Inicio Legal Acuerdo de Procesamiento de Datos

Acuerdo de Procesamiento de Datos

Acuerdo conforme con el Artículo 28 del RGPD que regula cómo procesamos datos personales en tu nombre.

Última actualización: May 10, 2026 ConvoAI by Serverlys
Términos de Servicio Política de Privacidad Política de Cookies Uso Aceptable Acuerdo de Procesamiento de Datos
Resumen: Este APD es requerido por el Artículo 28 del RGPD. Regula cómo Serverlys (procesador) procesa datos personales en tu nombre (responsable) cuando usas ConvoAI. Procesamos solo según tus instrucciones documentadas, mantenemos la confidencialidad, aplicamos medidas de seguridad adecuadas, te asistimos con las solicitudes de los interesados y eliminamos tus datos al terminar. Los subprocesadores incluyen Anthropic, Stripe, Meta y nuestra infraestructura de alojamiento.

1. Introducción e Incorporación

This Data Processing Agreement ("DPA") is entered into between:

  • Responsable: La entidad o persona que ha aceptado los Términos de Servicio ("you", "Customer", "Controller").
  • Procesador: Serverlys, the operator of ConvoAI ("we", "us", "Serverlys", "Processor").

Este APD forma parte y se incorpora a los Términos de Servicio entre usted y Serverlys. En caso de conflicto entre este APD y los Términos de Servicio con respecto al procesamiento de datos personales, este APD prevalecerá.

This DPA applies where and to the extent that Serverlys processes Personal Data on behalf of the Customer in the course of providing the ConvoAI Service, and such processing is subject to the General Data Protection Regulation (EU) 2016/679 ("GDPR"), the UK GDPR, or other applicable data protection legislation.

2. Definiciones

En este APD, salvo que el contexto requiera otra cosa:

  • "Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable procesada por Serverlys en nombre del Cliente según los Términos de Servicio.
  • "Procesamiento" tiene el significado dado en el RGPD e incluye cualquier operación realizada sobre Datos Personales.
  • "Interesado" significa la persona física identificada o identificable a quien se refieren los Datos Personales (principalmente, tus usuarios finales que se comunican por WhatsApp).
  • "Subprocesador" significa cualquier tercero contratado por Serverlys para procesar Datos Personales en nombre del Cliente.
  • "Incidente de Seguridad" significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales.
  • "Cláusulas Contractuales Estándar" o "CCE" significa las cláusulas estándar de protección de datos adoptadas por la Comisión Europea para la transferencia de datos personales a terceros países.
  • "RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

3. Roles y Responsabilidades

3.1 Responsable

El Cliente es el Responsable del Tratamiento con respecto a los Datos Personales de sus usuarios finales (tus contactos de WhatsApp) procesados a través del Servicio ConvoAI. Como Responsable, tú determinas los fines y los medios del procesamiento.

3.2 Procesador

Serverlys es el Encargado del Tratamiento. Procesamos Datos Personales solo según instrucciones documentadas tuyas, y solo en la medida necesaria para proporcionar el Servicio ConvoAI como se describe en los Términos de Servicio.

3.3 Responsable Independiente

Serverlys actúa como Responsable del Tratamiento independiente (no como Procesador) para los Datos Personales recopilados directamente sobre usted (datos de cuenta, datos de facturación, métricas de uso) como se describe en nuestra Política de Privacidad. Este APD no aplica a esos datos.

4. Objeto del Procesamiento

4.1 Naturaleza y Propósito

Serverlys procesa Datos Personales con el fin de proporcionar el Servicio ConvoAI: operar agentes de WhatsApp impulsados por IA que manejan conversaciones con clientes, califican leads, reservan citas, gestionan registros de CRM y ejecutan campañas salientes en tu nombre.

4.2 Duración

El procesamiento continúa durante la duración de tu suscripción al Servicio, y por 30 días después de la terminación de la cuenta (para permitir la exportación de datos), a menos que un período de retención más largo sea requerido por la ley aplicable.

