionalidad incluida en una opción o módulo complementario facturado por separado; (iii) la agrupación o desagregación de funcionalidades entre las ofertas; o (iv) la creación de nuevos niveles o categorías de funcionalidades; o (v) la modificación de los países disponibles en un nivel o plan tarifario determinado, incluyendo la adición o la supresión de países de un Paquete Geográfico (Geo Package).
  2. Aplicación a los Clientes existentes. La Reestructuración de Paquete se aplicará de la siguiente manera: (a) para las suscripciones regidas por una Orden de compra con un período de compromiso fijo: al término del período de compromiso en curso, en la renovación; (b) para las suscripciones mensuales o sin Orden de compra: a partir del siguiente Período de facturación tras la expiración del preaviso previsto en el artículo 5.7; (c) para las nuevas suscripciones: de manera inmediata.
  3. Impacto en el acceso. En el caso de que una funcionalidad previamente incluida en la oferta suscrita por el Cliente sea trasladada a un plan de nivel superior o convertida en una opción de pago como resultado de una Reestructuración de Paquete, el acceso del Cliente a dicha funcionalidad se mantendrá hasta el final del Período de facturación o del período de compromiso aplicable. A partir de entonces, el mantenimiento del acceso a la funcionalidad afectada requerirá que el Cliente actualice a la oferta aplicable o suscriba la opción correspondiente al precio entonces vigente.
  4. Ausencia de derecho adquirido. El Cliente reconoce que la inclusión de una funcionalidad en un plan tarifario determinado en el momento de la suscripción no crea un derecho adquirido al mantenimiento perpetuo de dicha funcionalidad en dicho plan. La asignación de funcionalidades entre los planes es determinada por MyTraffic a su discreción razonable, sujeta a los mecanismos de notificación y transición previstos en las presentes.
  5. Buena fe. MyTraffic se compromete a ejercer su derecho de Reestructuración de Paquete de buena fe y no recurrirá a la Reestructuración de Paquete con el único o principal objetivo de eludir sus obligaciones en virtud de una Orden de compra en curso.

5.7 Reestructuración de Paquete — Notificación y aceptación

  1. Notificación. En caso de Reestructuración de Paquete, MyTraffic notificará al Cliente con un mínimo de treinta (30) días de antelación a la fecha de entrada en vigor del cambio. La notificación se realizará a través de la Interfaz del Servicio y/o por correo electrónico dirigido al contacto contractual designado por el Cliente.
  2. Contenido de la notificación. La notificación incluirá: (i) una descripción de las funcionalidades afectadas por la Reestructuración de Paquete; (ii) la fecha de entrada en vigor del cambio; (iii) la actualización u opción requerida para mantener el acceso a las funcionalidades afectadas; y (iv) el precio aplicable a dicha actualización u opción.
  3. Aceptación tácita. A falta de oposición escrita del Cliente en un plazo de quince (15) días naturales desde la notificación, la Reestructuración de Paquete se considerará aceptada por el Cliente. La continuación del uso del Servicio por parte del Cliente tras la fecha de entrada en vigor de la Reestructuración de Paquete constituirá la aceptación de la nueva asignación de funcionalidades.
  4. Oposición y derecho de rescisión. Si el Cliente se opone por escrito en el plazo de quince (15) días y no se alcanza ningún acuerdo entre las Partes en un plazo adicional de quince (15) días naturales, el Cliente podrá rescindir la suscripción afectada al término del Período de facturación o del período de compromiso en curso, sin penalización y sin gastos de rescisión anticipada. Este derecho de rescisión constituye el único recurso exclusivo del Cliente en relación con la Reestructuración de Paquete.

6. Acceso al Servicio: cuentas y credenciales

6.1 El Servicio es accesible mediante un identificador y una contraseña personales (o cualquier otro mecanismo propuesto). El Cliente es responsable de la gestión de las autorizaciones y de la confidencialidad de las credenciales.

Cualquier uso no autorizado deberá ser notificado a MyTraffic sin demora.

Los límites de uso, cupos y funcionalidades aplicables al Servicio pueden definirse o precisarse en la Orden de compra, el plan tarifario suscrito y/o la Interfaz del Servicio. En caso de superación, MyTraffic podrá aplicar limitaciones, suspensiones temporales o proponer una actualización de la oferta.

6.2 Asientos (Usuarios Autorizados)

El número de Asientos incluidos en la oferta corresponde al número máximo de Usuarios Autorizados que pueden acceder simultáneamente o de forma activa al Servicio dentro de la Organización.

El número de Asientos aplicable, los precios, las modalidades de facturación, los Cupos y los límites de uso aplicables (en particular Asientos y Créditos) son los indicados en el plan tarifario, la Interfaz del Servicio y/o la Orden de compra/Presupuesto.

Está prohibido compartir credenciales entre varias personas. En caso de superar el número de Asientos, MyTraffic podrá limitar el acceso, suspender determinadas funcionalidades y/o invitar al Cliente a actualizar su oferta.

6.3 Condiciones financieras

El acceso al Servicio está sujeto al pago del plan o de la oferta seleccionada por el Cliente.

Los precios, las modalidades de facturación, los Cupos y los límites de uso aplicables son los indicados, según la oferta, en la Orden de compra / Presupuesto, el plan tarifario y/o la Interfaz del Servicio en el momento de la suscripción o del uso.

Salvo indicación contraria, los precios se expresan sin impuestos, los cuales se facturan adicionalmente conforme a la normativa aplicable.

El acceso al Servicio está condicionado al pago de las sumas adeudadas. En caso de impago, MyTraffic se reserva el derecho de limitar o suspender el acceso al Servicio hasta su regularización.

Cualquier evolución de los precios o de los Cupos no afectará a las condiciones aplicables durante la vigencia de una Orden de compra en curso. Para las ofertas sin Orden de compra, las evoluciones se aplicarán en el futuro y se comunicarán al Cliente a través de la Interfaz del Servicio o por cualquier otro medio apropiado.

Promociones y descuentos. Pueden ofrecerse promociones, descuentos o ventajas tarifarias por un período limitado y bajo condiciones de elegibilidad comunicadas en el momento de la oferta (evento, early adopters, fin de período comercial, etc.). Salvo mención expresa en contrario, las promociones no son acumulables y se aplican únicamente durante el período indicado; una vez finalizado, se aplicará la tarifa estándar vigente.

Evoluciones del plan tarifario. Las modificaciones del plan tarifario (incluidas las evoluciones de precios, asignaciones de Cupos y mapeo de funcionalidades/planes resultantes de una Reestructuración de Paquete) se aplican a las nuevas suscripciones, a las renovaciones que requieran una nueva suscripción y a las actualizaciones realizadas después de la fecha de cambio. Las suscripciones en curso siguen rigiéndose por las condiciones tarifarias aplicables en el momento de la suscripción durante la vigencia del Período de facturación o del período de compromiso en curso. No obstante, el alcance funcional de cada plan tarifario (es decir, las funcionalidades incluidas en cada plan) podrá evolucionar de conformidad con el artículo 5.6, y el Cliente reconoce que no se aplicará ningún bloqueo de funcionalidades ni derecho perpetuo a una funcionalidad más allá del Período de facturación o del período de compromiso en curso, salvo acuerdo expreso y por escrito en la Orden de compra aplicable.

