Acuerdo de Procesamiento de Datos (DPA)

Vigente desde: 25 de abril de 2026 — Versión 2.0

1. Definiciones

  • "Controlador" o "Data Controller": el Cliente que determina los fines y medios del tratamiento de datos personales de sus Clientes Finales a través de la Plataforma
  • "Procesador" o "Data Processor": Wappi Holding LLC, que procesa datos personales exclusivamente en nombre y bajo las instrucciones documentadas del Controlador
  • "Datos Personales": cualquier información relativa a una persona física identificada o identificable, según se define en el Art. 4(1) del RGPD, la Sección 1798.140(v) del CCPA y la legislación de protección de datos aplicable
  • "Sub-procesador": cualquier tercero contratado por Wappi que tenga acceso a o procese Datos Personales en nombre del Controlador
  • "Brecha de Seguridad" o "Data Breach": cualquier violación de seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales
  • "Legislación de Protección de Datos Aplicable": el conjunto de leyes y regulaciones aplicables al tratamiento de datos personales, incluyendo el RGPD (UE), CCPA/CPRA (California), LGPD (Brasil), POPIA (Sudáfrica) y cualquier otra normativa aplicable según la jurisdicción del Controlador
  • "DSAR" (Data Subject Access Request): solicitud de ejercicio de derechos presentada por un interesado conforme a la Legislación de Protección de Datos Aplicable

2. Alcance, roles y objeto del tratamiento

Este DPA se aplica al tratamiento de Datos Personales que el Controlador introduce, genera o almacena en la Plataforma. Wappi actúa exclusivamente como Procesador bajo las instrucciones documentadas del Controlador. El objeto del tratamiento comprende: (a) datos identificativos de Clientes Finales (nombre, teléfono, email); (b) contenido de mensajes y conversaciones; (c) datos de pedidos y transacciones comerciales; (d) archivos multimedia procesados en conversaciones; (e) grabaciones y transcripciones de llamadas de voz; (f) datos de citas y agenda; y (g) cualquier otro dato personal que el Controlador introduzca en la Plataforma.

3. Obligaciones del Procesador

  • Procesar los Datos Personales únicamente conforme a las instrucciones documentadas del Controlador, salvo obligación legal que exija un tratamiento distinto, en cuyo caso Wappi informará previamente al Controlador (salvo prohibición legal)
  • Garantizar que el personal autorizado para acceder a los Datos Personales se haya comprometido por escrito a guardar confidencialidad o esté sujeto a una obligación legal de confidencialidad de naturaleza equivalente
  • Implementar y mantener las medidas técnicas y organizativas descritas en el Anexo II de este DPA, asegurando un nivel de seguridad adecuado al riesgo del tratamiento
  • No recurrir a otro procesador (sub-procesador) sin la autorización previa y general por escrito del Controlador, conforme al procedimiento descrito en la Sección 4
  • Asistir al Controlador, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas para el cumplimiento de DSARs dentro de los plazos legalmente establecidos
  • Asistir al Controlador en la realización de evaluaciones de impacto relativas a la protección de datos (DPIA) y consultas previas con autoridades de supervisión, cuando sea requerido
  • A elección del Controlador, suprimir o devolver todos los Datos Personales al finalizar la prestación del servicio, y destruir las copias existentes salvo obligación legal de conservación
  • Poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y la Legislación de Protección de Datos Aplicable
  • Permitir y contribuir a auditorías e inspecciones realizadas por el Controlador o un auditor autorizado, con preaviso razonable de 30 días y en horario laboral

4. Sub-procesadores autorizados

El Controlador autoriza con carácter general el uso de los siguientes sub-procesadores para el tratamiento de Datos Personales. Wappi garantiza que todos los sub-procesadores están sujetos a obligaciones contractuales equivalentes a las establecidas en este DPA:

4. Sub-procesadores autorizados

  • Meta Platforms Inc. — WhatsApp Cloud API — Envío y recepción de mensajes, entrega de plantillas — EE.UU./Global
  • Twilio Inc. — Llamadas de voz (IVR), verificación telefónica, SMS — EE.UU.
  • Twilio SendGrid — Correo electrónico transaccional (opcional, según configuración del Controlador) — EE.UU.
  • Mailgun Technologies Inc. (Sinch) — Correo electrónico transaccional (opcional, según configuración del Controlador) — EE.UU.
  • Stripe Inc. — Procesamiento de pagos, suscripciones y facturación — EE.UU.
  • Supabase Inc. — Base de datos PostgreSQL, autenticación, almacenamiento de archivos, embeddings vectoriales — EE.UU./UE (AWS)
  • OpenAI LLC — Modelos de lenguaje (GPT-4o, GPT-4o-mini), generación de embeddings — EE.UU.
  • Anthropic PBC — Modelos de lenguaje (Claude Sonnet) — EE.UU.
  • Google LLC — Modelos de lenguaje (Gemini), síntesis de voz (Cloud TTS), calendario (Calendar API) — EE.UU.
  • Groq Inc. — Inferencia acelerada de modelos open-source (Llama, Gemma, Mistral) — EE.UU.
  • OpenRouter Inc. — Enrutamiento y acceso multi-modelo de IA — EE.UU.
  • Deepgram Inc. — Transcripción de voz en tiempo real (STT, modelo Nova-3) — EE.UU.
  • ElevenLabs Inc. — Síntesis de voz de alta fidelidad (TTS, opcional) — EE.UU.
  • Cartesia AI — Síntesis de voz en streaming (TTS, opcional) — EE.UU.
  • Calendly LLC — Programación de citas y gestión de disponibilidad (opcional) — EE.UU.
  • Cloudflare Inc. — Seguridad web, protección contra bots (Turnstile), CDN — EE.UU./Global
  • Mastershop — Sincronización de productos, pedidos y clientes (e-commerce) — Colombia
  • n8n GmbH — Automatización de flujos de trabajo y procesamiento de eventos — Alemania
  • Telegram FZ-LLC — Mensajería por bot (opcional, según configuración del Controlador) — Emiratos Árabes Unidos

