LoanIntelligence.aiLoanIntelligence.ai
Volver a la visión general legal

Acuerdo de procesamiento de datos (DPA)

Términos de procesamiento de datos compatibles con GDPR

Última actualización: April 19, 2026

DPA a simple vista

  1. 1Usted (el cliente) es el Responsable del Tratamiento - usted determina los fines y medios de procesamiento
  2. 2Somos el Procesador de Datos - procesamos datos solo según sus instrucciones
  3. 3Sin retención de documentos - los documentos se eliminan inmediatamente después del procesamiento
  4. 4La encriptación específica del cliente protege SUS datos con SUS claves únicas
  5. 5Servicios de IA de terceros certificados SOC 2 bajo obligaciones contractuales de protección de datos
  6. 6Ayudamos con todos los derechos de los sujetos de datos del RGPD (acceso, eliminación, portabilidad, etc.)
  7. 7Cláusulas Contractuales Estándar (SCCs) para transferencias de datos de la UE a EE.UU.

Propósito del Acuerdo

Este Acuerdo de Tratamiento de Datos (DPA) forma parte de los Términos de Servicio y regula el procesamiento de datos personales de acuerdo con el GDPR y otras leyes de protección de datos aplicables.

Roles y Responsabilidades

Usted (el Cliente) = Responsable del Tratamiento

Usted determina los fines y medios de procesamiento

Determine qué documentos de préstamo procesar y con qué finalidad
Toma decisiones de préstamo basadas en los datos extraídos
Garantice la base legal para el procesamiento bajo el Artículo 6 del RGPD
Obtenga los consentimientos necesarios de los sujetos de datos (prestatarios)
Proporcione avisos de privacidad a los prestatarios
Garantice el cumplimiento con la FCRA, la ECOA y las leyes de préstamo justo
Maneje las solicitudes de derechos de los sujetos de datos (acceso, eliminación, etc.)

Nosotros (LoanIntelligence.ai) = Procesador de Datos

Procesamos datos solo según sus instrucciones

Procesamos datos personales SOLO según sus instrucciones (a través de llamadas API)
NO tomemos decisiones de préstamo ni determinemos resultados de préstamo
Actuamos únicamente como proveedor de servicios técnicos para el procesamiento de datos
Implemente medidas de seguridad apropiadas para proteger sus datos
Involucre subprocesadores en cumplimiento con este DPA
Asista con las solicitudes de derechos de los sujetos de datos y las notificaciones de violaciones
Elimine o devuelva los datos personales al finalizar

Alcance del procesamiento

1

Propósito del procesamiento

Extraiga datos estructurados de los documentos de préstamo para el análisis de precisión y calidad de los datos, realice cálculos financieros (DSCR, LTV, P&I, NOI), garantice la calidad de los datos mediante algoritmos y sistemas de señal propietarios, y sincronice los resultados con su Google Sheets (si está autorizado).

2

Tipos de datos personales

Nombres de prestatarios, direcciones, SSNs, TINs, datos financieros (ingresos, activos, pasivos), información de empleo, datos de propiedad y detalles de transacciones de préstamo. IMPORTANTE: NO retenemos datos personales más allá del procesamiento efímero (durante cada ejecución del procesamiento). Todos los datos persistentes están cifrados y almacenados en su Google Drive AppData.

3

Sujetos de datos

Solicitantes de préstamo, co-prestatarios, co-firmantes, propietarios de la propiedad, garantes y dueños de negocios (para préstamos comerciales) .

Instrucciones de procesamiento

Actividades permitidas

Extraiga texto de los documentos de préstamo (OCR)
Clasifique los documentos por tipo (talones de pago, estados bancarios, declaraciones de impuestos, etc.)
Extraiga campos de datos estructurados (nombres, montos, fechas, direcciones)
Realice cálculos financieros y validaciones
Garantice la precisión y calidad de los datos mediante algoritmos y sistemas de señal propietarios
Exporte los resultados a su Google Sheets (si está autorizado)
Caché temporal de los resultados de procesamiento (encriptado, aislado por cliente) para la optimización de costos

Actividades prohibidas

Utilice datos personales para nuestros propios propósitos
Comparta datos personales con terceros (excepto subprocesadores autorizados)
Utilice datos personales para entrenamiento de IA o analítica
Conservar datos personales más allá de la finalización del procesamiento (retención cero)
Procesar datos personales fuera del alcance de sus instrucciones

Subprocesadores

Terceras partes que utilizamos para proporcionar el servicio

1

Servicios de IA de terceros

Propósito: Procesamiento de documentos (OCR, clasificación, extracción)

Ubicación: EE. UU.