7. Condiciones de uso: AUP (resumen)

El Cliente se compromete a respetar el Anexo 2 (AUP). En particular, están prohibidos:

  • usos ilegales, fraude, discriminación;
  • extracción masiva de datos / scraping / automatización abusiva;
  • ingeniería inversa, elusión de cupos o de medidas de seguridad;
  • intentos de prompt-injection / jailbreak / exfiltración;
  • carga de contenidos ilícitos o que vulneren los derechos de terceros;
  • recopilación/tratamiento no autorizado de datos sensibles y carga de información confidencial de terceros (incluidos secretos comerciales) sin autorización o en violación de un compromiso de confidencialidad;
  • enviar Prompts o cargar Documentos del Cliente que contengan categorías especiales de datos personales en el sentido del artículo 9 del RGPD (incluidos datos de salud, opiniones políticas, creencias religiosas, orientación sexual o datos biométricos), salvo que el Cliente haya obtenido el consentimiento expreso de los interesados y haya notificado previamente a MyTraffic por escrito.

MyTraffic podrá suspender o limitar el acceso en caso de abuso, riesgo de seguridad o incumplimiento de las CGSU/AUP.

8. Cláusulas específicas de IA (enfoque "professional-grade")

8.1 Transparencia

El Cliente reconoce que GINI integra funcionalidades de IA y que los Usuarios interactúan, total o parcialmente, con un sistema automatizado.

8.1.1 Obligación de información y visualización

MyTraffic implementará medios razonables para que el Servicio muestre, como máximo en la primera interacción de un Usuario Autorizado con GINI y de forma fácilmente accesible durante el uso, una mención indicando que el Usuario está interactuando con un sistema de inteligencia artificial.

Por su parte, el Cliente se compromete a informar a sus Usuarios Autorizados (en particular mediante sus políticas internas y/o condiciones de uso aplicables) de que interactúan con un sistema de IA y de que los Outputs presentan las limitaciones descritas en las presentes.

8.2 Naturaleza probabilística: ausencia de garantía

Los Outputs son probabilísticos y pueden contener errores, omisiones, aproximaciones o sesgos. MyTraffic no garantiza la exactitud, la integridad ni la adecuación de los Outputs para un uso determinado.

8.3 Ayuda a la decisión: no constituye asesoramiento

Los Outputs se proporcionan a título informativo y constituyen una ayuda a la toma de decisiones. No constituyen asesoramiento profesional (jurídico, financiero, inmobiliario, etc.).

8.3.1 No engaño y contextualización de los Outputs

El Cliente se prohíbe:

  1. presentar los Outputs como una opinión humana, certificada, verificada o como un asesoramiento profesional personalizado;
  2. suprimir u ocultar de manera sustancial las advertencias relativas a las limitaciones de los Outputs cuando estos se comuniquen a terceros; y
  3. utilizar los Outputs como único fundamento de decisiones susceptibles de tener impactos significativos sin revisión humana conforme al artículo 8.4.

8.4 Revisión humana

El Cliente sigue siendo el único responsable del uso de los Outputs y se compromete a establecer una revisión humana razonable antes de cualquier decisión o implementación.

8.5 Usos sensibles

El Cliente se prohíbe utilizar GINI para automatizar decisiones que produzcan efectos jurídicos significativos sobre personas, sin supervisión humana adecuada y sin un marco jurídico apropiado. En particular, el Cliente se abstendrá de incluir, en cualquier Prompt o Documento del Cliente, datos personales de terceros que no sean estrictamente necesarios para el caso de uso previsto, y adoptará todas las medidas razonables para anonimizar o seudonimizar dichos datos antes de su transmisión al Servicio.

8.5.1 Cambio de caso de uso / recalificación normativa

El Cliente se compromete a notificar a MyTraffic sin demora si prevé utilizar el Servicio en un contexto que pueda conllevar obligaciones regulatorias reforzadas (en particular en virtud de la normativa europea sobre inteligencia artificial) o implicar decisiones de alto impacto relativas a personas físicas.

En tal caso, MyTraffic podrá, a su razonable discreción:

  1. rechazar el caso de uso;
  2. suspender el acceso al Servicio para el perímetro afectado; y/o
  3. proponer condiciones contractuales y medidas de cumplimiento adicionales antes de cualquier continuación del uso.

Advertencia al usuario. El Cliente reconoce que el Servicio no está destinado al almacenamiento permanente de documentos y que le corresponde evitar cargar información innecesariamente sensible o confidencial, de conformidad con el principio de minimización.

9. Datos, propiedad intelectual, licencias

9.1 Propiedad de MyTraffic

MyTraffic conserva la totalidad de los derechos de propiedad intelectual y/o de explotación sobre GINI, la documentación y los Datos MyTraffic. No se realiza ninguna transferencia de propiedad.

9.2 Licencia de uso de los Datos MyTraffic

Sujeto al pago de las sumas adeudadas y al cumplimiento de las presentes CGSU, MyTraffic concede al Cliente una licencia de acceso y uso de los Datos MyTraffic:

  • estrictamente limitada, no exclusiva, no cedible, no transferible, no sublicenciable;
  • reservada para un uso interno del Cliente;
  • limitada al alcance (módulos, zonas, cupos, usuarios) definido en la Orden de compra;
  • únicamente por la duración del contrato.

Salvo acuerdo previo y por escrito de MyTraffic, queda prohibido revender, publicar, distribuir, poner a disposición, dar acceso o explotar los Datos MyTraffic en beneficio de cualquier tercero (incluidas filiales, grupo, franquiciados, socios, proveedores o consultores).

9.3 Prohibición de reutilización / herramientas de terceros / entrenamiento / derivados

Salvo acuerdo previo y por escrito de MyTraffic, el Cliente se prohíbe:

  • integrar, sincronizar o importar los Datos MyTraffic en herramientas o plataformas de terceros (data warehouse/lake, BI, motores de indexación, plataformas de analítica, herramientas de IA), cuando dicha integración permita una reutilización autónoma de los Datos MyTraffic fuera del Servicio;
  • entrenar, reentrenar, ajustar (fine-tune), evaluar o mejorar cualquier modelo o algoritmo (incluida IA/ML generativa o no) a partir de los Datos MyTraffic;
  • crear, derivar, comercializar o poner a disposición indicadores, puntuaciones, bases de datos, productos o servicios derivados sustanciales de los Datos MyTraffic, en particular mediante hibridación con datos de terceros;
  • reconstruir la base, eludir los cupos o realizar cualquier extracción sistemática (scraping/crawling/automatización abusiva).

Las obligaciones de los artículos 9.2 y 9.3 subsisten tras la finalización del contrato.

