Contrato de encargo de tratamiento (DPA)
Última actualización: 14 de julio de 2026
Contrato de encargo de tratamiento (DPA)
conforme al art. 28, apdo. 3 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, RGPD)
entre
el usuario del servicio Aegis, incluida la extensión de Chrome y la demo del sitio web (en adelante, el «Responsable»)
y
Kaino GmbH
Grabenweg 68, 4.ª planta E5_2
6020 Innsbruck, Austria
N.º de IVA (UID): ATU77867578 · N.º de registro mercantil (FN): 573644w
Correo electrónico: aegis@kaino.io
(en adelante, el «Encargado»)
(en adelante, conjuntamente, las «Partes»)
§ 1 Objeto y duración del tratamiento
1.1 Objeto
Este contrato regula los derechos y obligaciones de las Partes en relación con el tratamiento de datos personales por el Encargado por cuenta del Responsable. Concreta las obligaciones en materia de protección de datos de las Partes derivadas del uso del servicio Aegis, incluidos todos los planes (FREE, PLUS, PRO y ENTERPRISE), así como la demo del sitio web ofrecida en la página de producto («Try It»).
El Encargado trata los datos personales exclusivamente por encargo y siguiendo instrucciones documentadas del Responsable (art. 28, apdo. 3, letra a del RGPD), salvo que esté obligado a tratarlos en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto. En tal caso, el Encargado informará al Responsable de esa exigencia legal antes del tratamiento, salvo que el Derecho aplicable prohíba tal comunicación por razones importantes de interés público.
1.2 Duración
Para los suscriptores, este contrato entra en vigor con la contratación de la suscripción (Aegis PLUS o Aegis PRO) y termina automáticamente con la finalización de la suscripción, cualquiera que sea el motivo. Para el uso de la demo del sitio web, este contrato entra en vigor con la subida de un documento y termina al concluir el tratamiento correspondiente. Las obligaciones derivadas de los §§ 5, 7, 8 y 10 subsisten tras la finalización del contrato, quedando el derecho de auditoría del § 8 limitado a 60 días desde la finalización del contrato.
§ 2 Naturaleza y finalidad del tratamiento
2.1 Finalidad
Reconocimiento y seudonimización de datos personales en documentos del Responsable mediante un tratamiento asistido por IA, antes de que dichos documentos se transmitan a plataformas de chat de IA (como ChatGPT, Claude o Gemini).
2.2 Naturaleza del tratamiento
- Recepción de contenidos de documentos cifrados (HTTPS/TLS)
- Reconocimiento de datos personales asistido por IA (Named Entity Recognition)
- Procesamiento OCR de archivos de imagen (PNG, JPEG, TIFF)
- Eliminación de metadatos incrustados en archivos de imagen
- Sustitución de los datos personales reconocidos por marcadores de posición
- Devolución al Responsable del texto seudonimizado y de la correspondencia de marcadores de posición
2.3 Ninguna conservación
El Encargado no almacena los contenidos de los documentos después del tratamiento. El tratamiento se realiza exclusivamente en memoria (In-Memory-Processing). Tras la devolución del resultado, todos los datos de los documentos se eliminan de inmediato.
2.4 Ningún entrenamiento de modelos
Los contenidos de los documentos no se utilizan para entrenar o mejorar modelos de IA, ni por el Encargado ni por los subencargados mencionados en el § 6.1.
§ 3 Tipos de datos personales y categorías de interesados
3.1 Tipos de datos personales
Los documentos del Responsable pueden contener, en particular, las siguientes categorías de datos personales:
- Nombres (nombre y apellidos, títulos académicos)
- Datos de contacto (direcciones de correo electrónico, números de teléfono, direcciones)
- Números de identificación (números de la seguridad social, números de documentos de identidad)
- Información financiera (números de tarjeta de crédito, datos bancarios)
- Fechas de nacimiento
- Direcciones IP
- Otros datos personales contenidos en los documentos
Categorías especiales de datos personales (art. 9 del RGPD): El Responsable es responsable de que el tratamiento de categorías especiales de datos personales (p. ej., datos de salud, datos biométricos) solo se lleve a cabo cuando exista una base jurídica conforme al art. 9, apdo. 2 del RGPD. El Encargado no puede determinar técnicamente por adelantado la presencia de tales datos.
