título: Política de Privacidad — Kelova versión: 1.0-DRAFT last_updated: 2026-05-15 status: pendiente_revisión_legal idioma_principal: es-LATAM controlador: ITProject41 producto: Kelova (kelova.app)

Política de Privacidad de Kelova

Aviso de borrador. Este documento es un borrador técnico preparado por el equipo de producto de Kelova para servir como base de la revisión legal. No constituye un instrumento jurídico definitivo hasta que sea revisado, ajustado y firmado por asesoría legal habilitada en El Salvador y, donde corresponda, en las jurisdicciones donde Kelova ofrezca el servicio.

Tabla de contenidos

1. Identidad del responsable y datos de contacto
2. Alcance, definiciones y rol como Controlador/Encargado
3. Datos personales que tratamos
4. Finalidades del tratamiento y bases legales
5. 🔐 Uso de datos obtenidos vía Google OAuth (Limited Use)
6. Compromiso de no entrenamiento de modelos
7. Subprocesadores y terceros con acceso
8. Transferencias internacionales de datos
9. Plazos de conservación
10. Medidas de seguridad
11. Derechos de los titulares
12. Cookies y tecnologías de rastreo
13. Menores de edad
14. Notificación de incidentes de seguridad
15. Cambios a esta Política
16. Cómo contactarnos / DPO
17. English summary

1. Identidad del responsable y datos de contacto

El responsable del tratamiento de datos personales descritos en esta Política es:

• Razón social: ITProject41
• Marca comercial: Kelova
• Dominio: https://kelova.app
• Domicilio fiscal: {{DIRECCIÓN_FISCAL_ITPROJECT41}}
• Representante legal: Jorge Ochoa — DUI {{NÚMERO_DUI_REPRESENTANTE}}
• Jurisdicción de constitución: República de El Salvador
• NIT / Tax ID: {{NIT_ITPROJECT41}}
• Correo de contacto general: info@itproject41.com
• Correo del responsable de privacidad (DPO/Encargado): privacy@kelova.app (redirige a {{CORREO_DPO_INTERNO}})

⚠️ REVISIÓN LEGAL: Confirmar si ITProject41 está formalmente constituida como persona jurídica salvadoreña o si opera como persona natural comerciante. Determinar si se requiere designar formalmente un Delegado de Protección de Datos (DPO) conforme al Decreto Legislativo N.º 144 (Ley de Protección de Datos Personales de El Salvador, vigente desde el 24 de noviembre de 2024) y al art. 37 GDPR. Kelova procesa datos a gran escala y datos potencialmente sensibles, por lo que el nombramiento parece recomendable.

2. Alcance, definiciones y rol como Controlador/Encargado

2.1 Alcance

Esta Política aplica al sitio web kelova.app, al panel de administración (app.kelova.app), a la API HTTP, al servidor MCP (Model Context Protocol) expuesto por Kelova y a cualquier integración oficial (Google Drive, Dropbox, OneDrive, WhatsApp, Telegram, widget web).

2.2 Definiciones operativas

• Cliente: persona jurídica o natural que contrata Kelova y representa al tenant (empresa) dentro del sistema.
• Usuario final / Titular: persona cuyos datos personales pueden estar contenidos en los documentos que el Cliente indexa, o que interactúan con los agentes IA del Cliente.
• Documento indexado: archivo (PDF, Word, Excel, hoja de Google, contenido extraído de Drive/Dropbox/OneDrive) que el Cliente sube o conecta a Kelova para que sea procesado.

2.3 Doble rol: Controlador y Encargado

Kelova tiene un doble rol según el tipo de dato:

⚠️ REVISIÓN LEGAL: Esta distinción es jurídicamente crítica. Implica que Kelova debe firmar un Data Processing Agreement (DPA) con cada Cliente donde Kelova actúa como Encargado. Confirmar plantilla de DPA y mecanismo de aceptación (¿cláusula incorporada por referencia en Términos? ¿Adendum firmado?). El DPA debe contemplar Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea para flujos UE → terceros países.

3. Datos personales que tratamos

3.1 Datos que Kelova recolecta directamente del Cliente (Controlador: Kelova)

3.2 Datos que Kelova procesa por cuenta del Cliente (Encargado: Kelova)

⚠️ REVISIÓN LEGAL: El contenido de documentos del Cliente puede incluir datos personales de terceros (empleados, clientes finales, proveedores del Cliente) y eventualmente datos sensibles (salud, sindicalización, opiniones políticas). Kelova no controla qué sube el Cliente. El Cliente es el Controlador y debe contar con base legal propia. Esto se refleja en el DPA y en la cláusula de garantías del Cliente en los Términos.

