Pasar al contenido principal
OpenAI

Updated: 1 de diciembre de 2025

Anexo de procesamiento de datos de OpenAI

Descargar PDF(se abre en una nueva ventana)

En vigor desde el 1 de enero de 2026

(Ver el anexo anterior de procesamiento de datos)

Este Anexo de Procesamiento de Datos de OpenAI (“DPA”) complementa y se incorpora al Acuerdo de Servicios de OpenAI (“Acuerdo”) que regula el uso de los Servicios y se formaliza a partir de la Fecha de entrada en vigor entre el cliente identificado anteriormente (“Cliente”) y OpenAI OpCo, LLC, en su nombre y en nombre de sus Afiliados, según corresponda, a menos que el Cliente esté ubicado en un país del Espacio Económico Europeo o Suiza, en cuyo caso se formaliza con OpenAI Ireland Ltd., en su nombre y en nombre de sus Afiliados, según corresponda (“OpenAI”). Los términos en mayúsculas que no estén definidos en el DPA tendrán los significados proporcionados en el Acuerdo. En este DPA, se denomina “Parte” a OpenAI y al Cliente individualmente y, en conjunto, las “Partes.” El Cliente manifiesta que tiene la capacidad legal para celebrar este Acuerdo y, si lo hace en nombre de una entidad, que posee la autoridad legal para obligar a dicha entidad. Al hacer clic en “Acepto”, que implica aceptar el Formulario de pedido o utilizar los Servicios, el Cliente acepta este Acuerdo.

1. Información.

  • 1.1 Alcance y Roles. Como parte de la prestación de los servicios al Cliente según el Acuerdo, OpenAI puede procesar los datos del Cliente en nombre del Cliente. OpenAI actúa como Encargado del procesamiento de los datos en nombre del Cliente, y este DPA rige dicho procesamiento.
  • 1.2 Detalles del procesamiento. OpenAI solo procesará los Datos del Cliente para los fines de prestar los Servicios al Cliente conforme al Acuerdo y este DPA. Los detalles sobre la naturaleza, la duración, así como los tipos de Datos del Cliente y las categorías de interesados involucrados, se especifican en el Anexo 1 (Detalles del Procesamiento) de este DPA. OpenAI y el Cliente acuerdan cumplir con sus respectivas obligaciones bajo las Leyes de Protección de Datos en relación con los Servicios.

