Legal · Datos

Data Processing Agreement

Acuerdo de Procesamiento de Datos — establece las condiciones bajo las cuales VuraOs LLC actúa como Encargado del Tratamiento de datos personales en nombre del Cliente.

Versión: 1.0  ·  Vigente desde: mayo de 2026  ·  VuraOs LLC

1. Definiciones

  • Cliente / Responsable: la empresa u organización que contrata los servicios de VURAOS y determina los fines y medios del tratamiento de datos personales.
  • VuraOS / Encargado: VuraOs LLC, que trata datos personales por cuenta y bajo las instrucciones del Cliente para prestar el Servicio.
  • Datos Personales: cualquier información relativa a una persona física identificada o identificable conforme a la normativa aplicable (GDPR, LGPD, Ley 25.326 y equivalentes).
  • Tratamiento: cualquier operación efectuada sobre datos personales, como recopilación, almacenamiento, uso, transmisión o eliminación.
  • Subencargado: tercero al que VuraOS encarga parte del tratamiento, sujeto a las mismas obligaciones que las estipuladas en este DPA.
  • Incidente de Seguridad: acceso, pérdida, alteración o divulgación no autorizada de datos personales.

2. Roles de las partes

Responsable del tratamiento

El Cliente

Determina los fines y los medios del tratamiento. Define qué datos se procesan, quiénes son los titulares y para qué se utiliza la información.

Encargado del tratamiento

VuraOS

Trata los datos únicamente según las instrucciones documentadas del Cliente para prestar el Servicio. No toma decisiones propias sobre los datos del Cliente.

3. Objeto y naturaleza del tratamiento

VuraOS trata datos personales para prestar los servicios de automatización de comunicaciones, gestión de agentes IA, CRM y analítica incluidos en la plataforma VURAOS contratada por el Cliente.

Categorías de datos tratados

  • Datos de contacto: nombre, dirección de email, número de teléfono, identificadores de mensajería (WhatsApp, Telegram).
  • Datos de interacción: contenido de conversaciones, historial de mensajes, consultas y respuestas generadas.
  • Datos de negocio: información de leads, oportunidades, notas de CRM ingresadas por el Cliente.
  • Metadatos técnicos: timestamps, canales de comunicación, identificadores de sesión.

Categorías de titulares

  • Clientes finales del Cliente (consumidores, leads, usuarios de sus servicios).
  • Empleados, colaboradores o representantes del Cliente que utilicen la plataforma.

4. Instrucciones del tratamiento

VuraOS trata los datos personales únicamente según las instrucciones documentadas del Cliente, tal como se configuran en la plataforma, en los flujos de automatización y en los contratos de servicio. El Cliente garantiza que sus instrucciones son conformes a la normativa aplicable.

Si VuraOS considera que una instrucción infringe la normativa de protección de datos, lo notificará al Cliente de inmediato por escrito.

5. Confidencialidad

VuraOS garantiza que las personas autorizadas para tratar los datos del Cliente están sujetas a obligaciones de confidencialidad y solo acceden a los datos necesarios para sus funciones. Los empleados y contratistas de VuraOS con acceso a datos del Cliente han firmado acuerdos de no divulgación.

6. Medidas técnicas y organizativas (TOM)

VuraOS implementa y mantiene las siguientes medidas de seguridad:

  • Encriptación en tránsito: TLS 1.3 en todas las comunicaciones.
  • Encriptación en reposo: AES-256 para datos almacenados.
  • Control de acceso: autenticación multifactor, acceso con mínimos privilegios, revisión trimestral de permisos.
  • Auditoría: logs de acceso a datos con retención de 12 meses.
  • Backups: copias de seguridad automáticas con retención de 30 días, cifradas.
  • Segregación: datos de cada Cliente almacenados en espacios lógicamente aislados.
  • Gestión de vulnerabilidades: parches de seguridad aplicados dentro de los 72 horas para vulnerabilidades críticas.
  • Pruebas: evaluaciones de seguridad periódicas sobre la infraestructura.

