Acuerdo de Procesamiento de Datos

1. Definiciones

Los siguientes términos tienen los significados que se indican a continuación:

• Datos Personales: Cualquier información relacionada con una persona física identificada o identificable (clientes del salón)
• Procesamiento: Cualquier operación realizada sobre datos personales (recopilación, almacenamiento, transmisión, eliminación)
• Controlador: El salón - determina los propósitos y medios del procesamiento de datos del cliente
• Procesador: Primer (WISE PEOPLE SRL) - procesa datos en nombre del salón
• Sujeto de Datos: Clientes del salón cuyos datos se procesan
• Subprocesador: Terceros que Primer contrata para el procesamiento (Twilio, Meta, etc.)
• GDPR: Reglamento General de Protección de Datos (UE) 2016/679
• CCC: Cláusulas Contractuales Estándar aprobadas por la Comisión Europea
• Violación de Datos Personales: Incidente de seguridad que resulta en acceso no autorizado, destrucción, pérdida o divulgación de datos personales

2. Objeto y Duración

Objeto

Este Acuerdo de Procesamiento de Datos rige el procesamiento de datos personales por parte de Primer en nombre del Salón con el fin de proporcionar servicios de mensajería de WhatsApp Business a través de la plataforma Primer.

Duración

Este Acuerdo de Procesamiento de Datos permanece en vigor mientras el Salón esté suscrito a los servicios de mensajería de WhatsApp de Primer. Las obligaciones de retención de datos sobreviven a la terminación.

Naturaleza del Procesamiento

• Recopilación de números de teléfono de clientes y registros de consentimiento
• Transmisión de mensajes a través de la API de WhatsApp Business
• Almacenamiento de registros de mensajes y estado de entrega
• Procesamiento de solicitudes de consentimiento/cancelación

3. Tipos de Datos Personales Procesados

4. Categorías de Sujetos de Datos

• Clientes del Salón que han proporcionado su número de teléfono
• Clientes que han consentido recibir mensajes de WhatsApp
• Personas que contactan el número de WhatsApp Business del Salón

5. Obligaciones del Procesador (Compromisos de Primer)

Primer:

5.1 Procesamiento Lícito

• Procesará datos personales solo según las instrucciones documentadas del Salón
• Procesará datos solo para los propósitos especificados en este Acuerdo de Procesamiento de Datos
• Informará al Salón si alguna instrucción viola el GDPR

5.2 Confidencialidad

• Se asegurará de que todo el personal que procesa datos tenga obligaciones de confidencialidad
• Limitará el acceso a datos personales a quienes lo necesiten para el servicio

5.3 Medidas de Seguridad

• Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256)
• Controles de acceso y autenticación
• Pruebas de seguridad y auditorías regulares
• Centros de datos seguros (Microsoft Azure, región UE)
• Registro y monitoreo del acceso a datos
• Capacitación en seguridad del personal

5.4 Gestión de Subprocesadores

• Obtendrá el consentimiento del Salón antes de contratar nuevos subprocesadores
• Se asegurará de que los subprocesadores tengan obligaciones de protección de datos equivalentes
• Permanecerá responsable del cumplimiento de los subprocesadores
• Mantendrá y proporcionará una lista de subprocesadores actuales

5.5 Asistencia con Derechos de Sujetos de Datos

• Ayudará al Salón a responder a solicitudes de sujetos de datos (acceso, rectificación, eliminación, portabilidad)
• Proporcionará funciones de exportación de datos
• Procesará solicitudes de eliminación dentro de 30 días
• Informará al Salón de solicitudes directas de sujetos de datos

5.6 Notificación de Violación de Datos

• Informará al Salón dentro de las 48 horas posteriores al conocimiento de una violación de datos personales
• Proporcionará detalles del incidente, incluida la naturaleza, categorías afectadas, consecuencias probables y medidas tomadas
• Ayudará al Salón en sus obligaciones de notificación a las autoridades de supervisión

5.7 Evaluaciones de Impacto de Protección de Datos

• Ayudará al Salón en evaluaciones de impacto de protección de datos cuando sea necesario
• Proporcionará información necesaria sobre actividades de procesamiento