4.3 Tipos de Datos Personales Procesados

Los Datos Personales procesados en tu nombre pueden incluir:

  • Números de teléfono de WhatsApp de tus usuarios finales
  • Nombres para mostrar de WhatsApp según lo proporcionado por la API de Meta
  • Contenido de mensajes (texto de conversaciones de WhatsApp)
  • Conversaciones este mes
  • Datos de CRM derivados de conversaciones: estado del lead, etapa del negocio, etiquetas, notas, puntuaciones de leads
  • Detalles de citas (fechas, horarios, servicios) reservadas a través del agente de IA
  • Cualquier dato adicional que tus usuarios finales proporcionen voluntariamente durante una conversación

4.4 Categorías de Interesados

Los Datos Personales se refieren a tus usuarios finales: personas que envían mensajes de WhatsApp a tu número de WhatsApp Business que está conectado al Servicio ConvoAI.

4.5 Datos de Categoría Especial

El Servicio no está diseñado ni destinado a procesar datos de categoría especial según lo definido en el Artículo 9 del RGPD (datos de salud, datos biométricos, datos que revelen origen racial o étnico, etc.). No debes configurar tus agentes de IA para solicitar o procesar dichos datos. Si se reciben datos de categoría especial de manera involuntaria, Serverlys los procesará de acuerdo con este APD, pero aceptas la responsabilidad exclusiva de tener una base legal para su recopilación.

5. Obligaciones del Procesador

Serverlys, como Procesador, se compromete a:

Documentación

Procesar Datos Personales solo según tus instrucciones documentadas, incluyendo respecto a las transferencias de Datos Personales a un tercer país, a menos que sea requerido por la ley aplicable. En tal caso, Serverlys te informará de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por razones importantes de interés público.

5.2 Confidencialidad

Garantizar que todo el personal autorizado para procesar Datos Personales esté sujeto a una obligación de confidencialidad, ya sea por obligación contractual o legal.

5.3 Seguridad

Implementar y mantener medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, como se describe más adelante en la Sección 8 de este APD.

5.4 Subprocesadores

No contratar ningún Subprocesador sin tu autorización general previa por escrito. La lista actual de Subprocesadores autorizados se establece en la Sección 7. Serverlys te notificará cualquier cambio en los Subprocesadores y tendrás 14 días para objetar dichos cambios. Serverlys impondrá obligaciones equivalentes de protección de datos a todos los Subprocesadores.

5.5 Derechos del Interesado

Tomar medidas técnicas y organizativas adecuadas para asistirte en el cumplimiento de tu obligación de responder a las solicitudes de los Interesados para ejercer sus derechos bajo el RGPD (acceso, rectificación, supresión, portabilidad, limitación, oposición) como se describe en la Sección 10.

5.6 Asistencia con el Cumplimiento

Asistirte en garantizar el cumplimiento de tus obligaciones bajo los Artículos 32-36 del RGPD (seguridad, notificación de brechas, DPIA, consulta previa), teniendo en cuenta la naturaleza del procesamiento y la información disponible para Serverlys.

5.7 Eliminación o Devolución

A tu elección, eliminar o devolverte todos los Datos Personales después del fin de la prestación del Servicio, y eliminar las copias existentes a menos que sea necesario retenerlas según la ley aplicable. Ver Sección 13.

5.8 Información de Auditoría

Ponerte a disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD, y permitir y contribuir a las auditorías e inspecciones realizadas por ti o un auditor designado, como se describe en la Sección 12.

