Acuerdo de Procesamiento de Datos

Fecha de entrada en vigor: [INSERTAR AL EJECUTAR] Última actualización: 2 de mayo de 2026 Versión: 1.0

Este Acuerdo de Procesamiento de Datos (“DPA”) forma parte de, y se incorpora a, los Términos de Servicio, el Acuerdo Maestro de Servicio o cualquier otro acuerdo por escrito (el “Acuerdo Principal”) entre Flikt.AI (“Flikt.AI,” “nosotros,” “EE. UU.,” o“Procesador”) y el cliente identificado en el Acuerdo Principal (“Cliente” o “Controlador”). Este acuerdo de tratamiento de datos regula el tratamiento de datos personales por parte de Flikt.AI en nombre del Cliente.

En caso de algún conflicto entre este APD y el Acuerdo Principal, este APD prevalecerá con respecto al procesamiento de Datos Personales.

Cómo ejecutar este DPA. No se requiere firma. El uso continuado de la plataforma Flikt.AI por parte del cliente tras la fecha de entrada en vigor de la versión más reciente del presente DPA se considerará como aceptación. Los clientes que necesiten una copia firmada pueden enviar un correo electrónico a legal@flikt.ai para solicitar uno.

Tabla de contenido

Definiciones
Procesamiento de Datos Personales
Subprocesadores
Medidas de seguridad
Transferencias internacionales de datos
Derechos del titular de los datos
Incidentes de seguridad
Auditorías
Retención de datos
Confidencialidad
Devolución y eliminación de datos
Responsabilidad
General

Anexo I — Descripción de la Transferencia Anexo II — Medidas Técnicas y Organizacionales Anexo III — Subprocesadores

1. Definiciones

1.1. Los términos en mayúsculas no definidos en este DPA tendrán los significados que se les otorgan en el Acuerdo Principal, en el RGPD o en las Leyes de Protección de Datos aplicables.

1.2. Para los fines de este DPA:

“Controlador”significa la entidad que, por sí sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales.
“Procesador”Procesador" significa una entidad que Procesará Datos Personales en nombre del Controlador.
“Subprocesador” se refiere a cualquier tercero contratado por Flikt.AI para tratar datos personales en nombre del cliente.
“Datos Personales”tiene el significado que se le da en el Artículo 4(1) del RGPD e incluye cualquier término análogo definido en las Leyes de Protección de Datos (por ejemplo, “información personal” según la CCPA/CPRA).
“Procesar” o “Procesando” tiene el significado que se le otorga en el Artículo 4(2) del RGPD.
“Leyes de Protección de Datos” significa todas las leyes y regulaciones aplicables al Procesamiento de Datos Personales bajo este DPA, incluyendo el RGPD de la UE, el RGPD del Reino Unido, la Ley Federal de Protección de Datos de Suiza (FADP), la Ley de Privacidad del Consumidor de California (CCPA) modificada por la Ley de Derechos de Privacidad de California (“CCPA/CPRA”), y otras leyes de privacidad aplicables de los estados de EE. UU. (Virginia, Colorado, Connecticut, Utah, Texas, Florida, etc.).
“Cláusulas Contractuales Tipo” o “CLAUSULAS CONTRACTUALES ESTÁNDAR” significa las cláusulas contractuales estándar para la transferencia de datos personales a terceros países adoptadas por la Decisión (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021, Módulo Dos (de responsable a encargado del tratamiento).
“Anexo Reino Unido”se refiere al Addendum de Transferencia Internacional de Datos a las SCC de la UE emitido por la Oficina del Comisionado de Información del Reino Unido, versión B1.0, en vigor a partir del 21 de marzo de 2022.
“Datos del cliente” se refiere a los datos —incluidos los datos personales— que el Cliente o sus usuarios finales suben a la plataforma Flikt.AI o generan en ella.
“Incidente de seguridad” se refiere a una violación confirmada de la seguridad de Flikt.AI que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, de forma accidental o ilícita, a los datos personales tratados por Flikt.AI en nombre del cliente.