3.3 Datos que NO recolectamos

• No realizamos web scraping general de Internet.
• No compramos bases de datos de marketing.
• No accedemos a fuentes Google Drive distintas a las carpetas que el Cliente seleccione explícitamente al configurar el conector.
• No leemos los correos del Cliente en Gmail; no solicitamos scope gmail.

4. Finalidades del tratamiento y bases legales

⚠️ REVISIÓN LEGAL: Confirmar que la base legal por interés legítimo (F4, F8) queda respaldada por un Legitimate Interest Assessment (LIA) documentado, al menos para los flujos UE.

5. 🔐 Uso de datos obtenidos vía Google OAuth (Limited Use)

🔐 GOOGLE OAUTH: Esta sección está redactada para satisfacer los requisitos de la Google API Services User Data Policy y, en particular, del Limited Use requirement aplicable a los restricted scopes (incluido https://www.googleapis.com/auth/drive.readonly). Esta sección no debe ser modificada sin pasar por una nueva verificación con Google.

5.1 Scopes que solicitamos

Cuando un Cliente conecta su Google Drive como fuente de ingesta, Kelova solicita exclusivamente los siguientes scopes mínimos:

• https://www.googleapis.com/auth/drive.readonly — para leer archivos y carpetas que el Cliente seleccione.
• https://www.googleapis.com/auth/userinfo.email — para identificar la cuenta conectada.
• openid profile — autenticación estándar.

No solicitamos scopes de escritura, Gmail, Calendar, Contacts u otros.

5.2 Compromiso "Limited Use" de Kelova

El uso por parte de Kelova de la información recibida desde APIs de Google se adhiere a la Google API Services User Data Policy, incluyendo los requisitos de Limited Use. En particular, Kelova compromete que:

1. Uso restringido a funciones visibles del producto. Solo utilizamos datos de Google para proveer o mejorar funcionalidades visibles al Cliente en la interfaz de Kelova (indexación de los documentos seleccionados y respuesta de los agentes IA del Cliente).
2. No transferencia con fines de publicidad. No transferimos datos obtenidos de Google a terceros con fines de publicidad personalizada, ni a corredores de datos, ni para evaluación crediticia.
3. No publicidad propia. No usamos datos de Google para mostrar publicidad, ni con fines distintos a los explícitamente aceptados por el Cliente.
4. No lectura humana. Los empleados de Kelova no leen el contenido de los archivos del Cliente provenientes de Google Drive, salvo: (a) consentimiento afirmativo previo del Cliente para un archivo específico; (b) requerimiento legal vinculante; (c) operaciones internas estrictamente necesarias para seguridad (p. ej. respuesta a incidente) y de manera registrada y auditada.
5. No entrenamiento. No usamos datos de Google para entrenar modelos generalizados de inteligencia artificial. Véase la Sección 6.
6. Almacenamiento mínimo. Solo almacenamos los archivos seleccionados por el Cliente y sus representaciones derivadas (texto extraído, chunks y embeddings) necesarias para servir las consultas del Cliente.

5.3 Revocación

El Cliente puede revocar en cualquier momento el acceso de Kelova a su Google Drive desde:

• La sección Fuentes → Desconectar del panel de Kelova, o
• La página https://myaccount.google.com/permissions de su cuenta Google.

Tras la revocación, Kelova interrumpe nuevas sincronizaciones de manera inmediata y elimina las credenciales OAuth de su almacén cifrado dentro de un plazo máximo de 30 días naturales. Los chunks y embeddings derivados se eliminan según las reglas de retención de la Sección 9.

6. Compromiso de no entrenamiento de modelos

Kelova no entrena, ni reentrena, ni fine-tunea ningún modelo de lenguaje, modelo de embeddings o modelo de machine learning con el contenido de los documentos del Cliente, con las consultas de los usuarios finales del Cliente, ni con las respuestas generadas para el Cliente.

Adicionalmente, Kelova exige a sus proveedores de modelos (OpenAI vía API empresarial, Anthropic API, OpenRouter, Voyage AI) configuraciones de zero-retention o no-training cuando estas están disponibles. Cuando una API ofrezca abuse monitoring con retención corta y opt-out de entrenamiento (p. ej. OpenAI API, Anthropic API), Kelova utiliza el opt-out por defecto.

⚠️ REVISIÓN LEGAL: Verificar que los términos comerciales vigentes con cada proveedor de LLM confirmen este compromiso por escrito (DPA o equivalente). Conservar evidencia.

7. Subprocesadores y terceros con acceso

Kelova contrata a los siguientes proveedores ("subprocesadores") para prestar el servicio. La lista vigente se publicará en https://kelova.app/subprocessors y se notificará al Cliente con al menos 30 días de anticipación cualquier alta o sustitución.

