Acuerdo de Procesamiento de Datos (DPA)

Este Acuerdo de Procesamiento de Datos ("DPA") es parte integral de los Términos y Condiciones de Kelova y aplica automáticamente cuando el uso del Servicio implique el procesamiento de Datos Personales por parte de Kelova en nombre del Cliente.

Partes:

— Responsable del tratamiento ("Responsable"): el Cliente (empresa) que contrata el Servicio y determina los fines y medios del tratamiento de Datos Personales dentro de su organización.

— Procesador de datos ("Procesador"): Kelova, que procesa Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable y para los fines de prestación del Servicio.

Relación con la legislación aplicable. Este DPA implementa los requisitos del Reglamento General de Protección de Datos de la UE (GDPR), la Lei Geral de Proteção de Dados de Brasil (LGPD), la Ley 1581 de Colombia, la Ley de Protección de Datos Personales de El Salvador (LPDP) y otras leyes aplicables de protección de datos. En caso de conflicto entre este DPA y la legislación aplicable, prevalece la legislación.

Si el Cliente requiere un DPA firmado de forma bilateral (p. ej., por requisitos de cumplimiento GDPR), puede solicitarlo en legal@kelova.app.

Kelova procesa Datos Personales en nombre del Cliente con el fin de prestar el Servicio, que incluye:

— Indexación y almacenamiento: procesar documentos, archivos, mensajes y otros contenidos cargados por el Cliente para generar chunks de texto, embeddings vectoriales y metadatos de búsqueda.

— Retrieval y búsqueda: recibir consultas y recuperar fragmentos del Contenido indexado para generar respuestas mediante modelos de lenguaje.

— Transcripción: convertir archivos de audio a texto mediante modelos de transcripción (Whisper, Deepgram).

— OCR: extraer texto de imágenes mediante Google Cloud Vision.

— Sincronización: acceder periódicamente a fuentes externas autorizadas (Google Drive, OneDrive, WhatsApp, sitios web) para mantener el Contenido actualizado.

— Moderación: analizar el Contenido con la API de Moderación de OpenAI para detectar material prohibido.

— Generación de respuestas: enviar fragmentos del Contenido indexado a modelos de lenguaje (OpenAI, Anthropic, Google Gemini) para generar respuestas a las consultas.

Kelova no procesa Datos Personales para fines propios distintos a la prestación del Servicio, salvo cuando sea necesario para cumplir con obligaciones legales.

Datos que Kelova procesa en nombre del Cliente:

3.1 Datos de usuarios del Cliente:

— Correo electrónico (identificación de Usuarios del tenant)

— Rol dentro de la plataforma

— Historial de acceso (fecha/hora de último acceso)

— Titulares: empleados y colaboradores del Cliente

3.2 Contenido del Cliente (puede contener Datos Personales):

— Texto extraído de documentos (PDFs, DOCX, XLSX, PPTX, etc.)

— Texto extraído de correos, presentaciones, bases de conocimiento

— Transcripciones de audio

— Mensajes de WhatsApp Business (si se configura el conector)

— Capturas y texto de sitios web del Cliente

— Titulares: potencialmente empleados, clientes o terceros cuya información figure en los documentos del Cliente

3.3 Datos de sesiones de chat:

— Historial de conversaciones con agentes (preguntas de usuarios finales y respuestas del agente)

— Identificador de sesión anónimo

— Titulares: usuarios finales que interactúan con los agentes del Cliente

Datos sensibles. El Cliente garantiza no cargar datos de categorías especiales (datos de salud, datos biométricos, datos sobre condenas penales, etc.) sin haber implementado las medidas adicionales requeridas por la legislación aplicable y sin haberlo notificado previamente a Kelova.

Kelova se compromete a:

4.1 Instrucciones del Responsable. Procesar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente (este DPA y los Términos y Condiciones). Si Kelova considera que una instrucción viola la legislación aplicable, notificará al Cliente.

4.2 Confidencialidad. Garantizar que el personal con acceso a los Datos Personales esté sujeto a obligaciones de confidencialidad.