6. Obligaciones del Responsable

Como Responsable, aceptas:

  • Asegurarte de tener una base legal válida según el Artículo 6 del RGPD (y el Artículo 9 donde sea aplicable) para procesar los Datos Personales de tus usuarios finales a través del Servicio
  • Proporcionar a tus usuarios finales un aviso transparente sobre cómo se procesan sus Datos Personales por WhatsApp, incluyendo que sus mensajes son procesados por un sistema de IA
  • Obtener todos los consentimientos necesarios o cumplir con los requisitos de opt-in aplicables antes de iniciar mensajes de WhatsApp iniciados por el negocio a tus usuarios finales
  • Cumplir con la Política Comercial de WhatsApp de Meta y las regulaciones de mensajería aplicables en tu jurisdicción
  • Asegurarte de tener una política de privacidad accesible para tus usuarios finales que cubra el procesamiento de datos basado en WhatsApp
  • No configurar agentes de ConvoAI para recopilar datos de categoría especial a menos que tengas una base legal explícita y hayas notificado a Serverlys
  • Manejar las solicitudes de los interesados de tus usuarios finales con prontitud y, cuando necesites la asistencia de Serverlys, realizar solicitudes a través de hello@serverlys.com
  • Mantener tus propios registros de actividades de procesamiento según lo requerido por el Artículo 30 del RGPD para tu rol como Responsable

7. Subprocesadores Autorizados

Reconoces y consientes que Serverlys contrate a los siguientes Subprocesadores para proporcionar el Servicio. Cada Subprocesador está sujeto a obligaciones de protección de datos no menos protectoras que las de este APD.

Subprocesador Propósito Notificaciones Datos Procesados
Anthropic, PBC Inferencia del modelo de IA — generación de respuestas a mensajes de WhatsApp Estados Unidos Contenido del mensaje, contexto de la conversación. No se envía información personal identificable del remitente más allá del texto del mensaje.
Meta Platforms, Inc. API en la Nube de WhatsApp — entrega y recepción de mensajes Estados Unidos (infraestructura global) Contenido del mensaje, números de teléfono, metadatos. Regido por la propia política de privacidad y términos de Meta.
Stripe, Inc. Procesamiento de pagos — facturación de suscripciones Estados Unidos Solo datos de facturación del cliente. No se comparten Datos Personales de usuarios finales con Stripe.
Proveedor de Infraestructura en la Nube Infraestructura de alojamiento, base de datos y almacenamiento UE / EE.UU. (configurable) Todos los datos del Servicio incluyendo datos de conversación, registros de CRM y contenido de la base de conocimiento.

Serverlys te notificará al menos 14 días antes de contratar un nuevo Subprocesador o reemplazar uno existente publicando una actualización en esta página y enviando una notificación por correo electrónico. Si objetas un nuevo Subprocesador por motivos razonables de protección de datos dentro de los 14 días de la notificación, Serverlys usará esfuerzos comercialmente razonables para proporcionar una alternativa. Si no hay alternativa disponible, cualquiera de las partes puede terminar los Servicios aplicables con 30 días de aviso sin penalización.

8. Medidas de Seguridad Técnicas y Organizativas

Serverlys implementa y mantiene las siguientes medidas de seguridad para la protección de los Datos Personales procesados bajo este APD. Estas medidas se revisan y actualizan periódicamente.

8.1 Cifrado

  • Todos los datos en tránsito están cifrados con TLS 1.2 o superior (HTTPS aplicado en todos los puntos finales)
  • Los campos sensibles (tokens de acceso de la API de Meta, secretos de webhook, claves de API) están cifrados en reposo con AES-256 o equivalente
  • Las contraseñas se hashean con bcrypt con un factor de costo apropiado; las contraseñas en texto plano nunca se almacenan
  • Las copias de seguridad de la base de datos están cifradas en reposo

8.2 Control de Acceso

  • Los controles de acceso basados en roles (RBAC) limitan el acceso a los Datos Personales al personal que los necesita para realizar sus funciones (principio de mínimo privilegio)
  • El acceso administrativo a los sistemas de producción requiere autenticación multifactor (MFA)
  • Los datos del cliente están aislados lógicamente por inquilino; no es posible el acceso a datos entre inquilinos por diseño
  • Los registros de acceso se mantienen y revisan para detectar actividad anómala

