Acuerdo de Tratamiento de Datos (DPA)
1. Definiciones
- Datos Personales: cualquier información sobre una persona física identificada o identificable que el Responsable procese en el Servicio.
- Titular: la persona física a la que se refieren los Datos Personales.
- Responsable: el Cliente, que determina los fines y medios del tratamiento.
- Encargado: ConvertCore AI Agency LLC, que trata los Datos Personales en nombre del Responsable conforme a sus instrucciones documentadas.
- Sub-procesador: tercero contratado por el Encargado para procesar Datos Personales.
- Brecha de seguridad: incidente que provoque la destrucción, pérdida, alteración o acceso no autorizado a los Datos Personales.
2. Objeto y duración
El Encargado tratará los Datos Personales únicamente para prestar el Servicio descrito en los Términos de Servicio. La duración del tratamiento coincide con la vigencia de la suscripción del Cliente, más el período de retención posterior establecido en la Política de Privacidad.
3. Naturaleza, alcance y finalidad del tratamiento
El tratamiento incluye almacenamiento, organización, consulta, modificación, comunicación por transmisión, restricción, supresión y destrucción, según las funcionalidades del Servicio: almacenamiento de contactos, programación de citas, envío de comunicaciones (email, SMS, WhatsApp), automatización de workflows, generación de reportes y dashboards.
4. Categorías de datos y de Titulares
Categorías de datos: nombre, apellidos, correo electrónico, teléfono, dirección postal, identificadores de redes sociales, fecha de nacimiento, historial de interacciones, notas comerciales, citas agendadas, preferencias declaradas. El Cliente es responsable de no cargar categorías especiales (datos de salud, biométricos, ideología, origen racial, etc.) salvo que cuente con base legal específica y nos lo notifique por escrito.
Categorías de Titulares: contactos, leads, clientes finales, prospectos, miembros del equipo del Cliente, cualquier persona cuyos datos el Cliente decida procesar en su Workspace.
5. Obligaciones del Encargado
- Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable y a la legislación aplicable.
- Garantizar que el personal autorizado guarde confidencialidad, mediante contrato o deber legal.
- Aplicar las medidas técnicas y organizativas descritas en la cláusula 8.
- Asistir al Responsable en la atención de las solicitudes de los Titulares y en el cumplimiento de evaluaciones de impacto y consultas previas, en la medida razonable.
- A elección del Responsable, devolver o suprimir los Datos Personales al final del Servicio, salvo obligación legal de conservación.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este Acuerdo.
6. Obligaciones del Responsable
El Responsable declara y garantiza que: (i) ha recabado el consentimiento o cuenta con base legal válida para tratar los Datos Personales que carga al Servicio, (ii) ha informado a los Titulares según la normativa aplicable, (iii) sus instrucciones cumplen con la legislación, (iv) no usará el Servicio para tratar datos de manera ilegal, fraudulenta o engañosa.
7. Sub-procesadores
El Responsable autoriza al Encargado a contratar Sub-procesadores para prestar el Servicio. La lista vigente al 13 de mayo de 2026 es:
| Sub-procesador | Propósito | Ubicación |
|---|---|---|
| Supabase | Hosted Postgres, authentication, file storage | Estados Unidos (region us-east-1) |
| Vercel | Application hosting, serverless functions, edge network | Global edge network |
| Stripe | Subscription billing and payment processing | Estados Unidos |
| Resend | Transactional and workflow email delivery | Estados Unidos |
| Sentry | Error tracking and performance monitoring (when enabled) | Estados Unidos / Unión Europea |
El Encargado notificará al Responsable de la incorporación o sustitución de Sub-procesadores con al menos 30 días de antelación, mediante actualización de esta página y aviso por correo electrónico. El Responsable puede oponerse por motivos razonables relacionados con protección de datos; en tal caso, las partes negociarán de buena fe una solución, y de no alcanzarse el Responsable podrá terminar la suscripción sin penalidad.
El Encargado mantiene la responsabilidad por el cumplimiento de las obligaciones de los Sub-procesadores, a quienes impone por contrato obligaciones equivalentes a las contenidas en este Acuerdo.
8. Medidas de seguridad
- Cifrado en tránsito mediante TLS para todas las comunicaciones.
- Aislamiento lógico por Workspace mediante Row-Level Security en la base de datos.
- Hash SHA-256 para credenciales API; las contraseñas se gestionan con el proveedor de autenticación, nunca en claro.
- Verificación criptográfica de firma para todos los webhooks entrantes (Stripe, Resend y similares).
- Control de acceso basado en roles y principio de mínimo privilegio para el personal del Encargado.
- Backups automáticos de la base de datos y procedimientos de recuperación.
- Registro y monitoreo de eventos de seguridad relevantes.
- Revisión periódica de las medidas y mejora continua frente a nuevas amenazas.
9. Notificación de brechas
Tras detectar una Brecha de seguridad que afecte Datos Personales del Responsable, el Encargado lo notificará sin demoras indebidas y, en cualquier caso, dentro de las setenta y dos (72) horas siguientes a la detección, indicando la naturaleza del incidente, las categorías y volumen aproximado de datos afectados, las consecuencias probables y las medidas adoptadas o propuestas para contener y mitigar el impacto.
10. Asistencia al Responsable
El Encargado prestará asistencia razonable al Responsable, a su cargo cuando suponga un esfuerzo desproporcionado, para: (i) atender solicitudes de Titulares en ejercicio de sus derechos, (ii) realizar evaluaciones de impacto cuando aplique, (iii) cumplir requerimientos de autoridades de control.
11. Auditoría
Una vez por año, o cuando lo exija una autoridad competente, el Responsable podrá solicitar al Encargado información razonable para verificar el cumplimiento de este Acuerdo, mediante cuestionario escrito o reporte de auditorías externas que el Encargado tenga disponibles. Cualquier auditoría in situ requerirá acuerdo previo sobre alcance, fechas y costos.
12. Devolución y supresión
Al término de la suscripción, el Responsable puede exportar el Contenido del Cliente desde el Servicio durante un plazo de treinta (30) días. Pasado ese plazo, el Encargado eliminará o anonimizará los Datos Personales, salvo aquellos que deba conservar por obligación legal.
13. Transferencias internacionales
Cuando los Datos Personales se transfieran a Sub-procesadores ubicados fuera del país del Responsable, el Encargado asegurará garantías adecuadas equivalentes a cláusulas contractuales estándar, certificaciones de protección de datos, o cualquier otro mecanismo válido conforme a la normativa aplicable al Responsable.
14. Vigencia y prelación
Este Acuerdo entra en vigor en la fecha en que el Cliente contrata el Servicio y permanece vigente mientras el Encargado trate Datos Personales por cuenta del Responsable. En caso de contradicción entre este Acuerdo y los Términos de Servicio en materia de protección de datos, prevalece este Acuerdo.
15. Contacto
Para asuntos de protección de datos relacionados con este Acuerdo escribe a privacy@convertcoreai.com.