Contrato de encargo de tratamiento (DPA)

Última actualización: 14 de julio de 2026

Contrato de encargo de tratamiento (DPA)

conforme al art. 28, apdo. 3 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, RGPD)

entre

el usuario del servicio Aegis, incluida la extensión de Chrome y la demo del sitio web (en adelante, el «Responsable»)

y

Kaino GmbH
Grabenweg 68, 4.ª planta E5_2
6020 Innsbruck, Austria
N.º de IVA (UID): ATU77867578 · N.º de registro mercantil (FN): 573644w
Correo electrónico: aegis@kaino.io
(en adelante, el «Encargado»)

(en adelante, conjuntamente, las «Partes»)

§ 1 Objeto y duración del tratamiento

1.1 Objeto

Este contrato regula los derechos y obligaciones de las Partes en relación con el tratamiento de datos personales por el Encargado por cuenta del Responsable. Concreta las obligaciones en materia de protección de datos de las Partes derivadas del uso del servicio Aegis, incluidos todos los planes (FREE, PLUS, PRO y ENTERPRISE), así como la demo del sitio web ofrecida en la página de producto («Try It»).

El Encargado trata los datos personales exclusivamente por encargo y siguiendo instrucciones documentadas del Responsable (art. 28, apdo. 3, letra a del RGPD), salvo que esté obligado a tratarlos en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto. En tal caso, el Encargado informará al Responsable de esa exigencia legal antes del tratamiento, salvo que el Derecho aplicable prohíba tal comunicación por razones importantes de interés público.

1.2 Duración

Para los suscriptores, este contrato entra en vigor con la contratación de la suscripción (Aegis PLUS o Aegis PRO) y termina automáticamente con la finalización de la suscripción, cualquiera que sea el motivo. Para el uso de la demo del sitio web, este contrato entra en vigor con la subida de un documento y termina al concluir el tratamiento correspondiente. Las obligaciones derivadas de los §§ 5, 7, 8 y 10 subsisten tras la finalización del contrato, quedando el derecho de auditoría del § 8 limitado a 60 días desde la finalización del contrato.

§ 2 Naturaleza y finalidad del tratamiento

2.1 Finalidad

Reconocimiento y seudonimización de datos personales en documentos del Responsable mediante un tratamiento asistido por IA, antes de que dichos documentos se transmitan a plataformas de chat de IA (como ChatGPT, Claude o Gemini).

2.2 Naturaleza del tratamiento

2.3 Ninguna conservación

El Encargado no almacena los contenidos de los documentos después del tratamiento. El tratamiento se realiza exclusivamente en memoria (In-Memory-Processing). Tras la devolución del resultado, todos los datos de los documentos se eliminan de inmediato.

2.4 Ningún entrenamiento de modelos

Los contenidos de los documentos no se utilizan para entrenar o mejorar modelos de IA, ni por el Encargado ni por los subencargados mencionados en el § 6.1.

§ 3 Tipos de datos personales y categorías de interesados

3.1 Tipos de datos personales

Los documentos del Responsable pueden contener, en particular, las siguientes categorías de datos personales:

Categorías especiales de datos personales (art. 9 del RGPD): El Responsable es responsable de que el tratamiento de categorías especiales de datos personales (p. ej., datos de salud, datos biométricos) solo se lleve a cabo cuando exista una base jurídica conforme al art. 9, apdo. 2 del RGPD. El Encargado no puede determinar técnicamente por adelantado la presencia de tales datos.

3.2 Categorías de interesados

En función de los documentos del Responsable, pueden verse afectados:

§ 4 Obligaciones del Responsable

El Responsable es el único responsable de la licitud del tratamiento de los datos personales. En particular, garantiza:

  1. que dispone de una base jurídica adecuada para la transmisión de datos personales de terceros al Encargado (p. ej., art. 6, apdo. 1, letra f del RGPD: interés legítimo en la seudonimización);
  2. que ha informado a los interesados sobre el tratamiento, en la medida en que ello sea exigible y jurídicamente necesario (art. 13 y 14 del RGPD);
  3. que ha evaluado de forma autónoma los riesgos para los derechos y libertades de los interesados antes de la transmisión;
  4. que las instrucciones dadas al Encargado son conformes con el RGPD.

§ 5 Obligaciones del Encargado

5.1 Sujeción a instrucciones

El Encargado trata los datos personales exclusivamente siguiendo instrucciones documentadas del Responsable (inclusive con respecto a las transferencias de datos personales a un tercer país o a una organización internacional), salvo que esté obligado a tratarlos en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto (art. 28, apdo. 3, letra a del RGPD).

El uso del servicio Aegis conforme a los términos de uso vigentes constituye la instrucción documentada del Responsable. Las instrucciones individuales adicionales requieren forma escrita (basta el correo electrónico) dirigida a aegis@kaino.io.

5.2 Confidencialidad

El Encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de secreto legal adecuada (art. 28, apdo. 3, letra b del RGPD).