4.3 Medidas de seguridad. Implementar las medidas técnicas y organizativas descritas en la sección 6 de este DPA.

4.4 Sub-procesadores. No subcontratar el procesamiento de Datos Personales a terceros distintos a los autorizados en este DPA (sección 5) sin notificación previa al Cliente.

4.5 Asistencia al Responsable. Asistir al Cliente en el cumplimiento de sus obligaciones respecto a:

(a) Derechos de los titulares (acceso, rectificación, supresión, portabilidad, oposición).

(b) Evaluaciones de impacto (DPIA) cuando el Cliente las requiera.

(c) Notificación de brechas de seguridad a autoridades de control.

4.6 Eliminación o devolución. Al finalizar el Servicio, eliminar o devolver todos los Datos Personales del Cliente según lo dispuesto en la sección 8.

4.7 Auditoría. Proporcionar al Cliente la información necesaria para demostrar el cumplimiento de este DPA y permitir, previa notificación de 30 días, auditorías razonables (que no interrumpan el Servicio) realizadas por el Cliente o un auditor designado.

El Cliente autoriza expresamente el uso de los siguientes sub-procesadores para la prestación del Servicio. Kelova exige a cada sub-procesador obligaciones equivalentes de protección de datos.

INFRAESTRUCTURA

Supabase Inc. (EE.UU.)

— Servicio: base de datos PostgreSQL (datos de tenant, documentos, embeddings), almacenamiento de archivos (documentos originales, archivos generados)

— Tipo de datos: todos los datos del Servicio

— Política de privacidad: supabase.com/privacy

Upstash Inc. (EE.UU.)

— Servicio: caché Redis (sesiones, rate limiting, datos temporales)

— Tipo de datos: datos de sesión, contadores de uso

— Política de privacidad: upstash.com/trust/privacy

Google Cloud (Google LLC) (EE.UU.)

— Servicio: Cloud Run (cómputo del servidor API)

— Tipo de datos: tráfico de API (en tránsito)

— Política de privacidad: cloud.google.com/terms/data-processing-addendum

Vercel Inc. (EE.UU.)

— Servicio: alojamiento del frontend (panel de administración, sitio de marketing)

— Tipo de datos: tráfico HTTP del panel, datos de Vercel Analytics (agregados, anónimos)

— Política de privacidad: vercel.com/legal/privacy-policy

Cloudflare Inc. (EE.UU.)

— Servicio: DNS, proxy CDN, protección DDoS

— Tipo de datos: tráfico de red (en tránsito)

— Política de privacidad: cloudflare.com/privacypolicy

INTELIGENCIA ARTIFICIAL

OpenAI LLC (EE.UU.)

— Servicio: modelo GPT-4o-mini (generación de respuestas de agentes), text-embedding-3-small (embeddings fallback), Whisper (transcripción de audio), Moderation API (moderación de contenido)

— Tipo de datos: fragmentos del Contenido del Cliente, consultas de usuarios

— Nota: OpenAI garantiza que los datos enviados vía API no se usan para entrenar modelos (API usage policy)

— Política de privacidad: openai.com/policies/privacy

Anthropic PBC (EE.UU.)

— Servicio: modelo Claude Haiku (generación de respuestas, fallback)

— Tipo de datos: fragmentos del Contenido del Cliente, consultas de usuarios (únicamente cuando se activa el fallback)

— Política de privacidad: anthropic.com/legal/privacy

Google LLC — Gemini via OpenRouter (EE.UU.)

— Servicio: modelo Gemini 2.5 Flash (generación de respuestas, proveedor principal)

— Tipo de datos: fragmentos del Contenido del Cliente, consultas de usuarios

— Política de privacidad: policies.google.com/privacy

OpenRouter Inc. (EE.UU.)

— Servicio: puerta de acceso (API gateway) a modelos de IA de terceros

— Tipo de datos: prompts y respuestas de agentes

— Política de privacidad: openrouter.ai/privacy

Voyage AI Inc. (EE.UU.)

