Este Acuerdo de Procesamiento de Datos forma parte de los Términos y Condiciones entre DaimonsAI ("Encargado del Tratamiento" o "Processor") y el Cliente ("Responsable del Tratamiento" o "Controller"). Aplica cada vez que DaimonsAI procesa datos personales en nombre del Cliente.
1. Definiciones
- Datos Personales: cualquier información sobre una persona física identificada o identificable que el Cliente carga en la plataforma.
- Tratamiento: cualquier operación realizada sobre Datos Personales (recolección, almacenamiento, modificación, consulta, transmisión, supresión).
- Sub-encargado: tercero que DaimonsAI contrata para realizar parte del Tratamiento (ej. proveedores de hosting o IA).
2. Objeto y duración
DaimonsAI trata los Datos Personales del Cliente únicamente para prestar el Servicio durante toda la vigencia del contrato y hasta 30 días posteriores a su terminación para permitir la exportación o eliminación.
3. Naturaleza, finalidad y categorías
Las categorías de datos tratados y las finalidades dependen de los módulos que el Cliente active. Pueden incluir: datos identificatorios (nombre, email, teléfono), datos operativos (turnos, ventas, presencia), conversaciones con clientes finales, datos de facturación. DaimonsAI no trata datos de categorías especiales sin instrucción expresa del Cliente.
4. Obligaciones de DaimonsAI
- Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente.
- Garantizar que el personal autorizado se compromete por confidencialidad.
- Aplicar medidas técnicas y organizativas apropiadas (cifrado, control de acceso por roles, auditoría, backups, etc.).
- Asistir al Cliente en el cumplimiento de sus obligaciones frente a los titulares de los datos (acceso, rectificación, supresión, portabilidad).
- Notificar al Cliente sin demora indebida cualquier violación de seguridad que afecte sus datos.
- A la terminación del contrato, devolver o eliminar todos los Datos Personales según instrucción del Cliente.
5. Sub-encargados autorizados
El Cliente autoriza el uso de los siguientes sub-encargados:
| Sub-encargado | Servicio | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting frontend | Global edge |
| Cloudflare Inc. | API backend (Workers) | Global edge |
| Neon Inc. | Base de datos Postgres | Sudamérica (São Paulo) por defecto |
| Anthropic PBC | Procesamiento IA (asistente Daimon) | EE.UU. |
DaimonsAI notificará al Cliente con al menos 30 días de antelación cualquier cambio en la lista de sub-encargados. El Cliente puede objetar cambios por motivos razonables relacionados con la protección de datos; en ese caso, ambas partes acordarán de buena fe una alternativa o, de no ser posible, el Cliente podrá rescindir sin penalidad.
6. Transferencias internacionales
En el caso de Anthropic (EE.UU.), la transferencia se ampara en cláusulas contractuales tipo (SCC) y en el régimen Data Privacy Framework, cuando corresponda. Los datos enviados al modelo de IA no se usan para entrenamiento.
7. Auditorías
El Cliente tiene derecho a auditar el cumplimiento de este DPA una vez por año, con preaviso razonable y sin interrumpir las operaciones de DaimonsAI. DaimonsAI proveerá toda la información necesaria, incluyendo certificaciones de terceros (cuando estén disponibles) y respuestas a cuestionarios estándar (CAIQ, SIG, etc.).
8. Brechas de seguridad
DaimonsAI notificará al Cliente cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de los Datos Personales en un plazo máximo de 72 horas desde el conocimiento, incluyendo: naturaleza del incidente, datos y titulares afectados, medidas adoptadas y recomendadas.
9. Ley aplicable
Este DPA se rige por las leyes de la República Argentina y, en caso de tratamientos sujetos al RGPD/UE, complementariamente por dicha normativa.
10. Aceptación
Al contratar el Servicio, el Cliente acepta este DPA. Para acuerdos personalizados (Enterprise), las partes pueden firmar un DPA específico que prevalecerá sobre este documento.
11. Contacto
DPO / Privacy Lead: hola@daimonsai.com.