2. Obligaciones de OpenAI.

  • 2.1 Instrucciones del Cliente. Las Partes acuerdan que este DPA, el Acuerdo (incluido el Formulario de pedido) y cualquier instrucción proporcionada a través de las herramientas de configuración y otras herramientas dentro de los Servicios que OpenAI pone a disposición, constituyen las instrucciones documentadas del Cliente sobre el procesamiento de Datos del Cliente por parte de OpenAI (“Instrucciones del Cliente”). OpenAI procesará los Datos del Cliente solo de acuerdo con las Instrucciones del Cliente, a menos que la ley aplicable a la que OpenAI está sujeta requiera lo contrario, en cuyo caso OpenAI informará al Cliente de este requisito antes del procesamiento, a menos que esté legalmente prohibido hacerlo.
  • 2.2 Avisos al Cliente. OpenAI informará de inmediato al Cliente por escrito si, a criterio de OpenAI, una instrucción del Cliente infringe las Leyes de Protección de Datos. OpenAI, en la medida en que lo permita la ley, informará al Cliente si recibe una solicitud legalmente vinculante para la divulgación de los Datos del Cliente por parte de una autoridad encargada del cumplimiento de la ley.
  • 2.3 Confidencialidad. OpenAI se asegurará de que todas las personas autorizadas por OpenAI para procesar los Datos del Cliente se hayan comprometido a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad.
  • 2.4 Solicitudes de los Interesados. OpenAI, en la medida en que la ley lo permita, informará al Cliente si OpenAI recibe una solicitud para ejercer los derechos de los interesados conforme a las Leyes de Protección de Datos (“Solicitud de los Interesados”) respecto a los Datos del Cliente.  OpenAI no responderá a ninguna solicitud de este tipo sin la autorización previa por escrito del Cliente, salvo que el Cliente autorice a OpenAI a redirigir las Solicitudes de los Interesados según sea necesario para que el Cliente pueda responder directamente. Teniendo en cuenta la naturaleza del procesamiento, OpenAI ayudará al Cliente implementando medidas técnicas y organizativas adecuadas, en la medida de lo posible, para permitir que el Cliente responda a las Solicitudes de los Interesados.
  • 2.5 Seguridad. OpenAI implementará y mantendrá medidas de seguridad organizativas y técnicas razonables y apropiadas para proteger los Datos del Cliente, según lo establecido en el Acuerdo.
  • 2.6 Asistencia al Cliente. OpenAI, teniendo en cuenta la naturaleza del procesamiento y la información disponible para OpenAI, proporcionará asistencia razonable al Cliente para ayudarlo a cumplir con sus obligaciones bajo las Leyes de Protección de Datos, lo que incluye, cuando sea apropiado, la preparación de evaluaciones de impacto en materia de protección de datos con respecto al procesamiento de los Datos del Cliente por parte de OpenAI y, cuando sea necesario, que el Cliente consulte con una autoridad de control con jurisdicción sobre dicho procesamiento, si tal consulta es requerida por las Leyes de Protección de Datos.
  • 2.7 Filtraciones de Datos Personales. OpenAI notificará al Cliente sin demora indebida después de tener conocimiento de cualquier Filtración de Datos Personales. OpenAI proporcionará asistencia razonable al Cliente para ayudarlo a cumplir con sus obligaciones bajo las Leyes de Protección de Datos en relación con dicha Filtración de Datos Personales.
  • 2.8 Evaluación del Cumplimiento. OpenAI, a solicitud razonable por escrito del Cliente y en la medida requerida por las Leyes de Protección de Datos: (i) no más de una vez al año, proporcionará al Cliente las políticas de privacidad y seguridad de OpenAI y otra información necesaria para demostrar el cumplimiento de las obligaciones de OpenAI bajo este DPA; y (ii) siempre que las Partes tengan un acuerdo de confidencialidad adecuado, permitirá y contribuirá a auditorías o inspecciones por parte del Cliente o en su nombre, a expensas exclusivas del Cliente.  Dicha auditoría o inspección debe: (A) llevarse a cabo de manera que cause las mínimas molestias posibles al negocio de OpenAI; (B) ser necesaria para confirmar que OpenAI está procesando los Datos del Cliente de manera consistente con este DPA; y (C) ocurrir no más de una vez al año. Cuando lo permitan las Leyes de Protección de Datos, OpenAI podrá poner a disposición del Cliente un resumen de los Informes de Auditoría pertinentes para el cumplimiento de este DPA por parte de OpenAI. Dichos resultados y documentación, incluidos los resultados de cualquier auditoría o inspección, serán la información confidencial de OpenAI.
  • 2.9 Contratación de Subprocesadores. Por la presente, el Cliente otorga una autorización general a OpenAI para contratar a los Subprocesadores enumerados en la Lista de Subprocesadores para procesar los Datos del Cliente en relación con los servicios. OpenAI notificará al Cliente sobre cualquier cambio en la Lista de Subprocesadores mediante una publicación en el blog, una notificación dentro de los Servicios u otros medios razonables, o por correo electrónico si el Cliente se suscribe a las notificaciones por correo electrónico en el sitio de la Lista de Subprocesadores. El Cliente puede oponerse al uso de dicho Subprocesador adicional dentro de los 30 días posteriores a la recepción del aviso del cambio, siguiendo las instrucciones establecidas en la Lista de Subprocesadores o contactando a privacy@openai.com. En tal caso, OpenAI trabajará con el Cliente para abordar sus preocupaciones y ofrecer alternativas o soluciones razonables desde el punto de vista comercial. Si ninguna de las alternativas o soluciones es comercialmente viable, según el criterio razonable de OpenAI, o si las objeciones no se han resuelto a satisfacción de las Partes dentro de los 30 días posteriores a la recepción por parte de OpenAI de la notificación de objeción del Cliente, entonces cualquiera de las Partes podrá rescindir el Acuerdo o cualquier Formulario de Pedido o uso relacionado con los Servicios que no pueda proporcionarse sin el uso del nuevo Subprocesador. En tal caso, se reembolsará al Cliente cualquier tarifa prepagada aplicable en la medida en que cubra períodos o términos posteriores a la fecha de dicha rescisión.
  • 2.10 Obligaciones del Subprocesador. OpenAI celebrará acuerdos contractuales con cada Subprocesador que les impongan obligaciones comparables a las que se le imponen a OpenAI bajo este DPA. Sujeto a las limitaciones de responsabilidad incluidas en el Acuerdo, OpenAI seguirá siendo responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que OpenAI sería responsable bajo este DPA si realizara tales actos u omisiones por sí mismo.
  • 2.11 Devolución o eliminación de datos. Tras el vencimiento o la terminación del Acuerdo, OpenAI, siguiendo las instrucciones del cliente, devolverá o eliminará los Datos del Cliente y las copias existentes, a menos que la retención de los Datos del Cliente sea requerida por las leyes aplicables, en cuyo caso OpenAI los aislará y protegerá de cualquier procesamiento posterior, excepto en la medida en que lo exijan las leyes aplicables.