⚠️ REVISIÓN LEGAL: Confirmar lista final y firmar DPA con cada subprocesador. Documentar la base de transferencia internacional de cada uno (SCCs UE, decisión de adecuación, consentimiento, etc.).

8. Transferencias internacionales de datos

Los datos del Cliente se procesan principalmente en Estados Unidos (región us-west1 de Google Cloud, y EE. UU. para los proveedores de LLM y embeddings). Esto implica una transferencia internacional para Clientes ubicados en la Unión Europea, Reino Unido, Suiza, México, Colombia y otros países con régimen de transferencia restringido.

Bases para la transferencia:

• UE/EEE/Reino Unido: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914) en su versión vigente, más evaluaciones de transferencia (TIA) cuando aplique.
• México (LFPDPPP): consentimiento informado del Cliente y cláusulas contractuales con el responsable.
• Colombia (Ley 1581): autorización del titular y cláusulas contractuales conforme al Decreto 1377/2013.
• El Salvador (Decreto 144/2024): cumplimiento del régimen de transferencia internacional previsto en la ley, con garantías contractuales adecuadas. {{VERIFICAR: artículo aplicable del Decreto 144}}
• Argentina (Ley 25.326): consentimiento del titular y cláusulas contractuales tipo.

⚠️ REVISIÓN LEGAL: Para Clientes UE, confirmar texto exacto de las SCCs en el DPA y, si aplica, completar Transfer Impact Assessment considerando la legislación de vigilancia estadounidense (FISA 702, EO 12333) tras Schrems II. Considerar también la adhesión al EU-U.S. Data Privacy Framework de Google Cloud, OpenAI y otros si está activa.

9. Plazos de conservación

Tras la terminación del contrato, los datos del Cliente se eliminan en un plazo de 30 días naturales, salvo obligación legal de conservación.

10. Medidas de seguridad

Kelova implementa medidas técnicas y organizativas razonables, entre ellas:

• Aislamiento multi-tenant mediante Row-Level Security (RLS) de PostgreSQL: cada consulta lleva tenant_id en contexto, y la base de datos rechaza queries sin él.
• Cifrado en reposo AES-256-GCM para credenciales sensibles de conectores; cifrado de disco para la base de datos gestionado por Supabase.
• Cifrado en tránsito TLS 1.2+ obligatorio en todas las APIs.
• Hashing de contraseñas con bcrypt (factor de costo ≥ 12).
• Hashing de API keys MCP con bcrypt; la raw key se muestra una sola vez al Cliente.
• Principio de mínimo privilegio en accesos internos y secretos.
• Logs sin contenido sensible: las consultas y respuestas no se registran en texto plano (regla interna R8).
• MFA opcional para administradores del Cliente; obligatorio para el equipo interno de Kelova con acceso a producción.
• Monitorización de actividad anómala y alerting automatizado.

Kelova no afirma estar certificada bajo SOC 2, ISO 27001, HIPAA, ni otros marcos de certificación. Estas certificaciones son parte del roadmap del producto pero no están vigentes.

⚠️ REVISIÓN LEGAL: Nunca afirmar certificaciones que no estén vigentes. Si en el futuro se obtienen, actualizar esta sección y publicar evidencia.

11. Derechos de los titulares

Los titulares tienen los siguientes derechos sobre sus datos personales:

11.1 GDPR (UE/EEE/Reino Unido)

• Acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento, portabilidad, oposición, no ser objeto de decisiones automatizadas con efectos jurídicos.
• Retiro del consentimiento en cualquier momento.
• Presentar reclamo ante la autoridad de control competente del país de residencia.

11.2 México (LFPDPPP) — Derechos ARCO

• Acceso, Rectificación, Cancelación, Oposición.
• Revocación del consentimiento.

11.3 Colombia (Ley 1581)

• Conocer, actualizar, rectificar, suprimir, revocar autorización, ser informado del uso, presentar quejas ante la SIC.

11.4 Argentina (Ley 25.326)

• Acceso, rectificación, actualización, supresión. Reclamos ante la AAIP.

11.5 California (CCPA/CPRA)

• Right to know, right to delete, right to correct, right to opt-out of sale/sharing, right to limit use of sensitive personal information, right to non-discrimination.
• Kelova declara que no vende datos personales en el sentido del CCPA.

11.6 El Salvador (Decreto Legislativo N.º 144 / 2024)

• Derechos reconocidos en el régimen salvadoreño de protección de datos personales vigente desde el 24 de noviembre de 2024, supervisado por la Agencia de Ciberseguridad del Estado (ACE). {{VERIFICAR: catálogo exacto de derechos y plazos del Decreto 144}}

11.7 Cómo ejercer los derechos

• Si eres Cliente directo de Kelova: envía la solicitud a privacy@kelova.app desde el correo registrado. Responderemos en un plazo máximo de 30 días naturales (prorrogables conforme a la norma aplicable).
• Si eres usuario final cuyos datos están en documentos de un Cliente: Kelova actúa como Encargado. Debes dirigir tu solicitud al Cliente (Controlador). Kelova reenviará al Cliente cualquier solicitud que reciba directamente y cooperará para atenderla.