5.8 Derechos de Auditoría

• Permitirá al Salón auditar el cumplimiento del Acuerdo de Procesamiento de Datos
• Proporcionará documentación relevante bajo solicitud
• Cooperará con inspecciones de autoridades de supervisión

5.9 Eliminación de Datos

• Eliminará o devolverá todos los datos personales dentro de los 30 días posteriores a la terminación
• Proporcionará confirmación escrita de la eliminación
• Excepción: Datos legalmente requeridos para retención (registros de consentimiento, registros financieros)

6. Obligaciones del Controlador (Responsabilidades del Salón)

El Salón:

6.1 Base Legal

• Se asegurará de tener una base legal válida para el procesamiento (consentimiento para marketing, interés legítimo/contrato para transaccional)
• Obtendrá consentimiento apropiado antes de enviar mensajes de WhatsApp
• Mantendrá registros de consentimiento

6.2 Precisión de los Datos

• Se asegurará de que los datos de clientes proporcionados a Primer sean precisos y estén actualizados
• Actualizará o corregirá prontamente los datos inexactos

6.3 Información a los Sujetos de Datos

• Informará a los clientes sobre el procesamiento a través de avisos de privacidad
• Proporcionará información sobre sus derechos

6.4 Instrucciones

• Dará instrucciones de procesamiento lícitas
• No ordenará a Primer procesar datos ilegalmente

6.5 Cumplimiento

• Cumplirá con el GDPR y las leyes locales aplicables de protección de datos
• Responderá a solicitudes de sujetos de datos dentro de los plazos legales
• Reportará incidentes a las autoridades de supervisión cuando sea necesario

7. Subprocesadores

Al firmar este Acuerdo de Procesamiento de Datos, el Salón autoriza a Primer a usar los siguientes subprocesadores:

7.1 Subprocesadores Autorizados

7.2 Nuevos Subprocesadores

• Primer informará al Salón al menos 30 días antes de contratar nuevos subprocesadores
• El Salón puede objetar dentro de 14 días por razones razonables
• Si la objeción no puede resolverse, el Salón puede terminar los servicios de WhatsApp

7.3 Cumplimiento de Subprocesadores

• Todos los subprocesadores tienen acuerdos escritos con protección equivalente
• Primer permanece totalmente responsable del cumplimiento de los subprocesadores

8. Transferencias Internacionales de Datos

8.1 Ubicación Principal de Datos

Los datos personales se almacenan principalmente en centros de datos de la Unión Europea (regiones UE de Microsoft Azure).

8.2 Transferencias Fuera de UE/EEE

• Cláusulas Contractuales Estándar (CCC) aprobadas por la Comisión Europea
• Certificación del Marco de Privacidad de Datos UE-EE.UU. (cuando aplique)
• Medidas técnicas adicionales (cifrado, pseudonimización)

8.3 Evaluaciones de Transferencia

Primer ha realizado evaluaciones de transferencia para todas las transferencias internacionales y ha determinado que existen salvaguardias apropiadas.

9. Medidas de Seguridad

9.1 Medidas Técnicas

• Cifrado: TLS 1.2+ en tránsito, AES-256 en reposo
• Controles de acceso: Acceso basado en roles, autenticación multifactor
• Seguridad de red: Cortafuegos, detección de intrusiones, protección DDoS
• Aislamiento de datos: Separación lógica de datos del salón
• Respaldo: Respaldos cifrados regulares con procedimientos de recuperación probados

9.2 Medidas Organizativas

• Políticas y procedimientos de seguridad
• Verificación de antecedentes del personal y acuerdos de confidencialidad
• Capacitación regular en seguridad
• Procedimientos de respuesta a incidentes
• Evaluaciones de seguridad de proveedores

9.3 Seguridad Específica de WhatsApp

• Cifrado de extremo a extremo proporcionado por WhatsApp
• Autenticación API segura con Twilio
• Contenido de mensajes no almacenado más allá del período de retención
• Registro de auditoría de toda la actividad de mensajes

10. Derechos de Sujetos de Datos

10.1 Derechos Admitidos

• Derecho de Acceso: Exportación de datos del cliente a través del panel de control
• Derecho de Rectificación: Actualización de información del cliente
• Derecho de Supresión: Eliminación de datos del cliente e historial de mensajes
• Derecho de Restricción: Pausar mensajería para clientes específicos
• Derecho de Portabilidad: Exportación de datos en formato legible por máquina
• Derecho de Oposición: Procesamiento de solicitudes de cancelación