3. Obligaciones del Cliente.

  • 3.1 Avisos y autorizaciones. El Cliente declara, garantiza y pacta que ha proporcionado todos los avisos necesarios, y que tiene y mantendrá durante todo el Plazo todos los derechos, consentimientos y autorizaciones necesarios, en la medida requerida por las Leyes de Protección de Datos, para proporcionar los Datos del Cliente a OpenAI y para autorizar a OpenAI a procesar los Datos del Cliente en relación con el Acuerdo, incluido este DPA.
  • 3.2 Cooperación. El Cliente deberá cooperar razonablemente con OpenAI para ayudar a OpenAI a cumplir con cualquiera de sus obligaciones bajo las Leyes de Protección de Datos aplicables.
  • 3.3 Configuraciones. Sin perjuicio de las obligaciones de seguridad de OpenAI en la Sección 2.5 de este DPA, el Cliente reconoce y acepta que es responsable de ciertas configuraciones y decisiones de diseño para los Servicios y de implementar dichas configuraciones y decisiones de diseño (p. ej., períodos de retención, eliminación, etc.) de una manera que cumpla con las Leyes de Protección de Datos aplicables.

4. Transferencias internacionales de datos.

  • 4.1 Datos del EEE y Suiza. Los Datos del Cliente procesados por OpenAI bajo este DPA pueden estar sujetos a las Leyes de Protección de Datos del Espacio Económico Europeo o Suiza (“Datos del EEE y Suiza”). Independientemente de la Parte contratante aplicable de OpenAI bajo este DPA, el Cliente instruye por el presente a OpenAI Ireland Limited a procesar cualquier dato del EEE y Suiza en cumplimiento de este DPA. En la medida en que OpenAI Ireland Limited transfiera Datos del EEE y Suiza a otras entidades afiliadas de OpenAI o a terceros fuera del Espacio Económico Europeo o Suiza para prestar los Servicios, lo hará sobre la base de acuerdos que contengan las Cláusulas Contractuales Estándar (SCC) que aseguren salvaguardas adecuadas para la protección de los Datos del Cliente, o una decisión de adecuación emitida por la Comisión Europea conforme al Artículo 45 del RGPD.
  • 4.2 Datos del Reino Unido. Los Datos del Cliente procesados por OpenAI bajo este DPA pueden estar dentro del alcance de las Leyes de Protección de Datos del Reino Unido (“Datos del Reino Unido”). Independientemente de la Parte contratante aplicable de OpenAI bajo este DPA, el Cliente instruye por la presente a OpenAI OpCo, LLC a procesar cualquier Dato del Reino Unido en cumplimiento con este DPA y con las SCC modificadas por el Anexo del Reino Unido, que se consideran formalizadas (e incorporadas a este DPA mediante esta referencia) y completadas como se describe en el Anexo 1.