9.4 Contenido del Cliente

El Cliente sigue siendo titular de los derechos sobre su Contenido del Cliente. Autoriza a MyTraffic a alojar, tratar, reproducir y analizar el Contenido del Cliente estrictamente para prestar el Servicio, garantizar la seguridad/prevención de abusos, cumplir con las obligaciones legales y mantener el Servicio.

9.5 Outputs

Sujeto a los derechos de MyTraffic y a los derechos de terceros, el Cliente puede utilizar los Outputs para sus necesidades internas. El Cliente reconoce que pueden generarse Outputs similares para otros usuarios, sin que ello constituya una violación de confidencialidad.

9.6 Contenido del Cliente y archivos cargados

El Cliente sigue siendo el único responsable del Contenido del Cliente proporcionado al Servicio, incluidos los archivos, documentos y datos cargados o introducidos a través de GINI.

El Cliente garantiza disponer de todos los derechos, autorizaciones y bases legales necesarias para proporcionar dicho Contenido del Cliente, incluso cuando este contenga información confidencial, secretos comerciales o datos personales.

El Cliente se compromete a cargar únicamente la información estrictamente necesaria para la finalidad perseguida (principio de minimización) y a no utilizar el Servicio para tratar categorías especiales de datos personales en el sentido del RGPD (en particular datos de salud, biométricos, genéticos, opiniones políticas, convicciones religiosas), salvo acuerdo previo y por escrito de MyTraffic y un marco contractual adecuado, que incluya un DPA y medidas de seguridad reforzadas.

MyTraffic trata el Contenido del Cliente exclusivamente para las necesidades de prestación del Servicio, de conformidad con las presentes CGU, con la AUP (Anexo 2) y, en su caso, con el DPA.

10. Proveedores de IA terceros (LLM Providers)

GINI puede recurrir a Proveedores de IA terceros para ejecutar el Servicio. El Contenido del Cliente podrá ser tratado por dichos prestadores en la medida necesaria para el Servicio, de conformidad con los compromisos de confidencialidad y seguridad aplicables.

La lista indicativa de subencargados del tratamiento (LLM/Cloud) figura en el Anexo 1. MyTraffic podrá modificarla; en caso de cambio material, MyTraffic notificará al Cliente según las modalidades previstas en la Orden de compra o, en su defecto, por cualquier medio escrito razonable.

11. Trust & Security (resumen tipo "Trust Center" — factual MyTraffic)

11.1 Posicionamiento

MyTraffic no reivindica, en virtud de las presentes CGSU, ninguna certificación particular (por ejemplo SOC 2, ISO 27001), salvo indicación expresa en un documento contractual distinto. No obstante, MyTraffic implementa medidas de seguridad técnicas y organizativas proporcionales a los riesgos, tal como se describe a continuación.

11.2 Medidas de seguridad (ejemplos de controles)

  • Cifrado de datos en reposo (según los perímetros técnicos aplicables).
  • Controles de acceso y autorizaciones basados en la necesidad de conocer (least privilege/RBAC).
  • Autenticación reforzada (MFA/2FA) para accesos sensibles.
  • Registro de accesos y revisiones periódicas de autorizaciones.
  • Políticas de retención y purga (lifecycle), y "legal hold" cuando corresponda.
  • Medidas antiabuso: rate limiting, detección de anomalías, controles de seguridad aplicativa.

11.3 Trazabilidad de IA (logs)

Con fines de seguridad, soporte, prevención de abusos e investigación de incidentes, MyTraffic puede conservar logs asociados a las interacciones con GINI (prompt, output, marca temporal, identificador de Cliente/cuenta, direcciones IP, identificadores de usuario, versión del modelo, métricas técnicas).

Plazos de conservación. Salvo estipulación contraria en la Orden de compra o exigencia legal, MyTraffic aplica por defecto un plazo de conservación de los logs de trazabilidad relativos al Servicio de noventa (90) días a partir de su recopilación.

Para determinadas ofertas u opciones (en particular "enterprise"), podrá acordarse en la Orden de compra un plazo de conservación ampliado de hasta 1 (un) año.

Los logs podrán ser objeto de un "legal hold" cuando lo requiera la ley o una solicitud de una autoridad competente. Al finalizar los plazos aplicables, los logs se purgan o anonimizan según la política de retención de MyTraffic y, en su caso, el DPA.

11.4 Salvaguardas de IA

MyTraffic implementa salvaguardas razonables: prevención básica de prompt-injection, filtros de salida, controles destinados a reducir los riesgos de exposición involuntaria de datos personales y mecanismos de limitación de volumetría.

11.5 Gestión de incidentes

MyTraffic mantiene procedimientos de gestión de incidentes. En caso de incidente de seguridad que afecte al Servicio, MyTraffic informará al Cliente en un plazo razonable y cooperará de buena fe para limitar los impactos.

En caso de datos personales tratados por cuenta del Cliente (subcontratación), las obligaciones de notificación y asistencia se detallan en el DPA.

12. RGPD / datos personales

El Cliente garantiza disponer de los derechos, autorizaciones y bases legales necesarias para cargar y tratar el Contenido del Cliente a través de GINI.

12.1 Subencargado del tratamiento

Cuando MyTraffic actúe como encargado del tratamiento en el sentido del RGPD, las Partes celebrarán un DPA que precise las instrucciones, medidas, subencargados, transferencias, plazos de conservación y mecanismos de eliminación.

12.2 DPA requerido en caso de tratamiento por cuenta del Cliente

Cuando el Cliente utilice el Servicio para tratar datos personales mediante el Contenido del Cliente, MyTraffic actúa como encargado del tratamiento en el sentido del RGPD y las Partes acuerdan implementar un DPA (artículo 28 RGPD) que describa, en particular, el objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de datos y las categorías de interesados, las medidas de seguridad, la lista de subencargados ulteriores y, en su caso, los mecanismos de transferencia.

En ausencia de un DPA cuando sea requerido, MyTraffic podrá suspender el tratamiento del Contenido del Cliente que contenga datos personales hasta su regularización.

12.3 Tratamiento de datos personales mediante archivos cargados

Cuando el Cliente utilice el Servicio para cargar, analizar o tratar archivos o documentos que contengan datos personales, MyTraffic actúa como encargado del tratamiento en el sentido del RGPD. En este caso, las Partes acuerdan celebrar un acuerdo de tratamiento de datos (DPA) conforme al artículo 28 del RGPD, antes o simultáneamente a dicho tratamiento.

En ausencia de un DPA cuando sea requerido, MyTraffic se reserva el derecho de suspender el tratamiento del Contenido del Cliente afectado hasta su regularización.

13. Soporte, mantenimiento, disponibilidad

Soporte: support@mytraffic.fr, según las modalidades de la Orden de compra. MyTraffic podrá interrumpir temporalmente el Servicio por mantenimiento planificado o urgente.

SLA: únicamente si está previsto en la Orden de compra (o en un anexo SLA). En caso contrario, no existe ningún compromiso específico de disponibilidad.

