Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 29 de enero de 2026
Este Acuerdo de Procesamiento de Datos (“DPA”) forma parte de los Términos de Servicio (“Acuerdo”) entre tú (“Cliente”, “Controlador”) e ioZen (“Procesador”) y rige el procesamiento de datos personales por parte de ioZen en nombre del Cliente.
Al usar el Servicio, aceptas este DPA. Si requieres una copia firmada, contáctanos en [email protected].
1. Definiciones
- “Datos Personales” significa cualquier información relacionada con una persona natural identificada o identificable
- “Procesamiento” significa cualquier operación realizada sobre Datos Personales (recolección, almacenamiento, uso, divulgación, eliminación, etc.)
- “Controlador” significa la entidad que determina los propósitos y medios del procesamiento de Datos Personales (tú, el Cliente)
- “Procesador” significa la entidad que procesa Datos Personales en nombre del Controlador (ioZen)
- “Subprocesador” significa cualquier tercero contratado por el Procesador para procesar Datos Personales
- “Titular de los Datos” significa el individuo al que se refieren los Datos Personales
- “Ley de Protección de Datos Aplicable” significa GDPR, PIPEDA, CCPA, LFPDPPP, y cualquier otra legislación de protección de datos aplicable
2. Alcance y Roles
2.1 Roles
- El Cliente es el Controlador. Tú determines por qué y cómo se procesan los Datos Personales a través del Servicio.
- ioZen es el Procesador. Procesamos Datos Personales únicamente según tus instrucciones para proporcionar el Servicio.
2.2 Detalles del Procesamiento
| Elemento | Detalles |
|---|---|
| Materia | Provisión de la plataforma ioZen |
| Duración | Durante el término de tu Acuerdo con ioZen |
| Naturaleza y propósito | Procesar Datos Personales para proporcionar funcionalidad de FlowApp incluyendo recolección de datos, almacenamiento, automatización de workflows y funciones de CRM |
| Tipos de Datos Personales | Según lo determine el Cliente: puede incluir nombres, direcciones de correo electrónico, números de teléfono, direcciones, respuestas de formularios, y cualquier otro dato recolectado a través de los FlowApps del Cliente |
| Categorías de Titulares de Datos | Según lo determine el Cliente: puede incluir usuarios finales del Cliente, clientes, empleados y prospectos |
3. Obligaciones de ioZen
Nosotros:
3.1 Procesar Solo Según Instrucciones
Procesaremos Datos Personales solo según tus instrucciones documentadas, a menos que lo requiera la ley. Si la ley nos requiere procesar Datos Personales para otro propósito, te informaremos antes del procesamiento (a menos que esté prohibido por ley).
3.2 Confidencialidad
Aseguraremos que todo el personal autorizado para procesar Datos Personales esté sujeto a obligaciones de confidencialidad.
3.3 Medidas de Seguridad
Implementaremos y mantendremos medidas técnicas y organizativas apropiadas para proteger los Datos Personales, incluyendo:
- Encriptación en tránsito (TLS 1.3) y en reposo (AES-256)
- Controles de acceso y permisos basados en roles
- Evaluaciones de seguridad regulares y monitoreo
- Aislamiento de campos privados (datos sensibles almacenados por separado)
- Almacenamiento en vault encriptado para datos de máxima sensibilidad
- Procedimientos de detección y respuesta a incidentes
- Medidas de continuidad del negocio y recuperación ante desastres
3.4 Gestión de Subprocesadores
- Mantendremos una lista de Subprocesadores actuales en /es/legal/subprocesadores/
- Te notificaremos de cualquier nuevo Subprocesador al menos 30 días antes de que comiencen a procesar
- Puedes objetar a un nuevo Subprocesador dentro de 30 días de la notificación. Si no podemos acomodar razonablemente tu objeción, puedes terminar el Servicio afectado
- Aseguraremos que todos los Subprocesadores estén sujetos a obligaciones de protección de datos no menos protectoras que este DPA
3.5 Solicitudes de Titulares de Datos
Te asistiremos en responder a solicitudes de Titulares de Datos (acceso, corrección, eliminación, portabilidad, etc.) mediante:
- Proporcionar herramientas dentro del Servicio para que accedas y gestiones datos
- Notificarte prontamente si recibimos una solicitud directamente de un Titular de Datos
- Proporcionar asistencia razonable para solicitudes que no podemos cumplir a través de herramientas de autoservicio
3.6 Evaluaciones de Impacto de Protección de Datos
Proporcionaremos asistencia razonable para evaluaciones de impacto de protección de datos y consultas previas con autoridades supervisoras, según lo requiera la Ley de Protección de Datos Aplicable.
3.7 Notificación de Brechas
Te notificaremos de cualquier brecha de Datos Personales sin demora indebida y dentro de 48 horas de tener conocimiento de ella. La notificación incluirá:
- Naturaleza de la brecha
- Categorías y número aproximado de Titulares de Datos afectados
- Consecuencias probables
- Medidas tomadas o propuestas para abordar la brecha
3.8 Eliminación de Datos
Al término del Acuerdo:
- Te proporcionaremos una ventana de 30 días para exportar tus datos
- Eliminaremos todos los Datos Personales dentro de 30 días después de la ventana de exportación, a menos que la retención sea requerida por ley
- Proporcionaremos confirmación escrita de eliminación bajo solicitud
3.9 Derechos de Auditoría
Bajo solicitud razonable (no más de una vez al año), y con al menos 30 días de aviso por escrito:
- Proporcionaremos información necesaria para demostrar cumplimiento con este DPA
- Permitiremos auditorías por ti o un auditor tercero independiente (sujeto a confidencialidad), a tu costo
- Podemos proponer un mecanismo de auditoría alternativo (como proporcionar un reporte SOC 2) que razonablemente aborde tus requerimientos de auditoría
4. Obligaciones del Cliente
Tú:
- Asegurarás que tienes una base legal para procesar Datos Personales a través del Servicio
- Proporcionarás avisos de privacidad apropiados a tus Titulares de Datos
- Cumplirás con la Ley de Protección de Datos Aplicable en tu uso del Servicio
- No nos instruirás a procesar Datos Personales en violación de ninguna ley
5. Transferencias Internacionales
Cuando los Datos Personales se transfieran fuera del EEE/Reino Unido:
- Nos basamos en decisiones de adecuación (Canadá) y Cláusulas Contractuales Estándar (SCCs) para transferencias a otros países
- Las Cláusulas Contractuales Estándar de la UE (Módulo 2: Controlador a Procesador) se incorporan por referencia
- Implementamos medidas suplementarias según sea necesario para asegurar protección adecuada
6. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones de responsabilidad en el Acuerdo (Términos de Servicio).
7. Vigencia
Este DPA entra en vigor cuando comienzas a usar el Servicio y permanece vigente mientras procesemos Datos Personales en tu nombre. Las obligaciones relacionadas con confidencialidad, eliminación de datos y seguridad sobreviven a la terminación.
8. Contacto
Para preguntas sobre este DPA o para solicitar una copia firmada:
- Email: [email protected]
- Dirección: ioZen, Vancouver, BC, Canadá