Acuerdo de Tratamiento de Datos
Última actualización 11 de mayo de 2026
Este Acuerdo de Tratamiento de Datos ("ATD") se celebra entre la entidad identificada como Responsable en el formulario de pedido o contrato de servicios aplicable ("Responsable") y PZX (CNPJ: 62.054.402/0001-26), con sede en el Estado de São Paulo, Brasil ("Operador"), y forma parte del contrato que rige el uso de Konn ("Contrato").
1. Definiciones
"Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable, según la definición de la Ley General de Protección de Datos brasileña (LGPD, Ley n.º 13.709/2018).
"Tratamiento" significa cualquier operación realizada sobre Datos Personales, incluida la recopilación, almacenamiento, uso, acceso, transmisión y eliminación.
"Responsable" significa la persona física o jurídica que tiene autoridad para decidir sobre el Tratamiento de Datos Personales.
"Operador" significa la persona física o jurídica que trata Datos Personales en nombre del Responsable, conforme a las instrucciones de este último.
"Titular de los Datos" significa la persona física a la que se refieren los Datos Personales.
"Suboperador" significa cualquier tercero contratado por el Operador para tratar Datos Personales en nombre del Responsable.
"Servicios" significa la plataforma Konn y cualquier funcionalidad relacionada puesta a disposición por PZX en virtud del Contrato.
2. Alcance y relación entre las partes
Este ATD rige el tratamiento de Datos Personales por parte de PZX en su calidad de Operador, en nombre del Responsable, en relación con la prestación de los Servicios.
El Responsable determina los fines y medios del tratamiento. PZX trata Datos Personales únicamente para prestar y operar los Servicios, conforme a las instrucciones del Responsable establecidas en este ATD y en el Contrato.
3. Naturaleza, finalidad y duración del tratamiento
Naturaleza: almacenamiento, organización, indexación, tratamiento semántico, recuperación y visualización del contenido enviado por el Responsable y sus usuarios autorizados.
Finalidad: prestación de la plataforma Konn, incluida la gestión documental, el grafo de conocimiento, la búsqueda semántica y funciones contextuales asistidas por IA.
Duración: durante la vigencia del Contrato. Tras la terminación, se aplican las disposiciones del Apartado 12.
4. Categorías de Datos Personales y Titulares
Las categorías de Datos Personales tratadas en virtud de este ATD dependen del contenido enviado por el Responsable. Pueden incluir, entre otras:
Datos de identificación y contacto: nombres, direcciones de correo electrónico e información profesional de los usuarios del Responsable y de cualquier persona mencionada en el contenido subido;
Datos organizacionales: estructuras de equipo, funciones y comunicaciones internas;
Datos de contenido: documentos, notas y entradas de conocimiento que pueden contener Datos Personales sobre empleados, clientes o terceros del Responsable.
El Responsable reconoce que PZX no puede controlar ni anticipar las categorías de Datos Personales contenidas en el contenido cargado en los Servicios. El Responsable es responsable de asegurar que todos los Datos Personales enviados a los Servicios cuenten con una base legal válida para el tratamiento conforme a la legislación aplicable.
Los Titulares son principalmente los empleados y usuarios autorizados del Responsable, y potencialmente terceros cuyos datos aparezcan en el contenido cargado por el Responsable.
5. Obligaciones del Operador
PZX, en su calidad de Operador, se compromete a:
5.1 Seguir instrucciones: tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, salvo que la legislación aplicable lo exija de otro modo. PZX notificará al Responsable si considera que una instrucción infringe la legislación aplicable, antes de proceder.
5.2 Confidencialidad: garantizar que el personal autorizado que trata Datos Personales esté sujeto a obligaciones de confidencialidad.
5.3 Seguridad: implementar y mantener medidas técnicas y organizativas adecuadas para proteger los Datos Personales, según se describe en el Apartado 8.
5.4 Suboperadores: contratar Suboperadores únicamente conforme al Apartado 7.
5.5 Derechos de los Titulares: asistir al Responsable en la respuesta a las solicitudes de los Titulares para el ejercicio de sus derechos, según se describe en el Apartado 9.
