Acuerdo de procesamiento de datos (DPA)

Términos de procesamiento de datos compatibles con GDPR

Última actualización: November 14, 2025

DPA a simple vista

1Usted (el cliente) es el Responsable del Tratamiento - usted determina los fines y medios de procesamiento
2Somos el Procesador de Datos - procesamos datos solo según sus instrucciones
3Sin retención de documentos - los documentos se eliminan inmediatamente después del procesamiento
4La encriptación específica del cliente protege SUS datos con SUS claves únicas
5Servicios de IA de terceros certificados SOC 2 bajo obligaciones contractuales de protección de datos
6Ayudamos con todos los derechos de los sujetos de datos del RGPD (acceso, eliminación, portabilidad, etc.)
7Cláusulas Contractuales Estándar (SCCs) para transferencias de datos de la UE a EE.UU.

Propósito del Acuerdo

Este Acuerdo de Tratamiento de Datos (DPA) forma parte de los Términos de Servicio y regula el procesamiento de datos personales de acuerdo con el GDPR y otras leyes de protección de datos aplicables.

Roles y Responsabilidades

Usted (el Cliente) = Responsable del Tratamiento

Usted determina los fines y medios de procesamiento

Determine qué documentos de préstamo procesar y con qué finalidad

Toma decisiones de préstamo basadas en los datos extraídos

Garantice la base legal para el procesamiento bajo el Artículo 6 del RGPD

Obtenga los consentimientos necesarios de los sujetos de datos (prestatarios)

Proporcione avisos de privacidad a los prestatarios

Garantice el cumplimiento con la FCRA, la ECOA y las leyes de préstamo justo

Maneje las solicitudes de derechos de los sujetos de datos (acceso, eliminación, etc.)

Nosotros (LoanIntelligence.ai) = Procesador de Datos

Procesamos datos solo según sus instrucciones

Procesamos datos personales SOLO según sus instrucciones (a través de llamadas API)

NO tomemos decisiones de préstamo ni determinemos resultados de préstamo

Actuamos únicamente como proveedor de servicios técnicos para el procesamiento de datos

Implemente medidas de seguridad apropiadas para proteger sus datos

Involucre subprocesadores en cumplimiento con este DPA

Asista con las solicitudes de derechos de los sujetos de datos y las notificaciones de violaciones

Elimine o devuelva los datos personales al finalizar

Alcance del procesamiento

Propósito del procesamiento

Extraiga datos estructurados de los documentos de préstamo para el análisis de precisión y calidad de los datos, realice cálculos financieros (DSCR, LTV, P&I, NOI), garantice la calidad de los datos mediante algoritmos y sistemas de señal propietarios, y sincronice los resultados con su Google Sheets (si está autorizado).

Tipos de datos personales

Nombres de prestatarios, direcciones, SSNs, TINs, datos financieros (ingresos, activos, pasivos), información de empleo, datos de propiedad y detalles de transacciones de préstamo. IMPORTANTE: NO retenemos datos personales más allá del procesamiento efímero (durante cada ejecución del procesamiento). Todos los datos persistentes están cifrados y almacenados en su Google Drive AppData.

Sujetos de datos

Solicitantes de préstamo, co-prestatarios, co-firmantes, propietarios de la propiedad, garantes y dueños de negocios (para préstamos comerciales) .

Instrucciones de procesamiento

Actividades permitidas

Extraiga texto de los documentos de préstamo (OCR)

Clasifique los documentos por tipo (talones de pago, estados bancarios, declaraciones de impuestos, etc.)

Extraiga campos de datos estructurados (nombres, montos, fechas, direcciones)

Realice cálculos financieros y validaciones

Garantice la precisión y calidad de los datos mediante algoritmos y sistemas de señal propietarios

Exporte los resultados a su Google Sheets (si está autorizado)

Caché temporal de los resultados de procesamiento (encriptado, aislado por cliente) para la optimización de costos

Actividades prohibidas

Utilice datos personales para nuestros propios propósitos

Comparta datos personales con terceros (excepto subprocesadores autorizados)

Utilice datos personales para entrenamiento de IA o analítica

Conservar datos personales más allá de la finalización del procesamiento (retención cero)

Procesar datos personales fuera del alcance de sus instrucciones

Subprocesadores

Terceras partes que utilizamos para proporcionar el servicio

Servicios de IA de terceros

Propósito: Procesamiento de documentos (OCR, clasificación, extracción)

Ubicación: EE. UU.