5.3 Medidas técnicas y organizativas

El Encargado adopta todas las medidas técnicas y organizativas exigidas por el art. 32 del RGPD para garantizar un nivel de protección adecuado al riesgo. Las medidas se describen en el anexo 1 (al final de este contrato).

5.4 Asistencia al Responsable

El Encargado asiste al Responsable, teniendo en cuenta la naturaleza del tratamiento:

  1. en el cumplimiento de la obligación de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD (art. 28, apdo. 3, letra e del RGPD);
  2. en el cumplimiento de las obligaciones establecidas en los art. 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de la seguridad de los datos personales, evaluación de impacto relativa a la protección de datos, consulta previa) (art. 28, apdo. 3, letra f del RGPD).

5.5 Notificación de violaciones de la seguridad de los datos

El Encargado informará al Responsable sin dilación indebida después de tener conocimiento de una violación de la seguridad de los datos personales (art. 33, apdo. 2 del RGPD). La notificación contendrá como mínimo:

La notificación se realizará por correo electrónico a la dirección de correo electrónico del Responsable registrada en la suscripción. Para los usuarios de la demo del sitio web cuya dirección de correo electrónico no sea conocida por el Encargado, la notificación se realizará mediante publicación en el sitio web del Encargado.

5.6 Información sobre instrucciones ilícitas

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos (art. 28, apdo. 3, párrafo segundo del RGPD).

§ 6 Subencargados

6.1 Subencargados autorizados

El Responsable otorga por la presente al Encargado una autorización general por escrito para recurrir a los siguientes subencargados (art. 28, apdo. 2 del RGPD):

SubencargadoFinalidadUbicación
OVHCloud SAS, Roubaix, FranciaSeudonimización asistida por IA y procesamiento OCR de contenidos de documentos (Zero Data Retention)UE (Francia)
Scaleway SAS, París, FranciaSeudonimización asistida por IA y procesamiento OCR de contenidos de documentos (Zero Data Retention)UE (Francia)
Hetzner Online GmbH, Gunzenhausen, AlemaniaAlojamiento de servidores e infraestructura de la API (aegis.kaino.io), alojamiento del sitio web y procesamiento de las subidas de documentos de la demoAlemania

El Encargado ha celebrado con todos los subencargados contratos conforme al art. 28, apdo. 4 del RGPD que les imponen las mismas obligaciones de protección de datos que las establecidas en este contrato.

6.2 Cambios de subencargados

El Encargado informará previamente al Responsable de cualquier incorporación o sustitución prevista de subencargados y dará al Responsable la posibilidad de formular objeciones contra dichos cambios (art. 28, apdo. 2 del RGPD).

La información se facilitará mediante la actualización de la lista de subencargados en el sitio web del Encargado (política de privacidad, apartado 12), así como por correo electrónico al Responsable, al menos 30 días antes del cambio previsto.

Si el Responsable formula una objeción fundada en un plazo de 30 días desde la notificación, las Partes procurarán alcanzar una solución de mutuo acuerdo. Si no puede alcanzarse un acuerdo, el Responsable dispondrá de un derecho de resolución extraordinaria de la suscripción.

6.3 Ninguna transferencia a terceros países

Todo el procesamiento de documentos se realiza exclusivamente dentro de la UE/del EEE. El Encargado no transmite contenidos de documentos a terceros países.

§ 7 Supresión y devolución de datos

7.1 Durante el tratamiento

Los contenidos de los documentos se eliminan de forma inmediata y automática una vez concluida la seudonimización. No se produce ninguna conservación permanente de contenidos de documentos.

7.2 Tras la finalización del contrato

El Encargado suprimirá, en un plazo de 30 días desde la finalización de la suscripción, todos los datos personales relacionados con el encargo de tratamiento, salvo que el Derecho de la Unión o del Estado miembro exija su conservación (art. 28, apdo. 3, letra g del RGPD).

Dado que no se conservan contenidos de documentos de forma permanente, la supresión se limita a:

§ 8 Derechos de control y auditoría

8.1 Derecho de auditoría del Responsable

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD y permitirá y contribuirá a las auditorías (incluidas las inspecciones) realizadas por el Responsable o por un auditor mandatado por este (art. 28, apdo. 3, letra h del RGPD).

8.2 Realización

Las auditorías se realizarán en las siguientes condiciones:

  1. Anuncio por escrito con al menos 30 días de antelación (basta el correo electrónico)
  2. Realización durante el horario comercial habitual
  3. El auditor está obligado a respetar la confidencialidad
  4. La auditoría no puede perjudicar de forma desproporcionada la actividad del Encargado
  5. Como máximo una auditoría por año natural, salvo que un motivo concreto exija una auditoría adicional

8.3 Acreditación

El Encargado también puede acreditar el cumplimiento de sus obligaciones mediante la presentación de un certificado vigente, un informe de auditoría o un extracto del mismo, emitido por un auditor independiente.

§ 9 Responsabilidad

La responsabilidad de las Partes se rige por el art. 82 del RGPD. En lo demás se aplican las disposiciones generales de responsabilidad de los términos de uso de Aegis.