14. Responsabilidad y limitaciones

MyTraffic está sujeta a una obligación de medios. Sujeto a las disposiciones de orden público, MyTraffic no podrá ser considerada responsable de daños indirectos.

Límite: el importe total efectivamente pagado por el Cliente por el Servicio durante los doce (12) últimos meses anteriores al hecho generador, salvo falta grave/dolo/daños corporales.

Cláusula IA: el Cliente sigue siendo responsable de verificar los Outputs y las decisiones tomadas sobre su base.

15. Suspensión y rescisión

MyTraffic podrá suspender el acceso en caso de abuso, riesgo de seguridad o incumplimiento de las CGSU/AUP.

Rescisión por incumplimiento grave no subsanado dentro de un plazo razonable tras la notificación, según las modalidades previstas en la Orden de compra o, en su defecto, en un plazo de 30 días.

16. Fin del contrato: Cese de uso, devolución/supresión, verificación

16.1 Duración y renovación

El presente Contrato se celebra por la duración inicial estipulada en la Orden de compra aplicable (la "Duración Inicial"). A la expiración de la Duración Inicial, el Contrato se renueva automáticamente por tácita reconducción por períodos sucesivos de igual duración (cada uno un "Período de Renovación"), salvo denuncia por escrito de cualquiera de las Partes con al menos treinta (30) días naturales de antelación al vencimiento del período en curso para las ofertas mensuales, y con al menos dos (2) meses de antelación para las ofertas anuales o sujetas a una Orden de compra. El Cliente será informado con antelación de cada vencimiento de renovación a fin de garantizar una transparencia total sobre la continuación del Contrato.

16.2 Cese de uso

A la expiración o rescisión del Contrato, el Cliente:

  1. cesará todo acceso y todo uso del Servicio, y
  2. cesará todo uso de los Datos MyTraffic, salvo disposición contraria prevista en el Contrato (en particular, derechos adquiridos sobre entregables expresamente identificados).

16.3 Supresión de los Datos MyTraffic

En un plazo de 30 días a partir del fin del Contrato, el Cliente eliminará o hará inservibles las copias de los Datos MyTraffic en su posesión o bajo su control, incluidas las extracciones y exportaciones en la medida en que permitan reconstruir sustancialmente los Datos MyTraffic o utilizarlos de forma independiente del Servicio.

El presente artículo no impone la eliminación de documentos internos del Cliente (informes, presentaciones, decisiones) que contengan únicamente resultados agregados u outputs que no permitan reconstruir sustancialmente los Datos MyTraffic.

16.4 Certificación

A solicitud escrita de MyTraffic, el Cliente proporcionará una certificación de eliminación firmada por un representante autorizado, en un plazo no superior a quince (15) días naturales.

16.5 Verificación específica

En caso de sospecha razonable de incumplimiento de las obligaciones del presente artículo (en particular uso no autorizado o conservación de extracciones sustanciales de los Datos MyTraffic), MyTraffic podrá solicitar una verificación específica. Dicha verificación adoptará la forma (a elección razonable de MyTraffic) de:

  1. un cuestionario de conformidad y/o
  2. elementos de prueba limitados, estrictamente necesarios y no intrusivos.

Una auditoría in situ o realizada por un tercero independiente solo podrá exigirse como último recurso, con un preaviso razonable, durante el horario laboral y sujeto a obligaciones de confidencialidad.

16.6 Costes

La verificación/auditoría correrá a cargo de MyTraffic, salvo que revele un incumplimiento material del Cliente; en tal caso, los costes razonables de la verificación/auditoría podrán repercutirse al Cliente.

16.7 Datos personales (recordatorio)

La supresión o devolución de los datos personales del Contenido del Cliente, en su caso, se rige por el DPA.

17. Derecho aplicable, jurisdicción

Derecho francés. Tribunales competentes: París (salvo estipulación contraria en la Orden de compra).

18. Confidencialidad

Definición: « Información Confidencial » = toda información comunicada por una Parte a la otra, cualquiera que sea su naturaleza, identificada como confidencial o que, por su naturaleza, deba razonablemente considerarse confidencial (incluidos los Datos MyTraffic, el Contenido del Cliente, especificaciones, datos técnicos, precios, roadmaps, códigos, outputs).

Exclusiones: No se consideran confidenciales las informaciones que:

  1. sean o lleguen a ser públicas por un medio distinto de una violación del presente contrato;
  2. fueran legítimamente conocidas por la Parte receptora antes de su divulgación;
  3. hayan sido recibidas legítimamente de un tercero sin obligación de confidencialidad; o
  4. hayan sido desarrolladas de forma independiente.

Obligaciones: La Parte receptora se compromete a:

  1. no divulgar la Información Confidencial salvo a empleados, asesores, Afiliados o subcontratistas estrictamente necesarios y sujetos a una obligación de confidencialidad equivalente;
  2. utilizar la Información Confidencial únicamente para la ejecución del contrato; y
  3. aplicar medidas de protección razonables al menos equivalentes a las que aplica a su propia información confidencial.

Divulgación obligatoria: Si la Parte receptora está obligada a divulgar Información Confidencial por ley o por decisión judicial, informará previamente a la Parte divulgadora cuando la ley lo permita y cooperará razonablemente para limitar la divulgación.

Devolución/destrucción: A la expiración o rescisión del contrato, la Parte receptora devolverá o destruirá, a elección de la Parte divulgadora, toda la Información Confidencial en un plazo de treinta (30) días y proporcionará una certificación a solicitud. Las copias exigidas por la ley podrán conservarse y seguirán sujetas a las presentes obligaciones.

Duración: Las obligaciones de confidencialidad se mantienen durante la vigencia del contrato y luego durante cinco (5) años a partir de su finalización, salvo los secretos comerciales, que permanecerán protegidos mientras lo estén efectivamente.

Medidas cautelares: Una violación de las obligaciones de confidencialidad que pueda causar un perjuicio irreparable dará lugar, además de daños y perjuicios, a medidas de carácter injuntivo o cautelar sin necesidad de prestar fianza.

Datos personales: Para la Información Confidencial que contenga datos personales, las disposiciones del DPA prevalecerán en caso de conflicto.

19. Cumplimiento (sanciones, exportación, LBC/FT, anticorrupción)

Cada Parte se compromete a cumplir todas las leyes aplicables, en particular las relativas a sanciones, embargos, controles de exportación, la legislación LBC/FT (AML/CFT) y las normas anticorrupción (incluyendo, en su caso, la FCPA y la UK Bribery Act).

El Cliente proporcionará, a solicitud razonable, la información KYC/LBC necesaria y garantiza que ningún beneficiario efectivo ni Usuario afectado figure en una lista de sanciones.

En caso de incumplimiento probado, la Parte no incumplidora podrá suspender el servicio o rescindir el contrato por incumplimiento y reclamar la reparación de los daños directos.

