Salta al contingut principal
OpenAI

Updated: 1 de desembre del 2025

Addenda de Tractament de Dades d’OpenAI

Baixar PDF(s'obre en una finestra nova)

Efectiu: 1 de gener de 2026

(Consulta l’addenda de tractament de dades anterior)

Aquesta Addenda de Tractament de Dades d’OpenAI («DPA») complementa i s’incorpora a l’Acord de Serveis d’OpenAI («Acord») que regula l’ús dels Serveis, i s’atorga en la Data d’Efectivitat entre el client identificat anteriorment («Client») i OpenAI OpCo, LLC, en el seu nom i en nom de les seves afiliades, segons correspongui, llevat que el Client tingui la seva seu en un país de l’Espai Econòmic Europeu o a Suïssa, cas en què s’atorga amb OpenAI Ireland Ltd., en el seu nom i en nom de les seves afiliades, segons correspongui («OpenAI»). Els termes en majúscula que no estiguin definits en la DPA tenen el significat que se’ls atribueix a l’Acord. En aquesta DPA, OpenAI i el Client s’anomenen individualment una «Part» i conjuntament les «Parts». El Client declara i garanteix que té capacitat legal per subscriure aquest Acord i, si el subscriu en nom d’una entitat, que disposa de l’autoritat legal necessària per vincular aquesta entitat. Fent clic a «Accepto», acceptant el Formulari de Comanda o utilitzant els Serveis, el Client accepta aquest Acord.

1. Detalls.

  • 1.1 Abast i rols. Com a part de la prestació dels Serveis al Client d’acord amb l’Acord, OpenAI pot Tractar les Dades del Client en nom del Client. OpenAI actua com a Encarregat del Tractament en nom del Client, i aquesta DPA regeix aquest Tractament.
  • 1.2 Detalls del tractament. OpenAI només Tractarà les Dades del Client amb la finalitat de prestar els Serveis al Client d’acord amb l’Acord i aquesta DPA. Els detalls sobre la naturalesa, la durada, així com els tipus de Dades del Client i les categories de Interessats implicats, es descriuen a l’Annex 1 (Detalls del Tractament) d’aquesta DPA. OpenAI i el Client accepten complir cadascun amb les seves obligacions respectives segons les Lleis de Protecció de Dades en relació amb els Serveis.