⚠️ REVISIÓN LEGAL: Definir flujo operativo (ticketing) y plantillas de respuesta. Confirmar que el plazo de 30 días cubre todos los regímenes (algunos exigen 15 o 20 días hábiles).

12. Cookies y tecnologías de rastreo

Kelova usa cookies estrictamente necesarias para autenticación del panel y para preferencias del usuario. No usamos cookies publicitarias.

Categorías:

• Estrictamente necesarias: sesión JWT, CSRF, idioma preferido.
• Analíticas (opt-in): {{HERRAMIENTA_ANALYTICS_SI_APLICA}} con IP anonimizada. Si no se activa, no se usa.
• Publicitarias: no se usan.

⚠️ REVISIÓN LEGAL: Si se usa cualquier analytics, activar banner de consentimiento conforme a ePrivacy/GDPR para visitantes de la UE.

13. Menores de edad

Kelova es un servicio B2B dirigido exclusivamente a personas mayores de edad que actúan en representación de una empresa u organización. No está dirigido a menores de 18 años y no recolectamos conscientemente datos de menores. Si detectamos datos de menores en los documentos indexados, el Cliente es responsable de la base legal correspondiente.

14. Notificación de incidentes de seguridad

En caso de una violación de seguridad de datos personales que represente un riesgo para los derechos y libertades de los titulares, Kelova notificará:

• A los Clientes afectados, sin demora indebida, dentro de un plazo máximo de 72 horas desde la detección.
• A las autoridades de control competentes, conforme a la legislación aplicable (GDPR art. 33; régimen salvadoreño; LFPDPPP; etc.).

La notificación incluirá naturaleza del incidente, categorías y volumen aproximado de datos afectados, medidas adoptadas y puntos de contacto.

15. Cambios a esta Política

Kelova podrá modificar esta Política. Los cambios materiales se notificarán al Cliente con al menos 30 días de anticipación a través del correo de la cuenta y del panel. La fecha de última actualización aparece al inicio. Las versiones anteriores quedarán disponibles en https://kelova.app/legal/privacy/changelog.

16. Cómo contactarnos / DPO

• Correo de privacidad: privacy@kelova.app
• Correo legal general: legal@kelova.app (redirige a {{CORREO_LEGAL_ITPROJECT41}})
• Dirección postal: {{DIRECCIÓN_FISCAL_ITPROJECT41}}
• Representante en la UE (si aplica): {{REPRESENTANTE_UE_NOMBRE_Y_DIRECCIÓN}}

⚠️ REVISIÓN LEGAL: Si Kelova ofrece el servicio a Clientes con titulares en la UE/EEE sin establecimiento allí, art. 27 GDPR exige un representante en la Unión. Evaluar contratación con un proveedor tercero (e.g., DataRep, EDPO).

17. English summary

This is a non-binding English summary. In case of discrepancy, the Spanish version above prevails.

Kelova (operated by ITProject41, El Salvador) is a B2B SaaS that indexes the customer's documents and exposes them as an MCP server for AI agents.

• Roles. Kelova is Data Controller for customer account data and Data Processor for the customer's documents and end-user query logs.
• Google OAuth Limited Use. Kelova's use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements. Data obtained via drive.readonly is used solely to power user-facing indexing and retrieval features within Kelova, is never used for advertising, is never sold or transferred to data brokers, is not read by humans (except with affirmative consent, for security, or to comply with the law), and is not used to train, retrain or fine-tune generalized AI models.
• No training. Kelova does not train AI models with customer content or end-user queries. LLM and embeddings providers are configured for zero-retention / no-training where supported.
• Subprocessors. Google Cloud, Supabase, Vercel, Cloudflare, Upstash, Voyage AI, OpenAI, Anthropic, OpenRouter, Resend/SendGrid, GitHub.
• International transfers. Hosting in us-west1 (USA). EU transfers rely on Standard Contractual Clauses.
• Rights. GDPR, CCPA/CPRA, LFPDPPP (Mexico), Ley 1581 (Colombia), Ley 25.326 (Argentina), and El Salvador's Personal Data Protection Law (Decree 144 of 2024) rights are honored. Contact privacy@kelova.app.
• Security. Multi-tenant Row-Level Security, AES-256-GCM at rest for sensitive credentials, TLS in transit, bcrypt for passwords and API keys, no logging of query content.
• Breach notification. Within 72 hours of detection.

— End of document —