20. Referencias comerciales

Salvo oposición escrita previa del Cliente, MyTraffic podrá referirse al Cliente como referencia comercial y utilizar su nombre, denominación social y/o logotipo, así como una descripción general de los servicios prestados, en sus comunicaciones institucionales y comerciales, siempre que dicho uso no perjudique la imagen o la reputación del Cliente.

ANEXO 1 — Subencargados del tratamiento (lista indicativa)

Modelos de inteligencia artificial

AWS Bedrock (Amazon Web Services) — Pasarela LLM principal — acceso a Anthropic Claude y otros modelos a través de AWS — región eu-west-1 (Irlanda) — DPA AWS Customer Agreement — CCT 2021 Módulo 2.

OpenAI Ireland Ltd / OpenAI LLC — RAG e incrustaciones (embeddings) — llamada API directa — DPA firmado el 30/03/2026 — CCT 2021 Módulo 2.

Google AI Studio (Google LLC) — Tareas auxiliares ligeras (títulos, geocodificación) — DPA en proceso de confirmación.

Autenticación

Supabase Inc. — Autenticación de usuarios (correo electrónico, teléfono) — DPA en proceso de firma.

Twilio Inc. / Twilio Ireland Ltd — Validación telefónica OTP — DPA en proceso de firma.

Observabilidad

LangChain Inc. (LangSmith) — Trazabilidad y depuración de interacciones LLM — DPA firmado el 27/03/2026 — CCT 2021 Módulo 2 — conservación 15 días.

Según las configuraciones y la disponibilidad técnica, determinados tratamientos podrán realizarse en la Unión Europea y/o fuera del Espacio Económico Europeo. Cuando sean necesarias transferencias fuera del EEE, estas estarán reguladas mediante mecanismos de transferencia apropiados (en particular cláusulas contractuales tipo y medidas adicionales cuando corresponda), de conformidad con el DPA cuando sea aplicable.

MyTraffic mantiene actualizada la lista de subencargados e informará al Cliente de los cambios materiales de conformidad con las presentes y/o con el DPA.

A solicitud escrita del Cliente, MyTraffic proporcionará la información disponible relativa a la localización principal por proveedor y a los mecanismos de transferencia aplicables.

ANEXO 2 — AUP (Política de Uso Aceptable)

Usos prohibidos

  • Ilegal / fraude / suplantación / discriminación / acoso.
  • Extracción masiva, scraping, crawling, automatización abusiva, elusión de cupos (cuentas múltiples, scripts).
  • Carga, introducción o tratamiento de contenidos que vulneren derechos de terceros (derechos de autor, marcas) o que divulguen información confidencial de terceros sin autorización.
  • Ingeniería inversa, intento de acceso a los prompts del sistema, exfiltración de secretos/datos.
  • Prompt injection / jailbreak destinado a eludir las salvaguardas u obtener información interna.
  • Carga de datos sensibles no autorizados.
  • Automatización de decisiones sensibles sin supervisión humana.
  • Generación, difusión o facilitación de malware, phishing, spam o cualquier actividad destinada a comprometer sistemas o cuentas.
  • Carga de datos sensibles / categorías especiales en el sentido del RGPD (por ejemplo salud, biometría, opiniones políticas…) salvo autorización expresa por escrito y bajo un DPA y medidas de seguridad apropiadas.
  • Uso destinado a generar de forma anormal un volumen elevado de tokens LLM, o a multiplicar artificialmente conversaciones/workflows con el fin de eludir los Cupos.

Sanciones

Limitación, suspensión, rescisión; pueden aplicarse medidas inmediatas en caso de riesgo. MyTraffic podrá suspender inmediatamente en caso de riesgo de seguridad/cumplimiento/derechos de terceros y notificará al Cliente lo antes posible los motivos generales; el acceso podrá restablecerse si la infracción se corrige, salvo riesgo persistente u obligación legal.

ANEXO 3 — Security Incident Exhibit (Anexo de Incidente de Seguridad)

Notificación

MyTraffic notificará al Cliente sin demora indebida tras la confirmación razonable de un incidente de seguridad que tenga impacto en el Servicio.

Si el incidente implica datos personales tratados por cuenta del Cliente, la notificación y la asistencia se realizarán conforme al DPA (RGPD).

La notificación se efectuará cuando MyTraffic confirme razonablemente un incidente de seguridad y este presente un impacto significativo sobre la confidencialidad, la integridad o la disponibilidad del Servicio o de los datos afectados.

Contenido mínimo

Descripción (naturaleza/fecha/alcance), tipos de datos potencialmente afectados, impacto probable, medidas ya adoptadas, recomendaciones al Cliente y próximos pasos.

La información comunicada se limita a la razonablemente disponible en el momento de la notificación y cuya divulgación esté permitida conforme a las exigencias legales, contractuales y de seguridad.

Canal

Correo electrónico al contacto de seguridad designado en la Order Form; en su defecto, al contacto contractual.

MyTraffic: support@mytraffic.fr (asunto: « Security Incident, GINI »).

Frecuencia

Actualizaciones razonables y proporcionales a la gravedad (por ejemplo, diarias si es crítico, semanales si es mayor). Informe de cierre disponible previa solicitud razonable.

Cooperación

El Cliente cooperará de forma razonable; MyTraffic podrá imponer medidas conservatorias (restablecimiento, revocación de tokens, suspensión).

No reconocimiento de responsabilidad

Toda notificación o comunicación realizada en virtud del presente anexo no constituye un reconocimiento de culpa, responsabilidad o incumplimiento por parte de MyTraffic.

ANEXO 4 — AI Safety Exhibit (Anexo de Seguridad de IA)

Casos de uso autorizados

Ayuda a la toma de decisiones business (análisis de zonas, síntesis de documentos, generación de tablas/insights).

Casos prohibidos/restringidos

Decisiones sensibles automatizadas sin supervisión; exfiltración; usos contrarios a la AUP.

Controles

Rate limiting, detección de anomalías, prevención de prompt-injection/jailbreak, filtros, medidas para reducir el riesgo de exposición de PII, trazabilidad, etc.

Los controles y medidas descritos anteriormente constituyen medidas técnicas y organizativas razonables destinadas a reducir los riesgos asociados al uso del Servicio. No garantizan la ausencia total de errores, sesgos, interrupciones o usos abusivos, ni un resultado específico.

Proceso

Red teaming mínimo, revisión de calidad, rollback/kill switch en caso de riesgo significativo.

Gestión de cambios

Versionado del modelo/dataset cuando sea razonablemente posible; notificación de cambios materiales (notas de versión / release notes).

Calificación regulatoria

El Servicio está diseñado y prestado como un sistema de inteligencia artificial de riesgo limitado en el sentido de la normativa europea aplicable, sujeto al cumplimiento por parte del Cliente de los casos de uso autorizados y de las restricciones previstas en las presentes y en la AUP.

Feedback

Canal de soporte para reportar outputs problemáticos y abusos.