— Servicio: generación de embeddings vectoriales (voyage-large-2) y reranking semántico (reranker-v3)

— Tipo de datos: fragmentos de texto del Contenido del Cliente

— Política de privacidad: voyageai.com/privacy

Google LLC — Cloud Vision API (EE.UU.)

— Servicio: OCR (reconocimiento óptico de caracteres en imágenes)

— Tipo de datos: imágenes del Contenido del Cliente

— Política de privacidad: cloud.google.com/terms/data-processing-addendum

Deepgram Inc. (EE.UU.)

— Servicio: transcripción de audio (fallback a Whisper)

— Tipo de datos: archivos de audio del Contenido del Cliente

— Política de privacidad: deepgram.com/privacy

COMUNICACIÓN

Twilio / SendGrid (EE.UU.)

— Servicio: envío de correos electrónicos (OTP, notificaciones de sistema, alertas)

— Tipo de datos: direcciones de correo electrónico de usuarios, contenido de notificaciones

— Política de privacidad: twilio.com/legal/privacy

Meta Platforms (WhatsApp Business API) (EE.UU.)

— Servicio: canal de mensajería WhatsApp (cuando el Cliente configura el conector)

— Tipo de datos: mensajes de WhatsApp del Cliente y usuarios finales

— Política de privacidad: whatsapp.com/legal/privacy-policy-eea

Telegram Messenger (Emiratos Árabes Unidos / Internacional)

— Servicio: canal de mensajería Telegram (cuando el Cliente configura el bot)

— Tipo de datos: mensajes de Telegram del Cliente y usuarios finales

— Política de privacidad: telegram.org/privacy

PAGOS

Creem (jurisdicción variable)

— Servicio: procesamiento de pagos en LATAM

— Tipo de datos: información de facturación del Cliente (nombre, correo, importe)

— Nota: Kelova no almacena datos de tarjeta; son procesados directamente por Creem

Kelova notificará al Cliente con al menos 10 días de antelación cualquier cambio material en esta lista (adición de nuevos sub-procesadores o cambio de sub-procesadores existentes). El Cliente puede oponerse a los cambios notificando a Kelova en el plazo de 10 días; si la oposición es razonable y no puede resolverse, el Cliente puede terminar el Servicio sin penalización.

Kelova implementa las siguientes medidas de seguridad (artículo 32 GDPR, artículo 46 LGPD y equivalentes):

6.1 Cifrado:

— Datos en tránsito: TLS 1.2+ en todas las comunicaciones externas e internas.

— Credenciales de conectores en reposo: AES-256-GCM. La clave de cifrado se almacena en Google Secret Manager, separada de los datos cifrados.

— Contraseñas de usuarios: bcrypt con salt aleatorio.

— API keys del servidor MCP: bcrypt (se muestran solo una vez al generarse; si se pierden, se regeneran).

6.2 Control de acceso:

— Row-Level Security (RLS) en PostgreSQL: cada consulta incluye el identificador de tenant; PostgreSQL filtra automáticamente los datos de otros tenants. Kelova verifica el correcto funcionamiento del RLS en cada ciclo de integración continua.

— Autenticación con JWT (TTL: 8 horas).

— Autenticación en dos factores (2FA) disponible y recomendada para cuentas de administrador.

— Roles granulares: admin, member, viewer, api_user, con permisos diferentes.

6.3 Segregación de datos:

— Arquitectura multi-tenant con aislamiento lógico (schema + RLS) por tenant.

— Los datos de un tenant nunca son accesibles desde las cuentas de otro tenant.

6.4 Gestión de secretos:

— Variables de entorno y secretos almacenados en Google Secret Manager.

— Rotación periódica de claves de cifrado.

6.5 Monitoreo y auditoría:

— Logs de acceso operativo (sin contenido de preguntas/respuestas de agentes).

— Audit log de acciones de conectores con retención de 90 días.

— Alertas automáticas en caso de fallos de autenticación repetidos o comportamiento anómalo.

