Política de Privacidad

Kelova (en adelante "Kelova", "nosotros") es el responsable del tratamiento de los datos personales descritos en esta Política.

Contacto de privacidad: legal@kelova.app

Domicilio: El Salvador

Esta Política aplica a la plataforma SaaS Kelova (kelova.app), incluyendo el panel de administración, el sitio de marketing, las páginas de demostración y cualquier widget o canal de comunicación operado por Kelova.

Rol dual. Kelova actúa como:

(a) Responsable respecto a los datos de los administradores y usuarios de la plataforma (registro, facturación, soporte).

(b) Procesador respecto al Contenido indexado por cada empresa cliente. En ese caso, el cliente es el Responsable y el Acuerdo de Procesamiento de Datos (DPA) rige dicha relación.

Recopilamos los siguientes datos personales:

2.1 Datos de registro de la empresa:

— Nombre legal de la empresa

— Identificación fiscal (RUT, CUIT, NIT, RFC u equivalente según el país)

— Correo electrónico del administrador y de facturación

— País y zona horaria

2.2 Datos de usuarios:

— Dirección de correo electrónico

— Rol asignado dentro de la plataforma (admin, member, viewer, api_user)

— Configuración de autenticación en dos factores (2FA)

— Fecha y hora de último acceso

2.3 Datos de uso y operativos:

— Métricas de uso: número de documentos indexados, consultas realizadas, fuentes activas

— Tipo y origen de consultas (canal: web, WhatsApp, Telegram, MCP) sin registrar el contenido de la pregunta ni de la respuesta

— Eventos de sincronización y estado de las fuentes de datos

2.4 Datos de pago:

— Historial de planes contratados

— Excedentes facturables

— El procesamiento del pago en sí es realizado por el proveedor de pagos (Creem); Kelova no almacena números de tarjeta.

2.5 Datos de soporte:

— Correspondencia de soporte (correo electrónico)

2.6 Datos técnicos:

— Dirección IP (para rate limiting y seguridad), no almacenada con fines de perfilamiento

— Tokens JWT de sesión (almacenados en cookie HttpOnly y/o localStorage del navegador)

— Logs de acceso con fines de seguridad y auditoría

2.7 Contenido del Cliente (procesado, no recopilado):

Kelova procesa documentos, archivos y mensajes que el cliente indexa (PDFs, DOCX, mensajes de WhatsApp, etc.). Este contenido puede incluir datos personales de terceros. Kelova actúa como procesador de datos en este caso y no determina los fines de su tratamiento.

| Finalidad | Base legal |

— Prestación del Servicio (indexación, agentes, MCP) → Ejecución del contrato

— Facturación y cobros → Ejecución del contrato / Obligación legal

— Autenticación y seguridad → Interés legítimo / Ejecución del contrato

— Envío de notificaciones operativas (sync fallido, límites de plan) → Ejecución del contrato

— Análisis de uso agregado para mejorar la plataforma → Interés legítimo

— Cumplimiento de obligaciones legales (p. ej., respuesta a autoridades) → Obligación legal

— Comunicaciones comerciales sobre actualizaciones o nuevos planes → Consentimiento (con opción de baja)

Para los países donde aplica la LGPD brasileña, la Ley 1581 colombiana, la LPDP salvadoreña u otras leyes similares, el tratamiento se basa en las bases legales equivalentes establecidas por cada normativa.

Kelova utiliza los siguientes proveedores externos ("sub-procesadores") para prestar el Servicio. Todos están sujetos a contratos de procesamiento de datos adecuados:

Infraestructura y base de datos:

— Supabase (PostgreSQL, almacenamiento de archivos) — Estados Unidos

— Upstash (caché Redis) — Estados Unidos

— Google Cloud Run (cómputo backend) — Estados Unidos / us-west1

— Vercel (alojamiento frontend) — Estados Unidos

— Cloudflare (DNS, CDN) — Estados Unidos

Inteligencia Artificial:

— OpenAI (modelos de lenguaje GPT-4o-mini, embeddings, transcripción Whisper, moderación de contenido) — Estados Unidos

— Anthropic (modelo Claude Haiku, fallback) — Estados Unidos

— Google (modelo Gemini vía OpenRouter, Cloud Vision OCR) — Estados Unidos

— Voyage AI (embeddings y reranking semántico) — Estados Unidos

— OpenRouter (puerta de acceso a modelos de IA) — Estados Unidos

— Deepgram (transcripción de audio, fallback) — Estados Unidos

Comunicación:

— SendGrid / Twilio (envío de correos electrónicos: OTP, notificaciones) — Estados Unidos

— WhatsApp Business API / Meta (canal de mensajería) — Estados Unidos

— Telegram (canal de mensajería) — Emiratos Árabes Unidos / Internacional

Pagos:

— Creem (procesamiento de pagos en LATAM) — varía según jurisdicción

La lista actualizada de sub-procesadores se mantiene en kelova.app/legal/dpa. Kelova notificará los cambios materiales en la lista con al menos 10 días de antelación.

La mayoría de los sub-procesadores de Kelova operan en los Estados Unidos. Al utilizar el Servicio, los datos de los usuarios y el Contenido del Cliente pueden ser transferidos y procesados fuera del país de origen del Cliente.

