Acuerdo de Tratamiento de Datos
Vigente a partir de: 17 de febrero de 2026
Preámbulo
Este Acuerdo especifica las obligaciones de protección de datos de las partes contratantes entre el Cliente (en adelante “Responsable del Tratamiento”) y Kolsetu (en adelante “Encargado del Tratamiento”) derivadas del uso del Software y Servicios de Kolsetu en base al Acuerdo de Licencia de Usuario Final (EULA) y los Términos y Condiciones Generales acordados (“Acuerdo Principal”).
Se aplica a todas las actividades del Encargado del Tratamiento en relación con los servicios bajo el Acuerdo Principal, durante las cuales los empleados del Encargado del Tratamiento o terceros que actúen en su nombre puedan entrar en contacto con los datos personales del Responsable del Tratamiento.
1 Definiciones
Los términos “datos personales” (o “datos”), “tratamiento”, “autoridad de control”, “interesado”, “Estado Miembro” y “transferencia” tienen el mismo significado que en el Reglamento General de Protección de Datos (RGPD), y los términos relacionados deben interpretarse en consecuencia.
2 Ámbito y Responsabilidad
El Encargado del Tratamiento procesa los datos personales en nombre y de acuerdo con las instrucciones del Responsable del Tratamiento. Esto incluye las actividades enumeradas y descritas en el Acuerdo Principal.
Bajo el Acuerdo Principal, el Responsable del Tratamiento es el único responsable del cumplimiento del RGPD y/o otras regulaciones de protección de datos de la UE o sus Estados Miembros (el Responsable del Tratamiento es el “Responsable” en el sentido del Artículo 4(7) del RGPD).
Las instrucciones se definen inicialmente en el Acuerdo Principal y pueden ser modificadas, complementadas o reemplazadas por el Responsable del Tratamiento mediante instrucciones escritas o electrónicas (forma de texto). Las instrucciones orales deben confirmarse sin demora por escrito o en forma de texto.
Si el Encargado del Tratamiento considera que una instrucción viola el RGPD u otras disposiciones de protección de datos, informará de inmediato al Responsable del Tratamiento sobre estas preocupaciones legales.
3 Objeto, Duración y Especificación del Tratamiento
Objeto: El tratamiento de datos personales se realiza en el contexto de proporcionar el Software y Servicios de Kolsetu.
Duración: La duración de este Acuerdo se basa en la duración del Acuerdo Principal, salvo que se especifique lo contrario aquí.
Tipo de Tratamiento: Recopilación, almacenamiento, uso, transferencia y eliminación de datos personales por medios automatizados.
Finalidad del Tratamiento: Provisión y uso de las funciones del software contractual de acuerdo con el Acuerdo Principal y el EULA.
| Tipo de Datos | Naturaleza y Finalidad del Tratamiento | Categorías de Interesados |
|---|---|---|
| Datos maestros (ej. nombre, detalles de contacto) | Gestión y provisión de las funciones del software contractual | Clientes, usuarios, empleados, contactos |
| Categorías especiales de datos personales (datos de salud) | Programación de citas, comunicación con pacientes, notas (si se ingresan), atención médica | Pacientes, clientes finales del Responsable del Tratamiento |
| Datos de contrato y facturación (ej. número de cliente, información de facturación) | Ejecución del contrato, facturación, administración | Clientes, contactos |
| Datos de uso y comunicación (ej. archivos de registro, direcciones IP, datos de chat o video) | Provisión técnica, soporte, resolución de problemas, comunicación | Usuarios del software, clientes, empleados |
| Metadatos técnicos (ej. marcas de tiempo, información del dispositivo) | Seguridad del sistema, estabilidad, monitoreo, registro | Usuarios del software |
| Datos de comunicación y contenido (ej. grabaciones de voz, transcripciones, datos de conversación) | Comunicación, soporte, control de calidad, provisión al Responsable del Tratamiento si es necesario | Usuarios del software, clientes, empleados, contactos |
| Datos de usuarios y empleados (ej. información de inicio de sesión, roles, permisos) | Identificación de usuarios, gestión de acceso, gestión de roles | Empleados del Responsable del Tratamiento |
Actividades de Tratamiento Especial
Además de proporcionar los servicios contractuales, el Encargado del Tratamiento puede procesar datos de comunicación y contenido (ej. grabaciones de voz, transcripciones, datos de conversación) para fines de análisis, mejora del producto y desarrollo adicional de módulos de voz y IA.
Antes de dicho uso, siempre se llevará a cabo una anonimización de acuerdo con el RGPD, para que no se pueda hacer referencia a los interesados.
Transferencias a Terceros Países
El tratamiento de datos personales generalmente se realiza dentro del Espacio Económico Europeo (EEE) o en países con una decisión de adecuación de la Comisión de la UE.
Cuando se requiera una transferencia a un tercer país, esta solo se llevará a cabo bajo las condiciones de los Artículos 44 y siguientes del RGPD, en particular sobre la base de las Cláusulas Contractuales Estándar de la UE (SCC).
4 Obligaciones del Encargado del Tratamiento
El Encargado del Tratamiento solo puede procesar datos dentro del marco del contrato y las instrucciones del Responsable del Tratamiento, salvo que se aplique una excepción según el Artículo 28(3)(a) del RGPD.
El Encargado del Tratamiento implementará medidas técnicas y organizativas para proteger adecuadamente los datos del Responsable del Tratamiento, de acuerdo con el Artículo 32 del RGPD. Estas medidas se detallan en el Anexo 1.
El Encargado del Tratamiento asistirá al Responsable del Tratamiento, en la medida de lo posible, en el cumplimiento de solicitudes y reclamaciones de los interesados según el Capítulo III del RGPD, y en el cumplimiento de las obligaciones establecidas en los Artículos 33 a 36 del RGPD.
El Encargado del Tratamiento garantizará que las personas autorizadas para procesar datos personales estén comprometidas con la confidencialidad o estén sujetas a una obligación estatutaria adecuada de secreto.
El Encargado del Tratamiento informará de inmediato al Responsable del Tratamiento de cualquier violación de datos personales que se haya conocido.
El Encargado del Tratamiento rectificará o eliminará los datos cubiertos por el contrato si así lo indica el Responsable del Tratamiento.
Contacto de protección de datos: privacy@kolsetu.com
5 Obligaciones del Responsable del Tratamiento
El Responsable del Tratamiento debe informar de inmediato al Encargado del Tratamiento si identifica errores o irregularidades con respecto a las disposiciones de protección de datos.
5.1 Legalidad del Tratamiento
- La transferencia de datos se basa en una base legal según el Artículo 6 del RGPD
- Se respeta la limitación de finalidad de los datos tratados
- Se obtienen todos los consentimientos necesarios de los interesados
- Los interesados han sido informados según los Artículos 13/14 del RGPD
- Cuando se utilizan servicios de IA, se cumplen los términos de los subcontratistas
5.2 Indemnización en Caso de Uso Indebido
El Responsable del Tratamiento se compromete a indemnizar internamente al Encargado del Tratamiento por todas las reclamaciones de terceros y multas regulatorias en la medida en que sean atribuibles a:
- Uso indebido del Software de Kolsetu por parte del Responsable del Tratamiento
- Violaciones de las obligaciones de protección de datos por parte del Responsable del Tratamiento
- Órdenes ilegales o que violen las instrucciones por parte del Responsable del Tratamiento
Esta indemnización se aplica solo entre el Responsable del Tratamiento y el Encargado del Tratamiento. Los derechos de los interesados según el Artículo 82 del RGPD no se ven afectados.
El Responsable del Tratamiento designará un contacto de protección de datos para el Encargado del Tratamiento.
5.3 Responsabilidad por el Tratamiento Modular
Cuando se utilicen módulos opcionales, el Responsable del Tratamiento es responsable de:
- Activación/desactivación legalmente conforme de los módulos
- Implementación de los consentimientos requeridos
- Cumplimiento de las regulaciones específicas de la industria
6 Solicitudes de Interesados
El Encargado del Tratamiento refiere a los interesados al Responsable del Tratamiento y reenvía de inmediato sus solicitudes. El Encargado del Tratamiento asiste al Responsable del Tratamiento con las respuestas en la medida de lo posible.
7 Prueba de Cumplimiento
El Encargado del Tratamiento demuestra el cumplimiento de estas obligaciones a través de medios apropiados y permite auditorías por parte del Responsable del Tratamiento o auditores designados.
Las inspecciones se llevan a cabo durante el horario laboral regular tras un aviso razonable. El Encargado del Tratamiento puede requerir que se firme un acuerdo de confidencialidad.
8 Subencargados del Tratamiento
El Responsable del Tratamiento autoriza por la presente a Kolsetu a contratar subencargados del tratamiento para cumplir con sus obligaciones contractuales. Se adjunta a este Acuerdo una lista actualizada de los subencargados utilizados por Kolsetu.
Kolsetu informará al Responsable del Tratamiento en forma de texto (por ejemplo, por correo electrónico) antes de cualquier cambio de subencargado o la contratación de uno nuevo. El Responsable del Tratamiento puede objetar a un cambio dentro de los 14 días por razones importantes de protección de datos.
Kolsetu celebrará un acuerdo de protección de datos con cada subencargado coherente con este Acuerdo y supervisará el cumplimiento. Kolsetu seguirá siendo responsable de garantizar que los subencargados cumplan con las obligaciones legales y contractuales.
9 Vigencia y Terminación
Este DPA entra en vigor tras la firma y se extiende por la duración del Acuerdo Principal. Con la terminación del Acuerdo Principal, este DPA también termina.
Tras la terminación, Kolsetu devolverá o eliminará todos los datos personales a elección del Responsable del Tratamiento, salvo que se apliquen requisitos de retención legales.
10 Obligaciones de Información, Forma Escrita, Ley Aplicable
El Encargado del Tratamiento informa de inmediato al Responsable del Tratamiento sobre medidas regulatorias relacionadas con los datos tratados.
Las modificaciones a este DPA requieren forma escrita o de texto.
En caso de conflicto, las disposiciones de este DPA prevalecerán sobre el Acuerdo Principal.
Ley aplicable: Ley alemana. Lugar de jurisdicción: Hamburgo.
11 Responsabilidad
La responsabilidad se rige por las disposiciones del Acuerdo Principal. La responsabilidad de Kolsetu está limitada en consecuencia.
Cada parte es responsable de sus propias infracciones e indemniza a la otra parte contra las reclamaciones de terceros resultantes.
Anexo 1 – Medidas Técnicas y Organizativas (TOMs) según el Art. 32 del RGPD
Sin perjuicio de las medidas adicionales acordadas en el Acuerdo Principal, el Encargado del Tratamiento garantiza al menos las siguientes medidas técnicas y organizativas:
Confidencialidad
- Control de acceso físico: No se permite el acceso no autorizado a las instalaciones de tratamiento
- Control de acceso al sistema: No se permite el uso no autorizado del sistema (contraseñas, 2FA, cifrado)
- Control de acceso interno: No se permite la lectura/copia/modificación no autorizada de datos
- Control de separación: Tratamiento separado para diferentes fines
- Seudonimización: Los datos personales se almacenan por separado
Integridad
- Control de transferencia de datos: Protección durante la transferencia electrónica
- Control de entrada de datos: Registro de cambios y eliminaciones
Disponibilidad y Estabilidad
- Control de disponibilidad: Protección contra pérdida/destrucción (copias de seguridad, cortafuegos, recuperación ante desastres)
- Recuperación rápida: Planes de emergencia y reinicio
Otras Medidas
- Gestión de protección de datos
- Gestión de respuesta a incidentes
- Control de contratos/órdenes
- Privacidad por diseño y por defecto
- No tratamiento por terceros sin instrucciones
- Debida diligencia al seleccionar proveedores de servicios
Anexo 2 – Subencargados del Tratamiento
Kolsetu contrata a los siguientes subencargados del tratamiento. El tratamiento se realiza dentro del EEE o en países con una decisión de adecuación de la UE.
| Empresa | Alcance de los Servicios | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Infraestructura en la nube (cómputo, almacenamiento, red) | Centros de datos de la UE (Fráncfort), Luxemburgo |
| Microsoft Azure | Infraestructura en la nube (cómputo, almacenamiento, red) | Centros de datos de la UE (Fráncfort), Países Bajos |
| Google Cloud | Infraestructura en la nube (cómputo, almacenamiento, red) | Centros de datos de la UE (Fráncfort), Irlanda |
| Empresa | Alcance de los Servicios | Ubicación |
|---|---|---|
| OpenAI | Generación de voz y texto impulsada por IA para funciones de diálogo avanzadas | OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irlanda |
| Zoho | Solución en la nube para adquisición de clientes, gestión de cuentas y soporte | Zoho Corporation GmbH, Trinkaustr. 7, 40213 Düsseldorf, Alemania |
| Stripe | Procesamiento de pagos con tarjeta de crédito y sin efectivo | Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irlanda |
| PayPal | Procesamiento de pagos | PayPal (Europe) S.à.r.l. et Cie, 22–24 Boulevard Royal, 2449 Luxemburgo |
| Telnyx | APIs de voz, mensajería y redes (telefonía, SMS, VoIP) | Telnyx UK Limited, 71–75 Shelton Street, London, WC2H 9JQ, Reino Unido |
| LiveKit | Plataforma de API de audio y video en tiempo real (WebRTC), streaming en vivo, interacciones de IA | LiveKit Inc., 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, EE. UU. |
| Twilio | APIs de comunicación en la nube (SMS, VoIP, WebRTC, 2FA) | Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, Irlanda |
| Langfuse | Monitoreo y observabilidad para aplicaciones impulsadas por IA (seguimiento, registro, análisis) | Langfuse GmbH, Chausseestraße 8, 10115 Berlín, Alemania |
| n8n | Plataforma de automatización e integración (automatización de flujos de trabajo, procesamiento de datos) | n8n GmbH, Novalisstraße 10, 10115 Berlín, Alemania |