Empiece hoy
¿Listo para poner sus
teléfonos en piloto automático?
Vea cómo Elba gestiona llamadas, WhatsApp y SMS para equipos regulados. Reserve un recorrido de 30 minutos, sin compromiso.
Empiece hoy
Vea cómo Elba gestiona llamadas, WhatsApp y SMS para equipos regulados. Reserve un recorrido de 30 minutos, sin compromiso.
Válido desde: 11. Marzo 2026
El presente Acuerdo de Procesamiento de Datos ("APD") se celebra entre Kolsetu GmbH ("Procesador") y el Cliente ("Controlador") de conformidad con el Art. 28 del RGPD y forma parte integrante del Contrato para la prestación de la plataforma Elba AI y servicios relacionados ("Acuerdo"). Este APD se aplica tanto a los clientes empresariales como a los de autoservicio de la plataforma Elba.
Nota sobre el alcance: Este APD rige el procesamiento por parte de Kolsetu de los Datos Personales del Cliente en su calidad de Procesador. Kolsetu también procesa datos personales de los usuarios de la plataforma (administradores y operadores) en su calidad de Controlador; dicho procesamiento se describe en la Política de Privacidad del Producto de Kolsetu disponible en la página de inicio (www.kolsetu.com).
El Controlador determina los fines y los medios del procesamiento aquí descritos. El Procesador procesa los datos personales únicamente siguiendo las instrucciones documentadas del Controlador y para ningún otro fin.
Los términos en mayúsculas utilizados pero no definidos en este APD tienen los significados establecidos en los Términos y Condiciones Generales, los Términos de Servicio de Elba aplicables (Términos de Servicio Empresarial o Términos de Autoservicio, según corresponda) y, cuando se haya ejecutado un Formulario de Pedido, el Formulario de Pedido.
En este APD, los siguientes términos tienen los significados que se detallan a continuación. Los términos no definidos aquí tienen los significados establecidos en el Art. 4 del RGPD o en el Acuerdo.
Término | Definición |
Acuerdo | El Contrato entre las partes para la prestación de los Servicios, que comprende los T&C, los Términos de Servicio Empresarial de Elba y el Formulario de Pedido. |
Datos Personales del Cliente | Cualquier dato personal que el Procesador procesa en nombre del Controlador de conformidad con el Acuerdo. |
Leyes de Protección de Datos | RGPD; la Ley Federal Alemana de Protección de Datos (BDSG); RGPD del Reino Unido y la Ley de Protección de Datos de 2018; la Ley de Privacidad Australiana de 1988; y las leyes de privacidad aplicables de EE. UU. a nivel estatal y federal (incluida la CCPA), cada una en su versión modificada de vez en cuando y solo en la medida en que sea aplicable. |
RGPD | Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. |
Violación de Datos Personales | Una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales del Cliente transmitidos, almacenados o procesados de otro modo por el Procesador, según se define en el Art. 4(12) del RGPD. |
Servicios | La plataforma Elba AI y todos los servicios asociados proporcionados por el Procesador en virtud del Acuerdo. |
Subprocesador | Cualquier procesador de datos contratado por el Procesador para procesar Datos Personales del Cliente. |
Medidas Técnicas y Organizativas (TOMs) | Las medidas técnicas y organizativas descritas en el Anexo 2. |
Marco de Privacidad de Datos | El Marco de Privacidad de Datos UE-EE. UU. establecido por la Decisión de la Comisión (UE) 2023/1795. |
2.1 Roles. Las partes reconocen que el Controlador actúa como responsable del tratamiento de datos y el Procesador actúa como encargado del tratamiento de datos en el sentido de las Leyes de Protección de Datos aplicables. El Procesador procesa los Datos Personales del Cliente únicamente en nombre del Controlador.
2.2 Instrucciones. El Controlador instruye al Procesador para que procese los Datos Personales del Cliente en la medida necesaria para la prestación de los Servicios y el cumplimiento de sus derechos y obligaciones en virtud del Acuerdo. Las instrucciones se establecen inicialmente en este APD y pueden ser modificadas posteriormente por el Controlador por escrito.