Kelova adopta las siguientes salvaguardas para estas transferencias:

— Cláusulas contractuales estándar (SCCs) con sub-procesadores que así lo requieran.

— Verificación de que los sub-procesadores cumplan con marcos equivalentes al GDPR (EU-U.S. Data Privacy Framework, cuando aplique).

— Para empresas en países con legislación específica (Brasil/LGPD, Colombia/Ley 1581, El Salvador/LPDP), Kelova adopta las medidas adicionales que dichas leyes exigen.

Los datos se conservan durante los siguientes períodos:

Datos de cuenta (empresa y usuarios): mientras la cuenta esté activa, más 30 días adicionales tras la terminación para permitir la exportación.

Datos de facturación y transacciones: 7 años (requisito legal fiscal de El Salvador y LATAM).

Logs de consultas (metadata operativa): 90 días. Kelova no registra el contenido de las preguntas ni de las respuestas de los agentes.

Contenido del Cliente (documentos indexados): hasta que el Cliente los elimine o hasta 30 días después de la terminación del contrato, momento en que se eliminan de forma segura.

Logs de auditoría de conectores: 90 días.

Correspondencia de soporte: 2 años.

Kelova puede conservar datos por períodos más largos cuando sea necesario para cumplir con obligaciones legales o resolver disputas pendientes.

Conforme a la LPDP de El Salvador, LGPD (Brasil), Ley 1581 (Colombia), Ley 25.326 (Argentina), Ley 29733 (Perú) y normativas equivalentes, los titulares de datos personales tienen los siguientes derechos:

Acceso: solicitar confirmación sobre si tratamos sus datos y obtener una copia.

Rectificación: solicitar la corrección de datos inexactos o incompletos.

Cancelación / Supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios o se retire el consentimiento.

Oposición: oponerse al tratamiento en determinados supuestos (p. ej., comunicaciones comerciales).

Portabilidad: recibir sus datos en formato estructurado y legible por máquina (donde aplique).

Limitación: solicitar la restricción del tratamiento en determinadas circunstancias.

Cómo ejercer sus derechos: envíe un correo a legal@kelova.app con asunto "Ejercicio de derechos ARCO" indicando el derecho que desea ejercer y su identificación. Responderemos en un plazo máximo de 20 días hábiles.

Nota para usuarios del Contenido del Cliente: si sus datos personales están contenidos en documentos indexados por una empresa cliente de Kelova, dicha empresa es el Responsable. Diríjase directamente a ella para ejercer sus derechos.

Kelova implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:

Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.

Cifrado en reposo: credenciales de conectores (tokens OAuth, API keys de terceros) cifradas con AES-256-GCM. Contraseñas de usuarios almacenadas con bcrypt.

Aislamiento por tenant: Row-Level Security (RLS) en PostgreSQL garantiza que cada empresa solo accede a sus propios datos. El aislamiento se verifica en cada ciclo de CI/CD.

Autenticación: JWT con TTL de 8 horas, autenticación en dos factores disponible. OTP por correo electrónico para login sin contraseña.

Moderación de contenido: OpenAI Moderation API analiza el contenido indexado para detectar material prohibido.

Gestión de secretos: las claves de cifrado y credenciales de infraestructura se almacenan en Google Secret Manager, no en variables de entorno ni código fuente.

Rate limiting: límites de solicitudes por tenant para prevenir abuso.

Logs sin contenido sensible: los logs operativos no incluyen el contenido de las preguntas ni de las respuestas de los agentes.

Ningún sistema es 100% seguro. En caso de brecha de seguridad que afecte datos personales, Kelova notificará a los clientes afectados en un plazo máximo de 72 horas desde su detección, conforme a las leyes aplicables.

Kelova utiliza cookies y tecnologías de almacenamiento local. El detalle completo figura en nuestra Política de Cookies disponible en kelova.app/legal/cookies.

En resumen: utilizamos cookies técnicas esenciales (token de sesión JWT) sin las cuales la plataforma no funciona, y cookies de análisis agregado (Vercel Analytics, sin identificación individual). No utilizamos cookies de publicidad ni de seguimiento entre sitios.

El Servicio está dirigido exclusivamente a personas jurídicas (empresas) y a profesionales mayores de 18 años. Kelova no recopila conscientemente datos personales de menores de edad. Si tienes conocimiento de que un menor ha proporcionado datos a través de la plataforma, contáctanos en legal@kelova.app para proceder a su eliminación.

Kelova puede actualizar esta Política periódicamente. Los cambios materiales se notificarán por correo electrónico al administrador de la cuenta y/o mediante aviso en la plataforma con al menos 30 días de antelación. La fecha de "última actualización" al inicio del documento indica cuándo se realizaron los últimos cambios.

Para cualquier consulta sobre esta Política o el ejercicio de derechos:

Correo: legal@kelova.app

Asunto recomendado: "Privacidad — [tu consulta]"

Si considera que el tratamiento de sus datos no se ajusta a la normativa aplicable, tiene derecho a presentar una reclamación ante la autoridad de protección de datos de su país (en El Salvador: Instituto de Acceso a la Información Pública / autoridad competente según la LPDP; en Brasil: ANPD; en Colombia: Superintendencia de Industria y Comercio; etc.).