2. Obligacions d'OpenAI.

  • 2.1 Instruccions del Client. Les Parts acorden que aquesta DPA, l’Acord (inclòs el Formulari de Comanda) i qualsevol instrucció proporcionada mitjançant les eines de configuració i altres eines disponibles dins dels Serveis proporcionades per OpenAI, constitueixen les instruccions documentades del Client respecte al Tractament per part d’OpenAI de les Dades del Client («Instruccions del Client»). OpenAI només tractarà les Dades del Client d’acord amb les Instruccions del Client, llevat que la llei aplicable a la qual està subjecta obligui a actuar d’una altra manera, en aquest cas OpenAI informarà el Client d’aquest requisit abans del Tractament, tret que la llei prohibeixi fer-ho.
  • 2.2 Notificacions al Client. OpenAI informarà immediatament el Client per escrit si, segons la seva opinió, una Instrucció del Client infringeix les Lleis de Protecció de Dades. OpenAI informarà el Client, en la mesura permesa legalment, si rep una sol·licitud vinculant legalment per a la divulgació de Dades del Client per part d’una autoritat de l'ordre públic.
  • 2.3 Confidencialitat. OpenAI s’assegurarà que totes les persones autoritzades per OpenAI a tractar les Dades del Client hagin assumit un compromís de confidencialitat o estiguin subjectes a una obligació legal adequada de confidencialitat.
  • 2.4 Sol·licituds dels Titulars de les Dades. OpenAI informarà el Client, en la mesura permesa legalment, si rep una sol·licitud per exercir els drets dels interessats d’acord amb les Lleis de Protecció de Dades («Sol·licitud del Titular de les Dades») respecte de les Dades del Client. OpenAI no respondrà a cap d’aquestes sol·licituds sense l’autorització prèvia per escrit del Client, excepte que el Client autoritza OpenAI a redirigir les Sol·licituds dels Titulars de les Dades segons sigui necessari perquè el Client pugui respondre-hi directament. Tenint en compte la naturalesa del Tractament, OpenAI ajudarà el Client implementant mesures tècniques i organitzatives adequades, en la mesura que sigui possible, per permetre al Client respondre a les Sol·licituds dels Titulars de les Dades.
  • 2.5 Seguretat. OpenAI implementarà i mantindrà mesures de seguretat tècniques i organitzatives raonables i adequades per protegir les Dades del Client, tal com s’estableix a l’Acord.
  • 2.6 Assistència al Client. Tenint en compte la naturalesa del Tractament i la informació disponible per a OpenAI, aquesta proporcionarà al Client una assistència raonable per ajudar-lo a complir les seves obligacions segons les Lleis de Protecció de Dades, incloent-hi, quan sigui adient, l’elaboració d’avaluacions d’impacte en matèria de protecció de dades respecte al Tractament per part d’OpenAI de les Dades del Client i, si és necessari, que el Client consulti una autoritat de control amb jurisdicció sobre aquest Tractament, si aquesta consulta és requerida per les Lleis de Protecció de Dades.
  • 2.7 Vulneració de Dades Personals. OpenAI notificarà el Client sense dilació indeguda després de tenir coneixement de qualsevol Infracció de Dades Personals. OpenAI proporcionarà al Client una assistència raonable per ajudar-lo a complir les seves obligacions segons les Lleis de Protecció de Dades respecte d’aquesta Infracció de Dades Personals.
  • 2.8 Avaluació del compliment. OpenAI, a petició raonable i per escrit del Client i en la mesura requerida per les Lleis de Protecció de Dades: (i) no més d’una vegada a l’any, proporcionarà al Client les polítiques de privadesa i seguretat d’OpenAI i altra informació necessària per demostrar el compliment per part d’OpenAI de les seves obligacions segons aquesta DPA; i (ii) sempre que les Parts tinguin un acord de confidencialitat adequat, permetrà i contribuirà a auditories o inspeccions realitzades pel Client o en nom d’aquest, a exclusiva despesa del Client.  Aquesta auditoria o inspecció ha de ser: (A) realitzada d’una manera que interfereixi mínimament amb les activitats d’OpenAI; (B) necessària per confirmar que OpenAI està tractant les Dades del Client d’acord amb aquesta DPA; i (C) efectuada no més d’una vegada a l’any. Quan ho permetin les Lleis de Protecció de Dades, OpenAI pot, en lloc d’això, posar a disposició del Client un resum dels Informes d’Auditoria relatius al compliment d’OpenAI d’aquesta DPA. Aquests resultats i documentació, inclosos els resultats de qualsevol auditoria o inspecció, seran considerats Informació Confidencial d’OpenAI.
  • 2.9 Contractació de Subprocessadors. El Client atorga amb el present una autorització general a OpenAI per contractar els Subprocessadors que figuren a la Llista de Subprocessadors per tractar les Dades del Client en relació amb els Serveis. OpenAI notificarà el Client de qualsevol canvi a la Llista de Subprocessadors mitjançant una publicació al blog, una notificació dins dels Serveis o altres mitjans raonables, o per correu electrònic si el Client està subscrit per rebre notificacions per correu electrònic al lloc de la Llista de Subprocessadors. El Client pot oposar-se a l’ús d’aquest Subprocessador addicional dins dels 30 dies següents a la recepció de l’avís del canvi, seguint les instruccions establertes a la Llista de Subprocessadors o posant-se en contacte amb privacy@openai.com. En aquest cas, OpenAI treballarà amb el Client per atendre les seves preocupacions i oferir alternatives o solucions raonablement viables des del punt de vista comercial. Si cap de les alternatives o solucions és raonablement viable des del punt de vista comercial, segons el criteri raonable d’OpenAI, o si les objeccions no s’han resolt satisfactòriament dins dels 30 dies següents a la recepció per part d’OpenAI de l’avís d’objecció del Client, qualsevol de les Parts podrà resoldre l’Acord o qualsevol Formulari de Comanda o ús dels Serveis que no es pugui proporcionar sense l’ús del nou Subprocessador. En aquest cas, el Client rebrà el reemborsament de qualsevol quota prèviament pagada que correspongui als períodes o termes posteriors a la data de la resolució.
  • 2.10 Obligacions del Suprocessador. OpenAI subscriurà acords contractuals amb cada Subprocessador que els imposin obligacions comparables a les que OpenAI té segons aquesta DPA. Subjecte a les limitacions de responsabilitat incloses a l’Acord, OpenAI continuarà sent responsable dels actes i omissions dels seus Subprocessadors en la mateixa mesura en què seria responsable segons aquesta DPA si realitzés aquests actes o omissions ella mateixa.
  • 2.11 Retorn o eliminació de dades. Després de l’expiració o resolució de l’Acord, OpenAI, segons les instruccions del Client, retornarà o eliminarà les Dades del Client i les còpies existents, llevat que la retenció de les Dades del Client sigui exigida per les lleis aplicables, en aquest cas OpenAI les aïllarà i les protegirà de qualsevol Tractament addicional, excepte en la mesura que sigui requerit per la llei aplicable.

