Acuerdo de Procesamiento de Datos — OpenAI
Este DPA describe cómo Aura comparte contenido textual con OpenAI (modelo GPT-4o) con el único propósito de moderación automática: detectar acoso, spam, contenido ilegal y proteger a menores. No se envían imágenes, audios, ubicación ni datos biométricos.
Controlador de Datos: Miguel Eduardo Romero Ruiz (Aura)
Procesador de Datos: OpenAI, LLC
Servicio: OpenAI GPT-4o API para moderación de contenido
Contacto Aura: privacidad@aurasocial.mx
1. Propósito del Procesamiento
Aura utiliza la API de OpenAI GPT-4o exclusivamente para los siguientes fines de moderación de contenido:
- Moderación de texto: Análisis de mensajes de chat, biografías de usuario, publicaciones y comentarios para detectar contenido inapropiado, spam, acoso o violación de las normas de la comunidad.
- Detección de contenido sensible: Identificación de contenido relacionado con violencia, drogas, actividades ilegales o conducta dañina.
- Protección de menores: Prevención de contenido relacionado con menores de edad (CSAM).
2. Categorías de Datos Procesados
| Tipo de Dato | Descripción | Propósito |
|---|---|---|
| Texto de mensajes | Contenido de mensajes de chat enviados por usuarios | Moderación de contenido |
| Biografías de usuario | Descripciones de perfil de usuario | Detección de contenido inapropiado |
| Publicaciones | Texto de publicaciones en el feed | Moderación de contenido público |
| Nombres de usuario | Usernames seleccionados por usuarios | Prevención de nombres ofensivos |
- Datos biométricos (selfies, vectores faciales)
- Datos de ubicación GPS
- Información de contacto (correos, teléfonos)
- Imágenes de usuario o publicaciones
- Metadatos de usuario (IDs, timestamps)
3. Retención de Datos por OpenAI
Según la política de retención de datos de OpenAI:
- Retención por OpenAI: Los datos enviados a la API de OpenAI se conservan por un máximo de 30 días con fines de monitoreo de abuso y seguridad.
- No se utilizan para entrenamiento: Los datos enviados a través de la API NO se utilizan para entrenar o mejorar los modelos de OpenAI (API Enterprise).
- Eliminación automática: Después de 30 días, OpenAI elimina automáticamente todos los datos procesados.
4. Medidas de Seguridad
4.1. Seguridad Técnica
- Cifrado en tránsito: Todas las comunicaciones con la API de OpenAI utilizan TLS 1.2+ (HTTPS).
- Autenticación: Acceso mediante API Key almacenada en Firebase Functions Secrets.
- Minimización de datos: Solo se envía el contenido textual necesario para moderación, sin metadatos adicionales.
- Anonimización: Los textos se envían sin identificadores de usuario.
4.2. Medidas Organizativas
- Acceso restringido a API Keys solo para administradores autorizados
- Monitoreo de uso de la API para detectar accesos no autorizados
- Auditorías periódicas de llamadas a la API
5. Transferencias Internacionales de Datos
OpenAI es una empresa con sede en Estados Unidos. Los datos procesados pueden ser transferidos y almacenados en servidores ubicados en:
- Estados Unidos
- Regiones de Azure (Microsoft) donde OpenAI opera sus servicios
OpenAI cumple con marcos reconocidos de transferencia internacional de datos, incluyendo las Cláusulas Contractuales Estándar (SCC). Para usuarios en México, la transferencia se realiza bajo el consentimiento del usuario al aceptar los Términos de Servicio de Aura, conforme a la LFPDPPP.
6. Derechos de los Interesados
Los usuarios de Aura pueden ejercer los siguientes derechos respecto a sus datos procesados por OpenAI:
- Acceso: Solicitar información sobre qué datos han sido enviados a OpenAI para moderación.
- Rectificación: Corregir datos inexactos en la plataforma Aura (OpenAI no almacena datos más de 30 días).
- Cancelación: Eliminar su cuenta de Aura, lo que previene futuras transferencias de datos a OpenAI.
- Oposición: Rechazar el uso de moderación automática (puede resultar en restricciones de uso de la plataforma).
Para ejercer estos derechos, contactar a: privacidad@aurasocial.mx
7. Sub-Procesadores
OpenAI puede utilizar los siguientes sub-procesadores para operar su servicio:
| Sub-Procesador | Propósito | Ubicación |
|---|---|---|
| Microsoft Azure | Infraestructura de servidores y procesamiento | Estados Unidos, Europa |
| Google Cloud Platform | Servicios de almacenamiento temporal | Estados Unidos |
8. Notificación de Violaciones de Seguridad
En caso de que OpenAI experimente una violación de seguridad que afecte los datos de usuarios de Aura:
- OpenAI notificará a Aura dentro de las 72 horas del descubrimiento de la violación.
- Aura evaluará el impacto en usuarios mexicanos y notificará según lo requiere la LFPDPPP.
- Los usuarios afectados serán notificados a través de la aplicación y/o correo electrónico.
9. Terminación del Acuerdo
Este acuerdo de procesamiento de datos permanece vigente mientras Aura utilice los servicios de OpenAI. Aura puede:
- Suspender el envío de datos a OpenAI en cualquier momento
- Solicitar la eliminación de datos antes del período de retención de 30 días
- Cambiar a un proveedor de moderación diferente sin previo aviso
10. Responsabilidad y Garantías
- Aura actúa como Controlador de Datos y es responsable ante los usuarios finales.
- OpenAI actúa como Procesador de Datos bajo las instrucciones de Aura.
- OpenAI no es responsable por decisiones de moderación tomadas por Aura basadas en los resultados de la API.
- Aura garantiza que solo enviará a OpenAI datos necesarios para la moderación de contenido.
11. Auditorías y Cumplimiento
OpenAI proporciona:
- Reportes de cumplimiento SOC 2 Type II
- Certificación ISO 27001 para seguridad de información
- Documentación de políticas de privacidad disponible públicamente
Aura se reserva el derecho de auditar el cumplimiento de este acuerdo mediante revisión de logs de la API y documentación de OpenAI.
12. Modificaciones al Acuerdo
Este Acuerdo de Procesamiento de Datos puede ser modificado en cualquier momento. Las modificaciones entrarán en vigencia inmediatamente al ser publicadas en esta página.
Los usuarios serán notificados de cambios materiales a través de:
- Notificación en la aplicación
- Correo electrónico (si han proporcionado uno)
- Actualización de la fecha "Última actualización" en este documento
13. Contacto y Preguntas
Miguel Eduardo Romero Ruiz
RFC: RORM950517FW9
Sur 19 # 62 Col. Centro
Orizaba, Veracruz, México
Email: privacidad@aurasocial.mx
OpenAI, LLC
3180 18th Street
San Francisco, CA 94110
Estados Unidos
Privacy: https://openai.com/policies/privacy-policy