Kligrafia · by Didi Solutions

Documento legal

Acuerdo de Procesamiento de Datos (DPA)

Este DPA forma parte integrante de los Términos de Servicio y aplica a clientes empresariales (organizaciones) que utilicen Kligrafia para tratar datos personales de terceros (firmantes, empleados, clientes finales).

Última actualización:
10 de mayo de 2026
Vigente desde:
10 de mayo de 2026

1. Objeto y ámbito de aplicación

Este Acuerdo (en adelante, “DPA”) regula el procesamiento de datos personales que Didi Solutions C.A. (en adelante, “Encargado” o “Kligrafia”) realiza por cuenta del cliente empresarial (en adelante, “Responsable” o “Cliente”) en el marco de la prestación del servicio Kligrafia.

Este DPA aplica automáticamente cuando una organización contrata un plan de Kligrafia que implica el tratamiento de datos personales de terceros y se incorpora por referencia a los Términos de Servicio. Para negociaciones individualizadas (con cláusulas custom, indemnidades específicas o anexos sectoriales), contáctanos en [email protected].

2. Definiciones

  • Datos personales: cualquier información referida a una persona natural identificada o identificable.
  • Responsable: quien decide sobre los fines y medios del tratamiento.
  • Encargado: quien trata datos personales por cuenta del Responsable.
  • Subencargado: tercero contratado por el Encargado para ejecutar tareas específicas del tratamiento.
  • Incidente de seguridad: cualquier violación de seguridad que conduzca a la destrucción, pérdida, alteración o acceso no autorizado a datos personales.
  • Instrucciones documentadas: las instrucciones del Responsable contenidas en este DPA, los Términos de Servicio y la configuración de la cuenta dentro de la Plataforma.

3. Roles de las partes

El Cliente actúa como Responsable respecto de los datos personales que carga, gestiona o procesa a través de la Plataforma (incluyendo, en particular, los datos de los firmantes que invita). Kligrafia actúa como Encargado respecto de esos datos, limitándose a tratarlos conforme a las Instrucciones documentadas.

Respecto de los datos propios de la cuenta del Cliente (datos de facturación, datos de los usuarios miembros de su organización, telemetría operativa), Kligrafia actúa como Responsable y dichas operaciones se rigen por nuestra Política de Privacidad.

4. Naturaleza y finalidad del tratamiento

Kligrafia tratará los datos personales con las siguientes finalidades:

  • permitir la firma electrónica de documentos por parte del Cliente y sus firmantes invitados;
  • verificar la identidad de los firmantes (KYC) y generar pruebas de vida;
  • generar evidencia auditable de cada operación (audit trail, sello de tiempo, evidence pack);
  • almacenar de forma segura los documentos y artefactos asociados;
  • proveer funcionalidades de análisis con IA cuando el Cliente las active;
  • responder solicitudes de soporte del Cliente o sus usuarios;
  • cumplir obligaciones legales aplicables al Encargado.

5. Categorías de datos y titulares

TitularCategorías de datos
Usuarios del ClienteNombre, correo, rol, contraseña cifrada, MFA, sesiones, registros de actividad.
Firmantes invitados por el ClienteNombre, correo, número de cédula, imagen de documento de identidad, selfie con prueba de vida, vectores biométricos derivados, IP, user-agent, sello de tiempo.
Contenido de los documentosCualquier dato personal que el Cliente decida incluir en los PDFs cargados.

6. Duración

Este DPA permanece vigente mientras el Cliente mantenga una suscripción activa a Kligrafia. Las obligaciones que por su naturaleza deban subsistir (confidencialidad, conservación legal, defensa de derechos) continuarán tras la terminación.

7. Obligaciones del Encargado

Kligrafia, como Encargado, se compromete a:

  • tratar los datos exclusivamente conforme a las Instrucciones documentadas del Responsable;
  • garantizar el deber de confidencialidad de su personal con acceso a datos;
  • aplicar las medidas técnicas y organizativas descritas en la Sección 9;
  • asistir razonablemente al Responsable en el cumplimiento de sus obligaciones legales;
  • cooperar con autoridades de protección de datos cuando sea legalmente exigible;
  • no transferir datos a terceros distintos de los subencargados listados sin previa notificación.