2.3 CCPA. Con respecto a los Datos Personales del Cliente que constituyan "información personal" a efectos de la Ley de Privacidad del Consumidor de California ("CCPA"), el Procesador no deberá: (a) vender ni compartir la información personal; (b) conservar, utilizar o divulgar la información personal para ningún fin distinto de los fines comerciales especificados en el Acuerdo o según lo permitido por la CCPA; (c) conservar, utilizar o divulgar la información personal fuera de la relación comercial directa entre el Procesador y el Controlador; o (d) combinar la información personal recibida del Controlador con información personal recibida o recopilada de otras fuentes, excepto según lo permitido por la CCPA. El Procesador certifica que comprende y cumplirá estas restricciones.
El Procesador procesa los Datos Personales del Cliente durante la vigencia del Acuerdo, o hasta que el Controlador indique lo contrario, únicamente con el fin de prestar los Servicios.
El Procesador procesa los Datos Personales del Cliente en relación con:
La prestación y operación de la plataforma de automatización de voz Elba AI
El procesamiento de interacciones de voz, la generación de transcripciones y la entrega de análisis de conversaciones
Orquestación omnicanal (voz, chat, correo electrónico, SMS, WhatsApp) en nombre del Controlador
Integraciones con los sistemas empresariales del Controlador, incluidos CRM, ERP, telefonía y plataformas de comunicación, a través de conectores nativos, API REST y framework de webhooks, según lo configure el Controlador
Gestión de cuentas de usuario, control de acceso y autenticación
Monitorización de seguridad, prevención de fraudes y gestión de incidentes
Soporte al cliente y resolución de problemas técnicos
Dependiendo del caso de uso y la configuración del Controlador, el Procesador puede procesar:
Información de contacto (nombre, número de teléfono, dirección de correo electrónico)
Grabaciones de voz y datos de audio derivados
Transcripciones de conversaciones y registros de interacciones
Registros de servicio al cliente y datos de casos
Credenciales de cuenta y datos de autenticación
Datos de uso, registros de sesión y metadatos de actividad
Datos de sistemas empresariales integrados según lo configure el Controlador
Los sujetos de datos pueden incluir:
Clientes finales del Controlador que interactúan con la plataforma Elba
Empleados del Controlador y usuarios autorizados de la plataforma
Otras personas cuyos datos se procesan a través de integraciones configuradas por el Controlador
El Procesador procesa categorías especiales de datos personales (Art. 9 RGPD) únicamente siguiendo las instrucciones documentadas del Controlador. El Controlador es el único responsable de garantizar que cualquier envío de datos de categorías especiales a la plataforma esté respaldado por una base jurídica válida en virtud del Art. 9 del RGPD, que se cumplan todas las condiciones requeridas y que existan salvaguardias adecuadas antes del envío. El Procesador aplica las mismas medidas técnicas y organizativas a los datos de categorías especiales que a todos los demás Datos Personales del Cliente.
Los Datos Personales del Cliente se transfieren al Procesador periódicamente durante la vigencia del Acuerdo, dependiendo de cómo el Controlador utilice los Servicios.
4.1.1 Procesar los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Controlador, a menos que la ley aplicable exija lo contrario. En tales casos, el Procesador informará al Controlador antes del procesamiento, a menos que hacerlo esté prohibido por la ley.
4.1.2 Si el Procesador considera que una instrucción infringe las Leyes de Protección de Datos, informará inmediatamente al Controlador de sus preocupaciones legales y podrá suspender la instrucción hasta su resolución.
4.2.1 Garantizar que todo el personal autorizado para procesar Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad apropiadas (ya sean contractuales o legales) y reciba formación pertinente sobre protección de datos.
4.3.1 Implementar y mantener medidas técnicas y organizativas apropiadas (TOMs) según se describe en el Anexo 2 para garantizar un nivel de seguridad adecuado al riesgo, incluido el requerido por el Art. 32 del RGPD. El Procesador puede actualizar las TOMs de vez en cuando, siempre que dichas actualizaciones no resulten en una degradación del nivel general de seguridad.