3. Obligacions del Client.

  • 3.1 Notificacions i autoritzacions. El Client declara, garanteix i es compromet que ha proporcionat tots els avisos necessaris, i que té i mantindrà durant tota la Durada tots els drets, consentiments i autoritzacions necessaris, en la mesura que ho exigeixin les Lleis de Protecció de Dades, per proporcionar les Dades del Client a OpenAI i autoritzar OpenAI a tractar les Dades del Client en relació amb l’Acord, inclosa aquesta DPA.
  • 3.2 Cooperació. El Client cooperarà de manera raonable amb OpenAI per ajudar-la a complir qualsevol de les seves obligacions d’acord amb les Lleis de Protecció de Dades aplicables.
  • 3.3 Configuracions. Sense perjudici de les obligacions de seguretat d’OpenAI establertes a la Secció 2.5 d’aquesta DPA, el Client reconeix i accepta que és responsable de certes configuracions i decisions de disseny dels Serveis, així com de la implementació d’aquestes configuracions i decisions de disseny (per exemple, períodes de retenció, eliminació, etc.) d’una manera que compleixi les Lleis de Protecció de Dades aplicables.

4. Transferències internacionals de dades.

  • 4.1 Dades de l'EEE i de Suïssa. Les Dades del Client tractades per OpenAI segons aquesta DPA poden estar subjectes a les Lleis de Protecció de Dades de l’Espai Econòmic Europeu o de Suïssa (“Dades de l'EEE i Suïssa”). Independentment de quina sigui la Part contractant d’OpenAI aplicable segons aquesta DPA, el Client dóna instruccions a OpenAI Ireland Limited perquè tracti qualsevol Dada de l’EEE i de Suïssa en compliment d’aquesta DPA. En la mesura que OpenAI Ireland Limited transfereixi Dades de l’EEE i de Suïssa a altres Afiliades d’OpenAI o a tercers fora de l’Espai Econòmic Europeu o de Suïssa per prestar els Serveis, ho farà sobre la base d’acords que incloguin les Clàusules Contractuals Estàndard (SCC) que garanteixin salvaguardes adequades per a la protecció de les Dades del Client, o bé d’una decisió d’adequació emesa per la Comissió Europea d’acord amb l’Article 45 del RGPD.
  • 4.2 Dades del Regne Unit. Les Dades del Client tractades per OpenAI segons aquesta DPA poden estar subjectes a les Lleis de Protecció de Dades del Regne Unit («Dades del RU»). Independentment de quina sigui la Part contractant d’OpenAI aplicable segons aquesta DPA, el Client dóna instruccions a OpenAI OpCo, LLC perquè tracti qualsevol Dada del RU en compliment d’aquesta DPA i de les SCC modificades per l’Addenda del Regne Unit, les quals es consideren subscrites (i incorporades a aquesta DPA mitjançant aquesta referència) i completades tal com es descriu a l’Annex 1.

5. Requisits addicionals.

En la mesura que s’apliquin les Lleis de Privadesa dels EUA:

  • 5.1 OpenAI accepta (a) no oferir al Client cap compensació econòmica ni cap altre benefici valuós a canvi de les Dades del Client proporcionades pel Client. Les parts reconeixen i acorden que el Client no ha “venut” (segons la definició d’aquest terme en les Lleis de Privadesa dels EUA) les Dades del Client a OpenAI; (b) no “vendre” (segons la definició d’aquest terme en les Lleis de Privadesa dels EUA) ni “compartir” (segons la definició d’aquest terme en la CCPA) Dades Personals; (c) en la mesura que el Client permeti o instruïsca OpenAI a tractar les Dades del Client subjectes a les Lleis de Privadesa dels EUA de manera desidentificada com a part dels Serveis, OpenAI haurà de: (i) adoptar mesures raonables per evitar que aquestes dades desidentificades s’utilitzin per inferir informació sobre, o estiguin vinculades a, una persona física o llar concreta; (ii) comprometre’s públicament a mantenir i utilitzar aquestes dades desidentificades en aquesta forma i no intentar reidentificar la informació, excepte en la mesura que ho permetin les Lleis de Privadesa dels EUA; i (iii) abans de compartir dades desidentificades amb qualsevol altra part, inclosos Subprocessadors, obligar contractualment aquests destinataris a complir els requisits d’aquesta disposició (c)(i)-(iii); i (d) quan les Dades del Client estiguin subjectes a la CCPA: (i) no retenir, utilitzar, divulgar ni processar de cap altra manera les Dades del Client excepte quan sigui necessari per als fins comercials especificats a l’Acord, incloent-hi, sense limitació, els establerts a l’Annex 1 d’aquesta DPA; (ii) no retenir, utilitzar, divulgar ni processar de cap altra manera les Dades del Client fora de la relació comercial directa entre OpenAI i el Client; (iii) no combinar cap Dada del Client amb Dades Personals que OpenAI rebi d’altres tercers o que recopili de les seves pròpies interaccions amb individus, tot i que OpenAI podrà combinar les Dades del Client per a un propòsit permès per la CCPA si el Client ho dirigeix o si ho permet la CCPA; (iv) notificar el Client sense dilació indeguda si OpenAI determina que ja no pot complir les seves obligacions segons la CCPA; i (v) si el Client creu raonablement que el Tractament de les Dades del Client per part d’OpenAI no és coherent amb els requisits de la CCPA i després de notificar-ho raonablement a OpenAI, les Parts treballaran de bona fe per resoldre el problema, o, si després de treballar conjuntament el Client determina raonablement que no es pot solucionar, OpenAI deixarà de tractar les Dades del Client afectades segons instruccions escrites del Client.
  • 5.2 El Client accepta no dur a terme cap acció que pugui (a) convertir la provisió de Dades del Client a OpenAI en una “venda” segons les Lleis de Privadesa dels EUA o en un “compartiment” segons la CCPA (o conceptes equivalents segons les Lleis de Privadesa dels EUA); o (b) fer que OpenAI deixi de ser un “proveïdor de serveis” segons la CCPA o un “encarregat del tractament” segons les Lleis de Privadesa dels EUA.

6. Definicions.

Dades del Client” significa Dades Personals tractades per OpenAI en nom del Client per prestar els Serveis.

Controlador de les dades” té el significat atribuït al terme “controller” (o un altre terme anàleg) segons les Lleis de Protecció de Dades.

"Encarregat del Tractament" té el significat atribuït al terme “processador” (o un altre terme anàleg) segons les Lleis de Protecció de Dades.

Lleis de Protecció de Dades” significa les lleis de privadesa i protecció de dades aplicables al Tractament de les Dades del Client per part d’OpenAI en relació amb els Serveis. 

Titular de les dades” té el significat atribuït al terme “titular de les dades” (o un altre terme anàleg) segons les Lleis de Protecció de Dades.

RGPD” significa el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016

"Dades Personals" té el significat atribuït al terme “personal data” o “personal information” (o un altre terme anàleg) segons les Lleis de Protecció de Dades.

Vulneració de dades personals” » significa una violació de seguretat que condueixi a la destrucció accidental o il·lícita, pèrdua, alteració, divulgació no autoritzada o accés a les Dades del Client emmagatzemades, transmeses o tractades d’altra manera per OpenAI, els seus Subprocessadors o qualsevol altre tercer que actuï en nom d’OpenAI.

«Tractament» té el significat atribuït al terme “processing” (o un altre terme anàleg) segons les Lleis de Protecció de Dades.

SCCs” significa les clàusules contractuals estàndard per a la transferència de dades personals a països tercers adoptades per la Comissió Europea el 4 de juny de 2021 (que poden ser modificades, actualitzades o substituïdes periòdicament).

Subprocessadors” significa els subprocessadors contractats per OpenAI per tractar les Dades del Client en relació amb els Serveis, tal com es detalla a la Llista de Subprocessadors.