6.6 Minimización de datos:

— Los logs de consultas no incluyen el texto de la pregunta ni el contenido de la respuesta del agente, solo metadatos operativos (tenant, canal, duración, tokens, fuentes utilizadas).

6.7 Gestión de incidentes:

— Proceso documentado de respuesta a incidentes de seguridad.

— Obligación de notificación al Cliente en 72 horas desde la detección de una brecha que afecte sus datos.

Cuando un titular de datos personales (p. ej., un empleado del Cliente o un usuario final) ejerza sus derechos frente a Kelova (acceso, rectificación, supresión, portabilidad, oposición):

— Kelova notificará al Cliente en 5 días hábiles si la solicitud se refiere a datos del Contenido del Cliente, ya que el Cliente es el Responsable de dichos datos.

— Para datos de usuarios (correo, rol), Kelova puede atender directamente solicitudes de supresión o acceso, notificando al Cliente.

— El Cliente es responsable de gestionar los derechos de sus propios usuarios finales respecto al Contenido procesado por sus agentes.

Para solicitudes que afecten a datos para los que Kelova es Responsable (datos de la cuenta, facturación), Kelova responderá directamente dentro de los plazos legales.

En caso de brecha de seguridad que afecte a Datos Personales del Cliente:

1. Kelova notificará al administrador de la cuenta del Cliente en el plazo de 72 horas desde la detección de la brecha (salvo que la brecha no represente riesgo para los derechos de los titulares).

2. La notificación incluirá: descripción de la brecha, categorías y volumen aproximado de datos afectados, medidas adoptadas o propuestas para mitigar el impacto.

3. Kelova cooperará con el Cliente para que este pueda cumplir con su obligación de notificación a las autoridades de control y a los titulares afectados, si así lo requieren las leyes aplicables.

4. El Cliente notificará a Kelova cualquier brecha o incidente de seguridad que detecte en su lado que pueda afectar al Servicio.

Los sub-procesadores listados en la sección 5 operan principalmente en los Estados Unidos. Kelova adopta las siguientes salvaguardas para estas transferencias:

— Cláusulas Contractuales Estándar (SCCs) de la Comisión Europea con los sub-procesadores que lo requieran.

— Verificación de la adhesión de los sub-procesadores al EU-U.S. Data Privacy Framework cuando aplique.

— Para transferencias relevantes bajo LGPD, Ley 1581 u otras normativas LATAM, Kelova adopta las medidas equivalentes exigidas por cada normativa.

El Cliente, al aceptar este DPA, autoriza expresamente las transferencias internacionales necesarias para la prestación del Servicio, siempre que se adopten las salvaguardas descritas.

Durante la vigencia del contrato: Kelova conserva los Datos Personales del Cliente el tiempo necesario para prestar el Servicio.

Al finalizar el contrato: Kelova eliminará de forma segura el Contenido del Cliente (documentos indexados, embeddings, chunks) en un plazo de 30 días tras la terminación, salvo que el Cliente solicite un plazo diferente o que la ley exija una conservación más larga.

Confirmación de eliminación: el Cliente puede solicitar confirmación escrita de la eliminación enviando un correo a legal@kelova.app.

Copias de seguridad: las copias de seguridad automáticas pueden contener Datos Personales por un período adicional no superior a 90 días, período tras el cual se eliminan automáticamente.

Retención mínima legal: los datos de facturación se conservan por el período exigido por la legislación fiscal aplicable (7 años).

Este DPA tiene la misma duración que el contrato de servicio entre el Cliente y Kelova. Se termina automáticamente cuando se resuelven los Términos y Condiciones.

Las obligaciones de confidencialidad, seguridad y eliminación de datos superviven a la terminación del DPA durante el período de retención aplicable.

Para cualquier consulta relacionada con el procesamiento de datos o para solicitar un DPA firmado de forma bilateral:

Correo: legal@kelova.app

Asunto: "DPA — [nombre de tu empresa]"

Kelova responderá en un plazo de 10 días hábiles.