Salvaguardias: SOC 2 certificado Tipo I y Tipo II, DPAs en vigor, datos cifrados en tránsito, prohibido contractualmente usar sus datos para entrenamiento

2

Google LLC

Propósito: OAuth autenticación, Drive API, Sheets API

Ubicación: EE. UU. (su elección)

Salvaguardias: SOC 2 Tipo II, ISO 27001, Cláusulas Contractuales Estándar (SCCs)

3

paleta

Propósito: Procesamiento de pagos (correo electrónico, ID de cliente solo - sin tarjetas de crédito)

Ubicación: Operaciones en EE. UU. / Reino Unido

Salvaguardias: Comerciante de Registro, controles contractuales de privacidad y seguridad

4

Proveedor de Infraestructura en la Nube

Propósito: Alojamiento y computación

Ubicación: EE. UU.

Salvaguardias: Centros de datos SOC 2 Tipo II certificados

Utilizamos algoritmos y sistemas de señal propietarios combinados con servicios de IA de terceros SOC 2 certificados. Todos los subprocesadores operan bajo obligaciones contractuales de protección de datos.

Cambios a Subprocesadores

Le notificaremos 30 días de antelación a cualquier cambio en los subprocesadores. Puede oponerse por motivos razonables de protección de datos dentro de 14 días.

Asistencia en Derechos de los Sujetos de Datos

Cómo le ayudamos a cumplir las obligaciones del GDPR

1

Derecho de Acceso (Artículo 15)

Proporcionamos la exportación de datos en formato JSON dentro de 30 días de su solicitud.

2

Derecho a la Rectificación (Artículo 16)

Actualizamos los datos inexactos a su solicitud.

3

Derecho al Olvido / Derecho a ser Olvidado (Artículo 17)

Eliminamos todos los datos personales dentro de 24 horas de su solicitud.

4

Derecho a la Restricción del Procesamiento (Artículo 18)

Suspendemos el procesamiento a su solicitud.

5

Derecho a la Portabilidad de Datos (Artículo 20)

Proporcionamos datos en formato JSON estructurado y legible por máquina.

6

Derecho a Oponerse (Artículo 21)

Permitimos la exclusión de procesos no esenciales.

7

Derechos Relacionados con la Toma de Decisiones Automatizada (Artículo 22)

Proporcionamos transparencia sobre la lógica de procesamiento de IA y garantizamos la calidad de los datos.

Proceso de Solicitud

Si recibimos una solicitud del titular de los datos, la reenviamos a usted dentro de 2 días hábiles. Usted es responsable de responder al titular de los datos (dentro de 30 días según GDPR). Ayudamos proporcionando las exportaciones de datos, eliminaciones o correcciones necesarias dentro de 7 días hábiles de su solicitud.

Beneficios de No Retención

Debido a nuestra arquitectura de no retención: (1) Los datos personales en los documentos de préstamo NO se retienen (procesamiento efímero), (2) Los datos extraídos se almacenan SOLO en su Google Drive AppData (encriptado), (3) Las solicitudes del titular de los datos pueden cumplirse eliminando su cuenta (purgará todos nuestros sistemas dentro de 24 horas) o eliminando manualmente los datos de su propio Google Drive.

Medidas de Seguridad

Cómo protegemos sus datos

Cifrado

Cifrado HTTPS/TLS 1.3 para todas las peticiones API y conexiones de terceros
Cifrado específico del cliente: Cada cliente tiene claves de cifrado únicas AES-256-GCM
Rotación automática de llaves: las llaves de almacenamiento se rotan después de cada ejecución de procesamiento
Cache de IA cifrado: Todas las entradas de caché cifradas con claves aisladas por cliente
Los tokens OAuth cifrados en reposo (AES-256-GCM)
Encriptación de bases de datos en reposo para datos de cuenta

Controles de Acceso

Principio de menor privilegio: Los empleados tienen el acceso mínimo requerido para su función
Control de acceso basado en roles (RBAC) con roles de administrador, desarrollador y soporte
Autenticación multifactor (2FA) requerida para todo acceso administrativo
Registros de auditoría: Se registra y monitorea todo acceso administrativo

Arquitectura de Retención Cero

Documentos procesados en memoria durante cada ejecución, luego eliminados inmediatamente
Documentos de préstamo NO se retienen en nuestra infraestructura
Los resultados del procesamiento se almacenan SOLO en TU Google Drive (encriptados con tus claves)

View Full Security Policy

Notificación de Brecha de Datos

1

Respuesta Inmediata (dentro de 1 hora)

Contener la brecha, evaluar alcance e impacto, iniciar investigación.