3.2 Categorías de interesados
En función de los documentos del Responsable, pueden verse afectados:
- Empleados y candidatos del Responsable
- Clientes y socios comerciales del Responsable
- Pacientes, mandantes, clientes
- Otras personas físicas mencionadas en los documentos
§ 4 Obligaciones del Responsable
El Responsable es el único responsable de la licitud del tratamiento de los datos personales. En particular, garantiza:
- que dispone de una base jurídica adecuada para la transmisión de datos personales de terceros al Encargado (p. ej., art. 6, apdo. 1, letra f del RGPD: interés legítimo en la seudonimización);
- que ha informado a los interesados sobre el tratamiento, en la medida en que ello sea exigible y jurídicamente necesario (art. 13 y 14 del RGPD);
- que ha evaluado de forma autónoma los riesgos para los derechos y libertades de los interesados antes de la transmisión;
- que las instrucciones dadas al Encargado son conformes con el RGPD.
§ 5 Obligaciones del Encargado
5.1 Sujeción a instrucciones
El Encargado trata los datos personales exclusivamente siguiendo instrucciones documentadas del Responsable (inclusive con respecto a las transferencias de datos personales a un tercer país o a una organización internacional), salvo que esté obligado a tratarlos en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto (art. 28, apdo. 3, letra a del RGPD).
El uso del servicio Aegis conforme a los términos de uso vigentes constituye la instrucción documentada del Responsable. Las instrucciones individuales adicionales requieren forma escrita (basta el correo electrónico) dirigida a aegis@kaino.io.
5.2 Confidencialidad
El Encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de secreto legal adecuada (art. 28, apdo. 3, letra b del RGPD).
5.3 Medidas técnicas y organizativas
El Encargado adopta todas las medidas técnicas y organizativas exigidas por el art. 32 del RGPD para garantizar un nivel de protección adecuado al riesgo. Las medidas se describen en el anexo 1 (al final de este contrato).
5.4 Asistencia al Responsable
El Encargado asiste al Responsable, teniendo en cuenta la naturaleza del tratamiento:
- en el cumplimiento de la obligación de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD (art. 28, apdo. 3, letra e del RGPD);
- en el cumplimiento de las obligaciones establecidas en los art. 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de la seguridad de los datos personales, evaluación de impacto relativa a la protección de datos, consulta previa) (art. 28, apdo. 3, letra f del RGPD).
5.5 Notificación de violaciones de la seguridad de los datos
El Encargado informará al Responsable sin dilación indebida después de tener conocimiento de una violación de la seguridad de los datos personales (art. 33, apdo. 2 del RGPD). La notificación contendrá como mínimo:
- una descripción de la naturaleza de la violación;
- las categorías y el número aproximado de interesados y de registros de datos afectados;
- una descripción de las consecuencias probables;
- una descripción de las medidas adoptadas o propuestas.
La notificación se realizará por correo electrónico a la dirección de correo electrónico del Responsable registrada en la suscripción. Para los usuarios de la demo del sitio web cuya dirección de correo electrónico no sea conocida por el Encargado, la notificación se realizará mediante publicación en el sitio web del Encargado.
5.6 Información sobre instrucciones ilícitas
El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos (art. 28, apdo. 3, párrafo segundo del RGPD).
§ 6 Subencargados
6.1 Subencargados autorizados
El Responsable otorga por la presente al Encargado una autorización general por escrito para recurrir a los siguientes subencargados (art. 28, apdo. 2 del RGPD):
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| OVHCloud SAS, Roubaix, Francia | Seudonimización asistida por IA y procesamiento OCR de contenidos de documentos (Zero Data Retention) | UE (Francia) |
| Scaleway SAS, París, Francia | Seudonimización asistida por IA y procesamiento OCR de contenidos de documentos (Zero Data Retention) | UE (Francia) |
| Hetzner Online GmbH, Gunzenhausen, Alemania | Alojamiento de servidores e infraestructura de la API (aegis.kaino.io), alojamiento del sitio web y procesamiento de las subidas de documentos de la demo | Alemania |
El Encargado ha celebrado con todos los subencargados contratos conforme al art. 28, apdo. 4 del RGPD que les imponen las mismas obligaciones de protección de datos que las establecidas en este contrato.