2. Procesamiento de Datos Personales

2.1. Roles y Alcance

El Cliente es el responsable del tratamiento de los datos del cliente (o, en caso de que el Cliente sea a su vez un encargado del tratamiento para sus propios clientes finales, el Cliente es el encargado del tratamiento y Flikt.AI es su subencargado del tratamiento). Flikt.AI trata los datos personales únicamente en calidad de encargado del tratamiento, actuando de conformidad con las instrucciones documentadas del Cliente.

2.2. Objeto y Duración

Tema: El tratamiento por parte de Flikt.AI de los datos personales contenidos en los documentos de construcción (conjuntos de planos en PDF, especificaciones, calendarios, solicitudes de información y otros documentos relacionados con el proyecto) con el fin de proporcionar análisis de detección de conflictos asistidos por IA y generar informes de conflictos.

Duración: Desde la Fecha de Entrada en Vigor del Acuerdo Principal hasta su terminación o expiración, más los periodos posteriores a la terminación establecidos en las Secciones 9 (Retención de Datos) y 11 (Devolución y Eliminación de Datos).

2.3. Naturaleza y Propósito del Procesamiento

Flikt.AI trata los datos de los clientes con el fin de:

ingestar y renderizar planos PDF;
extraer elementos de planos utilizando una combinación de extracción de texto y análisis de visión asistido por IA;
cruzar referencias de elementos entre las disciplinas de arquitectura, estructura, mecánica, electricidad, plomería, incendios, civil, paisajismo y diseño de interiores;
producir informes de incidentes que incluyan clasificaciones de gravedad, citas de ubicación y estimaciones de impacto de costos;
enviar informes al Cliente a través del portal Flikt.AI y (con el consentimiento del Cliente) por correo electrónico; y
proporcionar operación continua de la plataforma, soporte, depuración y monitoreo de seguridad.
Mejora de la capacidad de detección de conflictos de Flikt.AI mediante un ajuste rápido, la ampliación de la biblioteca interna de referencia de Flikt.AI sobre patrones de construcción y tipos de conflictos, y la evaluación comparativa de la precisión de la detección en conjuntos de planos reales. Los datos de los clientes no se comparten con terceros (incluidos los proveedores de modelos de IA) con este fin de mejora interna.

2.4. Categorías de Sujetos de Datos

Los Datos Personales Procesados se refieren a las siguientes categorías de interesados, tal como aparecen en la documentación cargada por el Cliente:

Arquitectos, ingenieros y profesionales de diseño con licencia (nombres, números de licencia, sellos profesionales, firmas, información de contacto que aparece en los bloques de título de los planos);
Propietarios y promotores inmobiliarios (nombres, afiliaciones organizacionales, direcciones);
Contratistas generales, subcontratistas, consultores y otros participantes del proyecto cuyos nombres aparecen en los planos;
Inquilinos en planes de adecuación comercial, multifamiliar o de locales comerciales cuya información identificadora aparezca en documentos de criterios de inquilinos;
Los propios empleados del cliente y los usuarios autorizados de la plataforma Flikt.AI.

2.5. Tipos de Datos Personales Procesados

Nombres, información de contacto comercial y números de licencias profesionales
Direcciones de propiedades, identificadores de proyectos y números de unidad
Autenticación y datos de cuenta para usuarios autorizados del Cliente (correo electrónico, credenciales cifradas gestionadas por subprocesador, dirección IP, metadatos del dispositivo)
Metadatos de comunicación (marcas de tiempo, remitente/destinatario de correos electrónicos de "informe listo")
Datos de uso (horas de inicio de sesión, llamadas a la API, uso de funciones)

Flikt.AI no trata intencionalmente categorías especiales de datos personales (artículo 9 del RGPD). Si los conjuntos de datos del plan del cliente contienen datos de categorías especiales (por ejemplo, planes de ocupación sanitaria que hacen referencia a la capacidad de pacientes), el cliente es responsable de evaluar la base legal para dicho tratamiento y de notificarlo a Flikt.AI antes de la carga.

