PromptShield

Última actualización: 2026-05-03

Última actualización: 2026-05-03

Acuerdo de Tratamiento de Datos Personales (DPA)

Este documento es el *Data Processing Agreement* / *Acuerdo de Tratamiento de Datos Personales* aplicable cuando un Cliente empresarial encarga a ARCANIST el tratamiento de datos personales por cuenta del Cliente. Forma parte de los Términos del Servicio y prevalece sobre éstos en lo relativo a tratamiento de datos. Para clientes empresariales que requieran firma física o electrónica con sello, solicítelo a privacidad@sociedadia.com.

1. Partes

  • Responsable: el Cliente que utiliza PromptShield (Cliente).
  • Encargado: ARCANIST, S. de R.L. de C.V., RFC ARC170302BC0, con domicilio en Av. El Campanario No. 50, Int. 1204 B, Col. El Campanario, Santiago de Querétaro, Querétaro, C.P. 76146, México.

2. Objeto

El Cliente, como responsable, encomienda al Encargado el tratamiento de datos personales contenidos en los mensajes y archivos que envíe a los endpoints /v1/check, /v1/validate-output y /v1/scan-document de PromptShield, con el único objeto de prestar el servicio de detección de inyección de prompts contratado.

3. Naturaleza del tratamiento

CategoríaDetalle
Tipo de datosLos que el Cliente decida enviar para su evaluación. Pueden incluir nombres, correos, identificadores, contenido de conversaciones, fragmentos de documentos.
Categorías de titularesUsuarios finales del Cliente.
OperacionesRecolección, transferencia, análisis automatizado por IA, almacenamiento (según política de retención del Cliente), eliminación.
PlazoMientras esté vigente la suscripción + 30 días post-terminación (configurable; eliminación inmediata en *modo zero-retention*).

4. Obligaciones del Encargado

ARCANIST se obliga a:

  1. Tratar los datos exclusivamente conforme a las instrucciones documentadas del Cliente, incluyendo este DPA y las configuraciones del panel.
  2. Confidencialidad: garantizar que el personal autorizado para tratar los datos esté sujeto a deber de confidencialidad, y mantener registros de accesos relevantes.
  3. Medidas de seguridad apropiadas considerando el estado del arte:
  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 vía proveedores).
  • Control de acceso por roles dentro del panel y por API keys hashadas con SHA-256.
  • Audit log inmutable de eventos de cumplimiento y tratamiento.
  • Modo zero-retention disponible por proyecto.
  1. No transferir los datos a otros encargados (sub-procesadores) salvo los listados en el *Anexo A — Sub-procesadores* del presente DPA, entregado al Cliente bajo confidencialidad, y bajo las mismas obligaciones contractuales. Notificar nuevas incorporaciones con 30 días de anticipación.
  2. Asistir al Cliente en el cumplimiento de derechos ARCO, evaluaciones de impacto y notificaciones de incidentes que la legislación aplicable le imponga al Cliente.
  3. Notificar incidentes de seguridad que comprometan datos personales sin demora indebida y, en cualquier caso, dentro de 48 horas de su detección, conforme al artículo 20 LFPDPPP.
  4. Devolver o eliminar los datos al término del servicio, según elija el Cliente, salvo que la legislación obligue a conservarlos.
  5. Permitir auditorías razonables por el Cliente o por terceros designados por éste, con aviso previo de 30 días, no más de una vez al año, sujeto a confidencialidad y sin interrumpir la operación.

5. Obligaciones del Cliente

El Cliente se obliga a:

  1. Tener una base legítima (consentimiento, ley o contrato) para tratar los datos que envíe a evaluar.
  2. Mantener su propio aviso de privacidad y cumplir con sus obligaciones como responsable.
  3. Configurar la retención y el modo zero-retention según corresponda.
  4. No enviar datos sensibles que no requiera evaluar.

6. Sub-encargados

Los sub-procesadores aprobados se entregan al Cliente bajo confidencialidad como *Anexo A* de este DPA. El Cliente acepta dicho anexo al firmar el DPA. Las altas o bajas se notificarán con 30 días de antelación al correo de contacto designado por el Cliente. Si el Cliente objeta razonablemente una alta nueva, las partes negociarán de buena fe; si no hay acuerdo, el Cliente podrá terminar el servicio sin penalización al ingreso del nuevo sub-procesador.

7. Transferencias internacionales

Los sub-procesadores incluyen entidades en Estados Unidos. Las transferencias se realizan al amparo del artículo 37 LFPDPPP (mantenimiento de la relación jurídica) y con cláusulas contractuales que mantienen el estándar de protección.

8. Asistencia ante autoridades

Si una autoridad solicita acceso a los datos del Cliente, ARCANIST notificará al Cliente sin demora (salvo prohibición legal) para que éste pueda oponerse legalmente, y limitará la entrega a lo estrictamente requerido.

9. Responsabilidad

La responsabilidad del Encargado bajo este DPA está sujeta a los límites pactados en los Términos del Servicio o en el MSA aplicable.

10. Jurisdicción

Este DPA se rige por las leyes mexicanas. Las partes se someten a los tribunales competentes de Querétaro, Querétaro.

11. Vigencia

Este DPA está vigente mientras dure la prestación del servicio y mientras existan datos personales del Cliente bajo control del Encargado.

12. Versión y cambios

Versión 1.0 — Mayo 2026. Las modificaciones se publicarán en esta página y se notificarán al Cliente con 30 días de antelación cuando sean materialmente adversas.

Aceptación: para clientes empresariales con MSA, este DPA se considera aceptado al firmar el MSA. Para clientes self-service del plan Pro o superior, escríbanos a enterprise@sociedadia.com para recibir una versión firmable.

ARCANIST, S. de R.L. de C.V. · privacidad@sociedadia.com