5. Requisitos adicionales.

En la medida en que apliquen las leyes de privacidad de los EE. UU.:

  • 5.1 OpenAI se compromete a (a) no proporcionar al Cliente ninguna compensación monetaria ni otra compensación económica a cambio de los Datos del cliente. Las partes reconocen y acuerdan que el Cliente no ha “vendido” (según se define dicho término en las Leyes de Privacidad de los EE. UU.) los Datos del cliente a OpenAI; (b) no “venderá” (según se define dicho término en las Leyes de Privacidad de los EE. UU.) ni “compartirá” (según se define dicho término en la CCPA) Datos personales; (c) en la medida en que el Cliente permita o instruya a OpenAI procesar los Datos del cliente sujetos a las Leyes de Privacidad de los EE. UU. de forma anonimizada como parte de los Servicios, OpenAI deberá (i) adoptar medidas razonables para impedir que dichos datos anonimizados se usen para inferir información sobre, o se vinculen de cualquier otro modo a, una persona natural o hogar en particular; (ii) comprometerse públicamente a mantener y usar dichos datos anonimizados en esa forma y a no intentar volver a identificar la información, salvo lo que permitan las Leyes de Privacidad de los EE. UU.; y (iii) antes de compartir datos anonimizados con cualquier otra parte, incluidos los Subencargados, obligará contractualmente a dichos destinatarios a cumplir con los requisitos de esta disposición; (c)(i)-(iii); y (d) cuando los Datos del cliente estén sujetos a la CCPA, no (i) conservar, usar, divulgar ni procesar de ningún otro modo los Datos del cliente, salvo en la medida en que sea necesario para los fines comerciales especificados en el Acuerdo o en el Anexo 1 del presente DPA; (ii) conservar, usar, divulgar o procesar de ningún otro modo los Datos del cliente de una manera que no sea la propia de la relación comercial directa entre OpenAI y el Cliente; ni (iii) combinar ningún Dato del cliente con Datos personales que OpenAI reciba de cualquier otro tercero o en nombre de este, o que recopile a partir de sus propias interacciones con otras personas, siempre que OpenAI pueda combinar los Datos del cliente para un fin permitido por la CCPA si así lo indica el Cliente o si lo permite la CCPA; (iv) notificar al Cliente sin demora indebida si OpenAI determina que ya no puede cumplir con sus obligaciones de conformidad con la CCPA; y (v) si el Cliente considera razonablemente que el Procesamiento de los datos del cliente por parte de OpenAI no es consistente con los requisitos de la CCPA y, tras notificar razonablemente de ello a OpenAI, las Partes trabajarán de buena fe para resolver la situación; o, si después de colaborar el Cliente determina razonablemente que el problema no puede ser solucionado, OpenAI dejará de procesar los Datos del cliente afectados mediante instrucción escrita del Cliente.
  • 5.2 El Cliente acepta no tomar ninguna medida que (i) convierta la provisión de los Datos del cliente a OpenAI en una “venta” según las Leyes de Privacidad de EE. UU. o en un “intercambio” según la CCPA (o conceptos equivalentes según las Leyes de Privacidad de EE. UU.); o (ii) convierta a OpenAI en algo que no sea un “proveedor de servicios” según la CCPA o un “encargado” según las Leyes de Privacidad de EE. UU.

6. Definiciones.

Datos del cliente” hace referencia a los Datos personales que el Cliente proporciona a OpenAI y que OpenAI procesa en nombre del Cliente para prestar los Servicios.

Responsable del procesamiento de los datos” tiene el significado asignado al término “responsable” (u otro término análogo) de conformidad con las Leyes de Protección de Datos.

Encargado del procesamiento de los datos” tiene el significado asignado al término “encargado” (u otro término análogo) de conformidad con las Leyes de Protección de Datos.

Leyes de Protección de Datos” hace referencia a las leyes de privacidad y protección de datos aplicables al procesamiento de Datos del cliente por parte de OpenAI en relación con los Servicios. 

Interesado” tiene el significado asignado al término “interesado” (u otro término análogo) de conformidad con las Leyes de Protección de Datos.

RGPD” hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Datos personales” tiene el significado asignado al término “datos personales” o “información personal” (u otro término análogo) de conformidad con las Leyes de Protección de Datos.

Filtración de datos personales” significa una vulneración de seguridad que lleva a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada de, o acceso a los Datos del cliente almacenados, transmitidos o procesados de otra manera por OpenAI, sus Subencargados, o cualquier otro tercero que actúe en nombre de OpenAI.

Procesamiento” tiene el significado asignado al término “procesamiento” (u otro término análogo) en las Leyes de Protección de Datos.

SCC” hace referencia a las cláusulas contractuales estándar para la transferencia de datos personales a terceros países adoptadas por la Comisión de la UE el 4 de junio de 2021 (según puedan ser enmendadas, actualizadas o reemplazadas ocasionalmente).