ANEXO 5 — Resumen del Centro de Confianza (Trust Center Summary)

El presente Anexo 5 constituye un resumen informativo («Resumen del Centro de Confianza») proporcionado únicamente con fines de transparencia. En caso de discrepancia, prevalecen las CGSU, la Orden de compra aplicable y/o el DPA. Las medidas descritas en el presente podrán evolucionar de conformidad con el Contrato.

Seguridad

  • cifrado de datos en reposo según los componentes y ofertas aplicables;
  • control de acceso basado en roles (RBAC) y principio de mínimo privilegio;
  • autenticación multifactor (MFA/2FA) para accesos sensibles y/o administrativos;
  • registro de accesos y revisiones periódicas;
  • medidas antiabuso.

Conservación

  • Logs GINI conservados durante 90 días (estándar);
  • eliminación automática;
  • legal hold cuando corresponda;
  • eliminación acelerada disponible como opción y/o a solicitud, con sujeción a obligaciones legales.

Subencargados

  • AWS (región de alojamiento principal según lo acordado contractualmente, cuando corresponda);
  • Proveedores LLM y monitorización (según la arquitectura del Servicio): AWS Bedrock (Amazon Web Services, eu-west-1, pasarela principal), OpenAI Ireland Ltd / OpenAI LLC (RAG e incrustaciones), Google AI Studio (tareas auxiliares), LangSmith/LangChain (EE. UU., monitorización — DPA firmado el 27/03/2026), Supabase Inc. (autenticación — DPA en proceso), Twilio Inc. / Twilio Ireland Ltd (validación OTP — DPA en proceso).

Cuando sean necesarias transferencias fuera del EEE, se aplican mecanismos de transferencia adecuados (incluidas las cláusulas contractuales tipo). Los cambios materiales en los subencargados se notifican de conformidad con el Contrato y/o el DPA.

Incidentes

  • notificación sin demora indebida;
  • contenido mínimo de la notificación;
  • actualizaciones proporcionales;
  • cooperación con el Cliente.

Inteligencia Artificial

  • transparencia sobre el uso y las limitaciones de la IA;
  • requisitos de revisión humana;
  • salvaguardas de IA;
  • prohibición de usos sensibles sin supervisión adecuada.

Privacidad

  • DPA disponible (artículo 28 RGPD);
  • minimización de datos;
  • eliminación de conformidad con el DPA y/o el Contrato.

Contacto

Soporte y comunicación de incidentes de seguridad: support@mytraffic.fr

ANEXO 6 — Condiciones de Evaluación / Trial

1. Objeto

Cuando MyTraffic concede al Cliente acceso al Servicio a modo de prueba, evaluación, demostración o de forma gratuita ("Trial"), el Cliente podrá utilizar el Servicio dentro de los límites descritos a continuación y en la Interfaz del Servicio.

2. Duración

El Trial se concede por una duración fija de catorce (14) días naturales, salvo estipulación expresa en contrario comunicada en el momento de la activación (sitio web y/o Interfaz del Servicio).

La fecha de inicio y la fecha de finalización del Trial se muestran en la Interfaz del Servicio.

Salvo acuerdo expreso en contrario por parte de MyTraffic, el Cliente solo podrá beneficiarse de un Trial y/o de una oferta gratuita ("freemium") una (1) vez cada seis (6) meses a partir del final del Trial/freemium anterior.

3. Acceso y activación (self-serve)

El Trial puede activarse en autoservicio a través del sitio web de MyTraffic, sin una cualificación previa obligatoria.

MyTraffic se reserva el derecho de limitar, suspender o rechazar el acceso al Trial en caso de abuso, fraude o incumplimiento de las presentes CGSU/AUP.

4. Alcance / Cupos / Soporte

Las funcionalidades accesibles durante el Trial, así como los cupos y los límites técnicos, son los indicados en la Interfaz del Servicio en el momento del uso.

El Trial se proporciona "tal cual" (as-is), sin garantía, sin compromiso de nivel de servicio (SLA) y con soporte limitado.

5. Continuidad Trial → oferta de pago (cuenta, datos, configuración)

En caso de suscripción a una oferta de pago al finalizar el Trial, el Cliente conservará la misma Cuenta, así como los parámetros, configuraciones y datos creados durante el Trial, sujeto al cumplimiento de las presentes CGSU y al pago de las sumas adeudadas.

Esta continuidad está garantizada siempre que la suscripción a una oferta de pago se realice como máximo dentro de un plazo de siete (7) días naturales tras la finalización del Trial.

6. Recordatorios antes del fin del Trial

Antes de la expiración del Trial, el Cliente podrá recibir notificaciones informativas (por email y/o in-app) relativas al próximo fin del Trial y a las modalidades de suscripción.

7. Fin del Trial / Upgrade / Pago

Al finalizar el Trial, en ausencia de suscripción a una oferta de pago, el acceso a las funcionalidades del Trial quedará bloqueado y se invitará al Cliente a suscribirse a una oferta de pago.

No se requiere ninguna información de pago para activar el Trial. La información de pago se solicita únicamente en el momento de la suscripción a una oferta de pago.

8. Modalidades de suscripción a la oferta de pago

La suscripción a una oferta de pago podrá realizarse:

  1. en autoservicio a través de la Interfaz del Servicio (en particular para el paquete Pro), o
  2. a través de los equipos comerciales de MyTraffic, según el paquete seleccionado y las condiciones acordadas.

GINI – Privacy & Data Use Notice

MyTraffic SAS
Version 2.0 | March 2026 | Replaces Draft v1.0 of January 2026

This Notice is published to GINI users in accordance with Articles 13 and 14 of Regulation (EU) 2016/679 (GDPR). It replaces Draft v1.0 of January 2026 in its entirety. In the event of any conflict with MyTraffic's general Privacy Policy, this Notice prevails with respect to GINI.

1. Purpose and Scope

This Privacy & Data Use Notice (the "GINI Privacy Notice") provides clear, precise and transparent information regarding the processing of personal data carried out in connection with the use of GINI, MyTraffic's AI-powered conversational assistant, in accordance with Articles 13 and 14 GDPR.

This GINI Privacy Notice must be read in conjunction with:

  • the MyTraffic Global Privacy Policy (Politique de Gestion des Données Personnelles);
  • the GINI Terms of Service;
  • where applicable, the Data Processing Agreement (DPA) entered into with professional customers.

In the event of inconsistency, the GINI Terms of Service and the applicable DPA prevail for matters relating to GINI. This Notice applies solely to GINI and does not replace MyTraffic's general privacy documentation applicable to other products and services.

2. Data Controller and Contact

MyTraffic SAS, a French société par actions simplifiée, having its registered office at 12 rue Vivienne (Lot 3), 75002 Paris, France, registered under number 814 849 113 RCS Paris, acts:

  • as data controller for technical and security-related processing operations related to GINI (notably logs, access management, abuse prevention, and compliance obligations);
  • as data processor within the meaning of Article 28 GDPR when processing personal data contained in Customer Content on behalf of its professional customers.