8.3 Seguridad de la Aplicación

  • Se aplican los encabezados de Política de Seguridad de Contenido (CSP) de Django, la protección CSRF y los encabezados de seguridad HTTP
  • Se usan consultas parametrizadas y abstracciones ORM para prevenir la inyección SQL
  • Actualizaciones regulares de dependencias y escaneo automático de vulnerabilidades
  • Validación de entrada y codificación de salida para prevenir ataques XSS e inyección

8.4 Medidas Organizativas

  • El personal con acceso a Datos Personales está sujeto a obligaciones de confidencialidad
  • Capacitación en concienciación de seguridad para todo el personal con acceso a datos de producción
  • Procedimientos documentados de respuesta a incidentes
  • Revisiones de seguridad periódicas de la infraestructura y el código de la aplicación

8.5 Disponibilidad y Resiliencia

  • Copias de seguridad automáticas periódicas con procedimientos de restauración probados
  • Monitoreo y alertas para la disponibilidad del servicio y la degradación del rendimiento

Notificaciones

En caso de un Incidente de Seguridad que afecte los Datos Personales procesados bajo este APD, Serverlys:

  • Te notificará sin demora indebida y, cuando sea factible, dentro de las 72 horas de tener conocimiento del Incidente de Seguridad
  • Proporcionará, en la medida conocida en el momento de la notificación: la naturaleza del incidente, las categorías y el número aproximado de Interesados afectados, las categorías y el número aproximado de registros de Datos Personales afectados, las consecuencias probables del incidente y las medidas tomadas o propuestas para abordar el incidente
  • Cooperará con usted y proporcionará información adicional a medida que esté disponible para ayudarle a cumplir con sus propias obligaciones de notificación a las autoridades supervisoras y a los Interesados bajo los Artículos 33 y 34 del RGPD

La notificación de un Incidente de Seguridad no constituye un reconocimiento de culpa o responsabilidad por parte de Serverlys.

Para reportar un incidente de seguridad o brecha sospechada, contáctanos inmediatamente en hello@serverlys.com with the subject line "Security Incident."

10. Asistencia con los Derechos del Interesado

Serverlys te proporcionará asistencia razonable para cumplir con tus obligaciones de responder a las solicitudes de los Interesados según el Capítulo III del RGPD, incluyendo los derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición.

Para enviar una solicitud de asistencia sobre derechos del interesado, envía un correo electrónico a hello@serverlys.com con:

  • La naturaleza de la solicitud (p. ej., acceso, eliminación, exportación)
  • El número de teléfono de WhatsApp del Interesado u otro identificador
  • El correo electrónico de tu cuenta de ConvoAI

Serverlys responderá dentro de 5 días hábiles. Tú sigues siendo responsable de comunicar el resultado al Interesado dentro del plazo legal (normalmente 30 días según el RGPD).

También puedes ejercer funciones de gestión de datos directamente en el panel de control de ConvoAI: los contactos se pueden eliminar del CRM, las conversaciones se pueden purgar y los documentos de la base de conocimiento se pueden eliminar en cualquier momento.

11. Transferencias Internacionales de Datos

Algunos Subprocesadores, incluyendo Anthropic y Stripe, están ubicados en los Estados Unidos. Cuando los Datos Personales de residentes del EEE, Reino Unido o Suiza se transfieren a estos Subprocesadores, Serverlys se basa en una o más de las siguientes salvaguardas:

  • Cláusulas Contractuales Estándar (CCE): Las cláusulas contractuales estándar de la Comisión Europea para transferencias de responsable a encargado (Módulo 2) o de encargado a subencargado (Módulo 3), según corresponda, se incorporan en nuestros acuerdos con Subprocesadores
  • Acuerdo de Transferencia Internacional de Datos del Reino Unido (IDTA): Para transferencias desde el Reino Unido, se usa el IDTA o el Adendum del Reino Unido a las CCE cuando sea requerido
  • Decisiones de adecuación: Cuando la Comisión Europea o las autoridades del Reino Unido han emitido una decisión de adecuación para el país de destino, las transferencias pueden basarse en esa decisión

Instruyes a Serverlys a realizar dichas transferencias según sea necesario para proporcionar el Servicio. Copias de las salvaguardas de transferencia aplicables están disponibles bajo solicitud en hello@serverlys.com.