§ 10 Disposiciones finales

10.1 Prevalencia

En caso de contradicción entre este DPA y otros acuerdos entre las Partes (incluidos los términos de uso), este DPA prevalecerá en lo relativo a la protección de datos personales.

10.2 Modificaciones

Las modificaciones de este contrato requieren forma de texto. Las modificaciones sustanciales se comunicarán al Responsable al menos 30 días antes de su entrada en vigor. Si el Responsable no formula objeciones en un plazo de 30 días desde la notificación, la modificación se considerará aceptada.

10.3 Derecho aplicable y fuero

Este contrato se rige por el Derecho austriaco. El fuero competente es Innsbruck, Austria, en la medida en que la ley lo permita.

10.4 Cláusula de salvaguarda

Si alguna disposición de este contrato fuera ineficaz o inaplicable, las demás disposiciones no se verán afectadas. La disposición ineficaz se sustituirá por una eficaz que se aproxime lo más posible a la finalidad económica.

Anexo 1: Medidas técnicas y organizativas (art. 32 del RGPD)

Kaino GmbH no opera centros de datos propios. Las medidas de seguridad física (control de acceso, suministro eléctrico, protección contra incendios, climatización) las garantizan los proveedores de infraestructura Hetzner Online GmbH (Alemania, ISO 27001), OVHCloud SAS (Francia, ISO 27001) y Scaleway SAS (Francia, ISO 27001). En cuanto a sus medidas técnicas y organizativas, remitimos a:

Kaino GmbH es responsable de las siguientes medidas del lado de la aplicación:

1. Tratamiento transitorio (característica de seguridad esencial)

Los contenidos de los documentos se tratan exclusivamente en memoria (In-Memory-Processing) y se descartan de inmediato tras la devolución del resultado. No se produce ninguna conservación permanente de contenidos de documentos. Este principio de arquitectura elimina riesgos esenciales de la conservación de datos: en caso de fallo del sistema no se pierden datos de documentos, porque no hay ninguno almacenado. El principio de Zero Data Retention se aplica de forma continua a lo largo de toda la cadena de tratamiento, incluidos los subencargados OVHCloud y Scaleway.

Minimización de datos mediante preprocesamiento basado en reglas: Antes de la transmisión al tratamiento asistido por IA, Kaino GmbH realiza del lado del servidor un preprocesamiento basado en reglas en el que los datos personales ya reconocidos (p. ej., nombres, direcciones de correo electrónico, números de teléfono) se sustituyen por marcadores de posición. Los contenidos transmitidos a los modelos de IA ya están, por tanto, parcialmente seudonimizados, con lo que la cantidad de datos personales tratados por los subencargados se reduce al mínimo técnicamente necesario.

2. Confidencialidad (art. 32, apdo. 1, letra b del RGPD)

MedidaAplicación
Control de acceso al sistemaAcceso a la API exclusivamente con una clave de producto válida; ningún acceso anónimo
Control de acceso a los datosAcceso a los servidores limitado a un círculo de personas estrictamente restringido; acceso por SSH con autenticación por clave; autenticación de dos factores (2FA) para todos los sistemas; principio de privilegios mínimos
Control de separaciónSeparación de clientes mediante claves de producto individuales; ningún tratamiento de datos entre clientes
Obligación de confidencialidadTodas las personas con acceso a datos personales están obligadas a respetar la confidencialidad (§ 5.2 de este contrato)

3. Integridad (art. 32, apdo. 1, letra b del RGPD)

MedidaAplicación
Control de transmisiónTransmisión exclusivamente cifrada (HTTPS/TLS); ninguna conexión sin cifrar
Control de entradaRegistro de los accesos a la API (registros de acceso al servidor, conservación de 30 días)

4. Disponibilidad y resiliencia (art. 32, apdo. 1, letras b y c del RGPD)

La disponibilidad y la resiliencia las garantizan los proveedores de infraestructura (suministro eléctrico redundante, conexión de red, climatización). Dado que no se conservan contenidos de documentos de forma permanente, no son necesarios procedimientos de copia de seguridad y recuperación para los datos de documentos.

5. Cifrado y seudonimización (art. 32, apdo. 1, letra a del RGPD)

MedidaAplicación
Cifrado del transporteHTTPS/TLS para toda la comunicación con la API
Cifrado del almacenamientoEncryption-at-Rest para los datos maestros del cliente (dirección de correo electrónico, nombre, nombre de la empresa)
SeudonimizaciónFunción esencial del servicio: sustitución de datos personales por marcadores de posición

6. Verificación (art. 32, apdo. 1, letra d del RGPD)

MedidaAplicación
Verificación periódicaEvaluación anual de la eficacia de las medidas técnicas y organizativas
Verificación por causa o cambioVerificación de las medidas técnicas y organizativas en caso de cambios en la infraestructura, incidentes de seguridad y cambios de subencargados
Control de los encargosContratos de encargo de tratamiento celebrados con todos los subencargados; verificación en caso de modificaciones contractuales o cambio de proveedor

Kaino GmbH