Notificación de cambios: Wappi notificará al Controlador con al menos 30 días naturales de antelación antes de agregar, reemplazar o modificar sustancialmente un sub-procesador. El Controlador podrá oponerse razonablemente al cambio dentro de los 15 días siguientes a la notificación. En caso de oposición legítima no resuelta, el Controlador tendrá derecho a resolver el contrato sin penalización.

5. Transferencias internacionales de datos

Dado que Wappi opera desde Estados Unidos y utiliza sub-procesadores en múltiples jurisdicciones, los Datos Personales pueden transferirse fuera del país de residencia del Controlador o de sus Clientes Finales. Todas las transferencias internacionales se realizan con las siguientes salvaguardas: (a) Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), incluidas como Anexo III de este DPA; (b) Evaluaciones de Impacto de Transferencias (TIA) realizadas conforme a las recomendaciones 01/2020 del EDPB; (c) medidas técnicas suplementarias (cifrado extremo a extremo, pseudonimización, segmentación de datos) cuando la evaluación del país de destino lo requiera; (d) compromiso de notificación al Controlador en caso de solicitudes de acceso gubernamental, salvo prohibición legal.

6. Medidas de seguridad (Anexo II — Medidas Técnicas y Organizativas)

  • Cifrado en reposo: AES-256-GCM para credenciales, tokens y datos sensibles almacenados en base de datos
  • Cifrado en tránsito: TLS 1.2 o superior para todas las comunicaciones, incluyendo APIs internas y externas
  • Aislamiento de datos por tenant: Row Level Security (RLS) en PostgreSQL que garantiza aislamiento completo entre organizaciones
  • Control de acceso: autenticación basada en tokens JWT, RBAC (Control de Acceso Basado en Roles), principio de mínimo privilegio
  • Verificación de integridad: validación de webhooks entrantes mediante HMAC-SHA256 con secretos rotativos
  • Monitoreo y detección: sistema de alertas en tiempo real para accesos anómalos, intentos de intrusión y patrones de uso sospechosos
  • Copias de seguridad: backups automatizados diarios con retención de 30 días y cifrado en reposo
  • Plan de respuesta a incidentes: procedimiento documentado de detección, contención, erradicación, recuperación y notificación
  • Gestión de vulnerabilidades: evaluaciones periódicas de seguridad, actualización continua de dependencias y parches de seguridad
  • Formación del personal: programa de concienciación en seguridad y protección de datos para todo el personal con acceso a Datos Personales

7. Notificación de brechas de seguridad

En caso de Brecha de Seguridad que afecte Datos Personales del Controlador, Wappi notificará al Controlador sin demora indebida y, en cualquier caso, dentro de las 72 horas siguientes al momento en que tenga conocimiento efectivo de la brecha, conforme al Artículo 33 del RGPD. La notificación incluirá: (a) descripción de la naturaleza de la brecha; (b) categorías y número aproximado de interesados afectados; (c) consecuencias probables; (d) medidas adoptadas o propuestas para mitigar los efectos; y (e) datos de contacto del DPO o punto de contacto. Wappi cooperará con el Controlador y proporcionará toda la información y asistencia necesaria para que el Controlador cumpla con sus propias obligaciones de notificación ante autoridades e interesados.

8. Asistencia en evaluaciones de impacto (DPIA)

Wappi asistirá al Controlador en la realización de Evaluaciones de Impacto relativas a la Protección de Datos (DPIA) y consultas previas con autoridades de supervisión, cuando el tratamiento realizado a través de la Plataforma pueda entrañar un alto riesgo para los derechos y libertades de los interesados. Esta asistencia incluirá la provisión de información sobre las medidas de seguridad implementadas, los flujos de datos y los sub-procesadores involucrados.

9. Vigencia y terminación

Este DPA entra en vigor en la fecha de registro del Controlador en la Plataforma y permanece vigente mientras Wappi procese Datos Personales en nombre del Controlador. Tras la terminación del servicio, Wappi suprimirá o devolverá todos los Datos Personales dentro de los 30 días siguientes, y destruirá las copias de seguridad existentes dentro de los 90 días siguientes, salvo obligación legal de conservación.

10. Contacto DPA

Para solicitudes, consultas o notificaciones relacionadas con este Acuerdo de Procesamiento de Datos: [email protected]

legal.nav.related

PrivacidadTérminosCookiesAviso IAUso AceptableConsentimientoEliminacion de Datos