“ Llista de subprocessadors” significa la llista disponible a la següentadreça <a href=\" \"> https://platform.openai.com/subprocessors(s'obre en una finestra nova)

Addenda del Regne Unit” significa l’addenda del Regne Unit a les SCC de la UE emesa per l’Information Commissioner segons la secció 119A(1) de la Data Protection Act 2018.

Lleis de privadesa dels EUA” significa el subconjunt de les Lleis de Protecció de Dades aplicables als residents dels Estats Units, incloent-hi, sense limitació, la California Consumer Privacy Act («CCPA»).

Programa 1

Detalls del tractament

1. Naturalesa i propòsit:

La prestació dels Serveis segons l’Acord.

2. Durada:

La Durada i el temps necessari posteriorment perquè les Parts compleixin les seves obligacions corresponents després de la finalització de la Durada, inclosa l’eliminació de dades.

3. Categories de Dades del Client:

El Client pot enviar Dades Personals als Serveis, les categories de les quals depenen de l’ús que el Client faci dels Serveis, determinat i controlat exclusivament pel Client, però poden incloure, sense limitar-se a, noms, informació de contacte, informació demogràfica o qualsevol altra informació proporcionada pels Usuaris Finals del Client en dades no estructurades.

4. Categories de titulars de les dades:

Els titulars de les dades poden incloure, sense limitar-se a, els empleats, clients, proveïdors del Client i, en general, els Usuaris Finals.

5. Dades sensibles transferides (si escau):

Dades sensibles transferides (si és el cas) i restriccions i precaucions aplicades que tinguin en compte la naturalesa de les dades i els riscos implicats, com ara la limitació estricta de la finalitat, restriccions d’accés (inclòs l’accés només per a personal que hagi seguit una formació especialitzada), mantenir un registre d’accés a les dades, restriccions per a transferències futures o mesures de seguretat addicionals.

Les dades sensibles no estan pensades per ser transferides tret que l’usuari les inclogui inesperadament en dades no estructurades

6. Freqüència:

La freqüència de la transferència (p. ex. si les dades es transfereixen de manera esporàdica o contínua).

De manera contínua, segons l’ús que el Client faci dels Serveis.

7. Transferències a Subprocessadors:

Segons l’Article 2.9 de la DPA, els Subprocessadors tractaran les Dades del Client segons sigui necessari per prestar els Serveis. Aquest Tractament es durà a terme durant la durada de l’Acord, tret que s’acordi el contrari per escrit.

8. Informació sobre les CCCs per a la transferència de Dades del RU segons la Secció 4.2:

  • 8.1 El Mòdul Dos (Responsable del Tractament a Encarregat del Tractament) de les SCC s’aplica quan el Client és un Controlador de les dades i OpenAI està tractant les Dades del Client com a Encarregat del Tractament. El Mòdul tres (Processador a Subprocessador) de les CCE de la UE s’aplica quan el Client sigui un processador i OpenAI processi les Dades del client com a subprocessador.
  • 8.2 Per a cada mòdul de les SCC, quan sigui aplicable, s’aplica el següent:(i) La clàusula opcional de connexió de la Clàusula 7 no s’aplica;(ii) A la Clàusula 9, s’aplica l’Opció 2 (autorització escrita general), i el període mínim de preavís per a canvis de subprocessadors serà el que s’estableix a la Secció 2.9 de la DPA;(iii) A la Clàusula 11, l’idioma opcional no s’aplica;(iv) Es retiren tots els claudàtors de la Clàusula 13;(v) A la Clàusula 17 (Opció 1), les SCCs estaran regides per les lleis d’Anglaterra i Gal·les;(vi) A la Clàusula 18(b), els litigis es resoldran davant dels tribunals d’Anglaterra i Gal·les;(vii) Aquest Annex 1 conté la informació requerida als Annexos I i III de les SCCs;(viii) La Secció 2.5 (Seguretat) de la DPA conté la informació requerida a l’Annex II de les SCCs;(ix) L’autoritat de control competent és l’Information Commissioner’s Office («ICO»).
  • 8.3 Exportador(s) de dades: el Client segons l’Acord; Importador(s) de dades: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Oficial de Protecció de Dades, privacy@openai.com.

Dur a terme l'Acord de processament de dades(s'obre en una finestra nova)