Centro legal
Clientes, equipos, instituciones y administradores que actúan como responsables de datos.DPAPrivacidadEquipos

Acuerdo de tratamiento de datos

DPA operativo para clientes que cargan datos personales en proyectos, equipos, papers, datasets, documentos o flujos asistidos por IA.

Estado del documento

Vigencia
18 de junio de 2026
Última revisión
18 de junio de 2026
Operador
Skyfall Innovations Corp S.A.C.S.
RUC
20615941108

Rol típico

Ressearch AI como encargado cuando procesa datos del cliente por instrucción

Ámbito

Proyectos, archivos, prompts, outputs, embeddings, sandboxes e integraciones

Contacto

[email protected]

1. Finalidad y relación con otros documentos

Este Acuerdo de tratamiento de datos complementa los Términos y condiciones y la Política de privacidad de Ressearch AI®. Aplica cuando un cliente, equipo o institución utiliza la plataforma para procesar datos personales de terceros dentro de proyectos, datasets, papers, documentos, prompts, artefactos, integraciones o flujos asistidos por IA.

Si existe un contrato escrito firmado entre las partes que regule privacidad, seguridad o tratamiento de datos con mayor detalle, ese contrato prevalecerá sobre este documento respecto del cliente cubierto.

2. Roles de las partes

Respecto de los datos de cuenta, facturación, soporte, observabilidad, prevención de fraude y comunicaciones propias del servicio, Ressearch AI actúa como responsable del tratamiento.

Respecto de los datos personales que el cliente carga, conecta, genera o instruye procesar dentro de su workspace, Ressearch AI actúa normalmente como encargado del tratamiento, siguiendo las instrucciones documentadas del cliente y las operaciones necesarias para prestar el servicio.

El cliente conserva la responsabilidad principal de contar con una base jurídica válida, informar a los titulares cuando corresponda, aplicar minimización y evitar cargar información que no deba procesarse en un SaaS de investigación asistida por IA.

3. Instrucciones documentadas

Las instrucciones del cliente incluyen las acciones ejecutadas dentro del producto: cargar archivos, importar papers, conectar repositorios, activar herramientas, enviar prompts, ejecutar análisis, generar embeddings, exportar resultados, compartir enlaces, invitar usuarios o solicitar soporte.

Ressearch AI no procesará Customer Data para finalidades incompatibles con la prestación, seguridad, soporte, mejora operativa agregada o cumplimiento legal del servicio, salvo autorización del cliente o mandato legal aplicable.

4. Categorías de datos y titulares

  • Datos de usuarios del cliente: nombre, correo, identificadores, roles, actividad, preferencias y métricas de uso.
  • Contenido de investigación: textos, papers, datasets, variables, notas, protocolos, figuras, tablas, código, resultados, citas y metadatos bibliográficos.
  • Datos personales contenidos dentro de archivos o prompts: el alcance depende exclusivamente de lo que el cliente decida cargar o solicitar procesar.
  • Datos técnicos: identificadores de proyecto, logs de ejecución, historial de crédito, errores, eventos de seguridad y registros de auditoría.

5. Tratamientos autorizados

  • Almacenar, indexar, convertir, extraer, resumir, recuperar y visualizar contenido dentro del workspace del cliente.
  • Enviar el contexto mínimo razonable a proveedores de IA, ejecución, almacenamiento, búsqueda, observabilidad o pagos cuando sea necesario para completar la acción solicitada.
  • Generar embeddings, metadatos, summaries, Project Objects, documentos, notebooks, figuras, tablas y paquetes reproducibles asociados a proyectos.
  • Aplicar medidas de seguridad, prevención de abuso, recuperación de errores, soporte técnico, facturación, auditoría interna y continuidad del servicio.

6. IA, entrenamiento y mejora del producto

Ressearch AI no vende el contenido privado del cliente ni lo utiliza para publicidad comportamental. Tampoco entrena modelos fundacionales propios con documentos, prompts u outputs privados del cliente.

La inferencia, embeddings y procesamiento multimodal se ejecutan a través de un único proveedor: Google Cloud — Gemini Enterprise Agent Platform (anteriormente Vertex AI). Cuando una función requiere un modelo, la plataforma puede enviar prompts, fragmentos de documentos, archivos, metadatos técnicos o contexto relacionado, limitándose razonablemente a lo necesario. Bajo los términos empresariales de Google Cloud, el contenido enviado no se usa para entrenar los modelos fundacionales de Google ni se comparte con otros clientes.

