Keenduck — Anexo de tratamiento de datos (DPA)
Partes:
- Responsable del tratamiento: el Cliente (la organización o persona que se suscribe a Kadie).
- Encargado del tratamiento: Keenduck, operador de «Kadie» (el «Encargado»).
Ámbito / vinculación: Este DPA regula el tratamiento por el Encargado de los datos del cliente cuando el Cliente usa las funciones de IA de Kadie. Al crear una cuenta, suscribirse o usar Kadie, el Cliente acepta este DPA; no se requiere firma separada salvo acuerdo distinto.
Referencias: Este DPA se interpreta junto con la Política de uso de IA y datos de Kadie. Para el producto, véase Kadie. Para términos generales de suscripción, derechos de tokens y facturación (incluida vigencia y caducidad), véanse los Términos de uso de Kadie. Para privacidad y cookies del sitio web, la Política de privacidad y la Política de cookies.
1. Definiciones
Los términos en mayúsculas tienen el siguiente significado:
- «Datos del cliente» — todo contenido, archivos, texto, adjuntos y demás datos que el Cliente o en su nombre envíe a Kadie para su tratamiento.
- «Datos personales» — datos del cliente que constituyan datos personales según la ley aplicable.
- «Subencargado» — tercero contratado por el Encargado para tratar datos del cliente por cuenta del Encargado.
- «Proveedor de IA» — proveedor(es) terceros usados para inferencia del modelo (actualmente OpenAI).
- «Token(s)» — unidades que miden el consumo de entrada y salida de IA.
- «ZDR» — opción de retención cero ofrecida por determinados proveedores de IA a clientes elegibles.
2. Roles y finalidad
- Roles: el Cliente es Responsable (o, si aplica, mandatario autorizado del Responsable). Keenduck (Encargado) trata los datos del cliente siguiendo instrucciones documentadas del Cliente para prestar los servicios de Kadie.
- Finalidad y base: el Encargado tratará los datos del cliente solo para prestar los servicios de Kadie y las funciones de IA solicitadas expresamente por el Cliente (p. ej. resumen, clasificación, generación de contenido, extracción). El tratamiento se realiza según las instrucciones del Cliente y lo permitido por el contrato de suscripción.
3. Instrucciones de tratamiento y alcance
El Encargado deberá: (a) tratar los datos del cliente solo para las finalidades descritas en este DPA y el uso de Kadie por el Cliente; (b) transmitir al Proveedor de IA solo los datos mínimos necesarios para la operación solicitada (p. ej. prompt del usuario, extractos o contexto seleccionado, instrucciones de sistema y contexto seleccionado por el mecanismo interno de prompts); (c) aplicar minimización razonable (enmascaramiento, seudonimización, preprocesado en el cliente) cuando sea viable; y (d) abstenerse de usar los datos del cliente para fines distintos de los instruidos por el Cliente o exigidos por ley. El Encargado no incluirá datos del cliente no relacionados en solicitudes de IA ni transmitirá credenciales secretas ni valores de medición (p. ej. valores numéricos de KPI) al Proveedor de IA salvo petición expresa y permiso del Cliente y de la ley.
4. Subencargados y actualizaciones
Subencargados iniciales:
- OpenAI, Inc. — inferencia / servicios de modelo (Proveedor de IA). OpenAI documenta que las entradas/salidas de la API no se usan por defecto para entrenar modelos y ofrece controles enterprise como retención cero y gestión de claves para clientes elegibles.
- Amazon Web Services, Inc. (AWS) — alojamiento e infraestructura en la nube. AWS publica un DPA y condiciones de servicio aplicables a los datos tratados en su infraestructura.
Actualizaciones de subencargados y avisos: el Encargado puede incorporar otros subencargados (analítica, copias de seguridad, monitorización, etc.). Mantendrá y publicará la lista actualizada y notificará incorporaciones sustanciales. El Cliente puede oponerse a un nuevo subencargado por motivos legítimos notificando en un plazo de 14 días; las partes buscarán de buena fe una solución. Si no fuera posible, el Cliente podrá dar por terminado el servicio afectado en la medida permitida por el Acuerdo.
5. Retención y supresión
El Encargado aplicará los periodos de retención por defecto siguientes salvo pacto escrito distinto:
| Categoría | Contenido | Retención por defecto |
|---|---|---|
| Registros de tokens y facturación | Métricas de consumo de tokens, identificador de usuario que invoca, función invocada (sin prompt/respuesta completos) | 24 meses (alineado al ciclo de vida del cliente y necesidades contables) |
| Registros de auditoría y seguridad | Registros de autenticación/acceso, telemetría anonimizada de llamadas a IA para seguridad/cumplimiento | 12 meses |
| Respuestas guardadas (contenido guardado por el cliente) | Contenido generado por IA guardado explícitamente por el Cliente | Hasta su supresión por el Cliente o según el ciclo de suscripción del Cliente |
| Cachés transitorias | Cachés operativas de corta duración o artefactos de procesamiento efímeros | Hasta 30 días |
| Copias de seguridad (recuperación ante desastres) | Copias de seguridad de datos del cliente almacenados | 90 días de retención estándar (puede variar por contrato/normativa) |
| Telemetría agregada/anonimizada | Métricas de uso, analítica agregada | Indefinida solo si no es identificable; en caso contrario según lo anterior |
Supresión a solicitud: ante solicitud verificada del Cliente, el Encargado exportará y suprimirá el contenido almacenado por el Cliente en los sistemas principales y hará esfuerzos razonables para eliminarlo de copias de seguridad dentro de los plazos habituales de restauración. Confirmará la realización de las acciones de supresión conforme al Acuerdo.
6. Medidas de seguridad y técnicas
El Encargado implementará y mantendrá medidas técnicas y organizativas razonables según el riesgo, incluyendo cuando aplique: TLS en tránsito, cifrado en reposo conforme a estándares del sector, controles de acceso con mínimo privilegio, autenticación multifactor para acceso a producción, registro y monitorización, gestión de vulnerabilidades y procedimientos de respuesta a incidentes. Ver la política pública de Kadie para más detalle.
7. Proveedor de IA (OpenAI) y controles empresariales
- El Encargado usa OpenAI para inferencia. OpenAI indica públicamente que las entradas y salidas de la API no se usan para entrenar modelos de OpenAI por defecto y que los clientes elegibles pueden solicitar controles enterprise como retención cero y gestión de claves. Los clientes que requieran configuraciones específicas deben contactar al Encargado para evaluar acuerdos enterprise y elegibilidad con OpenAI.
- Cuando el Cliente requiera ZDR o EKM y exista elegibilidad, el Encargado, cuando sea comercialmente razonable, ayudará al Cliente a obtener dicha configuración. Pueden requerirse condiciones comerciales separadas entre Cliente y Encargado y/o Cliente y Proveedor de IA.
8. Solicitudes de interesados y asistencia
El Encargado asistirá razonablemente al Cliente en solicitudes de acceso u otros derechos de los interesados (acceso, rectificación, supresión, portabilidad) en la medida en que el Encargado posea o pueda acceder a los datos pertinentes. La asistencia se prestará según este DPA y el Acuerdo; el Cliente sigue siendo responsable de ejercer el control e instruir al Encargado conforme a la ley aplicable.
9. Auditoría, certificación y evidencias de cumplimiento
El Encargado pondrá a disposición del Cliente, previa solicitud razonable, NDA y preaviso comercialmente razonable, artefactos de cumplimiento pertinentes (p. ej. informe SOC 2, resúmenes de pruebas de penetración u otros registros de certificación). Las auditorías in situ se negociarán y documentarán en el Acuerdo.
10. Notificación de incidentes y gestión de brechas
El Encargado notificará al Cliente sin demora indebida al tener conocimiento de un incidente de seguridad confirmado que afecte de forma material a los datos del cliente, facilitará detalles y medidas razonables de remediación. Los plazos y procedimientos seguirán el Acuerdo y la ley aplicable.
11. Autoridades y solicitudes legales
El Encargado cumplirá solicitudes legítimas de autoridades respecto a los datos del cliente solo en la medida exigida por ley. Informará al Cliente de tales solicitudes en la medida permitida y asistirá razonablemente al Cliente frente a requerimientos legales, salvo prohibición legal.
12. Responsabilidad, indemnizaciones y limitaciones
La responsabilidad, garantías, indemnizaciones y limitaciones relativas al tratamiento de datos se rigen por el Acuerdo y las enmiendas firmadas al DPA. Este DPA no amplía la responsabilidad más allá del Acuerdo salvo lo dispuesto expresamente aquí.
13. Cambios, avisos y aceptación
El Encargado puede actualizar este DPA (p. ej. para añadir subencargados o cambiar retenciones por defecto). Los cambios sustanciales en tratamiento, retención o seguridad se comunicarán a los Clientes según el Acuerdo; el uso continuado de Kadie tras el aviso implica la aceptación del DPA actualizado.
14. Ley aplicable y resolución de controversias
Este DPA se rige por la ley y la resolución de controversias previstas en el Acuerdo entre Cliente y Encargado. Si no existiera Acuerdo, el DPA se regirá por las leyes del país de constitución del Encargado (Chile) y las controversias se resolverán según el Acuerdo o, en su defecto, por acuerdo mutuo.
Anexo A — Detalle del tratamiento (resumen)
- Finalidad del tratamiento: prestación de servicios Kadie y funciones de IA; facturación y conciliación.
- Categorías de datos tratados: texto, documentos, configuración, metadatos, registros de autenticación.
- Categorías de interesados: empleados del cliente, usuarios finales, contratistas u otras personas cuyos datos el Cliente introduce en Kadie.
- Duración: según la tabla de retención e instrucciones del Cliente.
Anexo B — Tabla de retención
La tabla del apartado 5 reproduce el detalle de categorías y plazos por defecto.
Anexo C — Subencargados iniciales
- OpenAI, Inc. — inferencia del modelo; documentación pública: OpenAI Business Data & Trust.
- Amazon Web Services, Inc. — alojamiento e infraestructura en la nube; DPA y condiciones de servicio públicas.