Este DPA forma parte integrante de los Términos del Servicio entre MIA SELLER LLC («Encargado») y el Tenant («Responsable»). Establece las condiciones bajo las cuales el Encargado procesa datos personales de los clientes finales en nombre del Tenant.
1. Roles
- Responsable del Tratamiento (Controller): el Tenant
- Encargado del Tratamiento (Processor): MIA SELLER LLC
- Sub-encargados: Meta Platforms Inc., Supabase, OpenAI, Stripe/Culqi, Hostinger, SIO AI SAC (reseller Perú)
2. Naturaleza del tratamiento
El Encargado procesa datos personales de los clientes finales del Tenant exclusivamente para:
- Almacenar y entregar mensajes WhatsApp
- Mantener historial de conversaciones
- Generar reportes y analytics
- Cumplir con instrucciones del Tenant configuradas en el portal
- Funciones de IA conversacional cuando el Tenant las habilita
3. Categorías de titulares y datos
- Titulares: clientes finales del Tenant
- Datos identificativos: número WhatsApp, nombre del perfil
- Datos de comunicación: contenido de mensajes
- Datos de consentimiento: opt-in/opt-out
- Metadatos: timestamps, estados de entrega, geolocalización aproximada
4. Obligaciones del Encargado
MIA SELLER LLC se compromete a:
- Procesar los datos únicamente según instrucciones del Tenant
- Garantizar la confidencialidad mediante cláusulas con su personal
- Aplicar medidas técnicas y organizativas apropiadas (cifrado, acceso por roles, auditoría)
- Asistir al Tenant para responder solicitudes de derechos (ARCO/GDPR/CCPA) en menos de 5 días hábiles
- Notificar brechas de seguridad en menos de 72 horas
- Permitir auditorías razonables (con 30 días de aviso, máx 1/año)
- Borrar o devolver todos los datos al terminar el contrato
5. Sub-encargados autorizados
El Tenant autoriza el uso de los siguientes sub-encargados:
- Meta Platforms Inc. (EE.UU.) — entrega de mensajes WhatsApp
- Supabase Inc. (Amazon AWS, São Paulo BR) — almacenamiento PostgreSQL y edge functions
- OpenAI L.L.C. (EE.UU.) — inferencia LLM cuando el Tenant activa funciones de IA
- Stripe Inc. / Culqi (Perú) — procesamiento de pagos
- Hostinger International (Lituania) — hosting del portal web
- SIO AI SAC (Perú) — reseller y soporte local para clientes peruanos
Cambios a esta lista se notificarán con 30 días de anticipación. El Tenant puede objetar por escrito.
6. Transferencias internacionales
Los datos pueden transferirse a Estados Unidos, Brasil, Lituania y Perú bajo las siguientes salvaguardas:
- EE.UU. (MIA SELLER LLC, Meta, Stripe, OpenAI): Cláusulas Contractuales Estándar de la Comisión Europea
- Brasil (Supabase): Decisión de adecuación parcial de la UE
- Compromiso del Encargado de mantener nivel de protección equivalente
7. Seguridad
Medidas técnicas implementadas:
- Cifrado TLS 1.3 en tránsito, AES-256 en reposo
- Row Level Security multi-tenant en PostgreSQL
- Autenticación multifactor obligatoria para administradores
- Auditoría completa de operaciones críticas
- Backups cifrados diarios con retención de 30 días
- Pruebas de penetración anuales
8. Notificación de brechas
En caso de brecha de seguridad que afecte datos personales del Tenant, notificaremos en menos de 72 horas vía correo a los contactos admin del workspace, incluyendo:
- Descripción de la naturaleza de la brecha
- Datos afectados (categorías y volumen aproximado)
- Medidas adoptadas
- Recomendaciones para el Tenant
9. Devolución/borrado al terminar
Al terminar el contrato, el Tenant puede solicitar:
- Export completo de datos en formato JSON estructurado (gratis, 30 días)
- Borrado total de datos personales (irreversible, 60 días para completarse)
10. Auditoría
El Tenant puede solicitar auditoría de las medidas de seguridad implementadas, con un mínimo de 30 días de aviso y máximo 1 vez al año. Los costos de la auditoría son a cargo del Tenant salvo que se descubran incumplimientos materiales.
11. Vigencia
Este DPA es efectivo desde la activación del workspace y permanece vigente mientras dure el contrato de servicio. Las obligaciones de confidencialidad y devolución sobreviven a la terminación.
12. Aceptación
La creación de un workspace en Conecta BSP constituye aceptación expresa de este DPA por parte del Tenant. Una copia firmada digitalmente está disponible bajo solicitud a legal@sioagents.com.