La mejora del producto puede apoyarse en métricas agregadas, logs técnicos, costos, errores, performance y patrones de uso que no busquen identificar el contenido sustantivo del cliente. El uso de texto bruto del proyecto para diagnóstico interno requiere consentimiento por proyecto.

Referencias y fuentes

7. Subencargados

Ressearch AI utiliza subencargados para operar infraestructura, IA, pagos, sandboxes, almacenamiento, comunicaciones, autenticación e integraciones. Los principales son Supabase (datos y storage), Google Cloud — Vertex AI (inferencia y embeddings), E2B y Modal (ejecución de código), Culqi (pagos), Inngest (orquestación), Resend (correo transaccional) y, según la integración que habilite el cliente, GitHub y Zotero. La lista operativa completa, con rol y región, se publica en la página de Seguridad y subencargados.

Ressearch AI procura mantener con sus subencargados compromisos contractuales coherentes con las obligaciones de este Acuerdo (la «cadena» de encargados/subencargados). Para flujos que involucren PHI bajo HIPAA, esa cadena requiere acuerdos de tipo BAA «espalda con espalda» con cada subencargado del flujo, lo que actualmente solo es viable bajo un acuerdo enterprise específico (ver Centro de Confianza).

Al usar la plataforma, el cliente autoriza el uso de esos subencargados en la medida necesaria para prestar el servicio. Si un cliente enterprise requiere notificación previa específica o derecho de objeción contractual, deberá pactarlo en un acuerdo separado.

Referencias y fuentes

8. Transferencias internacionales

La arquitectura del servicio puede involucrar almacenamiento, acceso o procesamiento fuera del Perú. Cuando ello ocurra, Ressearch AI procurará utilizar proveedores con medidas contractuales, técnicas y organizativas razonables para proteger los datos tratados.

El cliente reconoce que determinados proveedores críticos de IA, infraestructura y ejecución pueden operar desde Estados Unidos, la Unión Europea u otras jurisdicciones según disponibilidad técnica, región, plan o configuración del producto.

9. Seguridad y confidencialidad

Ressearch AI aplicará medidas razonables de seguridad técnica y organizativa para proteger Customer Data frente a acceso no autorizado, pérdida, alteración, exposición o destrucción indebida. El personal y colaboradores con acceso operativo deben utilizar la información únicamente para finalidades autorizadas.

El cliente debe proteger sus propias credenciales, tokens, repositorios, equipos, navegadores, enlaces compartidos y configuraciones de visibilidad. Un enlace público, un repositorio público o un token con permisos amplios puede exponer información fuera del control razonable de la plataforma.

10. Soporte a derechos de titulares

Cuando Ressearch AI actúe como encargado, asistirá al cliente de forma razonable para atender solicitudes de acceso, rectificación, cancelación, oposición, portabilidad, limitación o derechos equivalentes, siempre que la solicitud se relacione con datos bajo control técnico de la plataforma. Las solicitudes deben enviarse a [email protected] con información suficiente para ubicar el proyecto, cuenta o archivo correspondiente.

11. Eliminación y devolución

El cliente puede eliminar proyectos, archivos, sesiones, documentos y otros elementos desde las funciones disponibles. La eliminación puede activar procesos de borrado sobre registros, archivos y artefactos asociados, sin perjuicio de copias de seguridad temporales, logs de seguridad, registros contables, trazabilidad antifraude o información retenida por obligación legal.

Cuando sea técnicamente viable, la plataforma permite exportar resultados, documentos, código, tablas, figuras y paquetes reproducibles antes de cerrar una cuenta o proyecto.

12. Incidentes y notificación de brechas

Si Ressearch AI confirma un incidente de seguridad que comprometa datos personales del cliente, comunicará el hecho a través de un canal razonable y proporcionará la información disponible sobre naturaleza del incidente, datos afectados, medidas adoptadas y recomendaciones prácticas, en la medida permitida por la investigación y por la ley.

El cliente reconoce que el Reglamento de la Ley N.° 29733 (DS 016-2024-JUS) exige notificar las brechas de seguridad de datos personales a la Autoridad Nacional de Protección de Datos Personales (ANPDP) en un plazo de 48 horas. Ressearch AI cooperará razonablemente con el cliente para que este pueda cumplir dicho deber cuando actúe como responsable del tratamiento.

13. Auditorías y información de seguridad

Mientras no exista un contrato enterprise con anexos de auditoría específicos, la información de seguridad se proporcionará mediante la documentación pública disponible, respuestas razonables de soporte y evidencias operativas que puedan compartirse sin comprometer a otros clientes, secretos de seguridad o infraestructura interna.