5.6 Eliminación: eliminar o devolver los Datos Personales tras la terminación, según se describe en el Apartado 12.
5.7 Auditoría: poner a disposición la información necesaria para demostrar el cumplimiento de este ATD, según se describe en el Apartado 11.
5.8 Notificación de incidentes: notificar al Responsable sin demora indebida, y a más tardar 72 horas tras tener conocimiento, de cualquier incidente de seguridad confirmado que afecte a Datos Personales tratados en virtud de este ATD. La notificación incluirá la naturaleza del incidente, las categorías y el número aproximado de Titulares afectados, las posibles consecuencias y las medidas adoptadas o propuestas.
6. Obligaciones del Responsable
El Responsable se compromete a:
6.1 Base legal: asegurar que todos los Datos Personales enviados a los Servicios cuenten con una base legal válida para el tratamiento conforme a la legislación aplicable, incluidos los datos de terceros cargados como parte de documentos o contenido de conocimiento.
6.2 Exactitud: proporcionar instrucciones precisas y actualizadas y asegurar que los Datos Personales enviados sean adecuados y pertinentes para la finalidad prevista.
6.3 Derechos de los Titulares: gestionar las solicitudes de Titulares dirigidas al Responsable y coordinarse con PZX cuando se requiera la asistencia del Operador.
6.4 Cumplimiento: cumplir con toda la legislación de protección de datos aplicable en su calidad de Responsable, incluida la obtención de los consentimientos requeridos de los Titulares.
7. Suboperadores
7.1 Suboperadores actuales
El Responsable autoriza a PZX a contratar a los siguientes Suboperadores en relación con los Servicios:
Suboperador | Ubicación | Finalidad |
|---|---|---|
Amazon Web Services (AWS) | Estados Unidos | Infraestructura en la nube y alojamiento |
Cloudflare | Estados Unidos | Seguridad de red, CDN y protección DDoS |
OpenAI | Estados Unidos | Procesamiento de modelos de lenguaje IA e incrustaciones de texto |
Anthropic | Estados Unidos | Procesamiento de modelos de lenguaje IA |
Stripe | Estados Unidos | Procesamiento de pagos y facturación |
Resend | Estados Unidos | Envío de correos electrónicos transaccionales |
7.2 Futuros Suboperadores
PZX podrá contratar proveedores adicionales de modelos de IA (incluidos, entre otros, proveedores de servicios de reranking, embeddings o procesamiento de audio) a medida que los Servicios evolucionen. PZX notificará al Responsable cualquier incorporación o sustitución prevista de Suboperadores con al menos 30 días de antelación.
El Responsable podrá oponerse a un nuevo Suboperador por motivos razonables de protección de datos notificando a PZX por escrito en el plazo de 15 días desde la recepción de la notificación. Si las partes no logran resolver la objeción, el Responsable podrá rescindir el Contrato sin penalización, con un preaviso por escrito de 30 días.
7.3 Obligaciones de los Suboperadores
PZX impondrá a todos los Suboperadores obligaciones de protección de datos equivalentes a las establecidas en este ATD. PZX seguirá siendo responsable ante el Responsable por el cumplimiento de las obligaciones de los Suboperadores.
8. Medidas de seguridad
PZX implementa las siguientes medidas técnicas y organizativas para proteger los Datos Personales:
Cifrado de datos en tránsito (TLS) y en reposo;
Aislamiento de inquilinos: los datos de cada Responsable están lógicamente separados de los de otros inquilinos;
Control de acceso basado en roles que limita el acceso al personal autorizado;
Supervisión y registro de seguridad;
Revisiones periódicas de acceso.
PZX podrá actualizar estas medidas con el tiempo, siempre que las actualizaciones no reduzcan sustancialmente el nivel general de protección.
9. Derechos de los Titulares
PZX asistirá al Responsable en el cumplimiento de sus obligaciones para responder a las solicitudes de los Titulares conforme a la legislación aplicable, incluidas las solicitudes de acceso, rectificación, eliminación, portabilidad y oposición.