4.4.1 No contratar un nuevo subprocesador ni modificar sustancialmente la función de un subprocesador existente sin proporcionar notificación previa por escrito (mínimo 30 días hábiles) al Controlador. La lista de subprocesadores en la Sección 6 de este DPA constituye el registro autorizado y actual de los subprocesadores aprobados.
4.4.2 Asegurar que cualquier subprocesador contratado esté obligado por obligaciones de protección de datos no menos protectoras que las de este DPA, mediante contrato u otro acto jurídico. El Procesador sigue siendo plenamente responsable del cumplimiento de las obligaciones de protección de datos de sus subprocesadores.
4.5.1 Exclusión de entrenamiento de IA. Ni el Procesador ni ninguno de sus subprocesadores utilizarán Datos Personales del Cliente -incluidas grabaciones de voz, transcripciones, datos de conversaciones o cualquier dato derivado de ellos- para entrenar, ajustar o mejorar cualquier modelo de IA o aprendizaje automático de propósito general. Esta restricción se aplica independientemente de si los datos han sido seudonimizados. El Procesador garantizará que se impongan restricciones equivalentes contractualmente a todos los subprocesadores de IA.
4.5.2 Minimización de datos para inferencia de IA. Cuando los Datos Personales del Cliente se transmitan a subprocesadores de IA para procesamiento de inferencia, el Procesador garantizará que solo se transmita el mínimo de datos necesarios para la solicitud de inferencia específica. Los subprocesadores de IA no conservarán los Datos Personales del Cliente más allá de la duración de la sesión de inferencia, excepto cuando lo exija la ley aplicable.
4.5.3 Datos biométricos. El Procesador no deriva identificadores biométricos ni huellas de voz de las grabaciones de voz procesadas a través de la plataforma Elba y no procesa grabaciones de voz como datos biométricos en el sentido del Art. 9 del RGPD o disposiciones equivalentes según las Leyes de Protección de Datos aplicables. Las grabaciones de voz se procesan únicamente con fines de transcripción, análisis de intenciones y análisis de conversaciones, tal como se describe en el Anexo I-B.
4.6.1 Asistir al Controlador en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados en virtud del Capítulo III del RGPD (derechos de acceso, rectificación, supresión, restricción, portabilidad y oposición). Las solicitudes recibidas directamente por el Procesador de los Interesados se remitirán al Controlador sin demora indebida y, en cualquier caso, dentro de los cinco (5) días hábiles. El Procesador no responderá directamente a las solicitudes de los Interesados sin la autorización previa del Controlador, a menos que esté legalmente obligado a hacerlo.
4.7.1 Asistir al Controlador para garantizar el cumplimiento de los Arts. 32-36 del RGPD (seguridad, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa con las autoridades supervisoras), teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador.
4.7.2 Cuando el Controlador deba proporcionar información a una autoridad supervisora competente, prestará asistencia razonable al Controlador, a cargo del Controlador, proporcionando dicha información en la medida en que esté en posesión del Procesador.
4.8.1 A elección del Controlador, eliminar o devolver todos los Datos Personales del Cliente tras la terminación de los Servicios y eliminar las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija su conservación. La eliminación se completará en un plazo de 30 días a partir de la terminación o de la instrucción del Controlador. La confirmación por escrito de la eliminación estará disponible previa solicitud.
4.9.1 Poner a disposición del Controlador toda la información razonablemente necesaria para demostrar el cumplimiento del Art. 28 del RGPD. El Controlador proporcionará notificación previa por escrito razonable de cualquier auditoría solicitada (con un mínimo de 30 días hábiles, excepto en caso de sospecha de violación). Las auditorías se realizarán no más de una vez al año y mediante uno de los siguientes medios: (a) el Procesador suministrando una copia de sus informes de auditoría actuales preparados por auditores independientes externos (por ejemplo, certificación ISO 27001, SOC 2 Tipo II); (b) el Procesador proporcionando respuestas por escrito a cuestionarios de seguridad de la información; o (c) el Controlador instruyendo una inspección dirigida de los TOMs acordados, cuyos resultados el Procesador compartirá en formato de resumen.