For any question relating to data protection:

Data Controller Table
Field Details
Data Controller MyTraffic SAS — 12 rue Vivienne, 75002 Paris, France
Privacy contact privacy@mytraffic.fr
DPO Yaël COHEN-HADRIA — Yael.Cohen.Hadria@ey-avocats.com

3. Description of the GINI Service

GINI is a web-based AI conversational service that enables authorised users to:

  • submit questions or instructions in natural language ("Prompts");
  • upload documents or datasets ("Customer Documents");
  • receive AI-generated responses, analyses or recommendations ("Outputs").

GINI operates under human supervision. Users remain solely responsible for verifying Outputs before using them in any professional or decision-making context.

GINI does not perform autonomous or automated decision-making within the meaning of Article 22 GDPR. Outputs are probabilistic by nature and do not constitute professional, legal, financial or strategic advice.

4. Categories of Personal Data Processed

4.1 Customer Content

Depending on how GINI is used, MyTraffic may process the following categories of data on behalf of customers:

  • text-based prompts submitted by users;
  • documents, files or datasets uploaded by users;
  • contextual information included by users in the course of their interaction with GINI.

Customer Content may, at the sole initiative and responsibility of the customer or its authorised users, contain personal data.

4.2 Technical and Usage Data

In connection with the use of GINI, MyTraffic processes certain technical data including:

  • user identifiers and account references (pseudonymised);
  • timestamps of interactions;
  • identifiers of the AI model and service version used;
  • technical logs strictly for traceability, security and compliance purposes.

4.3 Excluded Data — Special Categories

GINI is not intended to process special categories of personal data within the meaning of Article 9 GDPR (health data, political opinions, religious beliefs, etc.). Users are expressly instructed not to submit sensitive personal data through GINI. An Acceptable Use Policy (AUP) governs permitted use.

4.4 Inference Data

In the course of generating Outputs, temporary intermediate data (inference data), which may include elements derived from Customer Content, is processed transiently by the AI model. This data is not stored, not used to train or improve AI models, and is automatically discarded once the Output has been generated. MyTraffic does not make any representation that such intermediate data is free of personal data, as its content depends on what is included in the original prompt or uploaded documents.

5. Purposes of Processing

Personal data processed in connection with GINI are processed exclusively for the following purposes:

  • provision and operation of the GINI service;
  • generation of AI-based outputs at the request of users;
  • security, monitoring, abuse prevention and fraud detection;
  • compliance with legal and regulatory obligations, including the EU Artificial Intelligence Act;
  • incident management, troubleshooting and internal service improvement, including the use of anonymised or pseudonymised conversation examples to improve GINI's prompt engineering and response quality (without training external AI models on Customer Content);
  • AI system supervision and audit trail maintenance in accordance with CNIL recommendations.

6. Legal Bases for Processing

The following table sets out the legal basis applicable to each processing operation carried out by MyTraffic as data controller:

Legal Basis Table
Processing Operation Legal Basis Justification
Transmission of prompts to AI models to generate Outputs Art. 6(1)(b) Contract Processing is necessary for the performance of the GINI service contract with the Customer.
Security logs, access management, abuse prevention Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in ensuring the security and integrity of the service. Interests do not override users' fundamental rights given the technical and pseudonymised nature of the data.
Usage analytics and product improvement (Mixpanel, Segment) Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in improving service quality. Data is pseudonymised and limited to technical usage events.
AI monitoring and traceability (LangSmith) Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in debugging, ensuring AI system reliability, and improving GINI's internal response quality.
LangSmith receives full prompt and output content for tracing and debugging purposes. Conversation examples may also be used internally (without external transmission) to improve GINI's prompt engineering. This constitutes a transfer of personal data to the United States. A Data Processing Agreement is in the process of being executed.

Retention: 15 days (base traces) on LangSmith. An internal extract may be retained for up to 12 months for service improvement purposes, accessible only to authorised Engineering personnel.
Compliance with legal obligations (GDPR, AI Act, CNIL) Art. 6(1)(c) Legal obligation Processing necessary to comply with applicable legal and regulatory obligations.
Phone validation for account security (Twilio) Art. 6(1)(b) Contract Processing is necessary to provide the account authentication feature requested by the user.

Where MyTraffic acts as a data processor, the legal basis for processing is determined by the Customer as data controller, as set out in the applicable DPA.

7. Use of AI Models and Third-Party Sub-Processors

GINI relies on AI models and APIs provided by third-party sub-processors acting as data processors within the meaning of Article 28 GDPR. These providers process personal data solely on documented instructions from MyTraffic, strictly to the extent necessary to generate Outputs, and are contractually prohibited from processing such data for any other purpose. Prompts, conversation history and, where applicable, uploaded documents are transmitted to these providers strictly to the extent necessary to generate Outputs.

The main sub-processors acting as data processors on MyTraffic's documented instructions in GINI's AI processing chain include:

  • OpenRouter — AI model routing layer currently being phased out (USA). Its usage is currently limited to specific non-core functions (conversation title generation, geocoding, and fallback models). MyTraffic is progressively migrating to direct API integrations with each model provider, with completion expected within 4 weeks. The DPA has not yet been signed — the associated risk is mitigated by the limited scope of use and the ongoing migration. We also intend to fully discontinue the use of OpenRouter and rely solely on direct integrations with our existing LLM providers.
  • Anthropic (Claude) — LLM model provider, called via direct API by GINI (USA) — 30-day retention of inputs and outputs on Anthropic's side — DPA in the process of being executed.
  • OpenAI (GPT-4) — LLM model provider, called via dual integration: direct API for RAG operations and knowledge base embeddings (USA) — 30-day retention for abuse monitoring logs — DPA signed 30/03/2026.
  • Mistral AI — downstream LLM model provider (France, EU).
  • LangSmith / LangChain — AI monitoring and traceability, receives full prompt and output content (USA) — DPA in process of being executed.
  • AWS Ireland (eu-west-1) — cloud hosting infrastructure (EU).
  • Supabase — authentication and login management.

The complete and up-to-date list of sub-processors is made available via MyTraffic's Trust Center. Customers are notified of any material changes to this list in accordance with Article 28 GDPR.

Technical safeguard: MyTraffic is progressively migrating away from OpenRouter towards direct API integrations with each model provider. OpenRouter usage is currently limited to non-core functions (conversation title generation, geocoding, fallback models) and is expected to be phased out within 4 weeks. For providers called directly, MyTraffic implements contractual safeguards including Data Processing Agreements with Standard Contractual Clauses. All transmissions are encrypted in transit (TLS 1.2 minimum). Customer Content is not used to train or improve external AI models.

Unless otherwise agreed in writing and in compliance with GDPR:

  • Customer Content is not used to train or improve the AI models of MyTraffic's sub-processors (Anthropic, OpenAI, or any other external LLM provider); MyTraffic may however use anonymised or pseudonymised conversation examples internally to improve GINI's own prompt engineering and response quality, without transmitting such data to any external model provider;
  • Customer Content is processed solely for the purpose of providing the GINI service.