2.6. Instrucciones del cliente

El Acuerdo Principal y este DPA constituyen las instrucciones de procesamiento completas y definitivas documentadas del Cliente. El Cliente puede emitir instrucciones adicionales por escrito (correo electrónico a legal@flikt.ai (basta con eso). Flikt.AI informará al Cliente si considera que una instrucción incumple las Leyes de Protección de Datos.

3. Subprocesadores

3.1. Autorización General

El cliente otorga a Flikt.AI una autorización general para contratar a subencargados del tratamiento, con sujeción a lo dispuesto en la presente sección 3.

3.2. Lista actual de subprocesadores

La lista actual de Sub-procesadores está incluida en Anexo III a este acuerdo de procesamiento de datos y también se publica en flikt.ai/legal/sub-processors (o cualquier otra URL que Flikt.AI pueda indicar). La lista incluye el nombre del subencargado del tratamiento, su función y el lugar donde se lleva a cabo el tratamiento.

3.3. Notificación de cambios

Flikt.AI proporcionará al menos 30 días de antelación de Subprocesadores nuevos o de reemplazo actualizando la lista publicada de Subprocesadores y notificando a los Clientes que se han suscrito a las notificaciones de cambios de subprocesadores. Para suscribirse, el Cliente puede enviar un correo electrónico a legal@flikt.ai.

3.4. Derecho de objeción

Si el Cliente se opone de manera razonable a un nuevo subencargado del tratamiento por motivos relacionados con la protección de datos en un plazo de 15 días a partir de la notificación, Flikt.AI hará todo lo posible por ofrecer una modificación comercialmente razonable de la plataforma que evite el tratamiento de datos personales por parte del subencargado del tratamiento al que se opone. Si dicho cambio no es viable, el Cliente podrá rescindir la parte afectada del Contrato Principal mediante notificación por escrito a Flikt.AI.

3.5. Obligaciones del Subprocesador

Flikt.AI impondrá a cada subencargado del tratamiento condiciones de protección de datos que no sean menos estrictas que las establecidas en el presente Acuerdo de Tratamiento de Datos. Flikt.AI seguirá siendo responsable ante el Cliente por cualquier incumplimiento de dichas obligaciones por parte de un subencargado del tratamiento.

4. Medidas de Seguridad

Flikt.AI implementa y mantiene las medidas técnicas y organizativas (MTO) adecuadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, ya sea de forma accidental o ilícita. Las MTO actuales se describen en Anexo II y incluye:

Cifrado de los datos de los clientes en reposo mediante AES-256 y en tránsito mediante TLS 1.2 o superior
Aislamiento lógico de inquilinos en la capa de aplicación y de base de datos
Controles de acceso basados en roles y asignación de privilegios mínimos para el personal de Flikt.AI
Autenticación mediante un proveedor de identidad de terceros con tokens de sesión JWT firmados con RS256
Monitoreo continuo de infraestructura y detección de intrusiones
Copias de seguridad cifradas diarias con recuperación en punto en el tiempo
Ciclo de vida de desarrollo de software seguro documentado, que incluye revisión de código y escaneo de vulnerabilidades de dependencias
Compromisos de confidencialidad del personal y capacitación en seguridad

Flikt.AI podrá actualizar sus Términos y Condiciones de vez en cuando, siempre y cuando el nivel de protección no se vea reducido de manera significativa.

