Acuerdo de tratamiento de datos
En vigor desde: abril 2026 · Versión 1.0
El presente Acuerdo de Tratamiento de Datos ("DPA") forma parte de los Términos de Servicio de Keptt y regula el tratamiento de datos personales por parte de Keptt Limited ("Encargado") por cuenta del Cliente ("Responsable"), conforme al artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
1. Definiciones
- "Datos personales" — Toda información sobre una persona física identificada o identificable (RGPD Art. 4(1))
- "Tratamiento" — Cualquier operación realizada sobre Datos personales (RGPD Art. 4(2))
- "Responsable del tratamiento" — El Cliente, que determina los fines y medios del tratamiento
- "Encargado del tratamiento" — Keptt, que trata los datos en nombre del Responsable
- "Subencargado" — Un tercero contratado para tratar datos en nombre del Responsable
2. Objeto y duración
El Encargado trata los Datos personales para prestar servicios digitales de cumplimiento APPCC, incluidos el registro de datos, la extracción asistida por IA, la gestión del equipo y los informes de cumplimiento. Este DPA estará en vigor mientras dure la suscripción del Cliente.
3. Naturaleza y finalidad del tratamiento
| Finalidad | Descripción |
|---|---|
| Prestación del servicio | Almacenar y mostrar registros de cumplimiento APPCC |
| Extracción de datos por IA | Procesar imágenes de etiquetas con IA para extraer información de producto |
| Asistente de chat IA | Procesar consultas en lenguaje natural para acciones APPCC |
| Gestión del equipo | Gestionar cuentas de usuario, roles, permisos y tareas |
| Comunicaciones por email | Envío de invitaciones y recuperaciones de contraseña mediante Resend |
| Procesamiento de pagos | Gestionar suscripciones y pagos mediante Stripe |
| Registro de auditoría | Registros inmutables de todos los cambios de datos |
4. Tipos de datos personales
Datos de identidad (nombre, email), datos de autenticación (contraseña cifrada, sesiones), datos organizativos (nombre de la organización, país, rol), datos operativos APPCC (registros atribuidos a usuarios), datos de interacción con IA (imágenes de etiquetas, mensajes de chat), datos de comunicación (email), datos técnicos (IP, user agent) y datos de auditoría (ID de usuario, marcas de tiempo, snapshots de cambios).
5. Categorías de interesados
Propietarios, encargados y personal de la organización — todos empleados o representantes autorizados del negocio de alimentación del Cliente.
6. Obligaciones del Encargado
- Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable
- Garantizar que las personas autorizadas estén vinculadas por confidencialidad
- Implementar medidas de seguridad adecuadas (ver Apéndice)
- No contratar Subencargados sin autorización previa
- Asistir en las solicitudes de derechos de los interesados
- Notificar al Responsable las brechas de datos en 72 horas
- Asistir en las evaluaciones de impacto sobre protección de datos
- Permitir auditorías de cumplimiento por parte del Responsable
- Devolver o eliminar los datos al finalizar la suscripción
7. Subencargados
El Responsable autoriza a los siguientes Subencargados:
| Subencargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Anthropic | Extracción IA de etiquetas y chat (efímero) | Estados Unidos | CCT |
| Stripe | Procesamiento de pagos | Estados Unidos / UE | CCT, PCI-DSS Nivel 1 |
| Resend | Email transaccional | Estados Unidos | CCT |
| Autenticación OAuth (opcional) | Estados Unidos | CCT | |
| DigitalOcean | Infraestructura de servidores, hospedaje de base de datos | Ámsterdam, Países Bajos (UE) | Residencia de datos UE, cifrado en tránsito (TLS 1.3) y en reposo |
El Encargado notificará al Responsable con al menos 30 días de antelación antes de añadir o sustituir un Subencargado. El Responsable puede oponerse; las objeciones no resueltas permiten la cancelación de la suscripción.
8. Transferencias internacionales
Los datos personales pueden transferirse a Subencargados ubicados en Estados Unidos y otros terceros países. Todas las transferencias están protegidas mediante las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión (UE) 2021/914), complementadas con medidas técnicas/organizativas adicionales cuando proceda, garantizando el cumplimiento del Capítulo V del RGPD. Una copia de las CCT está disponible bajo solicitud.
9. Obligaciones del Responsable
El Responsable garantizará la base legal del tratamiento, facilitará datos exactos, informará a los Interesados conforme a los Artículos 13/14 del RGPD, responderá a las solicitudes de los Interesados y notificará al Encargado los cambios de instrucciones.
10. Responsabilidad
La responsabilidad de cada parte queda sujeta a las limitaciones establecidas en los Términos del servicio.
11. Vigencia y finalización
Este DPA entra en vigor con el inicio del servicio y dura lo que dure la suscripción. Al finalizar, los datos se devolverán o eliminarán en un plazo de 90 días a elección del Responsable, salvo que la conservación venga exigida por ley.
Apéndice: medidas técnicas y organizativas de seguridad
TLS 1.3 en tránsito, cifrado de base de datos en reposo, hash criptográfico de contraseñas.
Email/contraseña con credenciales cifradas, cookies de sesión HTTP-only, RBAC de tres roles, aislamiento multi-tenant mediante tenantId en cada consulta.
Validación de entrada con Zod, consultas parametrizadas con Prisma, protección CSRF de Better Auth, verificación de webhooks de Stripe, protecciones XSS de Next.js.
Registro de auditoría inmutable de solo añadir, integridad transaccional de PostgreSQL 16.
Imágenes de etiquetas procesadas de forma efímera, chat procesado de forma efímera (no retenido para entrenamiento), redimensionamiento en cliente, aprobación explícita del usuario para acciones de escritura de la IA.
Obligaciones de confidencialidad, notificación de brechas en 72 horas, acuerdos de tratamiento de datos con todos los Subencargados.
Contacto
Para consultas relativas al DPA, contacta con nuestro equipo de protección de datos en [email protected]. Servicio operado por Keptt Limited (registro CRO en trámite), Domicilio social: 56 Boroimhe Aspen, Fosterstown North, Swords, Co. Dublin, K67 Y381, Irlanda. Autoridad de control española: Agencia Española de Protección de Datos (AEPD), https://www.aepd.es/.