Salvaguardias: SOC 2 certificado Tipo I y Tipo II, DPAs en vigor, datos cifrados en tránsito, prohibido contractualmente usar sus datos para entrenamiento

Google LLC

Propósito: OAuth autenticación, Drive API, Sheets API

Ubicación: EE. UU. (su elección)

Salvaguardias: SOC 2 Tipo II, ISO 27001, Cláusulas Contractuales Estándar (SCCs)

Stripe Inc.

Propósito: Procesamiento de pagos (correo electrónico, ID de cliente solo - sin tarjetas de crédito)

Ubicación: EE. UU.

Salvaguardias: PCI-DSS Nivel 1 certificado, conforme al GDPR

Proveedor de Infraestructura en la Nube

Propósito: Alojamiento y computación

Ubicación: EE. UU.

Salvaguardias: Centros de datos SOC 2 Tipo II certificados

Utilizamos algoritmos y sistemas de señal propietarios combinados con servicios de IA de terceros SOC 2 certificados. Todos los subprocesadores operan bajo obligaciones contractuales de protección de datos.

Cambios a Subprocesadores

Le notificaremos 30 días de antelación a cualquier cambio en los subprocesadores. Puede oponerse por motivos razonables de protección de datos dentro de 14 días.

Asistencia en Derechos de los Sujetos de Datos

Cómo le ayudamos a cumplir las obligaciones del GDPR

Derecho de Acceso (Artículo 15)

Proporcionamos la exportación de datos en formato JSON dentro de 30 días de su solicitud.

Derecho a la Rectificación (Artículo 16)

Actualizamos los datos inexactos a su solicitud.

Derecho al Olvido / Derecho a ser Olvidado (Artículo 17)

Eliminamos todos los datos personales dentro de 24 horas de su solicitud.

Derecho a la Restricción del Procesamiento (Artículo 18)

Suspendemos el procesamiento a su solicitud.

Derecho a la Portabilidad de Datos (Artículo 20)

Proporcionamos datos en formato JSON estructurado y legible por máquina.

Derecho a Oponerse (Artículo 21)

Permitimos la exclusión de procesos no esenciales.

Derechos Relacionados con la Toma de Decisiones Automatizada (Artículo 22)

Proporcionamos transparencia sobre la lógica de procesamiento de IA y garantizamos la calidad de los datos.

Proceso de Solicitud

Si recibimos una solicitud del titular de los datos, la reenviamos a usted dentro de 2 días hábiles. Usted es responsable de responder al titular de los datos (dentro de 30 días según GDPR). Ayudamos proporcionando las exportaciones de datos, eliminaciones o correcciones necesarias dentro de 7 días hábiles de su solicitud.

Beneficios de No Retención

Debido a nuestra arquitectura de no retención: (1) Los datos personales en los documentos de préstamo NO se retienen (procesamiento efímero), (2) Los datos extraídos se almacenan SOLO en su Google Drive AppData (encriptado), (3) Las solicitudes del titular de los datos pueden cumplirse eliminando su cuenta (purgará todos nuestros sistemas dentro de 24 horas) o eliminando manualmente los datos de su propio Google Drive.

Medidas de Seguridad

Cómo protegemos sus datos

Cifrado

Cifrado HTTPS/TLS 1.3 para todas las peticiones API y conexiones de terceros

Cifrado específico del cliente: Cada cliente tiene claves de cifrado únicas AES-256-GCM

Rotación automática de llaves: las llaves de almacenamiento se rotan después de cada ejecución de procesamiento

Cache de IA cifrado: Todas las entradas de caché cifradas con claves aisladas por cliente

Los tokens OAuth cifrados en reposo (AES-256-GCM)

Encriptación de bases de datos en reposo para datos de cuenta

Controles de Acceso

Principio de menor privilegio: Los empleados tienen el acceso mínimo requerido para su función

Control de acceso basado en roles (RBAC) con roles de administrador, desarrollador y soporte

Autenticación multifactor (2FA) requerida para todo acceso administrativo

Registros de auditoría: Se registra y monitorea todo acceso administrativo

Arquitectura de Retención Cero

Documentos procesados en memoria durante cada ejecución, luego eliminados inmediatamente

Documentos de préstamo NO se retienen en nuestra infraestructura

Los resultados del procesamiento se almacenan SOLO en TU Google Drive (encriptados con tus claves)

View Full Security Policy

Notificación de Brecha de Datos

Respuesta Inmediata (dentro de 1 hora)

Contener la brecha, evaluar alcance e impacto, iniciar investigación.