2

Notificación al Controlador (dentro de 72 horas)

Te notificaremos por correo electrónico con detalles preliminares (naturaleza de la brecha, datos afectados, impacto estimado).

3

Informe Completo (dentro de 7 días)

Informe detallado del incidente que incluye descripción, sujetos/registro de datos afectados, consecuencias, medidas de remediación y recomendaciones.

Te asistimos con

Notificando a las autoridades supervisoras dentro de 72 horas (Artículo 33 del RGPD)
Comunicando la brecha a los sujetos de datos afectados (Artículo 34 del RGPD)
Conducción de una investigación forense
Implementación de medidas de remediación

Estado de la Brecha

Al November 14, 2025: Zero brechas de datos personales, cero incidentes de acceso no autorizado, cero compromisos de claves de cifrado. Nuestra arquitectura de retención cero minimiza la exposición (los documentos existen solo durante la ejecución de procesamiento), la encriptación específica del cliente aísla a los clientes (la brecha de uno NO afecta a los demás), y la rotación automática de claves limita el impacto (la clave comprometida es válida para una sola ejecución de procesamiento).

Transferencias Internacionales de Datos (UE a EE. UU.)

Cláusulas Contractuales Estándar (SCCs)

Nos basamos en las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (Decisión (EU) 2021/914, Módulo Dos: Transferencias de Encargado a Procesador).

Medidas Técnicas Suplementarias

Encriptación específica del cliente: Datos encriptados con llaves únicas del cliente (desconocidas para nosotros)
Rotación automática de llaves: las llaves de almacenamiento se rotan después de cada ejecución de procesamiento
Retención cero de documentos: Los documentos NO se almacenan en nuestra infraestructura
Cache de IA encriptado: las entradas de cache se encriptan con llaves aisladas del cliente
Prohibiciones contractuales: Se prohíbe a los subcontratistas divulgar datos a gobiernos (salvo lo requerido por la ley)

Solicitudes de Acceso del Gobierno de EE. UU.

Estamos sujetos a las leyes de vigilancia de EE. UU. (FISA, CLOUD Act). Sin embargo, nuestra arquitectura de conocimiento cero garantiza que, incluso si se nos obliga a divulgar datos, no podemos descifrar sus datos sin las llaves (almacenadas en SU Google Drive). La retención cero de documentos significa que hay datos mínimos disponibles para divulgar. Le notificaremos sobre las solicitudes gubernamentales (salvo que la ley lo prohíba) y desafiaremos solicitudes excesivas o ilícitas. Hasta la fecha: Cero solicitudes gubernamentales de datos recibidas (hasta el 14 de noviembre de 2025).

Eliminación de Datos al Terminar

Dentro de 24 Horas

Elimine todos los datos personales de nuestros sistemas
Elimine las entradas de cache de IA encriptadas
Revocar los tokens OAuth (Google Drive acceso)
Elimine la información de la cuenta de la base de datos de producción
1

Dentro de 30 Días

Elimine todos los datos personales de las copias de seguridad encriptadas y sobrescriba los datos eliminados (eliminación segura).

2

Certificado de Eliminación

Por solicitud, proporcionamos un Certificado de Eliminación que confirma la fecha de eliminación, las categorías de datos eliminados y los métodos de eliminación segura utilizados.

Derechos de Auditoría

1

Sus Derechos de Auditoría

Puede auditar nuestro cumplimiento de este DPA una vez al año (30 días de preaviso requeridos). Las auditorías deben ser no disruptivas, durante el horario laboral y sujetas a un acuerdo de confidencialidad. Usted asume todos los costos de auditoría.

2

Informes de Auditoría de Terceros

En lugar de una auditoría directa, puede revisar nuestro informe SOC 2 Tipo II (cuando esté disponible), informes de auditoría de seguridad de terceros, o solicitar respuestas escritas a cuestionarios estandarizados.

Limitación de Responsabilidad

Bajo el Artículo 82 del RGPD, somos responsables por los daños causados por un procesamiento que viole las obligaciones del RGPD para los Procesadores o cuando actuamos fuera o en contra de sus instrucciones legales. Nuestra responsabilidad total se limita a las cantidades especificadas en los Términos de Servicio, excepto por negligencia grave, conducta intencional, o responsabilidad que no puede limitarse por la ley.

¿Necesitas ayuda??

¿Necesita ayuda con este DPA?

Para preguntas relacionadas con el RGPD, SCC, o DPA, envíe un correo a nuestro equipo legal a [email protected].

[email protected]

Respondemos dentro de un día hábil.

SEO tooling: seoreport.dev

© 2025 LoanIntelligence.ai. Todos los derechos reservados.