1. Alcance y roles
El Cliente es el responsable del tratamiento y Keter Labs es el encargado del tratamiento de los datos personales enviados al Servicio (incluidas las Entradas, las Salidas y los datos de cuentas de usuarios finales si el Cliente es una empresa).
2. Instrucciones documentadas
Keter Labs tratará los datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluidas las establecidas en los Términos y en esta DPA, y según lo exija la legislación aplicable.
3. Medidas de seguridad
- TLS 1.2+ en tránsito; AES-256 en reposo.
- Control de acceso basado en roles con privilegio mínimo.
- Seguridad a nivel de fila (RLS) en todas las tablas de clientes.
- Registro de auditoría de acciones privilegiadas.
- Gestión de vulnerabilidades y análisis de dependencias.
4. Subencargados del tratamiento
Keter Labs utiliza los siguientes subencargados para prestar el Servicio:
| Proveedor | Finalidad | Región |
|---|---|---|
| Cloudflare, Inc. | Hosting en el borde, CDN, protección DDoS | Global |
| Supabase Inc. | Postgres gestionado, autenticación, almacenamiento | UE / EE. UU. |
| OpenAI, L.L.C. | Generación de imágenes y texto | EE. UU. |
| Google LLC (Gemini) | Generación de vídeo y texto | EE. UU. / UE |
| Anthropic PBC | Generación de texto | EE. UU. |
| ElevenLabs Inc. | Generación de voz, música y efectos de sonido | EE. UU. |
| fal.ai Inc. | Generación de imágenes / vídeo / 3D | EE. UU. |
| Replicate Inc. | Alojamiento de modelos de respaldo | EE. UU. |
| Resend / Postmark | Correo electrónico transaccional | UE / EE. UU. |
Notificaremos a los Clientes con al menos 30 días de antelación antes de añadir o sustituir a un subencargado. El Cliente podrá oponerse por motivos razonables.
5. Transferencias internacionales
Para las transferencias de datos personales desde el EEE, el Reino Unido o Suiza a terceros países sin una decisión de adecuación, las partes se basan en las Cláusulas Contractuales Tipo de la UE (2021/914) y en el IDTA del Reino Unido, según corresponda.
6. Asistencia y solicitudes de los interesados
Keter Labs asistirá al Cliente en la respuesta a las solicitudes de los interesados y en el cumplimiento de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento.
7. Notificación de violaciones de seguridad
Keter Labs notificará al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento de una violación de seguridad de datos personales que afecte a los datos del Cliente.
8. Eliminación y devolución
Tras la finalización del contrato, Keter Labs eliminará o devolverá todos los datos personales en un plazo de 30 días, salvo que la ley exija su conservación.
9. Contacto
Contacto de Protección de Datos: dpo@keterlabs.ai.
¿Preguntas sobre este documento? Escríbenos a legal@keterlabs.ai.