Notificación al Controlador (dentro de 72 horas)

Te notificaremos por correo electrónico con detalles preliminares (naturaleza de la brecha, datos afectados, impacto estimado).

Informe Completo (dentro de 7 días)

Informe detallado del incidente que incluye descripción, sujetos/registro de datos afectados, consecuencias, medidas de remediación y recomendaciones.

Te asistimos con

Notificando a las autoridades supervisoras dentro de 72 horas (Artículo 33 del RGPD)

Comunicando la brecha a los sujetos de datos afectados (Artículo 34 del RGPD)

Conducción de una investigación forense

Implementación de medidas de remediación

Estado de la Brecha

Al November 14, 2025: Zero brechas de datos personales, cero incidentes de acceso no autorizado, cero compromisos de claves de cifrado. Nuestra arquitectura de retención cero minimiza la exposición (los documentos existen solo durante la ejecución de procesamiento), la encriptación específica del cliente aísla a los clientes (la brecha de uno NO afecta a los demás), y la rotación automática de claves limita el impacto (la clave comprometida es válida para una sola ejecución de procesamiento).

Transferencias Internacionales de Datos (UE a EE. UU.)

Cláusulas Contractuales Estándar (SCCs)

Nos basamos en las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (Decisión (EU) 2021/914, Módulo Dos: Transferencias de Encargado a Procesador).

Medidas Técnicas Suplementarias

Encriptación específica del cliente: Datos encriptados con llaves únicas del cliente (desconocidas para nosotros)

Rotación automática de llaves: las llaves de almacenamiento se rotan después de cada ejecución de procesamiento

Retención cero de documentos: Los documentos NO se almacenan en nuestra infraestructura

Cache de IA encriptado: las entradas de cache se encriptan con llaves aisladas del cliente

Prohibiciones contractuales: Se prohíbe a los subcontratistas divulgar datos a gobiernos (salvo lo requerido por la ley)

Solicitudes de Acceso del Gobierno de EE. UU.

Estamos sujetos a las leyes de vigilancia de EE. UU. (FISA, CLOUD Act). Sin embargo, nuestra arquitectura de conocimiento cero garantiza que, incluso si se nos obliga a divulgar datos, no podemos descifrar sus datos sin las llaves (almacenadas en SU Google Drive). La retención cero de documentos significa que hay datos mínimos disponibles para divulgar. Le notificaremos sobre las solicitudes gubernamentales (salvo que la ley lo prohíba) y desafiaremos solicitudes excesivas o ilícitas. Hasta la fecha: Cero solicitudes gubernamentales de datos recibidas (hasta el 14 de noviembre de 2025).

Eliminación de Datos al Terminar

Dentro de 24 Horas

Elimine todos los datos personales de nuestros sistemas

Elimine las entradas de cache de IA encriptadas

Revocar los tokens OAuth (Google Drive acceso)

Elimine la información de la cuenta de la base de datos de producción

Dentro de 30 Días

Elimine todos los datos personales de las copias de seguridad encriptadas y sobrescriba los datos eliminados (eliminación segura).

Certificado de Eliminación

Por solicitud, proporcionamos un Certificado de Eliminación que confirma la fecha de eliminación, las categorías de datos eliminados y los métodos de eliminación segura utilizados.

Derechos de Auditoría

Sus Derechos de Auditoría

Puede auditar nuestro cumplimiento de este DPA una vez al año (30 días de preaviso requeridos). Las auditorías deben ser no disruptivas, durante el horario laboral y sujetas a un acuerdo de confidencialidad. Usted asume todos los costos de auditoría.

Informes de Auditoría de Terceros

En lugar de una auditoría directa, puede revisar nuestro informe SOC 2 Tipo II (cuando esté disponible), informes de auditoría de seguridad de terceros, o solicitar respuestas escritas a cuestionarios estandarizados.

Limitación de Responsabilidad

Bajo el Artículo 82 del RGPD, somos responsables por los daños causados por un procesamiento que viole las obligaciones del RGPD para los Procesadores o cuando actuamos fuera o en contra de sus instrucciones legales. Nuestra responsabilidad total se limita a las cantidades especificadas en los Términos de Servicio, excepto por negligencia grave, conducta intencional, o responsabilidad que no puede limitarse por la ley.

¿Necesitas ayuda??

¿Necesita ayuda con este DPA?

Para preguntas relacionadas con el RGPD, SCC, o DPA, envíe un correo a nuestro equipo legal a [email protected].

[email protected]

Respondemos dentro de un día hábil.