5. Transferencias internacionales de datos

5.1. Mecanismo de Transferencia

En la medida en que el tratamiento de datos por parte de Flikt.AI implique transferencias de datos personales desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país no amparado por una decisión de adecuación, las partes acuerdan que las cláusulas contractuales tipo, junto con los módulos y cláusulas que se indican a continuación, se incorporan por referencia al presente acuerdo de tratamiento de datos y se aplican a dichas transferencias:

Transferencias UE/EEE: Módulo Dos de las SCC (Controlador a Procesador), en la forma aprobada por la Decisión de Ejecución (UE) 2021/914 de la Comisión.
Transferencias del Reino Unido: CLAs como se indica arriba, complementadas por el Addendum del Reino Unido (B1.0).
Transferencias suizas CLs como se indicó anteriormente, con las referencias a “RGPD” y “legislación de los Estados miembros de la UE” interpretadas como referencias a la LPD suiza y la legislación suiza respectivamente, y considerando que el Comisionado Federal de Protección de Datos e Información de Suiza (FDPIC) es la autoridad de control.

5.2. Selecciones SCC

A efectos de las SCCs:

Módulo Dos (del responsable al encargado del tratamiento) es de aplicación. (Si el cliente es a su vez un encargado del tratamiento y Flikt.AI es su subencargado del tratamiento, Módulo Tres se aplica.)
Cláusula 7 (Cláusula de atraque): no utilizada.
Cláusula 9(a) (Subprocesadores): Opción 2 (autorización escrita general), con el período de notificación de 30 días establecido en la Sección 3.3 de este DPA.
Cláusula 11(a) (Resolución independiente de disputas por parte de los titulares de los datos): no se adopta el idioma opcional.
Cláusula 17 (Ley Aplicable): las leyes de Irlanda, a menos que la ley local imperativa requiera lo contrario.
Cláusula 18 (Foro y Jurisdicción): Irlanda.
Anexo I.A (Partes), Anexo I.B (Descripción de la Transferencia), Anexo II (Medidas Técnicas y Organizativas), Anexo III (Subprocesadores) se completan con referencia a los Anexos I, II y III de este DPA.

5.3. Evaluación de Impacto de Transferencia

Previa solicitud, Flikt.AI proporcionará la información razonablemente necesaria para ayudar al Cliente a realizar una evaluación del impacto de la transferencia, incluyendo detalles sobre la ubicación de los subencargados del tratamiento, los flujos de datos y los regímenes de divulgación a las autoridades policiales aplicables.

6. Derechos del titular de los datos

Flikt.AI ayudará al Cliente a responder a las solicitudes de los interesados en relación con sus derechos, tal y como exige el artículo 28, apartado 3, letra e), del RGPD y las leyes de protección de datos análogas. Si Flikt.AI recibe una solicitud directamente de un interesado que identifique al Cliente, redirigirá al interesado al Cliente sin demora injustificada. Cuando la plataforma de Flikt.AI ofrezca herramientas de autoservicio (exportación, corrección, eliminación), el Cliente utilizará dichas herramientas para responder.

7. Incidentes de seguridad

Flikt.AI notificará al Cliente sin demora injustificada y, en cualquier caso, en un plazo de 72 horas de tener conocimiento de cualquier incidente de seguridad que afecte a los datos personales del Cliente. La notificación se enviará a la dirección de correo electrónico registrada en la cuenta del Cliente e incluirá la información requerida por el artículo 33(3) del RGPD en la medida en que se conozca en ese momento. Flikt.AI cooperará de buena fe con la investigación del Cliente y con cualquier notificación requerida a las autoridades de control o a los interesados. La notificación no constituye una admisión de culpa o responsabilidad.

8. Auditorías

El cliente podrá ejercer sus derechos de auditoría en virtud del artículo 28, apartado 3, letra h), del RGPD y de la cláusula 8.9 de las CCT. Previa solicitud razonable por escrito (no más de una vez por cada período de doce meses, salvo tras un incidente de seguridad confirmado o cuando así lo exija una autoridad de control), Flikt.AI proporcionará un resumen de las TOM (Anexo II), cualquier informe de auditoría o certificación de terceros que posea en ese momento, y las respuestas a un cuestionario de seguridad razonable (SIG-Lite, CAIQ-Lite o equivalente). Si la documentación es insuficiente, el Cliente podrá contratar a un auditor externo calificado mediante notificación por escrito con 30 días de antelación y a cargo del Cliente, sujeto a la aprobación razonable de Flikt.AI y a la protección de la confidencialidad de otros clientes. Toda la información de la auditoría constituye Información Confidencial de Flikt.AI.