8. Subencargados

El Cliente autoriza con carácter general a Kligrafia para utilizar los siguientes subencargados, con quienes ha celebrado los acuerdos contractuales que imponen obligaciones equivalentes en materia de protección de datos:

SubencargadoFinalidadPaís
Stripe Inc.Procesamiento de pagos y suscripcionesEE.UU.
Cloudflare R2 (Cloudflare Inc.)Almacenamiento de documentos PDF y evidence packsEE.UU. / global
Anthropic, PBCModelos de IA para análisis de cláusulas, extracción de campos y chatEE.UU.
TruoraVerificación de identidad (cédula, OCR, biometría con prueba de vida)Colombia / LATAM
ResendEnvío de correos transaccionalesEE.UU.
Proveedor de PostgreSQL gestionadoBase de datos relacional con cifrado en reposo y row-level securityEE.UU. / UE
Autoridad de timestamping (TSA)Sellado de tiempo RFC 3161 para firmas y evidence packsUE

Notificaremos al Cliente cualquier alta o cambio de subencargado con al menos treinta (30) días de anticipación. El Cliente podrá oponerse por motivos razonables; si no llegamos a una solución, podrá rescindir la suscripción sin penalidad por la porción no consumida.

9. Medidas técnicas y organizativas

Kligrafia mantiene las siguientes medidas, revisadas periódicamente:

  • cifrado en tránsito (TLS 1.2+) y en reposo (AES-256);
  • row-level security en la base de datos, segregando datos por organización;
  • autenticación multifactor disponible para roles administrativos;
  • gestión de identidades con principio de privilegio mínimo;
  • registros de auditoría con cadena de hashes y retención prolongada;
  • respaldos cifrados con prueba periódica de restauración;
  • monitoreo de vulnerabilidades sobre dependencias y entornos;
  • plan de continuidad y recuperación ante desastres documentado;
  • políticas internas de gestión de incidentes y formación del personal.

10. Atención a derechos de los titulares

Cuando un titular ejerza derechos directamente ante Kligrafia, lo redirigiremos al Responsable para que atienda la solicitud, salvo que la ley exija una respuesta directa. Kligrafia asistirá razonablemente al Responsable para responder dentro de los plazos legales aplicables, proporcionando exportaciones, eliminaciones técnicas o información de tratamiento según corresponda.

11. Notificación de incidentes

En caso de incidente de seguridad que afecte datos personales tratados por cuenta del Cliente, Kligrafia notificará al Responsable sin dilación indebida, idealmente dentro de las setenta y dos (72) horas siguientes al conocimiento del incidente, incluyendo:

  • naturaleza del incidente y categorías de datos potencialmente afectadas;
  • volumen aproximado de titulares involucrados;
  • medidas de contención adoptadas o previstas;
  • recomendaciones de mitigación para el Responsable;
  • punto de contacto para seguimiento técnico.

12. Transferencias internacionales

Algunos subencargados procesan datos fuera de Venezuela. Para esas transferencias se aplican cláusulas contractuales que imponen obligaciones equivalentes en materia de seguridad, confidencialidad y respeto de los derechos de los titulares, así como compromisos específicos sobre acceso por autoridades extranjeras.

13. Auditorías

El Cliente tiene derecho a verificar el cumplimiento de este DPA. Para evitar interferir con la operación, las auditorías se realizan preferentemente mediante (i) entrega de reportes de cumplimiento técnicos y, cuando estén disponibles, (ii) certificaciones externas. Las auditorías in situ se reservan para casos justificados, con aviso razonable, durante horario hábil y con costos a cargo del Cliente, salvo que se constate un incumplimiento material.

14. Devolución o supresión al término

Al término de la prestación del servicio, y a elección del Responsable, Kligrafia devolverá los datos personales en un formato de exportación estructurado o procederá a su supresión, salvo aquellos datos que deban conservarse por mandato legal (por ejemplo, evidence packs durante el plazo de prescripción aplicable).

15. Limitación de responsabilidad

La responsabilidad agregada bajo este DPA queda sujeta a los mismos límites cuantitativos previstos en los Términos de Servicio (cap a los montos efectivamente pagados durante los doce meses anteriores al hecho que origina el reclamo), salvo cuando la ley imponga un régimen más estricto e indisponible.

16. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República Bolivariana de Venezuela. Las controversias derivadas de él se someten a la jurisdicción exclusiva de los tribunales de la ciudad de Caracas. Las partes renuncian expresamente a cualquier otro fuero que pudiera corresponder.