5.1 Cumplir con todas las Leyes de Protección de Datos aplicables con respecto a los Datos Personales del Cliente. El Controlador no utilizará los Servicios de manera que viole las Leyes de Protección de Datos.
5.2 Declarar y garantizar que tiene una base jurídica válida en virtud del Art. 6 del RGPD (y del Art. 9, cuando sea aplicable) para todos los datos personales presentados al Procesador, y para cualquier transferencia de Datos Personales del Cliente al Procesador. El Controlador notificará inmediatamente al Procesador si se produce algún cambio en las bases jurídicas para el procesamiento.
5.3 Garantizar que se han realizado todas las notificaciones requeridas y, cuando sea necesario, se han obtenido todos los consentimientos requeridos de los Interesados en relación con el procesamiento realizado en virtud de este DPA.
5.4 Tener la responsabilidad exclusiva de la exactitud, calidad y legalidad de los Datos Personales del Cliente y de los medios por los cuales el Controlador los adquiere.
5.5 Informar sin demora al Procesador de cualquier consulta o queja recibida de un Interesado o de una autoridad supervisora en relación con el procesamiento de Datos Personales del Cliente en virtud de este DPA.
5.6 Consentimiento general de subprocesadores. El Controlador otorga autorización general por escrito para que el Procesador contrate subprocesadores y afiliados del Procesador en el procesamiento de Datos Personales del Cliente, sujeto al procedimiento de notificación y objeción en la Sección 6.
6.1 La lista autorizada de subprocesadores contratados por el Procesador a la fecha de entrada en vigor de este DPA se establece en el Anexo I-C. Cualquier cambio en los subprocesadores está sujeto al procedimiento de notificación y objeción en las cláusulas 6.2 y 6.3, y da lugar a la emisión de una nueva versión del Anexo I-C al Controlador.
6.2 El Procesador proporcionará una notificación previa por escrito de al menos 30 días hábiles sobre cualquier adición o reemplazo previsto de subprocesadores. El Controlador podrá, dentro de los 10 días hábiles posteriores a la recepción de dicha notificación, objetar a un subprocesador nuevo o de reemplazo por motivos de protección de datos fundamentados ("Razones Legítimas"). Si el Controlador no notifica al Procesador una objeción dentro de este período, se considerará que el Controlador ha aceptado el nuevo subprocesador.
6.3 Si el Controlador presenta una objeción, el Procesador colaborará con el Controlador de buena fe para abordar las Razones Legítimas. Si las partes no llegan a un acuerdo dentro de los 20 días hábiles posteriores a la recepción de la objeción por parte del Procesador, el Controlador podrá, mediante notificación por escrito, rescindir los componentes del servicio que requieran el uso del subprocesador propuesto.
6.4 El Procesador sigue siendo plenamente responsable ante el Controlador del rendimiento de protección de datos de todos los subprocesadores.
6.5 Proveedores de IA suministrados por el cliente. Cuando el Controlador configure los Servicios para utilizar proveedores de modelos de IA de terceros bajo las propias cuentas y acuerdos del Controlador (incluidas, entre otras, las claves API de LLM suministradas por el propio cliente), el Controlador es el único responsable del cumplimiento de las Leyes de Protección de Datos aplicables con respecto a dichos proveedores, incluida la celebración de cualquier acuerdo de procesamiento de datos requerido. Dichos proveedores no son subprocesadores del Procesador y no están cubiertos por este DPA.
7.1 Todo el procesamiento de inferencia de IA de Datos Personales del Cliente se realiza exclusivamente a través de Azure OpenAI Service dentro de la región de la UE de Azure. El Procesador garantizará que cualquier transferencia de Datos Personales del Cliente a terceros países (fuera del EEE) cumpla con el Capítulo V del RGPD basándose en: (a) una decisión de adecuación de la Comisión de la UE; (b) Cláusulas Contractuales Tipo de la UE (Decisión de la Comisión 2021/914); o (c) con respecto a proveedores de EE. UU. autocertificados bajo el Marco de Privacidad de Datos, el Marco de Privacidad de Datos tal como se define en la Decisión de la Comisión (UE) 2023/1795.
7.2 Precedencia del mecanismo de transferencia. Cuando sea aplicable más de un mecanismo de transferencia, las transferencias estarán sujetas a los mecanismos en el siguiente orden de precedencia: (a) el Marco de Privacidad de Datos; (b) Cláusulas Contractuales Tipo de la UE; (c) otros mecanismos de transferencia alternativos permitidos por la ley aplicable.
7.3 El Procesador realiza evaluaciones de impacto de transferencia (TIA) para todas las transferencias a subprocesadores de terceros países. La documentación de la TIA está disponible para el Controlador previa solicitud por escrito.
El Procesador implementa y mantiene medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente contra la destrucción, pérdida, alteración, divulgación o acceso no autorizado, accidentales o ilícitos. Los detalles completos se establecen en el Anexo 2. Las medidas clave incluyen:
Cifrado de Datos Personales del Cliente en tránsito y en reposo utilizando algoritmos estándar de la industria
Controles de acceso basados en roles y autenticación multifactor para todo el acceso privilegiado
Aislamiento lógico de inquilinos: los datos de cada cliente se procesan en un entorno dedicado y lógicamente aislado
Pruebas de penetración regulares y gestión continua de vulnerabilidades por parte de proveedores cualificados
Procedimientos documentados de detección, respuesta y escalada de incidentes
Formación sobre protección de datos del personal y verificación de antecedentes apropiada
Disposiciones de continuidad del negocio y recuperación ante desastres, probadas al menos anualmente
Supervisión de subprocesadores que garantiza estándares de protección de datos equivalentes en toda la cadena de suministro
9.1 En caso de una Violación de Datos Personales, el Procesador notificará al Controlador sin demora indebida, y en cualquier caso dentro de las 48 horas posteriores a tener conocimiento de la misma.
9.2 La notificación incluirá, en la medida en que se conozca: la naturaleza de la violación; las categorías y el número aproximado de Sujetos de Datos afectados; las categorías y el número aproximado de registros afectados; las consecuencias probables; y las medidas adoptadas o propuestas. Cuando la información completa no esté disponible en la notificación inicial, se proporcionará por fases sin demora indebida.
9.3 El Procesador documentará todas las violaciones y medidas de subsanación de acuerdo con el Art. 33(5) del RGPD.
10.1 El Procesador ha implementado medidas para regular la divulgación de Datos Personales del Cliente a entidades gubernamentales. Estas medidas exigen que el Procesador considere sus obligaciones de cumplir con cualquier orden o demanda gubernamental y sus obligaciones legales de proteger los Datos Personales del Cliente.
10.2 En la medida permitida por la ley, el Procesador notificará sin demora al Controlador cualquier solicitud legalmente vinculante de divulgación de Datos Personales del Cliente por parte de una autoridad policial o gubernamental antes de responder a dicha solicitud. Si el Procesador no tiene permiso para notificar al Controlador, buscará permiso para hacerlo o pedirá a la autoridad emisora que busque la información directamente del Controlador.
10.3 El Procesador impugnará una orden o demanda gubernamental cuando sea apropiado y existan motivos legales válidos. Si se requiere la producción para cumplir con una orden judicial o demanda válida, el Procesador divulgará la cantidad mínima de Datos Personales del Cliente necesaria para cumplir.
10.4 Con respecto a los datos personales de residentes del EEE, el Procesador cumple con las obligaciones establecidas en las CCE de la UE con respecto a las solicitudes de acceso gubernamental.
Cuando una actividad de procesamiento sea susceptible de generar un alto riesgo para los derechos y libertades de los Sujetos de Datos, el Procesador brindará asistencia razonable al Controlador en la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD) de conformidad con el Art. 35 del RGPD, incluso proporcionando información sobre sus actividades de procesamiento y medidas de seguridad.
12.1 La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones establecidas en los T&C. Las reclamaciones presentadas en virtud de este DPA estarán sujetas a los términos y condiciones del Acuerdo, incluidas las exclusiones y limitaciones establecidas en el mismo; siempre que ninguna de las partes haya limitado su responsabilidad en virtud del Acuerdo con respecto a los derechos de cualquier Sujeto de Datos en virtud de las Leyes de Protección de Datos donde dicha limitación esté prohibida por la ley aplicable.
12.2 En caso de conflicto entre el Acuerdo y este DPA, prevalecerán las disposiciones de este DPA.
Este DPA entra en vigor tras la firma (o, cuando el Acuerdo se ejecute a través de un Formulario de Pedido, tras la ejecución del Formulario de Pedido) y permanece en vigor durante la duración del Acuerdo. Tras la terminación del Acuerdo, este DPA se rescinde automáticamente. Las obligaciones establecidas en las Secciones 4.2 (confidencialidad), 4.8 (devolución y eliminación de datos) y 9 (notificación de violaciones) sobrevivirán a la terminación.
14.1 Ley aplicable. Este DPA se rige por las leyes de la República Federal de Alemania. Las disputas están sujetas a las disposiciones de resolución de disputas de los T&C.
14.2 Modificaciones. Las modificaciones de este DPA requieren forma escrita. En caso de conflicto, este DPA prevalece sobre el Acuerdo.
14.3 Notificaciones. Todas las notificaciones en virtud de este DPA se enviarán a las direcciones proporcionadas en el Acuerdo.
14.4 Divisibilidad. Si alguna disposición de este DPA se considera inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor y efecto.
14.5 CCE. En la medida en que las CCE de la UE entren en conflicto con alguna disposición de este DPA, las CCE prevalecerán en la medida de dicho conflicto. No es la intención de las partes contradecir o restringir ninguna disposición de las CCE.
14.6 Idioma y traducciones. Este DPA está disponible en inglés y alemán, ambos han sido revisados para su precisión legal. El texto en inglés es la versión autorizada para todos los propósitos, incluida la interpretación, la resolución de disputas y la aplicación. Las traducciones a otros idiomas pueden publicarse solo para facilitar la referencia y no tienen efecto legal. En caso de cualquier inconsistencia entre el texto en inglés y cualquier traducción, prevalece el texto en inglés.
Contacto de Privacidad: privacy@kolsetu.com
Dirección: Kolsetu GmbH, Gaensemarkt 33, 20354 Hamburgo, Alemania
Nombre: Cliente según se define en el Formulario de Pedido o durante el registro de la cuenta (Elba Autoservicio)
Dirección: Según se define en el Formulario de Pedido o durante el registro de la cuenta (Elba Autoservicio)
Contacto: Según se define en el Formulario de Pedido o durante el registro de la cuenta (Elba Autoservicio)
Firma: Los clientes empresariales aceptan este DPA firmando el Formulario de Pedido. Los clientes de autoservicio aceptan este DPA completando el registro de la cuenta y aceptando los Términos de Autoservicio de Elba. En ambos casos, la aceptación de este DPA incluye, cuando corresponda, la aceptación de las Cláusulas Contractuales Estándar de la UE.
Rol: Controlador
Nombre: Kolsetu GmbH
Dirección: Gaensemarkt 33, 20354 Hamburgo, Alemania (HRB 191266)
Contacto de Privacidad: privacy@kolsetu.com
Rol: Procesador
Nota: Dado que Kolsetu GmbH está establecida en Alemania (EEE), la relación principal controlador-procesador no requiere Cláusulas Contractuales Estándar de la UE. Las CCE solo se aplican a las transferencias posteriores a subprocesadores de terceros según se indica en la tabla de subprocesadores en la Sección 6 y el Anexo I-B.
Elemento | Detalle |
Asunto | Procesamiento de datos personales en relación con la provisión de la plataforma y los Servicios de Elba AI. |
Duración | Durante el plazo del Acuerdo, a menos que el Controlador instruya la eliminación o devolución anticipada. |
Naturaleza del procesamiento | Recopilación, almacenamiento, uso, transferencia y eliminación de Datos Personales del Cliente por medios automatizados, incluido el procesamiento de IA en tiempo real de interacciones de voz y datos de conversación. |
Finalidades | Provisión y operación de la plataforma Elba; automatización de voz con IA y orquestación omnicanal; integraciones empresariales; análisis e informes; seguridad y soporte. |
Categorías de datos | Según se enumera en la Sección 3.3 de este DPA. |
Categorías de sujetos | Según se enumera en la Sección 3.4 de este DPA. |
Datos sensibles (Art. 9 RGPD) | El Procesador procesa categorías especiales de datos personales únicamente siguiendo las instrucciones documentadas del Controlador. El Controlador es el único responsable de garantizar que cualquier envío de datos de categorías especiales a la plataforma esté respaldado por una base legal válida según el Art. 9 del RGPD (o una disposición equivalente según las Leyes de Protección de Datos aplicables), que se cumplan todos los consentimientos requeridos u otras condiciones, y que existan salvaguardias apropiadas antes del envío. El Procesador aplica las mismas medidas técnicas y organizativas a los datos de categorías especiales que a todos los demás Datos Personales del Cliente en virtud de este DPA. |
Subprocesadores | Según se enumera en el Anexo I-C de este DPA. |
Frecuencia de transferencia | Periódicamente durante el plazo del Acuerdo, dependiendo del uso de los Servicios por parte del Controlador. |
Retención | Grabaciones de voz: según lo configurado por el Controlador (máximo predeterminado de 90 días). Todos los demás datos: durante el plazo del Acuerdo, a menos que se instruya una eliminación anticipada. |
La autoridad de supervisión competente es la Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), de conformidad con la Cláusula 13 de las CCE, ya que Kolsetu GmbH está establecida en Hamburgo, Alemania.
Este Anexo enumera todos los subprocesadores contratados por Kolsetu GmbH en la fecha de entrada en vigor de este DPA. Los cambios en esta lista están sujetos al procedimiento de notificación y objeción descrito en la Sección 6. Se emitirá una nueva versión de este Anexo al Controlador cuando cambien los acuerdos con los subprocesadores.
Subprocesador | País | Servicio | Ubicación de los datos | Base de transferencia |
Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxemburgo | Infraestructura en la nube (cómputo, almacenamiento, red); centros de datos de la UE (Fráncfort) | EEE | No se requiere transferencia |
Microsoft Ireland Operations Ltd. (Azure) | One Microsoft Place, South County Business Park, Leopardstown, Dublín 18, Irlanda | Alojamiento e infraestructura en la nube; centros de datos de la UE (Fráncfort / Europa Occidental) | EEE | No se requiere transferencia |
Microsoft Ireland Operations Ltd. (Azure OpenAI) | One Microsoft Place, South County Business Park, Leopardstown, Dublín 18, Irlanda | Inferencia de IA (voz, PNL, LLM) a través de Azure OpenAI Service; procesado exclusivamente dentro de la región de la UE de Azure | EEE | No se requiere transferencia |
Anthropic (Claude) | Anthropic Ireland Ltd., 77 Sir John Rogerson's Quay, Dublín 2, Irlanda | Modelo de lenguaje de IA para casos de uso internos de seguridad, cumplimiento y operativos; región de la UE | EEE | No se requiere transferencia |
Google Ireland Limited | Gordon House, Barrow Street, Dublín 4, Irlanda | Google Workspace: colaboración interna, correo electrónico, calendario y gestión de documentos; puede contener incidentalmente datos de soporte al cliente y operativos | EEE | No se requiere transferencia |
LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, Estados Unidos | Audio en tiempo real/WebRTC para interacciones de IA en vivo; datos procesados en centros de datos de la UE (Alemania) | EEE (punto final de la UE) | SCC de la UE (Decisión de la Comisión 2021/914) |
Meta Platforms Ireland Limited | Merrion Road, Ballsbridge, Dublín 4, Irlanda | WhatsApp Business API: comunicación omnicanal con el cliente a través de WhatsApp; región de la UE | EEE | No se requiere transferencia |
Twilio Ireland Limited | 25–28 North Wall Quay, Dublín 1, Irlanda | APIs de comunicación en la nube (SMS, VoIP, WebRTC, autenticación de dos factores) | EEE | No se requiere transferencia |
Soniox | Cesta v Gorice 34B, 1000 Liubliana, Eslovenia | servicio de voz a texto | EEE | No se requiere transferencia |
Slack Technologies Limited | One Park Place, Hatch Street Upper, Dublín 2, Irlanda | Comunicación interna y enrutamiento de soporte al cliente en tiempo real; puede contener incidentalmente datos de interacción del cliente compartidos en flujos de trabajo de soporte | EEE | No se requiere transferencia |
Zoho Corporation GmbH | Trinkausstraße 7, 40213 Düsseldorf, Alemania | CRM: adquisición de clientes, gestión de cuentas y soporte | EEE | No se requiere transferencia |
Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublín 2, Irlanda | Procesamiento de pagos (facturación empresarial) | EEE | No se requiere transferencia |
UAB Revolut Business | Konstitucijos ave. 21B, Vilnius, LT-08130, Lituania | Procesamiento de pagos (facturación y cobros empresariales) | EEE | No se requiere transferencia |
PayPal (Europe) S.à.r.l. et Cie, S.C.A. | 22–24 Boulevard Royal, L-2449 Luxemburgo | Procesamiento de pagos (pagos con tarjeta y transacciones sin efectivo) | EEE | No se requiere transferencia |
Kolsetu GmbH mantiene un SGSI alineado con ISO 27001 y revisa y actualiza estas medidas al menos anualmente. Las siguientes medidas están en vigor a partir de la fecha de entrada en vigor de este DPA.
Dominio | Compromiso |
Organización y Gobernanza | Kolsetu ha nombrado a un CISO/DPO responsable de la seguridad de la información. Se mantiene y revisa al menos anualmente un marco de políticas documentado que cubre todos los dominios de seguridad relevantes. |
Gestión de Riesgos | Se realizan evaluaciones formales de riesgos antes de implementar nuevas actividades de procesamiento y se revisan al menos anualmente. |
Control de Acceso | El acceso a los sistemas que procesan Datos Personales del Cliente se concede según el principio de mínimo privilegio y necesidad de conocer. Se aplica la autenticación multifactor para el acceso privilegiado. |
Cifrado | Los Datos Personales del Cliente se cifran en reposo y en tránsito utilizando algoritmos estándar de la industria. Se aplica TLS para todos los datos transmitidos a través de redes públicas. |
Seguridad Física | La infraestructura en la nube se aloja en centros de datos con certificación ISO 27001. El proveedor de alojamiento (Microsoft Azure) mantiene los controles de acceso físico. |
Pruebas de Seguridad | Se realizan pruebas de penetración y evaluaciones de vulnerabilidad periódicas. Las vulnerabilidades identificadas se corrigen según plazos basados en la gravedad. |
Gestión de Incidentes | Se mantiene un plan de respuesta a incidentes documentado. Se notifica al Responsable del tratamiento en un plazo de 48 horas desde que el Procesador tenga conocimiento de una violación de datos personales. |
Continuidad del Negocio | Se mantienen y prueban procedimientos de copia de seguridad y recuperación. La infraestructura redundante está diseñada para garantizar la continuidad del servicio. |
Gestión de Proveedores | Los subprocesadores están sujetos a obligaciones contractuales de protección de datos no menos protectoras que las de este DPA. Se realiza una diligencia debida antes de incorporar nuevos subprocesadores. |
Acceso Gubernamental | Kolsetu implementa medidas técnicas, contractuales y organizativas para proteger los Datos Personales del Cliente contra el acceso ilícito por parte de autoridades extranjeras, según se describe con más detalle en la Sección 10. |