9. Conservación de datos

Flikt.AI conserva los Datos del Cliente únicamente durante los períodos necesarios para prestar el servicio de la plataforma, cumplir con las obligaciones legales, resolver controversias y hacer cumplir los acuerdos. El calendario detallado de conservación figura en la Política de privacidad (Sección 5). Los Datos personales incluidos en los Datos del Cliente se conservan durante los mismos períodos, a menos que el Cliente indique lo contrario.

10. Confidencialidad

Flikt.AI se asegura de que todo el personal autorizado para tratar datos personales esté sujeto a las obligaciones de confidencialidad pertinentes.

11. Devolución y Eliminación de Datos

Tras la rescisión o el vencimiento del Contrato Principal, y a elección del Cliente, Flikt.AI:

devolver todos los datos del cliente al cliente en un formato estructurado, de uso común y legible por máquina; o
Eliminar todos los datos de clientes de los sistemas de producción.

La elección del cliente debe comunicarse por escrito dentro de 30 días de rescisión. A falta de dicha elección, Flikt.AI eliminará los Datos del Cliente en un plazo de 60 días a partir de la rescisión. Las copias de seguridad que contengan Datos del Cliente se eliminarán de conformidad con el calendario de retención de copias de seguridad documentado por Flikt.AI (actualmente, 35 días a partir de la fecha de creación de la copia de seguridad), tras lo cual serán irrecuperables.

12. Responsabilidad

La responsabilidad de cada parte que surja o esté relacionada con este DPA, ya sea en virtud de un contrato, por ilícito extracontractual o bajo cualquier otra teoría de responsabilidad, estará sujeta a las limitaciones y exclusiones establecidas en el Acuerdo Principal.

13. General

13.1. Orden de Precedencia. Este APD prevalece sobre el Acuerdo Principal en la medida de cualquier conflicto relacionado con el Procesamiento de Datos Personales.

13.2. Divisibilidad. Si alguna disposición de este DPA se considera inaplicable, las disposiciones restantes seguirán en pleno vigor.

13.3. Modificaciones. Flikt.AI podrá actualizar este Acuerdo de Tratamiento de Datos periódicamente; la versión publicada en flikt.ai/legal/dpa/ controles. Los cambios de material se comunicarán a los clientes con anticipación.

13.4. Contacto. Las preguntas sobre este DPA pueden enviarse a legal@flikt.ai.

Anexo I — Descripción de la Transferencia

A. Partes

Exportador de datos: Cliente (según se identifique en el Acuerdo Principal). Rol: Controlador (o Procesador, según corresponda).
Importador de Datos Flikt.AI, con sede principal en Florida, Estados Unidos. Función: Encargado del tratamiento (o subencargado del tratamiento, según corresponda).

B. Descripción de la transferencia

Categorías de titulares de datos: Como se describe en la Sección 2.4 del DPA.
Categorías de Datos Personales: Según lo descrito en la Sección 2.5 del DPA.
Categorías especiales: Ninguno intencionalmente procesado.
Frecuencia de transferencia: Continuo (bajo demanda, cuando el Cliente sube documentos o los usuarios finales acceden a la plataforma).
Naturaleza del procesamiento: Como se describe en la Sección 2.3 del DPA.
Propósitos de la transferencia: Suministro de la plataforma Flikt.AI.
Periodo de retención: Según se describe en la Sección 9 del AEP.

C. Autoridad Supervisora Competente

De conformidad con la Cláusula 13 de los ECE, la autoridad supervisora del Estado miembro de la UE en el que esté establecido el exportador de datos, o —si el exportador no está establecido en la UE— la autoridad supervisora designada por escrito por el exportador de datos, o, en su defecto, la Comisión de Protección de Datos de Irlanda.

