Acuerdo de Tratamiento de Datos
Fecha de entrada en vigor: 26 de marzo de 2026
1. Partes
Este DPA se celebra entre:
- Responsable del Tratamiento ("Responsable"): La entidad cliente que ha celebrado un acuerdo de suscripción para servicios de AgentForge y determina los propósitos y medios del procesamiento de datos personales.
- Encargado del Tratamiento ("Encargado"): KOWEX Co. Holding, empresa registrada en la República Checa, operando la plataforma AgentForge en agentforge.community.
2. Alcance del Procesamiento
El Encargado procesará datos personales en nombre del Responsable únicamente para el propósito de proporcionar servicios de la plataforma AgentForge, incluyendo:
- Proporcionar acceso a la API de AgentForge y panel
- Alojamiento y servicio de configuraciones de servidores MCP
- Procesamiento de solicitudes de API entre agentes y servidores MCP
- Mantenimiento de registros de uso y análisis
- Gestión de autenticación y control de acceso
- Procesamiento de operaciones de suscripción y facturación
El Encargado procesará datos personales solo de acuerdo con instrucciones documentadas del Responsable, a menos que esté obligado a hacerlo por ley de la UE o Estado Miembro.
3. Categorías de Datos Procesados
Las siguientes categorías de datos personales pueden ser procesadas bajo este DPA:
| Categoría | Elementos de Datos | Interesados |
|---|---|---|
| Información de cuenta | Dirección de correo electrónico, nombre para mostrar, credenciales de autenticación (hash) | Empleados del Responsable, usuarios autorizados |
| Datos de uso de API | Puntos finales llamados, marcas de tiempo, códigos de respuesta, contadores de límite de velocidad | Empleados del Responsable, agentes |
| Metadatos de servidor | Nombres de servidores MCP, descripciones, definiciones de herramientas, capacidades | Empleados del Responsable |
| Datos técnicos | Direcciones IP, cadenas de agente de usuario, metadatos de solicitud | Empleados del Responsable, agentes |
4. Medidas de Seguridad
El Encargado implementa y mantiene las siguientes medidas técnicas y organizativas para asegurar la seguridad de datos personales de conformidad con el Artículo 32 GDPR:
- Encriptación en reposo: Todo almacenamiento de base de datos está encriptado usando AES-256. Las claves API se almacenan como hashes salados.
- Encriptación en tránsito: Todos los datos transmitidos entre clientes, servidores y sub-Encargados del tratamiento están protegidos por TLS 1.2 o superior.
- Controles de acceso: Control de acceso basado en roles (RBAC) con principios de menor privilegio. Autenticación de múltiples factores para acceso administrativo. Seguridad de Nivel de Fila (RLS) aplicada en la capa de base de datos.
- Auditoría de registros: Todos los accesos a API y acciones administrativas se registran con marcas de tiempo, identificación del actor y detalles de la acción. Los registros se retienen durante 90 días.
- Seguridad de infraestructura: Alojamiento gestionado en Supabase (SOC 2 Tipo II) y Vercel con parches automatizados y escaneo de vulnerabilidades.
- Respuesta a incidentes: Procedimientos documentados de respuesta a incidentes con roles definidos y protocolos de comunicación.
5. Sub-Encargados del Tratamiento
El Responsable otorga autorización general para que el Encargado contrate los siguientes sub-Encargados del tratamiento. El Encargado notificará al Responsable al menos 30 días antes de cualquier cambio previsto a sub-Encargados del tratamiento, dando al Responsable la oportunidad de objetar.
| Sub-Encargado del Tratamiento | Propósito | Ubicación |
|---|---|---|
| Supabase Inc. | Alojamiento de base de datos, autenticación, almacenamiento | EU (Frankfurt, Alemania) |
| Stripe Inc. | Procesamiento de pagos, gestión de suscripciones | EU |
| Vercel Inc. | Alojamiento de aplicación, entrega edge | Edge EU (CDN global) |
| Anthropic PBC | Características con IA (recomendaciones de agentes) | EE.UU. (con CCE) |
6. Notificación de Breach de Datos
En caso de un breach de datos personales, el Encargado:
- Notificará al Responsable sin demora indebida y no más tarde de 72 horas después de hacerse consciente del breach, de conformidad con el Artículo 33 GDPR.
- Proporcionará detalles exhaustivos incluyendo la naturaleza del breach, categorías y número aproximado de interesados afectados, consecuencias probables y medidas tomadas o propuestas para mitigar el breach.
- Cooperará completamente con el Responsable en la investigación del breach y cumplimiento de las obligaciones de notificación del Responsable a autoridades de supervisión e interesados afectados.
- Documentará todos los breaches independientemente de la severidad, manteniendo registros de hechos, efectos y acciones de remediación tomadas.
7. Devolución y Eliminación de Datos
Tras terminación o expiración del acuerdo de servicio, el Encargado, a opción del Responsable:
- Devolverá todos los datos personales al Responsable en un formato estructurado, comúnmente utilizado, legible por máquina (exportación JSON), incluyendo datos de cuenta, configuraciones de servidor e registros de uso.
- Eliminará todos los datos personales dentro de 30 días de la fecha de terminación, incluyendo todas las copias en sistemas activos y backups, excepto donde la retención sea requerida por ley de la UE o Estado Miembro.
El Encargado proporcionará confirmación escrita de eliminación bajo solicitud. Los registros de facturación pueden retenerse hasta 10 años como requerido por ley contable de la República Checa (Ley No. 563/1991 Coll.).
8. Derechos de Auditoría
El Responsable tiene el derecho de verificar el cumplimiento del Encargado con este DPA:
- Auditorías anuales: El Responsable puede conducir o comisionar una auditoría independiente de las actividades de procesamiento de datos del Encargado una vez por año calendario, con al menos 30 días de aviso escrito previo.
- Alcance: Las auditorías pueden cubrir medidas de seguridad, gestión de sub-Encargados del tratamiento, procedimientos de manejo de datos y capacidades de respuesta a breach.
- Cooperación: El Encargado proporcionará toda la información necesaria para demostrar cumplimiento, incluyendo acceso a facilidades relevantes, sistemas y personal durante horas normales de negocio.
- Alternativa de certificación: El Encargado puede satisfacer requisitos de auditoría proporcionando reportes actuales de SOC 2 Tipo II, certificaciones ISO 27001 o evaluaciones independientes equivalentes.
9. Transferencias Internacionales
El Encargado no transferirá datos personales fuera del Área Económica Europea (AEE) excepto donde:
- La Comisión Europea haya emitido una decisión de adecuación para el país de destino (Artículo 45 GDPR).
- Salvaguardas apropiadas estén en lugar, incluyendo Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea (Artículo 46(2)(c) GDPR).
- Se haya conducido una Evaluación de Impacto de Transferencia (TIA) y documentado para la transferencia específica.
Actualmente, el único sub-Encargado del tratamiento ubicado fuera del AEE es Anthropic PBC (Estados Unidos), para el cual CCE están en lugar y el procesamiento de IA no implica almacenamiento persistente de datos personales.
10. Contacto para Ejecución de DPA
Para solicitar ejecución de este DPA, discutir términos o investigar nuestras prácticas de protección de datos:
KOWEX Co. Holding — Equipo Empresarial
Email: enterprise@agentforge.community
Delegado de Protección de Datos: privacy@agentforge.community
Este DPA está gobernado por las leyes de la República Checa. Cualquier disputa que surja de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de la República Checa. Este DPA permanecerá en efecto durante la duración del uso de AgentForge por el Responsable y mientras el Encargado retenga cualquier dato personal procesado en nombre del Responsable.