6.2 Cambios de subencargados
El Encargado informará previamente al Responsable de cualquier incorporación o sustitución prevista de subencargados y dará al Responsable la posibilidad de formular objeciones contra dichos cambios (art. 28, apdo. 2 del RGPD).
La información se facilitará mediante la actualización de la lista de subencargados en el sitio web del Encargado (política de privacidad, apartado 12), así como por correo electrónico al Responsable, al menos 30 días antes del cambio previsto.
Si el Responsable formula una objeción fundada en un plazo de 30 días desde la notificación, las Partes procurarán alcanzar una solución de mutuo acuerdo. Si no puede alcanzarse un acuerdo, el Responsable dispondrá de un derecho de resolución extraordinaria de la suscripción.
6.3 Ninguna transferencia a terceros países
Todo el procesamiento de documentos se realiza exclusivamente dentro de la UE/del EEE. El Encargado no transmite contenidos de documentos a terceros países.
§ 7 Supresión y devolución de datos
7.1 Durante el tratamiento
Los contenidos de los documentos se eliminan de forma inmediata y automática una vez concluida la seudonimización. No se produce ninguna conservación permanente de contenidos de documentos.
7.2 Tras la finalización del contrato
El Encargado suprimirá, en un plazo de 30 días desde la finalización de la suscripción, todos los datos personales relacionados con el encargo de tratamiento, salvo que el Derecho de la Unión o del Estado miembro exija su conservación (art. 28, apdo. 3, letra g del RGPD).
Dado que no se conservan contenidos de documentos de forma permanente, la supresión se limita a:
- Datos maestros del cliente (dirección de correo electrónico, nombre, nombre de la empresa): anonimización irreversible en un plazo de 30 días desde la finalización de la suscripción
- Estadísticas de uso: anonimización en un plazo de 30 días desde la finalización de la suscripción
- Registros de acceso al servidor: eliminación automática a los 30 días
§ 8 Derechos de control y auditoría
8.1 Derecho de auditoría del Responsable
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD y permitirá y contribuirá a las auditorías (incluidas las inspecciones) realizadas por el Responsable o por un auditor mandatado por este (art. 28, apdo. 3, letra h del RGPD).
8.2 Realización
Las auditorías se realizarán en las siguientes condiciones:
- Anuncio por escrito con al menos 30 días de antelación (basta el correo electrónico)
- Realización durante el horario comercial habitual
- El auditor está obligado a respetar la confidencialidad
- La auditoría no puede perjudicar de forma desproporcionada la actividad del Encargado
- Como máximo una auditoría por año natural, salvo que un motivo concreto exija una auditoría adicional
8.3 Acreditación
El Encargado también puede acreditar el cumplimiento de sus obligaciones mediante la presentación de un certificado vigente, un informe de auditoría o un extracto del mismo, emitido por un auditor independiente.
§ 9 Responsabilidad
La responsabilidad de las Partes se rige por el art. 82 del RGPD. En lo demás se aplican las disposiciones generales de responsabilidad de los términos de uso de Aegis.
§ 10 Disposiciones finales
10.1 Prevalencia
En caso de contradicción entre este DPA y otros acuerdos entre las Partes (incluidos los términos de uso), este DPA prevalecerá en lo relativo a la protección de datos personales.
10.2 Modificaciones
Las modificaciones de este contrato requieren forma de texto. Las modificaciones sustanciales se comunicarán al Responsable al menos 30 días antes de su entrada en vigor. Si el Responsable no formula objeciones en un plazo de 30 días desde la notificación, la modificación se considerará aceptada.
10.3 Derecho aplicable y fuero
Este contrato se rige por el Derecho austriaco. El fuero competente es Innsbruck, Austria, en la medida en que la ley lo permita.
10.4 Cláusula de salvaguarda
Si alguna disposición de este contrato fuera ineficaz o inaplicable, las demás disposiciones no se verán afectadas. La disposición ineficaz se sustituirá por una eficaz que se aproxime lo más posible a la finalidad económica.
