1. Partes
Responsable del Tratamiento
Tú, el cliente (la entidad que determina los fines y medios del procesamiento)
Encargado del Tratamiento
ClientFlow (procesa datos personales en tu nombre)
1.1 Alcance del Procesamiento
Este DPA se aplica al procesamiento de datos personales cuando:
- ClientFlow procesa datos personales en nombre del Responsable como parte de la prestación del Servicio
- El procesamiento se relaciona con la gestión de las relaciones con clientes del Responsable
- Los interesados son los clientes y contactos comerciales del Responsable
Actividades de Procesamiento
- Almacenamiento y organización de información de contacto de clientes
- Registro y seguimiento de transacciones de pago
- Envío de comunicaciones autorizadas (recordatorios, notificaciones)
- Generación de análisis e informes basados en datos agregados
2. Categorías de Datos
| Categoría | Ejemplos | Propósito |
|---|---|---|
| Datos de Cuenta | Correo electrónico, nombre, foto de perfil | Acceso al servicio |
| Datos de Clientes | Nombres de clientes, teléfonos, correos | Funcionalidad CRM |
| Registros de Pago | Cantidades, fechas, estados | Seguimiento de pagos |
| Datos de Uso | Tiempos de inicio de sesión, uso de funciones | Seguridad, mejora |
3. Obligaciones del Encargado
Nosotros:
- Procesaremos datos solo según tus instrucciones documentadas
- Garantizaremos que el personal esté sujeto a confidencialidad
- Implementaremos medidas de seguridad apropiadas
- Asistiremos con solicitudes de interesados
- Te notificaremos de brechas de datos dentro de las 72 horas
- Eliminaremos datos tras la terminación (después del período de retención)
4. Medidas de Seguridad
Técnicas
- TLS 1.3 (tránsito)
- AES-256 (reposo)
- Autenticación OAuth 2.0
- Control de acceso basado en roles
- Monitoreo en tiempo real
Organizacionales
- Políticas de seguridad
- Plan de respuesta a incidentes
- Auditorías regulares
- Revisiones de seguridad de proveedores
- Capacitación de empleados
5. Subencargados
Utilizamos los siguientes subencargados autorizados:
| Proveedor | Servicio | Ubicación | FAP |
|---|---|---|---|
| Google Cloud | Autenticación | EE.UU. | Sí |
| iyzico | Pagos | Turquía | CCE |
| Meta (WhatsApp) | Mensajería | EE.UU. | Sí |
| Reenviar | Correo electrónico | EE.UU. | CCE |
| Hetzner | Alojamiento y Base de datos | Alemania (UE) | CCE |
| Cloudflare | CDN y Almacenamiento | UE | Sí |
DPF = Certificado del Marco de Privacidad de Datos UE-EE.UU.
Cambios en Subencargados
Te notificaremos de cualquier cambio previsto en los subencargados:
- Aviso previo de al menos 14 días antes de agregar o reemplazar subencargados
- Notificación por correo electrónico a tu dirección de correo de cuenta registrada
- Puedes objetar los cambios dentro de 14 días contactándonos
- Si tu objeción no puede resolverse, puedes dar por terminados los servicios afectados
5.1 Derechos de Auditoría
El Responsable tiene derecho a verificar el cumplimiento de este DPA:
- Solicitar documentación y certificaciones relevantes
- Realizar auditorías con al menos 30 días de aviso por escrito
- Las auditorías se realizarán durante el horario comercial normal
- El auditor debe firmar un acuerdo de confidencialidad
Alcance de la Auditoría
- Medidas de seguridad y salvaguardas técnicas
- Cumplimiento de subencargados
- Procedimientos de manejo de datos
- Capacidades de respuesta a incidentes
Los costos de las auditorías correrán a cargo del Responsable, a menos que la auditoría revele un incumplimiento material.
