✔ Cumplimiento verificado · Marzo 2026

Inteligencia Artificial y protección
de datos en Repasat ERP

Repasat integra modelos de IA de terceros. Esta página explica qué datos se envían, cómo se protegen y qué garantías legales cubren ese tratamiento bajo el RGPD.

Estado del cumplimiento

Cumplimiento activo con la normativa europea

Repasat utiliza la API comercial de Anthropic (modelos Claude) para las funciones de inteligencia artificial. A continuación el estado de las principales garantías:

📄
DPA con Anthropic
✔ Activo
🚫
Entrenamiento con datos
✔ Prohibido
🗑️
Retención logs API
✔ 7 días máx.
🌍
SCCs Módulo 2 RGPD
✔ Incorporadas

Proveedor de IA

Anthropic — API comercial

Las funciones de inteligencia artificial de Repasat ERP —asistente de chat, análisis de documentos y automatización de tareas— utilizan la API de Anthropic, empresa que desarrolla los modelos Claude.

Al ser una empresa dentro del Espacio Económico Europeo, el contrato aplica con Anthropic Ireland, Limited, bajo jurisdicción irlandesa y derecho europeo (artículo 56 RGPD).

Los datos no se usan para entrenar modelos. Los Términos Comerciales de Anthropic prohíben expresamente usar el contenido de la API para reentrenar ningún modelo de IA. Esta protección aplica automáticamente, sin configuración adicional.

🇮🇪

Jurisdicción europea

Anthropic Ireland, Limited es la entidad contratante para clientes del EEE. Ley aplicable: derecho irlandés.

🔒

DPA automático

El Addendum de Protección de Datos se incorpora automáticamente al aceptar los Términos Comerciales. No requiere firma separada.

📋

SCCs Módulo 2

Las Cláusulas Contractuales Estándar de la Comisión Europea (Responsable → Encargado) cubren las transferencias internacionales bajo el artículo 46 RGPD.

Términos Comerciales de Anthropic

Cláusulas relevantes para la protección de datos

Al activar la API, Repasat acepta los Commercial Terms of Service de Anthropic, que incorporan automáticamente el DPA. Estas son las cláusulas directamente aplicables al tratamiento de datos personales:

Sección B

Propiedad del contenido

Anthropic reconoce que el cliente conserva todos los derechos sobre sus Inputs (lo que se envía) y es propietario de los Outputs (las respuestas generadas). Anthropic renuncia expresamente a cualquier derecho sobre ese contenido.

“Anthropic may not train models on Customer Content from Services.” — Commercial Terms, Sección B
Sección C

Privacidad de datos

Toda la información enviada se procesa conforme al Data Processing Addendum (DPA), incorporado por referencia en los términos. Entra en vigor automáticamente al aceptar los términos comerciales.

DPA — Art. 3

Instrucciones del responsable del tratamiento

Anthropic únicamente procesa los datos según las instrucciones documentadas del cliente. Queda expresamente prohibido usar los datos fuera de la relación comercial directa o combinarlos con datos de otros clientes.

DPA — SCCs

Cláusulas Contractuales Estándar (Módulo 2)

El DPA incorpora las SCCs de la Comisión Europea en su Módulo 2 (Responsable → Encargado), que regulan las transferencias internacionales de datos personales desde la UE bajo el artículo 46 del RGPD.

DPA — Subprocesadores

Control sobre subprocesadores

Anthropic notifica con al menos 15 días de antelación cualquier cambio en su lista de subprocesadores, con derecho del cliente a presentar objeciones fundamentadas en motivos de privacidad o seguridad.

Sección D

Cumplimiento normativo

Ambas partes se comprometen a cumplir todas las leyes aplicables, incluyendo expresamente las leyes de privacidad de datos, lo que cubre el RGPD y la LOPDGDD española.

Retención de datos

¿Cuánto tiempo guarda Anthropic los datos?

  • Los inputs y outputs enviados a la API se eliminan de los sistemas de Anthropic en un máximo de 7 días desde su generación.
  • Los datos de la API comercial no se utilizan para reentrenar modelos. Esta restricción aplica sin ninguna configuración adicional por parte del cliente.
  • Si un mensaje activa un clasificador de seguridad, ese contenido específico puede retenerse hasta 2 años para hacer cumplir la política de uso.
  • Anthropic se compromete a devolver o eliminar todos los datos en un plazo de 30 días desde la finalización del contrato.

Sobre Zero Data Retention (ZDR): Existe un nivel adicional donde ni siquiera se almacenan los logs de 7 días. Requiere negociación directa con el equipo de ventas de Anthropic y está pensado para sectores con exigencias legales extremas (sanidad, banca regulada). Para el uso habitual de un ERP, la protección estándar de la API ya cubre los requisitos del RGPD.

Verificación independiente

Documentos originales para auditoría

Cualquier cliente o auditor puede verificar directamente las garantías descritas en esta página accediendo a los documentos legales oficiales de Anthropic:

Términos Comerciales de AnthropicSecciones B (contenido), C (privacidad) y D (cumplimiento normativo)

Ver documento

Data Processing Addendum (DPA)Addendum de protección de datos con Cláusulas Contractuales Estándar incorporadas

Ver documento

Política de retención de datosPlazos de retención para la API comercial (clientes con plan de pago)

Ver documento

Zero Data Retention — documentación técnicaEndpoints elegibles y condiciones del acuerdo ZDR

Ver documento

Centro de privacidad de AnthropicPreguntas frecuentes para clientes comerciales (API, Console, Team y Enterprise)

Ver documento

Trust & Compliance de AnthropicCertificaciones de seguridad: SOC 2 Type II, ISO 27001 y otras

Ver documento

Última revisión: Marzo 2026 · Esta página se actualiza cuando hay cambios relevantes en los términos de los proveedores de IA o en la normativa aplicable. ·
Para dudas sobre protección de datos contacta con el equipo de Repasat
o consulta nuestra Política de Privacidad.