8. International Data Transfers

GINI's primary hosting infrastructure is located within the European Economic Area (AWS Ireland, eu-west-1). However, the operation of GINI involves transmissions of data to providers located outside the EEA, in particular in the United States. The following providers receive personal data outside the EEA: Anthropic (USA — direct API, 30-day retention, DPA in negotiation), OpenAI (USA — direct API, 30-day abuse monitoring retention, DPA signed 30/03/2026), OpenRouter (USA — limited to non-core functions, currently being phased out, migration expected within 4 weeks), LangSmith / LangChain (USA — full prompt and output content, 15 days retention on platform, DPA signed 27/03/2026). GCP and AWS infrastructure is hosted within the EU (eu-west-1 / EU region) and does not involve transfers outside the EEA.

For all transfers outside the EEA, MyTraffic ensures that appropriate safeguards are in place in accordance with Articles 44 to 49 GDPR, including:

  • Standard Contractual Clauses (SCCs) adopted by the European Commission on 4 June 2021 (Decision 2021/914), Module 2 (controller to processor);
  • Transfer Impact Assessments (TIAs) conducted for each US-based provider;
  • technical supplementary measures including Zero Data Retention (ZDR) configuration where available and applicable, and end-to-end encryption.

9. Data Recipients

Personal data processed through GINI may be accessed, on a strictly need-to-know basis, by:

  • authorised MyTraffic personnel involved in service operation, security, and compliance;
  • third-party sub-processors providing hosting, infrastructure, AI model APIs, monitoring and authentication services strictly required to deliver GINI functionalities;
  • competent public authorities, where required by applicable law.

MyTraffic ensures that all recipients are bound by confidentiality obligations and appropriate data protection agreements.

10. Data Retention Periods

Personal data processed in connection with GINI are retained only for the period necessary to achieve the purposes described in this Notice. The applicable retention periods are as follows:

Data Retention Table
Data Category Retention Period Deletion Mechanism
Conversation history
(prompts & outputs)		 12 months (target) Maximum 12 months (target).
Currently subject to manual review process — automatic purge is in implementation.
Technical logs
(security, access, errors)		 15 – 90 days Automatic rotation and deletion by logging infrastructure.
Usage and analytics data 24 months Aggregated after 24 months — individual identifiers deleted.
Account and authentication data Duration of contract + legal retention obligations Deleted or returned upon contract termination per applicable DPA.
AI monitoring traces
(LangSmith)		 15 days on LangSmith Up to 12 months internal extract Automatic deletion by LangSmith after 15 days.
Internal extract deleted after 12 months — access restricted to authorised Engineering personnel.
Uploaded documents
(Customer Documents)		 Session duration or as specified in DPA Deleted at session end or upon customer request.

11. Rights of Data Subjects

Where personal data are processed, data subjects may exercise the following rights under the GDPR:

  • Right of access (Article 15) — obtain confirmation and a copy of personal data processed;
  • Right to rectification (Article 16) — request correction of inaccurate data;
  • Right to erasure (Article 17) — request deletion of personal data, subject to legal retention obligations;
  • Right to restriction of processing (Article 18) — request temporary suspension of processing;
  • Right to data portability (Article 20) — receive personal data in a structured, commonly used format;
  • Right to object (Article 21) — object to processing based on legitimate interests.

To exercise any of the above rights, please send a written request to: privacy@mytraffic.fr

MyTraffic will respond within one (1) month of receipt of the request, in accordance with Article 12 GDPR.

Where MyTraffic acts as data processor on behalf of a Customer, requests from data subjects will be forwarded to the relevant Customer acting as data controller, who remains responsible for responding.

12. Right to Lodge a Complaint with a Supervisory Authority

In accordance with Article 13(2)(d) GDPR, data subjects have the right to lodge a complaint with a competent supervisory authority if they consider that the processing of their personal data infringes applicable data protection law.

The competent supervisory authority for MyTraffic SAS is:

Supervisory Authority Table
Field Details
Authority Commission Nationale de l'Informatique et des Libertés (CNIL)
Address 3 Place de Fontenoy, 75007 Paris, France
Website www.cnil.fr

13. Security Measures

MyTraffic implements appropriate technical and organisational measures to ensure a level of security appropriate to the risks, in accordance with Article 32 GDPR, including:

  • access controls and multi-factor authentication (2FA) for all systems processing personal data;
  • encryption of data at rest and in transit (TLS 1.2 minimum);
  • secure hosting within the European Union (AWS Ireland, eu-west-1);
  • progressive migration away from third-party routing layer (OpenRouter) towards direct API integrations with each model provider, eliminating an intermediate data processor;
  • logging and monitoring of access to the service;
  • internal governance procedures and staff confidentiality obligations;
  • regular security reviews and incident response procedures.

14. AI-Specific Transparency — EU Artificial Intelligence Act

In accordance with Article 50 of the EU Artificial Intelligence Act and CNIL recommendations on generative AI systems, users of GINI are informed that:

  • they are interacting with an AI system;
  • Outputs are generated automatically by a large language model and may contain inaccuracies, hallucinations or biases;
  • Outputs must be reviewed and validated by a human before being used for any professional, legal, financial or strategic decision;
  • GINI does not generate decisions with legal or similarly significant effects within the meaning of Article 22 GDPR.

MyTraffic does not use Customer Content to train, fine-tune or improve the AI models of third-party providers, whether Anthropic, OpenAI, or any other external model provider. MyTraffic may however use anonymised or pseudonymised conversation examples internally to improve GINI's own response quality and prompt engineering, without sharing such data externally.

15. Updates to this Notice

This GINI Privacy Notice may be updated from time to time to reflect changes in the service, applicable legal requirements or regulatory guidance. The version number and date of last update are indicated at the top of this document.

The applicable version is the one published within the GINI interface and on MyTraffic's website at the time of use. In the event of a material update, MyTraffic will inform users through appropriate means (in-product notification or email).

16. Contact

For any question regarding this GINI Privacy Notice or the processing of personal data in connection with GINI:

MyTraffic Contact Table
Field Details
Controller MyTraffic SAS — 12 rue Vivienne (Lot 3), 75002 Paris, France
Privacy email privacy@mytraffic.fr
DPO Yaël COHEN-HADRIA — Yael.Cohen.Hadria@ey-avocats.com

Recibe las últimas noticias sobre MyTraffic

Síguenos en

Descubre nuestra newsletter

Productos
Gini
DataLibrary
AudienceLabs
SmartMonitor
Soluciones
Retail
Restaurants
Commercial Real Estate
Franchises
Brokers
Groceries
Public sector
Publicidad
Charging Point Operators
Contenido
Estudios de mercadoBlogClientesEventosAlternativas
Empresa
Acerca de nosotrosKit de prensa y mediosCómo funcionaÚnete a nosotrosContacto

MyTraffic ©2024 - Todos los derechos reservados.

Condiciones de usoPolítica de privacidad