Acuerdo de tratamiento de datos

Este Acuerdo de tratamiento de datos («DPA») describe cómo promptShield trata los datos personales por cuenta de los clientes, en cumplimiento del RGPD y de otras leyes de protección de datos similares.

Última actualización: June 22, 2026

La versión breve

Respecto a los documentos que usted anonimiza, promptShield no es encargado del tratamiento: ese contenido nunca sale de su dispositivo ni llega a nuestros sistemas, por lo que no hay nada que debamos tratar por cuenta suya. Actuamos como encargados del tratamiento únicamente respecto a los datos limitados de cuenta y de licencia necesarios para gestionar su suscripción.

1. Definiciones

«Responsable del tratamiento», «Encargado del tratamiento», «Interesado», «Datos personales» y «Tratamiento» tienen el significado que les atribuye el Reglamento General de Protección de Datos (UE) 2016/679 («RGPD»). «Cliente» designa a la entidad o persona física que ha celebrado las Condiciones del servicio con promptShield. «Datos personales del Cliente» designa los datos personales que promptShield trata por cuenta del Cliente en virtud de estas condiciones.

2. Roles de las partes

Respecto a los datos de cuenta y de licencia, el Cliente es el Responsable del tratamiento y promptShield es el Encargado del tratamiento. Respecto al contenido de los documentos procesado dentro de la aplicación, promptShield no realiza ningún tratamiento: toda la detección y la redacción se ejecutan localmente en el dispositivo del Cliente, y el Cliente sigue siendo el único responsable y encargado del tratamiento de ese contenido. promptShield no recibe, ni almacena, ni tiene ningún medio técnico para acceder al contenido de los documentos.

3. Alcance y objeto del tratamiento

Los únicos datos personales que promptShield trata por cuenta del Cliente son:

  • Datos de identidad y de contacto: la dirección de correo electrónico utilizada para la cuenta.
  • Datos de facturación: los datos de facturación procesados a través de Stripe; promptShield nunca almacena los números de tarjeta.
  • Datos de licencia: una huella de máquina SHA-256 y el estado de la suscripción, utilizados para aplicar los límites de dispositivos y los derechos de uso.

El contenido de los documentos, las entidades detectadas y la salida anonimizada quedan expresamente fuera del alcance: se procesan únicamente en el dispositivo del Cliente y nunca se transmiten a promptShield.

4. Duración

El tratamiento continúa durante toda la vigencia de la suscripción. Al finalizar, los datos de la cuenta se eliminan previa solicitud, y las huellas de máquina vinculadas a licencias caducadas se eliminan automáticamente al cabo de 90 días, tal como se describe en la Política de privacidad.

5. Subencargados del tratamiento

El Cliente autoriza a promptShield a recurrir a los subencargados del tratamiento indicados en nuestra Política de privacidad (actualmente Firebase Authentication, Stripe, Google Cloud, Sentry y Resend), cada uno de los cuales recibe únicamente los datos necesarios para su función. Reflejaremos las incorporaciones o sustituciones en la fecha de última actualización de la Política de privacidad y le ofreceremos una oportunidad razonable de oponerse.

6. Medidas de seguridad

promptShield aplica medidas técnicas y organizativas apropiadas, entre ellas el cifrado TLS en tránsito, las credenciales con hash bcrypt, la verificación de licencias firmadas con Ed25519, los binarios firmados y la depuración de datos personales en los informes de fallos. Como el contenido de los documentos nunca se transmite, la categoría de datos más sensible no conlleva, por diseño, ningún riesgo de transmisión ni de almacenamiento en servidor. Consulte nuestra página de Seguridad para más detalles.

7. Transferencias internacionales

Los datos de cuenta y de licencia se tratan en una infraestructura de nube ubicada en Estados Unidos. Cuando es necesario, las transferencias se rigen por garantías apropiadas, como las Cláusulas Contractuales Tipo de la UE (Standard Contractual Clauses), disponibles previa solicitud.

8. Solicitudes de los interesados

promptShield asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, a responder a las solicitudes de los interesados que deseen ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Como el contenido de los documentos nunca se recibe, tales solicitudes se refieren únicamente a los datos de cuenta y de licencia.

9. Violación de la seguridad de los datos personales

promptShield notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los Datos personales del Cliente, y le facilitará la información razonablemente necesaria para que el Cliente cumpla sus propias obligaciones de notificación.

10. Auditorías

promptShield pondrá a disposición, previa solicitud razonable y con sujeción a un deber de confidencialidad, la información necesaria para demostrar el cumplimiento de este DPA. Dado el modelo de procesamiento solo local, los documentos objeto de anonimización no se encuentran en los sistemas de promptShield y, por tanto, quedan fuera del alcance de cualquier auditoría de este tipo.

11. Devolución y eliminación

Al finalizar, y previa solicitud del Cliente, promptShield eliminará los datos de cuenta y de licencia del Cliente, salvo cuando la ley exija su conservación. El contenido de los documentos no requiere devolución ni eliminación, ya que nunca estuvo en posesión de promptShield.

12. Contacto

Para solicitar una copia contrafirmada de este DPA, las Cláusulas Contractuales Tipo, o para plantear una cuestión de protección de datos, escríbanos a legal@promptshield.ca.