6. Retención y Eliminación de Datos
Tus datos se conservan para la recuperación de cuenta y cumplimiento regulatorio.
| Cronología | Acción |
|---|---|
| Inmediatamente | Cuenta desactivada |
| Indefinido | Datos conservados (archivados) |
| En cualquier momento | La cuenta puede reactivarse |
7. Disposiciones CCPA
Bajo CCPA, actuamos como "Proveedor de Servicios" y:
- Procesamos datos solo para fines comerciales especificados
- No vendemos información personal
- Asistimos con solicitudes de derechos del consumidor
- Implementamos medidas de seguridad razonables
8. Notificación de Violación de Datos
En caso de una violación de datos personales, nos comprometemos a lo siguiente:
Cronograma de Notificación
- Notificarte dentro de las 72 horas de conocer una violación
- Proporcionar una evaluación inicial del alcance e impacto de la violación
- Entregar una notificación escrita detallada dentro de 5 días hábiles
Contenido de la Notificación
- Naturaleza de la violación incluyendo categorías y número aproximado de interesados afectados
- Nombre y datos de contacto de nuestro Delegado de Protección de Datos
- Descripción de las consecuencias probables de la violación
- Medidas tomadas o propuestas para abordar la violación
- Medidas para mitigar posibles efectos adversos
Cooperaremos plenamente con tu investigación y cualquier consulta regulatoria, y asistiremos con las notificaciones de violación a las autoridades supervisoras y los interesados afectados según lo requiera la ley aplicable.
9. Transferencias Internacionales de Datos
Cuando los datos personales se transfieren fuera del Espacio Económico Europeo (EEE), garantizamos salvaguardas apropiadas:
Mecanismos de Transferencia
Decisiones de Adecuación de la UE
Transferencias a países considerados adecuados por la Comisión Europea
Marco de Privacidad de Datos UE-EE.UU.
Para procesadores con sede en EE.UU. certificados bajo el DPF
Cláusulas Contractuales Estándar (CCE)
Cláusulas aprobadas por la Comisión UE (versión 2021) para otras transferencias
Realizamos evaluaciones de impacto de transferencias cuando sea necesario e implementamos medidas complementarias (técnicas, organizativas y contractuales) cuando sea necesario para garantizar un nivel de protección esencialmente equivalente.
Puedes solicitar copias de los mecanismos de transferencia relevantes bajo petición.
10. Responsabilidad e Indemnización
Responsabilidad del Encargado
ClientFlow será responsable de los daños causados por el procesamiento que no cumpla con este DPA o cuando hayamos actuado fuera o en contra de las instrucciones legales del Responsable.
Responsabilidad del Responsable
El Responsable será responsable de los daños causados por el procesamiento que viole la ley de protección de datos aplicable o no cumpla con las obligaciones del Responsable bajo este DPA.
Limitaciones
- Ninguna parte será responsable de daños indirectos, incidentales o consecuentes
- La responsabilidad total agregada bajo este DPA está limitada a las tarifas pagadas en los 12 meses anteriores a la reclamación
- Estas limitaciones no se aplican a violaciones de confidencialidad, mala conducta intencional o negligencia grave
Cada parte se compromete a indemnizar a la otra contra reclamaciones de terceros que surjan del incumplimiento de este DPA o de las leyes de protección de datos aplicables por la parte indemnizadora.
11. Terminación y Devolución de Datos
Duración
Este DPA permanece vigente durante la duración del Acuerdo de Servicio y mientras procesemos datos personales en tu nombre.
Tras la Terminación
- A tu elección, devolveremos o eliminaremos todos los datos personales dentro de 30 días
- Puedes solicitar la exportación de datos en un formato de uso común y legible por máquina
- Certificaremos la eliminación bajo petición
- Los datos pueden conservarse cuando lo requiera la ley aplicable
Las secciones relacionadas con confidencialidad, responsabilidad y derechos de protección de datos sobrevivirán a la terminación de este DPA.