Anexo II — Medidas técnicas y organizativas

A continuación se resumen las condiciones de uso (TOM) actualmente vigentes para la plataforma Flikt.AI. Flikt.AI podrá actualizarlas periódicamente, siempre y cuando el nivel de protección no se vea reducido de manera significativa.

Medida	Implementación
Cifrado en tránsito	TLS 1.2 o superior para todos los puntos de conexión orientados al cliente.
Cifrado en reposo	AES-256 para todos los datos del cliente almacenados en almacenamiento de objetos en la nube, bases de datos y almacenamiento en bloques.
Seudonimización	Usado donde sea factible para análisis y registro.
Confidencialidad	Controles de acceso del personal, provisión del mínimo privilegio, compromisos de confidencialidad.
Integridad	Revisión de código, escaneo de vulnerabilidades en dependencias, implementaciones firmadas.
Disponibilidad	Copias de seguridad diarias, recuperación a un momento dado, despliegue de base de datos Multi-AZ.
Resiliencia	Conmutación por error automática para bases de datos; cómputo orquestado por contenedores.
Restauración después del incidente	Runbooks documentados; restauración de copias de seguridad probada al menos anualmente.
Pruebas y evaluación	Revisión interna de las TOM al menos anualmente.
Identificación y autorización de usuarios	Proveedor de identidad de terceros; sesiones JWT firmadas con RS256; controles de acceso basados en roles.
Registro de acceso	Registros de auditoría a nivel de aplicación; registro de auditoría del proveedor de la nube para eventos de infraestructura.
Minimización de datos	Datos del cliente conservados solo por los períodos establecidos en la Política de Privacidad §5.
Aseguramiento de la calidad	Entornos de preproducción aislados de los datos de producción.
Gestión de subprocesadores	Acuerdos de Procesamiento de Datos (DPA) establecidos con todos los subprocesadores enumerados en el Anexo III.

Anexo III — Subprocesadores

#	Subprocesador	Propósito	Región
1	Anthropic, PBC	Servicios de análisis de IA. Los datos del cliente no se utilizan para entrenamiento de modelos según los términos de la API del proveedor.	Estados Unidos
2	Amazon Web Services, Inc.	Alojamiento e infraestructura en la nube (cómputo, bases de datos, almacenamiento de objetos)	Estados Unidos
3	Google LLC	Respaldo de reconocimiento óptico de caracteres (OCR) para PDFs escaneados	Estados Unidos
4	Stripe, Inc.	Procesamiento de pagos; Nivel 1 PCI DSS	Estados Unidos (con subsidiaria en la UE)
5	Sendinblue / Brevo SAS	Correos transaccionales — notificaciones de aplicaciones, entrega de formularios de contacto y restablecimiento de contraseñas	Unión Europea (París)
6	Cloudflare, Inc.	Trabajador de Edge para `demo.flikt.ai`; no hay datos del plan del cliente establecidos	Red global de borde
7	Clerk Inc.	Autenticación de usuario, gestión de sesiones, emisión de JWT RS256	Estados Unidos
8	Sentry, Inc. (Functional Software, Inc.)	Seguimiento de errores de aplicaciones y monitoreo de excepciones; recibe rastros de pila y metadatos de solicitud limitados	Estados Unidos
9	GoDaddy.com, S.R.L.	Alojamiento para sitios de marketing (`flikt.ai`); no hay datos de plan de cliente establecidos	Estados Unidos
10	PostHog, Inc.	Analítica de producto — métricas de uso y comportamiento del producto; sin datos del plan del cliente	Estados Unidos

La lista actual también se publica en flikt.ai/legal/sub-processors. El cliente puede suscribirse para recibir notificaciones de cambios enviando un correo electrónico a legal@flikt.ai.

Fin del Acuerdo de Procesamiento de Datos.