Subencargados” hace referencia a los subencargados contratados por OpenAI para procesar los Datos del cliente en relación con los servicios, indicados en la Lista de subencargados.

Lista de subencargados” hace referencia a la lista disponible en la siguiente dirección https://platform.openai.com/subprocessors(se abre en una nueva ventana).

Anexo del Reino Unido” hace referencia al anexo del Reino Unido a las SCC de la UE, emitido por el Comisionado de Información conforme a la sección 119A(1) de la Ley de Protección de Datos de 2018.

Leyes de Privacidad de EE. UU.” hace referencia al subconjunto de Leyes de Protección de Datos aplicables a los residentes de los Estados Unidos, incluyendo, sin limitación, la Ley de Privacidad del Consumidor de California (“CCPA”)

Anexo 1

Detalles del procesamiento

1. Naturaleza y finalidad:

La prestación de los Servicios del Acuerdo.

2. Duración:

El Plazo y el tiempo requerido posteriormente para que las Partes cumplan con sus obligaciones aplicables tras la finalización del Plazo, incluida la eliminación de datos.

3. Categorías de Datos del cliente:

El Cliente puede enviar Datos personales a los Servicios, cuyas categorías dependerán del uso que el Cliente haga de los Servicios (lo que el Cliente determina y controla a su exclusivo criterio), pero pueden incluir, sin limitación, nombres, información de contacto, información demográfica o cualquier otra información proporcionada por los Usuarios finales del Cliente en datos no estructurados.

4. Categorías de interesados:

Los interesados pueden incluir, pero no se limitan a los empleados del Cliente, clientes, proveedores y, en general, Usuarios finales.

5. Datos confidenciales transferidos (si aplica):

Datos confidenciales transferidos (si corresponde) y restricciones o medidas de seguridad aplicadas que tienen en cuenta plenamente la naturaleza de los datos y los riesgos que implican, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso exclusivo para el personal que haya recibido capacitación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones a las transferencias posteriores o las medidas de seguridad adicionales.

No se pretende transferir ningún dato confidencial, a menos que el usuario lo incluya de forma inesperada en datos no estructurados.

6. Frecuencia:

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

De forma continua, dependiendo del uso que el Cliente haga de los Servicios.

7. Transferencias a Subencargados:

De acuerdo con el Artículo 2.9 del DPA, los Subencargados tratarán los Datos del cliente según sea necesario para prestar los Servicios. Dicho procesamiento se llevará a cabo durante la vigencia del Acuerdo, a menos que se acuerde lo contrario por escrito.

8. Información sobre las SCC para la transferencia de datos del Reino Unido de conformidad con la Sección 4.2:

  • El Módulo Dos (del Responsable al Encargado) de las SCC se aplica cuando el Cliente es el responsable del procesamiento de los datos y OpenAI procesa los Datos del cliente como Encargado del procesamiento de los datos. El Módulo Tres (del Encargado al Subencargado) de las SCC se aplica cuando el Cliente es el Encargado del procesamiento de los datos y OpenAI procesa los Datos del cliente como subencargado.
  • 8.2 Para cada módulo de las SCC, según corresponda, se aplicará lo siguiente: (i) La cláusula de adhesión opcional en la Cláusula 7 no se aplica. (ii) En la Cláusula 9, se aplica la Opción 2 (autorización escrita general), y el período de tiempo mínimo para el aviso previo de cambios de subencargados del procesamiento será el establecido en la Sección 2.9 del DPA. (iii) En la Cláusula 11, el lenguaje opcional no se aplica. (iv) Se eliminan todos los corchetes en la Cláusula 13. (v) En la Cláusula 17 (Opción 1), las SCC se regirán por las leyes de Inglaterra y Gales. (vi) En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Inglaterra y Gales. (vii) Este Anexo 1 contiene la información requerida en el Anexo I y el Anexo III de las SCC. (viii) La Sección 2.5 (Seguridad) del DPA contiene la información requerida en el Anexo II de las SCC. (ix) La autoridad de control competente es la Oficina del Comisionado de Información (“ICO”).
  • 8.3 Exportador(es) de datos: el Cliente de conformidad con el Acuerdo; Importador(es) de datos: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Responsable de protección de datos, privacy@openai.com.

Firmar el Acuerdo de procesamiento de datos(se abre en una nueva ventana)