Kelsen
← Centro de confianza
Descargar plantilla (.md)
# Acuerdo de Tratamiento de Datos Personales (DPA)

**Entre el Responsable del Tratamiento y Kelsen como Encargado del Tratamiento**

> Plantilla conforme a la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y la
> Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio (SIC).
> Los campos entre corchetes [ ] deben diligenciarse por las partes. Esta plantilla
> es un punto de partida y no sustituye la asesoría jurídica de cada parte.

## 1. Partes

- **Responsable del Tratamiento:** [Razón social], identificada con NIT [NIT],
  domiciliada en [ciudad, Colombia], representada por [nombre del representante legal]
  (en adelante, el "Responsable").
- **Encargado del Tratamiento:** [Razón social titular de Kelsen], identificada con
  NIT [NIT], operadora de la plataforma Kelsen (kelsen.io), domiciliada en Medellín,
  Colombia (en adelante, el "Encargado").

## 2. Objeto

Regular el Tratamiento de los datos personales que el Responsable, en ejercicio de la
relación de servicio, pone a disposición del Encargado para que este los trate por su
cuenta y bajo sus instrucciones, exclusivamente para prestar el servicio de inteligencia
jurídica de la plataforma Kelsen.

## 3. Definiciones

Las definiciones de la Ley 1581 de 2012 aplican a este Acuerdo: Titular, Tratamiento,
Responsable, Encargado, Dato personal, Dato sensible, Autorización, Transferencia y
Transmisión.

## 4. Alcance del Tratamiento

- **Categorías de Titulares:** usuarios autorizados del Responsable y terceros cuyos
  datos consten en las consultas o documentos que el Responsable cargue.
- **Categorías de datos:** datos de identificación y contacto de la cuenta (correo,
  nombre), contenido de las consultas, documentos cargados (expedientes) y registros de
  uso. El Responsable se abstiene de cargar datos sensibles salvo que cuente con la
  autorización previa, expresa e informada del Titular.
- **Finalidad:** únicamente prestar, mantener y mejorar el servicio contratado. El
  Encargado no usará los datos para finalidad distinta ni los cederá a terceros salvo
  los subprocesadores autorizados (sección 8).
- **Duración:** la del contrato de servicio, más el plazo de conservación legal aplicable.

## 5. Instrucciones y deberes del Encargado

El Encargado se obliga a (art. 18 Ley 1581):

1. Tratar los datos únicamente conforme a las instrucciones del Responsable.
2. Garantizar la seguridad de los datos y la confidencialidad, incluso tras terminar el
   Tratamiento.
3. **No usar los datos del Responsable para entrenar ni ajustar modelos de inteligencia
   artificial.** [Verificable]
4. Mantener **retención cero de datos (ZDR)** con el proveedor de modelos de lenguaje, de
   forma que el contexto de inferencia sea efímero y no se conserve tras generar la
   respuesta. [Compromiso contractual]
5. Aplicar cifrado en reposo y en tránsito heredado de la infraestructura de hosting.
6. Atender las solicitudes de los Titulares que el Responsable traslade (consulta,
   actualización, rectificación, supresión).
7. Informar al Responsable cualquier incidente de seguridad que afecte sus datos **dentro
   de las 48 horas siguientes** a conocerlo. [Compromiso contractual]
8. Devolver o suprimir de forma certificada los datos a la terminación del contrato, según
   instruya el Responsable.
9. Permitir y contribuir a las auditorías razonables que el Responsable solicite sobre el
   cumplimiento de este Acuerdo.

## 6. Deberes del Responsable

1. Garantizar que cuenta con la autorización de los Titulares para el Tratamiento.
2. Impartir instrucciones lícitas y documentadas al Encargado.
3. Informar a los Titulares sobre el Encargado y la transmisión internacional.

## 7. Transmisión internacional de datos

El Encargado podrá tratar los datos en países con **nivel adecuado de protección** según
la Circular Externa 005 de 2017 de la SIC (incluidos los Estados Unidos y la Unión
Europea). Esta transmisión internacional responsable-encargado se ampara en el contrato
de transmisión del artículo 25 del Decreto 1377 de 2013 y no requiere autorización
adicional del Titular distinta de la otorgada al Responsable.

## 8. Subprocesadores

El Responsable autoriza al Encargado a apoyarse en los subprocesadores publicados y
versionados en https://kelsen.io/seguridad/subprocesadores. El Encargado trasladará a
cada subprocesador obligaciones de protección equivalentes a las de este Acuerdo e
informará al Responsable, con antelación razonable, de cualquier cambio para que pueda
objetarlo.

## 9. Medidas de seguridad

- Cifrado en reposo y en tránsito (infraestructura Neon y Vercel). [Verificable]
- Control de acceso por cuenta verificado en cada petición. [Verificable]
- Sanitización y retención corta del texto de las consultas en registros. [Verificable]
- Prueba de penetración independiente al menos anual. [Compromiso]

## 10. Incidentes de seguridad

El Encargado notificará al Responsable, a [correo de contacto del Responsable], dentro de
las **48 horas** siguientes a conocer un incidente que comprometa datos personales,
describiendo su naturaleza, los datos afectados y las medidas adoptadas.

## 11. Terminación

A la terminación, el Encargado devolverá o suprimirá de forma certificada los datos del
Responsable dentro de [plazo] días, salvo obligación legal de conservación.

## 12. Ley aplicable y jurisdicción

Este Acuerdo se rige por la ley colombiana. Las controversias se someten a la jurisdicción
de [ciudad], Colombia.

---

**Responsable** · Nombre: [ ] · Cargo: [ ] · Fecha: [ ]

**Encargado (Kelsen)** · Nombre: [ ] · Cargo: [ ] · Fecha: [ ]

> Documento generado desde la plantilla pública de Kelsen
> (https://kelsen.io/legal/dpa). Versión 2026-06-13.

Buscar

Navega y abre cualquier cosa en Kelsen