10.2 Plazo de Respuesta

• Primer responderá a solicitudes del Salón dentro de 5 días hábiles
• Esto permite al Salón cumplir con el plazo de 30 días del GDPR

10.3 Solicitudes Directas

• Redirigir sujetos de datos al Salón relevante
• Informar al Salón sobre la solicitud
• No responder directamente sin autorización del Salón

11. Procedimientos de Violación de Datos

11.1 Detección

• Intentos de acceso no autorizado
• Patrones inusuales de acceso a datos
• Intrusiones del sistema
• Intentos de exfiltración de datos

11.2 Notificación

• Notificación inicial al Salón dentro de las 48 horas
• Informe detallado dentro de las 72 horas, incluyendo descripción, categorías afectadas, número aproximado de registros, consecuencias probables y medidas correctivas

11.3 Cooperación

• Cooperar con la investigación del incidente del Salón
• Ayudar en notificaciones a autoridades de supervisión y sujetos de datos
• Implementar salvaguardias adicionales según sea necesario
• Proporcionar informe posterior al incidente

12. Auditoría y Cumplimiento

12.1 Documentación

• Categorías de procesamiento
• Transferencias de datos
• Medidas de seguridad
• Acuerdos de subprocesadores

12.2 Derechos de Auditoría

• Solicitar documentación de cumplimiento anualmente
• Realizar auditorías remotas con 30 días de aviso
• Realizar auditorías en sitio con 60 días de aviso (a expensas del Salón)
• Usar auditores terceros calificados (vinculados por confidencialidad)

12.3 Certificaciones

Primer proporcionará copias de certificaciones relevantes e informes de auditoría bajo solicitud.

13. Responsabilidad e Indemnización

13.1 Responsabilidad de Primer

• Viola las obligaciones de procesador del GDPR
• Viola este Acuerdo de Procesamiento de Datos
• Actúa fuera o contra las instrucciones lícitas del Salón

13.2 Responsabilidad del Salón

• Instrucciones de procesamiento ilegales
• Falta de obtención de consentimiento apropiado
• Violaciones de las obligaciones de controlador del GDPR
• Proporcionar datos inexactos

13.3 Limitación

La responsabilidad total bajo este Acuerdo de Procesamiento de Datos está limitada a las tarifas pagadas por el Salón por servicios de WhatsApp en los 12 meses anteriores a la reclamación, excepto por incumplimiento intencional, negligencia grave o reclamaciones presentadas por sujetos de datos o autoridades de supervisión.

14. Plazo y Terminación

14.1 Plazo

Este Acuerdo de Procesamiento de Datos entra en vigor cuando el Salón activa los servicios de WhatsApp y permanece en vigor hasta que los servicios se terminen.

14.2 Efectos de la Terminación

• Primer cesará el procesamiento dentro de las 24 horas
• Eliminación de datos dentro de los 30 días
• Registros de consentimiento retenidos durante 5 años (requisito legal)
• Confirmación escrita de eliminación

14.3 Supervivencia

• Obligaciones de confidencialidad
• Requisitos de retención de datos
• Disposiciones de responsabilidad
• Derechos de auditoría (2 años después de la terminación)

15. Disposiciones Generales

15.1 Ley Aplicable

Este Acuerdo de Procesamiento de Datos se rige por la ley rumana y el GDPR. Las disputas se resolverán en los tribunales de Cluj-Napoca, Rumanía.

15.2 Modificaciones

• Actualizaciones requeridas por ley o directrices regulatorias
• Adición de subprocesadores (según la sección 7.2)
• Actualización de medidas de seguridad (solo mejoras)

15.3 Conflicto

En caso de conflicto entre este Acuerdo de Procesamiento de Datos y los Términos de Servicio principales, este Acuerdo de Procesamiento de Datos prevalece en asuntos de protección de datos.

15.4 Divisibilidad

Si alguna disposición se encuentra inválida, las disposiciones restantes permanecerán en vigor.

16. Información de Contacto

Para preguntas sobre este acuerdo: