Fecha: 27 de marzo de 2026

Contrato de encargo de tratamiento (CET)

conforme al art. 28, apdo. 3 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos — RGPD)

entre

el usuario del servicio Aegis —incluida la extensión de Chrome y la demo del sitio web (en adelante, «Responsable»)

Kaino GmbH
Grabenweg 68, 4. OG E5_2
6020 Innsbruck, Austria
NIF-IVA: ATU77867578 · Núm. registro: 573644w
Correo electrónico: aegis@kaino.io
(en adelante, el “Encargado”)

— en adelante, denominados conjuntamente las “Partes” —

§ 1 Objeto y duración del tratamiento

1.1 Objeto

Este contrato regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento. Concreta las obligaciones en materia de protección de datos de las partes derivadas del uso del servicio Aegis —incluidos todos los planes (PLUS, PRO y ENTERPRISE), así como la demo del sitio web ofrecida en la página del producto (“Try It").

El Encargado tratará los datos personales únicamente por cuenta y siguiendo las instrucciones documentadas del Responsable (art. 28, apdo. 3, letra a del RGPD), a menos que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que le sea de aplicación. En tal caso, el Encargado informará al Responsable de esa exigencia legal previa al tratamiento, a menos que tal Derecho lo prohíba por razones importantes de interés público.

1.2 Duración

Para los suscriptores, este contrato entra en vigor al formalizar la suscripción (Aegis PLUS o Aegis PRO) y finaliza automáticamente con la terminación de la suscripción, por cualquier motivo. Para el uso de la demo del sitio web, este contrato entra en vigor al cargar un documento y finaliza al concluir el tratamiento correspondiente. Las obligaciones de los §§ 5, 7, 8 y 10 seguirán vigentes tras la finalización del contrato, si bien el derecho de auditoría conforme al § 8 se limita a 60 días tras la finalización del contrato.

§ 2 Naturaleza y finalidad del tratamiento

2.1 Finalidad

Detección y anonimización de datos personales en documentos del responsable del tratamiento mediante procesamiento basado en IA, antes de que estos documentos se transmitan a plataformas de chat de IA (como ChatGPT, Claude o Gemini).

2.2 Naturaleza del tratamiento

Recepción de contenidos de documentos cifrados (HTTPS/TLS)
Reconocimiento de datos personales impulsado por IA (Named Entity Recognition)
Tratamiento OCR para archivos de imagen (PNG, JPEG, TIFF)
Eliminación de metadatos incrustados en archivos de imagen
Sustitución de los datos personales detectados por marcadores de posición
Devolución del texto anonimizado y de la asignación de los marcadores al Responsable

2.3 Sin almacenamiento

El Encargado no almacena los contenidos de los documentos tras el tratamiento. El tratamiento se realiza exclusivamente en la memoria volátil (procesamiento in-memory). Tras la devolución del resultado, todos los datos del documento se eliminan de forma inmediata.

2.4 Sin entrenamiento de modelos

El contenido de los documentos no será utilizado por el encargado del tratamiento ni por los subencargados del tratamiento mencionados en el § 6.1 para el entrenamiento o la mejora de modelos de IA.

§ 3 Tipo de datos personales y categorías de interesados

3.1 Tipos de datos personales

Los documentos del Responsable pueden contener, en particular, las siguientes categorías de datos personales:

Nombres (nombres y apellidos, títulos académicos)
Datos de contacto (direcciones de correo electrónico, números de teléfono, direcciones postales)
Números de identificación (números de seguridad social, números de documento de identidad)
Información financiera (números de tarjeta de crédito, datos bancarios)
Fechas de nacimiento
Direcciones IP
Otros datos personales contenidos en los documentos

Categorías especiales de datos personales (art. 9 del RGPD): El Responsable es responsable de asegurar que el tratamiento de categorías especiales de datos personales (p. ej., datos de salud, datos biométricos) solo se realice si existe una base jurídica conforme al art. 9, apdo. 2 del RGPD. El Encargado no puede determinar técnicamente de forma previa la presencia de tales datos.

3.2 Categorías de interesados

Dependiendo de los documentos del Responsable, pueden verse afectados:

Empleados y candidatos del Responsable
Clientes y socios comerciales del Responsable
Pacientes, mandantes, clientes
Otras personas físicas mencionadas en los documentos

§ 4 Obligaciones del Responsable

El Responsable es el único responsable de la licitud del tratamiento de los datos personales. Garantiza, en particular:

que dispone de una base jurídica adecuada para la comunicación de datos personales de terceros al Encargado (p. ej., art. 6, apdo. 1, letra f del RGPD — interés legítimo en la anonimización);
que ha informado a los interesados sobre el tratamiento, en la medida en que sea razonable y legalmente exigible (art. 13, 14 del RGPD);
que ha evaluado de forma independiente los riesgos para los derechos y libertades de los interesados antes de la comunicación;
que las instrucciones al Encargado cumplen con el RGPD.

§ 5 Obligaciones del Encargado

5.1 Sometimiento a instrucciones

El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable —inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional—, a menos que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que le sea de aplicación (art. 28, apdo. 3, letra a del RGPD).

El uso del servicio Aegis conforme a las condiciones de uso vigentes constituye la instrucción documentada del Responsable. Otras instrucciones individuales adicionales requerirán forma escrita (el correo electrónico es suficiente) a aegis@kaino.io.

5.2 Confidencialidad

El Encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria adecuada (art. 28, apdo. 3, letra b del RGPD).

5.3 Medidas técnicas y organizativas

El Encargado tomará todas las medidas técnicas y organizativas necesarias de conformidad con el art. 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo. Las medidas se describen en el Anexo 1 (al final de este contrato).

5.4 Asistencia al Responsable

El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento:

en el cumplimiento de la obligación de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD (art. 28, apdo. 3, letra e del RGPD);
en el cumplimiento de las obligaciones establecidas en los art. 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de la seguridad de los datos personales, evaluación de impacto relativa a la protección de datos, consulta previa) (art. 28, apdo. 3, letra f del RGPD).

5.5 Notificación de violaciones de la protección de datos

El Encargado notificará al Responsable sin dilación indebida cualquier violación de la seguridad de los datos personales de la que tenga conocimiento (art. 33, apdo. 2 del RGPD). La notificación contendrá, como mínimo:

una descripción de la naturaleza de la violación;
las categorías y el número aproximado de interesados y de registros de datos afectados;
una descripción de las posibles consecuencias;
una descripción de las medidas adoptadas o propuestas.

La notificación se realizará por correo electrónico a la dirección del Responsable facilitada en la suscripción. Para los usuarios de la demo del sitio web cuya dirección de correo electrónico no sea conocida por el encargado del tratamiento, la notificación se realizará mediante su publicación en el sitio web del encargado del tratamiento.

5.6 Información en caso de instrucciones ilícitas

El Encargado informará inmediatamente al Responsable si considera que una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos (art. 28, apdo. 3, párrafo segundo del RGPD).

§ 6 Subencargados del tratamiento

6.1 Subencargados autorizados

El Responsable otorga por el presente al Encargado una autorización general por escrito para la contratación de los siguientes subencargados (art. 28, apdo. 2 del RGPD):

Subencargado	Finalidad	Ubicación
OVHCloud SAS, Roubaix, Francia	Anonimización basada en IA y procesamiento OCR de contenido de documentos (Zero Data Retention)	UE (Francia)
Scaleway SAS, París, Francia	Anonimización asistida por IA y tratamiento OCR del contenido de documentos (Zero Data Retention)	UE (Francia)
Hetzner Online GmbH, Gunzenhausen, Alemania	Alojamiento de servidores e infraestructura API (`aegis.kaino.io`)	Alemania
Raidboxes GmbH, Münster, Alemania	Hosting del sitio web y tratamiento de cargas de documentos de la demo	Alemania

Con todos los subencargados del tratamiento, el encargado del tratamiento ha celebrado contratos conforme al art. 28, apdo. 4 del RGPD, que les imponen las mismas obligaciones en materia de protección de datos que las establecidas en este contrato.

6.2 Modificación de subencargados

El Encargado informará al Responsable con antelación de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando así al Responsable la oportunidad de oponerse a dichos cambios (art. 28, apdo. 2 del RGPD).

La información se facilitará mediante la actualización de la lista de subencargados en el sitio web del Encargado (kaino.io/aegis/privacy, sección 7), así como por correo electrónico al Responsable al menos 30 días antes del cambio previsto.

Si el Responsable presenta una objeción justificada en un plazo de 30 días tras la notificación, las Partes tratarán de alcanzar una solución consensuada. Si no se llega a un acuerdo, el Responsable tendrá derecho a la resolución extraordinaria de la suscripción.

6.3 Sin transferencia a terceros países

Todo el tratamiento de documentos se realiza exclusivamente dentro de la UE/EEE. El Encargado no transfiere contenidos de documentos a terceros países.

§ 7 Supresión y devolución de datos

7.1 Durante el tratamiento

Los contenidos de los documentos se eliminan de forma inmediata y automática una vez finalizada la anonimización. No se realiza ningún almacenamiento permanente de los contenidos de los documentos.

7.2 Tras la finalización del contrato

El Encargado suprimirá, en un plazo de 30 días tras la finalización de la suscripción, todos los datos personales relacionados con el encargo de tratamiento, a menos que se requiera su conservación en virtud del Derecho de la Unión o de los Estados miembros (art. 28, apdo. 3, letra g del RGPD).

Dado que no se almacenan contenidos de documentos de forma permanente, la supresión se limita a:

Datos maestros del cliente (correo electrónico, nombre, nombre de la empresa): Anonimización irreversible en un plazo de 30 días tras la finalización de la suscripción
Estadísticas de uso: Anonimización en un plazo de 30 días tras la finalización de la suscripción
Registros de acceso al servidor: Supresión automática tras 30 días

§ 8 Derechos de control y auditoría

8.1 Derecho de auditoría del Responsable

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD y permitirá y contribuirá a la realización de auditorías —incluidas inspecciones— por parte del Responsable o de otro auditor autorizado por este (art. 28, apdo. 3, letra h del RGPD).

8.2 Ejecución

Las auditorías se realizarán bajo las siguientes condiciones:

Notificación por escrito con al menos 30 días de antelación (el correo electrónico es suficiente)
Realización durante el horario comercial habitual
El auditor está sujeto a obligación de confidencialidad
La auditoría no debe interferir de forma desproporcionada en las operaciones del Encargado
Máximo una auditoría por año natural, a menos que un motivo concreto requiera una auditoría adicional

8.3 Acreditación

El Encargado también podrá acreditar el cumplimiento de sus obligaciones mediante la presentación de un certificado vigente, un informe de auditoría o un extracto del mismo emitido por un auditor independiente.

§ 9 Responsabilidad

La responsabilidad de las Partes se regirá por el art. 82 del RGPD. Por lo demás, se aplicarán las disposiciones generales de responsabilidad de las condiciones de uso de Aegis.

§ 10 Disposiciones finales

10.1 Prioridad

En caso de contradicciones entre este CET y otros acuerdos entre las Partes —incluidas las condiciones de uso—, este CET tendrá prioridad en lo que respecta a la protección de datos personales.

10.2 Modificaciones

Las modificaciones de este contrato requieren forma textual. Las modificaciones sustanciales se comunicarán al Responsable al menos 30 días antes de su entrada en vigor. Si el Responsable no presenta ninguna objeción en un plazo de 30 días tras la notificación, la modificación se considerará aceptada.

10.3 Derecho aplicable y jurisdicción

Este contrato se rige por el derecho austriaco. El lugar de jurisdicción es Innsbruck, Austria, en la medida en que la ley lo permita.

10.4 Cláusula de salvaguarda

Si alguna disposición de este contrato fuera inválida o inaplicable, las disposiciones restantes no se verán afectadas. La disposición inválida será sustituida por una válida que se aproxime lo máximo posible a la finalidad económica perseguida.

Anexo 1: Medidas técnicas y organizativas (art. 32 del RGPD)

Kaino GmbH no opera centros de datos propios. Las medidas de seguridad física (acceso, suministro eléctrico, protección contra incendios, climatización) están garantizadas por los proveedores de infraestructura Hetzner Online GmbH (Alemania, ISO 27001), OVHCloud SAS (Francia, ISO 27001) y Scaleway SAS (Francia, ISO 27001). Para sus medidas técnicas y organizativas, remitimos a:

Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
OVHCloud SAS: ovhcloud.com/de/personal-data-protection
Scaleway SAS: scaleway.com/en/privacy-policy

Kaino GmbH es responsable de las siguientes medidas a nivel de aplicación:

1. Procesamiento transitorio (característica de seguridad principal)

Los contenidos de los documentos se procesan exclusivamente en la memoria volátil (procesamiento in-memory) y se descartan inmediatamente tras la devolución del resultado. No se realiza ningún almacenamiento permanente de los contenidos de los documentos. Este principio de arquitectura elimina riesgos esenciales de la retención de datos: en caso de fallo del sistema, no se pierden datos de documentos, ya que no hay ninguno almacenado. El principio de Zero Data Retention se aplica de forma continua a lo largo de toda la cadena de tratamiento —incluidos los subencargados del tratamiento OVHCloud y Scaleway.

Minimización de datos mediante preprocesamiento basado en reglas: Antes de la transmisión al procesamiento basado en IA, Kaino GmbH realiza un preprocesamiento basado en reglas en el lado del servidor, en el que los datos personales ya reconocidos (por ejemplo, nombres, direcciones de correo electrónico, números de teléfono) se reemplazan por marcadores de posición. Por lo tanto, el contenido transmitido a los modelos de IA ya está parcialmente anonimizado, lo que reduce la cantidad de datos personales procesados por los subencargados del tratamiento al mínimo técnicamente necesario.

2. Confidencialidad (art. 32, apdo. 1, letra b del RGPD)

Medida	Implementación
Control de entrada	Acceso a la API exclusivamente con una clave de producto válida; sin acceso anónimo
Control de acceso	Acceso al servidor restringido a un grupo muy limitado de personas; acceso mediante SSH con autenticación por clave; autenticación de dos factores (2FA) para todos los sistemas; principio de privilegios mínimos
Control de separación	Separación de clientes mediante claves de producto individuales; sin tratamiento de datos entre diferentes clientes
Compromiso de confidencialidad	Todas las personas con acceso a datos personales están obligadas a mantener la confidencialidad (§ 5.2 de este contrato)

3. Integridad (art. 32, apdo. 1, letra b del RGPD)

Medida	Implementación
Control de transmisión	Transmisión exclusivamente cifrada (HTTPS/TLS); sin conexiones no cifradas
Control de introducción	Registro de accesos a la API (registros de acceso al servidor, conservación de 30 días)

4. Disponibilidad y resiliencia (art. 32, apdo. 1, letras b y c del RGPD)

La disponibilidad y la resiliencia están garantizadas por los proveedores de infraestructura (suministro eléctrico redundante, conexión a la red, climatización). Dado que no se almacenan contenidos de documentos de forma permanente, no son necesarios procedimientos de copia de seguridad y recuperación para los datos de los documentos.

5. Cifrado y seudonimización (art. 32, apdo. 1, letra a del RGPD)

Medida	Implementación
Cifrado de transporte	HTTPS/TLS para toda la comunicación API
Cifrado de almacenamiento	Cifrado en reposo (Encryption-at-Rest) para los datos maestros del cliente (correo electrónico, nombre, nombre de la empresa)
Seudonimización	Función principal del servicio: sustitución de datos personales por marcadores de posición

6. Verificación (art. 32, apdo. 1, letra d del RGPD)

Medida	Implementación
Revisión periódica	Evaluación anual de la eficacia de las medidas técnicas y organizativas
Verificación periódica y por cambios	Revisión de las medidas técnicas y organizativas en caso de cambios en la infraestructura, incidentes de seguridad y cambios de subencargados
Control de encargo	Contratos de encargo de tratamiento (CET) suscritos con todos los subencargados; revisión en caso de cambios contractuales o cambio de proveedor

Aegis – Contrato de encargo de tratamiento