Anexo 1: Medidas técnicas y organizativas (art. 32 del RGPD)
Kaino GmbH no opera centros de datos propios. Las medidas de seguridad física (control de acceso, suministro eléctrico, protección contra incendios, climatización) las garantizan los proveedores de infraestructura Hetzner Online GmbH (Alemania, ISO 27001), OVHCloud SAS (Francia, ISO 27001) y Scaleway SAS (Francia, ISO 27001). En cuanto a sus medidas técnicas y organizativas, remitimos a:
- Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
- OVHCloud SAS: ovhcloud.com/de/personal-data-protection
- Scaleway SAS: scaleway.com/en/privacy-policy
Kaino GmbH es responsable de las siguientes medidas del lado de la aplicación:
1. Tratamiento transitorio (característica de seguridad esencial)
Los contenidos de los documentos se tratan exclusivamente en memoria (In-Memory-Processing) y se descartan de inmediato tras la devolución del resultado. No se produce ninguna conservación permanente de contenidos de documentos. Este principio de arquitectura elimina riesgos esenciales de la conservación de datos: en caso de fallo del sistema no se pierden datos de documentos, porque no hay ninguno almacenado. El principio de Zero Data Retention se aplica de forma continua a lo largo de toda la cadena de tratamiento, incluidos los subencargados OVHCloud y Scaleway.
Minimización de datos mediante preprocesamiento basado en reglas: Antes de la transmisión al tratamiento asistido por IA, Kaino GmbH realiza del lado del servidor un preprocesamiento basado en reglas en el que los datos personales ya reconocidos (p. ej., nombres, direcciones de correo electrónico, números de teléfono) se sustituyen por marcadores de posición. Los contenidos transmitidos a los modelos de IA ya están, por tanto, parcialmente seudonimizados, con lo que la cantidad de datos personales tratados por los subencargados se reduce al mínimo técnicamente necesario.
2. Confidencialidad (art. 32, apdo. 1, letra b del RGPD)
| Medida | Aplicación |
|---|---|
| Control de acceso al sistema | Acceso a la API exclusivamente con una clave de producto válida; ningún acceso anónimo |
| Control de acceso a los datos | Acceso a los servidores limitado a un círculo de personas estrictamente restringido; acceso por SSH con autenticación por clave; autenticación de dos factores (2FA) para todos los sistemas; principio de privilegios mínimos |
| Control de separación | Separación de clientes mediante claves de producto individuales; ningún tratamiento de datos entre clientes |
| Obligación de confidencialidad | Todas las personas con acceso a datos personales están obligadas a respetar la confidencialidad (§ 5.2 de este contrato) |
3. Integridad (art. 32, apdo. 1, letra b del RGPD)
| Medida | Aplicación |
|---|---|
| Control de transmisión | Transmisión exclusivamente cifrada (HTTPS/TLS); ninguna conexión sin cifrar |
| Control de entrada | Registro de los accesos a la API (registros de acceso al servidor, conservación de 30 días) |
4. Disponibilidad y resiliencia (art. 32, apdo. 1, letras b y c del RGPD)
La disponibilidad y la resiliencia las garantizan los proveedores de infraestructura (suministro eléctrico redundante, conexión de red, climatización). Dado que no se conservan contenidos de documentos de forma permanente, no son necesarios procedimientos de copia de seguridad y recuperación para los datos de documentos.
5. Cifrado y seudonimización (art. 32, apdo. 1, letra a del RGPD)
| Medida | Aplicación |
|---|---|
| Cifrado del transporte | HTTPS/TLS para toda la comunicación con la API |
| Cifrado del almacenamiento | Encryption-at-Rest para los datos maestros del cliente (dirección de correo electrónico, nombre, nombre de la empresa) |
| Seudonimización | Función esencial del servicio: sustitución de datos personales por marcadores de posición |
6. Verificación (art. 32, apdo. 1, letra d del RGPD)
| Medida | Aplicación |
|---|---|
| Verificación periódica | Evaluación anual de la eficacia de las medidas técnicas y organizativas |
| Verificación por causa o cambio | Verificación de las medidas técnicas y organizativas en caso de cambios en la infraestructura, incidentes de seguridad y cambios de subencargados |
| Control de los encargos | Contratos de encargo de tratamiento celebrados con todos los subencargados; verificación en caso de modificaciones contractuales o cambio de proveedor |
Kaino GmbH