7. Subencargados

El Cliente autoriza a VuraOS a utilizar los subencargados listados a continuación. VuraOS garantiza que cada subencargado está sujeto a obligaciones contractuales de protección de datos equivalentes a las de este DPA.

Proveedor Servicio prestado País de procesamiento
Supabase Inc. Base de datos, autenticación, funciones serverless EE.UU. / UE (AWS us-east-1)
Amazon Web Services (AWS) Infraestructura cloud, modelos de IA (Bedrock) EE.UU. (us-east-1)
ElevenLabs Inc. Síntesis de voz IA (TTS) EE.UU.
Google LLC Analytics (datos anonimizados), Tag Manager EE.UU. / Global
Meta Platforms (WhatsApp Cloud API) Transmisión de mensajes WhatsApp EE.UU. / Global
Stripe Inc. Procesamiento de pagos EE.UU. / UE

VuraOS notificará al Cliente con al menos 30 días de antelación cualquier cambio en la lista de subencargados, otorgando al Cliente la posibilidad de objetar dicho cambio.

8. Transferencias internacionales de datos

Los datos pueden ser transferidos y tratados fuera del país de origen del Cliente. VuraOS garantiza que dichas transferencias se realizan con las salvaguardas adecuadas, incluyendo:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea para transferencias desde el EEE.
  • Contratos con proveedores que cumplen el Data Privacy Framework (DPF) UE–EE.UU.
  • Evaluaciones de impacto de transferencia (TIA) cuando sea requerido por normativa aplicable.

9. Derechos de los titulares

VuraOS asistirá al Cliente, en la medida de lo técnicamente posible, para responder a solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, portabilidad, oposición, limitación). El Cliente es el responsable de gestionar estas solicitudes y de comunicarlas a VuraOS cuando requieran acciones técnicas sobre los datos almacenados.

VuraOS responderá a las solicitudes técnicas del Cliente dentro de los 5 días hábiles siguientes a su recepción.

10. Notificación de incidentes de seguridad

En caso de detectar un incidente de seguridad que involucre datos personales del Cliente, VuraOS:

  • Notificará al Cliente dentro de las 72 horas siguientes a tener conocimiento del incidente.
  • Proporcionará en la notificación: naturaleza del incidente, categorías y volumen aproximado de datos afectados, medidas adoptadas y recomendadas, contacto del responsable de seguridad de VuraOS.
  • Cooperará con el Cliente en la investigación y en la notificación a las autoridades supervisoras si fuera necesario.

11. Auditorías

El Cliente tiene derecho a solicitar información sobre las prácticas de seguridad de VuraOS o a realizar auditorías de cumplimiento, con un preaviso mínimo de 30 días y bajo los términos acordados mutuamente para no interferir con la operación del Servicio. Los costos de las auditorías solicitadas por el Cliente corren por su cuenta.

VuraOS puede satisfacer las solicitudes de auditoría mediante la provisión de informes de terceros (penetration testing, evaluaciones de seguridad) cuando estén disponibles.

12. Eliminación y devolución de datos

Al vencimiento o terminación del contrato de servicio:

  • VuraOS proporcionará al Cliente un export completo de sus datos en formato estándar (CSV/JSON) dentro de los 30 días siguientes a la solicitud.
  • Transcurrido ese plazo o a solicitud expresa del Cliente, VuraOS eliminará de forma segura todos los datos personales del Cliente de sus sistemas, salvo obligación legal de conservación.
  • VuraOS entregará una certificación escrita de eliminación si el Cliente lo solicita.

13. Duración

Este DPA tiene la misma duración que el contrato de servicio principal (Términos de Servicio o MSA Enterprise). Las obligaciones de confidencialidad y seguridad se mantienen vigentes por 5 años adicionales a la terminación del contrato.

14. Solicitar un DPA firmado

Los clientes Enterprise y Partners que requieran un DPA firmado bilateralmente para sus procesos de compliance pueden solicitarlo contactando a nuestro equipo:

Email: enterprise@vuraos.com
Asunto: "Solicitud DPA firmado — [nombre de tu empresa]"
Tiempo de respuesta: 3 días hábiles
Formatos disponibles: PDF firmado electrónicamente (DocuSign / firma digital local)