12. Derechos de Auditoría

Serverlys pondrá a tu disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este APD. Puedes solicitar una auditoría o inspección de las actividades de procesamiento de datos de Serverlys bajo este APD, sujeto a las siguientes condiciones:

  • Las solicitudes de auditoría deben hacerse por escrito a hello@serverlys.com con al menos 30 días de aviso
  • Las auditorías se limitan a una vez por año calendario a menos que haya ocurrido un Incidente de Seguridad
  • Las auditorías deben realizarse durante el horario comercial normal y no deben interrumpir de manera irrazonable las operaciones de Serverlys
  • Puedes nombrar a un auditor independiente de renombre, sujeto a la aprobación razonable de Serverlys; el auditor debe firmar un acuerdo de confidencialidad antes de que comience la auditoría
  • Los costos de cualquier auditoría (incluyendo el tiempo razonable de Serverlys) serán asumidos por ti
  • Serverlys puede cumplir con las obligaciones de auditoría proporcionando certificaciones relevantes, informes de auditoría de terceros o resúmenes de pruebas de penetración en lugar de acceso directo

13. Eliminación y Devolución de Datos

Al terminar o vencer tu suscripción a ConvoAI por cualquier razón, Serverlys:

  • Te proporcionará un período de gracia de 30 días durante el cual podrás exportar tus datos (historial de conversaciones, contactos de CRM, documentos de base de conocimiento) desde el panel de control
  • Después del período de gracia de 30 días, eliminará todos los Datos Personales procesados en tu nombre, incluyendo de las copias de seguridad, dentro de un plazo adicional de 30 días, a menos que la retención sea requerida por la ley aplicable
  • Proporcionará confirmación escrita de la eliminación bajo solicitud

Los registros de facturación (tus propios datos de cuenta, no los datos de usuarios finales) se retienen por 7 años según lo requerido por las regulaciones financieras y fiscales aplicables.

También puedes solicitar la eliminación inmediata de datos de contacto específicos o registros de conversación en cualquier momento durante tu suscripción a través del panel de control o contactando a hello@serverlys.com.

14. Vigencia y Terminación

Este APD entra en vigor en la fecha en que aceptas los Términos de Servicio (al registrarte en ConvoAI) y permanece en vigor durante la duración de los Términos de Servicio. Termina automáticamente al terminar los Términos de Servicio, sujeto a la supervivencia de las obligaciones relacionadas con la eliminación de datos (Sección 13), confidencialidad y responsabilidad.

15. Ley Aplicable

Este APD se rige por la misma ley que los Términos de Servicio. Donde aplique el RGPD o el RGPD del Reino Unido, cualquier disposición de este APD requerida por dichas regulaciones se interpretará de conformidad con ellas. Las Cláusulas Contractuales Estándar se rigen por la ley especificada en ellas y prevalecen sobre este APD en la medida de cualquier conflicto en el contexto de las transferencias internacionales.

16. Contacto y Ejecución

Este APD se ejecuta automáticamente al aceptar los Términos de Servicio. No se requiere firma por separado.

Los clientes empresariales que necesiten un APD personalizado y firmado por ambas partes para su proceso de compras pueden solicitarlo en:

  • Correo electrónico hello@serverlys.com — subject line: "DPA Request"
  • Tiempo de respuesta: Dentro de 5 días hábiles
  • Negocio ConvoAI by Serverlys

Para consultas generales sobre privacidad o protección de datos, consulta nuestra Política de Privacidad.