El Responsable es responsable de recibir y evaluar inicialmente las solicitudes de los Titulares. Cuando la atención de una solicitud requiera una acción por parte de PZX, el Responsable enviará la solicitud a PZX a través del canal de contacto indicado en el Apartado 13. PZX responderá en un plazo de 15 días hábiles.
10. Transferencias internacionales de datos
Los Datos Personales tratados en virtud de este ATD podrán transferirse y tratarse en países fuera de Brasil, incluidos los Estados Unidos, donde operan los Suboperadores de PZX. Dichas transferencias se realizan sobre la base de garantías contractuales adecuadas, conforme al artículo 33 de la LGPD.
Para Responsables sujetos al RGPD, las transferencias a Suboperadores situados fuera del Espacio Económico Europeo se rigen por los mecanismos de transferencia aplicables, incluidas las Cláusulas Contractuales Tipo cuando sea necesario.
11. Derechos de auditoría
A solicitud por escrito del Responsable, PZX pondrá a su disposición la información razonablemente necesaria para demostrar el cumplimiento de este ATD. PZX podrá cumplir esta obligación facilitando certificaciones actualizadas, documentación de seguridad o resúmenes de informes de auditoría.
El Responsable podrá solicitar una auditoría in situ no más de una vez por año natural, con un preaviso por escrito de al menos 30 días y a su propio costo. Cualquier auditoría deberá realizarse de modo que no interrumpa las operaciones de PZX ni comprometa la seguridad o confidencialidad de los datos de otros clientes.
12. Vigencia, terminación y eliminación de datos
Este ATD permanecerá en vigor durante la vigencia del Contrato.
Tras la terminación o expiración del Contrato:
El Responsable dispondrá de 30 días para exportar sus datos de los Servicios;
Transcurrido este plazo, PZX eliminará todos los Datos Personales tratados en virtud de este ATD en un plazo de 30 días, incluidas las copias en poder de Suboperadores cuando sea técnicamente viable;
PZX proporcionará confirmación por escrito de la eliminación a solicitud del Responsable;
PZX podrá conservar Datos Personales más allá de este plazo únicamente en la medida en que lo exija la legislación aplicable, en cuyo caso los datos seguirán sujetos a las obligaciones de confidencialidad de este ATD.
13. Responsabilidad
La responsabilidad de cada parte conforme a este ATD está sujeta a las limitaciones establecidas en el Contrato. Nada en este ATD limita la responsabilidad de ninguna de las partes por obligaciones que no puedan excluirse o limitarse conforme a la legislación de protección de datos aplicable.
14. Ley aplicable
Este ATD se rige por las leyes de la República Federativa de Brasil, en particular la LGPD (Ley n.º 13.709/2018). Cualquier controversia derivada de este ATD que no pueda resolverse amistosamente se someterá a los tribunales del Distrito de São Paulo, Estado de São Paulo.
15. Contacto
Para cuestiones relacionadas con este ATD, solicitudes de derechos de Titulares o incidentes de seguridad:
Correo electrónico: [email protected]
Sitio web: pzx.app
Encargado de Protección de Datos:
Nombre: Filipe Albuquerque Brauns Cazelgrandi
Correo electrónico: [email protected]
Anexo A, Detalles del tratamiento
Este anexo complementa el Apartado 3 y podrá actualizarse mediante acuerdo mutuo por escrito para reflejar cambios en los Servicios.
Campo | Detalles |
|---|---|
Objeto | Gestión del conocimiento organizacional mediante la plataforma Konn |
Naturaleza del tratamiento | Almacenamiento, indexación, búsqueda semántica, recuperación y generación asistida por IA |
Finalidad | Prestación de los Servicios según se describe en el Contrato |
Período de conservación | Duración del Contrato, más el plazo de eliminación del Apartado 12 |
Categorías de Titulares | Empleados del Responsable, usuarios autorizados y cualquier tercero mencionado en el contenido cargado |
Categorías de Datos Personales | Según se describe en el Apartado 4; las categorías reales dependen del contenido enviado por el Responsable |