WoravaWorava

Acuerdo de procesamiento de datos

Última actualización: 25 de enero de 2026

1. Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos del Servicio entre la Compañía ("Encargado" o "nosotros") y tú ("Responsable" o "Cliente"). Este DPA refleja el acuerdo de las partes respecto al Procesamiento de Datos Personales conforme a los requisitos de las Leyes de Protección de Datos.

Este DPA se aplica en la medida en que procesemos Datos Personales en tu nombre en el curso de la prestación de los Servicios.

2. Definiciones

Responsable
La entidad que determina los fines y medios del Procesamiento de Datos Personales. A los efectos de este DPA, el Cliente actúa como Responsable.
Encargado
La entidad que procesa Datos Personales en nombre del Responsable. La Compañía actúa como Encargado.
Datos Personales
Cualquier información relativa a una persona física identificada o identificable.
Procesamiento
Cualquier operación realizada sobre Datos Personales, incluida recopilación, almacenamiento, análisis, uso, divulgación o eliminación.
Leyes de Protección de Datos
Todas las leyes y reglamentos aplicables relativos a privacidad y protección de datos, incluidos GDPR, CCPA y otras legislaciones relevantes.
Subencargado
Cualquier procesador externo contratado por la Compañía para procesar Datos Personales.

3. Alcance del procesamiento

3.1 Propósito

La Compañía procesa Datos Personales para los siguientes fines:

  • Puntuación de calidad de leads y detección de fraudes
  • Analítica e informes
  • Prestación del servicio y soporte al cliente
  • Mejora y optimización de la plataforma

3.2 Naturaleza del procesamiento

Las actividades de procesamiento incluyen:

  • Recopilación de datos de leads vía API, rastreador JavaScript o carga CSV
  • Análisis y puntuación de la calidad de los leads
  • Almacenamiento de datos de leads y resultados de puntuación
  • Transmisión de los resultados de puntuación vía webhook o API
  • Generación de informes y analítica

3.3 Tipos de Datos Personales

Los Datos Personales procesados pueden incluir:

  • Nombres e información de contacto (correo, teléfono, dirección)
  • Direcciones IP e identificadores de dispositivo
  • Información del navegador y del dispositivo
  • Datos de comportamiento (vistas de página, tiempo en el sitio)
  • Datos de envío de formularios
  • Cualquier otro dato proporcionado por el Cliente

3.4 Interesados

Los interesados son personas que envían leads a través de los formularios, sitios web u otros mecanismos de recopilación del Cliente.

4. Obligaciones del Cliente

Como Responsable, el Cliente garantiza que:

  • Ha obtenido todos los consentimientos necesarios y proporcionado las notificaciones requeridas a los interesados para el procesamiento de sus Datos Personales
  • Tiene el derecho legal de transferir Datos Personales a la Compañía para su procesamiento
  • Las instrucciones de procesamiento proporcionadas a la Compañía cumplen con las Leyes de Protección de Datos aplicables
  • No proporcionará a la Compañía Categorías Especiales de Datos Personales (por ejemplo, datos de salud, datos biométricos) sin acuerdo previo por escrito
  • Informará prontamente a la Compañía de cualquier solicitud de derechos de los interesados que pueda afectar a las obligaciones de procesamiento de la Compañía

5. Obligaciones de la Compañía

La Compañía deberá:

  • Procesar Datos Personales solo de acuerdo con las instrucciones documentadas del Cliente y según sea necesario para prestar los Servicios
  • Asegurar que las personas autorizadas a procesar Datos Personales se hayan comprometido a la confidencialidad
  • Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
  • No contratar a un Subencargado sin autorización previa por escrito del Cliente
  • Ayudar al Cliente a responder a solicitudes de derechos de los interesados
  • Ayudar al Cliente a cumplir con las obligaciones de seguridad, notificación de incumplimientos y evaluación de impacto en la protección de datos
  • Eliminar o devolver todos los Datos Personales al Cliente tras la terminación de los Servicios
  • Poner a disposición toda la información necesaria para demostrar el cumplimiento de este DPA

6. Medidas de seguridad

La Compañía implementa las siguientes medidas técnicas y organizativas de seguridad:

6.1 Medidas técnicas

  • Cifrado de datos en tránsito (TLS 1.3)
  • Cifrado de datos en reposo
  • Actualizaciones y parches de seguridad regulares
  • Controles de acceso y mecanismos de autenticación
  • Pruebas de seguridad y evaluaciones de vulnerabilidades regulares
  • Sistemas de copia de seguridad automatizados
  • Seguridad de red y protección con cortafuegos

6.2 Medidas organizativas

  • Acuerdos de confidencialidad con todos los empleados
  • Formación en concienciación sobre seguridad
  • Políticas de control de acceso (principio de privilegio mínimo)
  • Procedimientos de respuesta ante incidentes
  • Procesos de gestión de proveedores y diligencia debida
  • Auditorías y revisiones de seguridad regulares

7. Notificación de violación de datos

En caso de violación de Datos Personales, la Compañía deberá:

  • Notificar al Cliente sin demora indebida y no más tarde de 72 horas después de tener conocimiento de la violación
  • Proporcionar la siguiente información:
    • Naturaleza de la violación de Datos Personales
    • Categorías y número aproximado de interesados afectados
    • Consecuencias probables de la violación
    • Medidas tomadas o propuestas para hacer frente a la violación
  • Cooperar con el Cliente en la investigación y mitigación de la violación
  • Tomar medidas razonables para remediar la violación y prevenir futuras ocurrencias

8. Subencargados

El Cliente otorga autorización general a la Compañía para contratar Subencargados. La Compañía utiliza actualmente los siguientes Subencargados:

SubencargadoServicioUbicación
Microsoft AzureAlojamiento e infraestructura en la nubeEstados Unidos (varias regiones disponibles)
StripeProcesamiento de pagosEstados Unidos

La Compañía notificará al Cliente cualquier cambio previsto en los Subencargados con al menos 30 días de antelación. El Cliente podrá oponerse al uso de un nuevo Subencargado por motivos razonables relacionados con las Leyes de Protección de Datos.

9. Transferencias internacionales de datos

Los Datos Personales pueden transferirse y procesarse en países fuera del Espacio Económico Europeo (EEE). Cuando se produzcan tales transferencias, la Compañía garantiza que se establecen salvaguardas adecuadas:

  • Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
  • Decisiones de adecuación de la Comisión Europea (cuando proceda)
  • Normas Corporativas Vinculantes u otros mecanismos de transferencia aprobados
  • Medidas técnicas y organizativas para garantizar la seguridad de los datos durante la transferencia

A petición, la Compañía proporcionará al Cliente copias de los mecanismos de transferencia aplicables.

10. Derechos de los interesados

La Compañía ayudará al Cliente a cumplir con sus obligaciones de responder a las solicitudes de derechos de los interesados, incluyendo:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión ("derecho al olvido")
  • Derecho a restringir el procesamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición

El Cliente enviará las solicitudes de los interesados a la Compañía por correo a privacy. La Compañía responderá en un plazo de 10 días hábiles y proporcionará asistencia razonable al Cliente.

11. Derechos de auditoría

La Compañía pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA y permitirá auditorías e inspecciones.

El Cliente podrá realizar auditorías (incluidas inspecciones) sujetas a lo siguiente:

  • Las auditorías se realizarán como máximo una vez al año, salvo que lo exija una autoridad reguladora
  • El Cliente debe proporcionar un aviso por escrito con al menos 30 días de antelación
  • Las auditorías se realizarán en horario laboral normal y de manera que no interfieran con las operaciones
  • El Cliente debe firmar un acuerdo de confidencialidad
  • El Cliente asumirá todos los costes asociados a la auditoría

12. Retención y eliminación de datos

La Compañía solo retendrá Datos Personales el tiempo necesario para prestar los Servicios o según lo exija la ley.

12.1 Periodo de retención

  • Datos de cuenta activa: duración de la suscripción más 90 días
  • Datos de leads: configurables por el Cliente (por defecto 365 días)
  • Datos de copia de seguridad: 30 días tras la eliminación de los sistemas primarios
  • Registros de auditoría: 2 años

12.2 Eliminación tras la terminación

Tras la terminación o expiración de los Servicios, la Compañía deberá (a elección del Cliente):

  • Eliminar todos los Datos Personales y copias existentes, o
  • Devolver todos los Datos Personales al Cliente en un formato de uso común

La eliminación o devolución se producirá dentro de los 90 días siguientes a la terminación, salvo que las obligaciones legales exijan un almacenamiento continuado.

13. Responsabilidad e indemnización

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones establecidas en los Términos del Servicio.

La Compañía indemnizará al Cliente frente a reclamaciones que surjan del incumplimiento de este DPA por parte de la Compañía, siempre que el Cliente:

  • Notifique con prontitud la reclamación a la Compañía
  • Proporcione cooperación razonable en la defensa
  • Permita a la Compañía el control exclusivo de la defensa y el acuerdo

14. Vigencia y terminación

Este DPA permanecerá vigente durante la duración de los Servicios. Cualquiera de las partes podrá terminar este DPA si la otra parte incumple materialmente sus obligaciones y no las subsana en un plazo de 30 días desde la notificación por escrito.

Las secciones 7 (Notificación de violación de datos), 12 (Retención y eliminación de datos) y 13 (Responsabilidad e indemnización) sobrevivirán a la terminación.

15. Ley aplicable y jurisdicción

Este DPA se regirá por la misma ley y jurisdicción especificadas en los Términos del Servicio. Para clientes en el EEE, este DPA incorpora las Cláusulas Contractuales Tipo según corresponda.

16. Modificaciones

La Compañía puede actualizar este DPA de vez en cuando para reflejar cambios en las Leyes de Protección de Datos o prácticas comerciales. Los cambios sustanciales se notificarán al Cliente con al menos 30 días de antelación. El uso continuado de los Servicios tras la entrada en vigor de los cambios constituye la aceptación.

17. Información de contacto

Para preguntas o inquietudes sobre este DPA, contacta con:

Delegado de Protección de Datos de la Compañía

Correo: privacy