Acuerdo de procesamiento de datos · KOGNIT
Plantilla v1.0 · vigente desde 2026-01-01
Este Acuerdo de Procesamiento de Datos (en adelante, “DPA”) forma parte de los Términos del Servicio entre KOGNIT (“Procesador”) y el cliente que contrata el servicio (“Responsable”). Regula el tratamiento de datos personales que el Procesador realiza por cuenta del Responsable para prestar el servicio de chatbot.
1. Definiciones
- Datos personales: cualquier dato que identifique o pueda identificar a una persona natural (visitante del sitio del Responsable, lead, suscriptor del servicio).
- Tratamiento: cualquier operación realizada sobre datos personales (recolección, almacenamiento, consulta, modificación, eliminación).
- Sub-procesador: tercero contratado por el Procesador para tratar datos personales por cuenta del Responsable.
2. Alcance del tratamiento
El Procesador tratará datos personales únicamente para prestar el servicio descrito en los Términos:
- Recibir y responder mensajes de visitantes que interactúen con el widget del Responsable.
- Recolectar leads cuando el bot no puede responder y el visitante deja sus datos voluntariamente.
- Generar métricas agregadas para el Responsable (cantidad de conversaciones, escalamientos, temas frecuentes).
- Almacenar los documentos que el Responsable cargue para entrenar el bot.
- Procesar pagos y enviar notificaciones al Responsable.
El Procesador NO usa los datos del Responsable para entrenar modelos compartidos ni los comercializa.
3. Categorías de datos e interesados
| Categoría | Datos | Interesados |
|---|---|---|
| Cuenta del Responsable | Email, nombre del negocio, configuración | Personal del Responsable |
| Interacciones del widget | Mensajes, sesión anónima, idioma | Visitantes anónimos |
| Leads escalados | Email, nombre, teléfono (voluntarios) | Visitantes identificados |
| Documentos del bot | PDFs, URLs, texto subido por el Responsable | Puede contener datos de terceros si el Responsable los sube |
4. Duración
El DPA está vigente mientras dure la suscripción al servicio. Las conversaciones se retienen por defecto 365 días (configurable entre 30 y 1.825 por el Responsable). Al terminar la suscripción, los datos del Responsable se eliminan en 30 días, salvo que el Responsable solicite extensión por escrito.
5. Sub-procesadores autorizados
- Supabase Inc. (PostgreSQL + Auth + Storage) — USA
- Vercel Inc. (hosting de la aplicación) — USA
- Anthropic PBC (modelo Claude para generar respuestas) — USA
- Voyage AI (embeddings vectoriales) — USA
- Resend Inc. (email transaccional) — USA
- Lemon Squeezy (Merchant of Record y procesamiento de pago) — USA
- Twilio Inc. (si el Responsable activa WhatsApp Business) — USA
El Procesador notificará al Responsable con 30 días de anticipación cualquier cambio en esta lista. El Responsable puede objetar el cambio cancelando la suscripción dentro de ese plazo.
6. Transferencias internacionales
Los sub-procesadores listados operan en Estados Unidos. El Procesador asegura que cada uno cuenta con cláusulas contractuales que protegen los datos a un nivel equivalente al exigido por la Ley 19.628 (Chile) y por el GDPR cuando aplica.
7. Seguridad
- TLS 1.2+ obligatorio en tránsito.
- Cifrado en reposo gestionado por Supabase y Vercel.
- Aislamiento multi-tenant vía Row Level Security en PostgreSQL.
- Webhooks firmados con HMAC.
- Logs sin datos sensibles (los emails en logs se reemplazan por hashes).
- Rotación trimestral de claves de servicio.
8. Asistencia al Responsable
El Procesador asiste al Responsable razonablemente en:
- Responder solicitudes de derechos de los interesados (acceso, rectificación, borrado, portabilidad).
- Realizar evaluaciones de impacto cuando el Responsable lo solicite.
- Reportar brechas de seguridad al Responsable en menos de 72 horas desde su detección.
9. Auditoría
El Responsable puede solicitar una auditoría anual mediante notificación con 30 días de anticipación. El Procesador puede satisfacer el requisito con un reporte SOC 2 o equivalente cuando esté disponible.
10. Devolución y eliminación al terminar
Al terminar la suscripción, el Procesador exportará los datos del Responsable en formato JSON dentro de 14 días si así lo solicita. Después eliminará los datos en 30 días, salvo obligaciones legales de retención.
11. Responsabilidad
Las limitaciones de responsabilidad de los Términos del Servicio aplican también a este DPA. El Procesador responde por incumplimientos atribuibles a él o a sus sub-procesadores.
12. Ley aplicable
Este DPA se rige por las leyes de la República de Chile. Las disputas se someten a los tribunales de Santiago de Chile.
Esta plantilla es un punto de partida razonable para clientes pyme/SMB. Para clientes regulados (clínicas, fintechs, datos de menores) se requiere revisión legal específica. Contacta a gonzaloxd2001v2@gmail.com para una versión firmada.