1. Introducción y Propósito
Este Data Processing Agreement (DPA) o Acuerdo de Tratamiento de Datos complementa los Términos y Condiciones y la Política de Privacidad de CRMHUB. Establece la relación entre CRMHUB (encargado del tratamiento) y el Cliente (responsable del tratamiento) conforme al Reglamento General de Protección de Datos (RGPD) de la UE (Artículo 28) y la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador.
La fecha de efectividad de este DPA coincide con el momento en que el Cliente acepta los Términos y Condiciones y comienza a utilizar nuestros servicios para procesar Datos Personales.
2. Definiciones
- Datos Personales: Cualquier información relacionada con una persona física identificada o identificable ("Interesado").
- Tratamiento / Procesamiento: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales.
- Responsable del Tratamiento (Controller): La entidad (el Cliente) que determina los fines y medios del tratamiento de los Datos Personales.
- Encargado del Tratamiento (Processor): La entidad (CRMHUB) que trata Datos Personales por cuenta del Responsable.
- Subencargado (Sub-processor): Cualquier tercero contratado por el Encargado para asistir en el tratamiento de Datos Personales.
- Datos del Cliente: Datos Personales cargados, enviados o generados dentro de CRMHUB por el Cliente o sus usuarios.
- Interesado: La persona física a quien pertenecen los Datos Personales.
- Violación de Seguridad: Una brecha de seguridad que ocasione la destrucción, pérdida, alteración, divulgación o acceso no autorizado a Datos Personales transmitidos, conservados o tratados de otra forma.
- Cláusulas Contractuales Estándar (SCCs): Cláusulas tipo de protección de datos adoptadas por la Comisión Europea.
3. Alcance y Aplicabilidad
Este DPA se aplica cuando el Cliente utiliza CRMHUB para tratar Datos Personales de residentes de la UE/EEE o de Ecuador. En caso de conflicto entre este DPA y los Términos y Condiciones, prevalecerán las disposiciones de este DPA en lo referente a protección de datos.
En esta relación, CRMHUB actúa exclusivamente como Encargado del Tratamiento, y el Cliente actúa como Responsable del Tratamiento de los Datos del Cliente.
4. Obligaciones de CRMHUB (Encargado)
- Procesamiento Conforme a Instrucciones: CRMHUB procesará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente (como se describe en los Términos y Condiciones y mediante el uso de la plataforma), incluyendo la naturaleza, finalidad, tipos de datos y duración del tratamiento.
- Confidencialidad: CRMHUB garantiza que el personal autorizado para tratar los Datos Personales se ha comprometido a respetar la confidencialidad, ha recibido capacitación adecuada y tiene acceso restringido según el principio de "necesidad de conocer".
- Medidas de Seguridad Técnicas y Organizativas: CRMHUB implementa medidas de seguridad robustas que incluyen cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), control de acceso basado en roles, autenticación multifactor, monitoreo 24/7, pruebas de penetración y un plan de recuperación ante desastres. Más detalles en nuestro Trust Center.
- Subencargados: CRMHUB mantendrá una lista actualizada de Subencargados, notificará cambios al Cliente con 30 días de anticipación y le permitirá objetar cambios significativos. CRMHUB impondrá a los Subencargados obligaciones de protección de datos equivalentes a las establecidas en este DPA.
- Asistencia al Cliente: CRMHUB asistirá al Cliente en el ejercicio de los derechos de los Interesados, el cumplimiento de las obligaciones de transparencia, la realización de Evaluaciones de Impacto en la Privacidad (DPIA) y la notificación de violaciones de seguridad.
- Notificación de Violaciones: CRMHUB notificará al Cliente sin demora indebida (en un máximo de 48 horas) tras tener conocimiento de una Violación de Seguridad, proporcionando información sobre la naturaleza, datos afectados, interesados y medidas tomadas.
- Auditoría y Certificación: CRMHUB permitirá y contribuirá a las auditorías (incluidas inspecciones) realizadas por el Cliente o un auditor independiente, y proporcionará acceso a las certificaciones de seguridad pertinentes (ej. SOC 2, ISO 27001).
- Devolución o Eliminación de Datos: Al término del contrato, CRMHUB devolverá o eliminará de forma segura los Datos Personales, a elección del Cliente, salvo que la ley exija su conservación.
5. Obligaciones del Cliente (Responsable)
- Legalidad del Tratamiento: El Cliente es el único responsable de determinar la base legal del tratamiento, obtener el consentimiento de los Interesados (cuando sea requerido), informarles sobre el tratamiento y cumplir con las normativas de marketing.
- Instrucciones: El Cliente debe proporcionar a CRMHUB instrucciones claras y documentadas sobre el tratamiento, y garantizar que dichas instrucciones cumplen con la ley aplicable.
- Datos Correctos: El Cliente es responsable de la exactitud de los Datos Personales, la legalidad de sus fuentes y de contar con los derechos y consentimientos necesarios.
- Notificación a Interesados: El Cliente debe notificar a los Interesados sobre cómo se tratan sus datos, los derechos disponibles y el punto de contacto para ejercerlos.
- Respuesta a Solicitudes de Derechos: El Cliente es responsable de recibir y responder a las solicitudes de los Interesados dentro de los plazos legales, validando su identidad y coordinando con CRMHUB para la obtención de los datos.
- Notificación a Autoridades: El Cliente notificará a las autoridades de protección de datos sobre Violaciones de Seguridad y cambios significativos en el tratamiento, cuando así lo exija la ley.
6. Transferencias Internacionales de Datos
- Ubicación de Procesamiento: Los datos se procesan principalmente en Estados Unidos (a través de proveedores como Google Cloud Platform o Amazon Web Services) y otros países según la necesidad operativa.
- Mecanismos de Protección: CRMHUB implementa Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea, cifrado de extremo a extremo y medidas técnicas adicionales para mitigar el acceso gubernamental, conforme a las evaluaciones de riesgo (Schrems II).
- Cláusulas Contractuales Estándar (SCCs): Este DPA incorpora por referencia las SCCs, permitiendo las transferencias legales de Datos Personales desde la UE hacia terceros países.
- Derecho del Cliente: El Cliente puede solicitar información sobre las transferencias, objetar transferencias a países específicos y terminar el contrato si las transferencias resultan inaceptables legalmente.
7. Subencargados (Sub-processors)
- Lista de Subencargados: CRMHUB mantiene una lista actualizada de Subencargados (con nombre, servicio, ubicación y categoría) en el Trust Center.
- Cambios en Subencargados: CRMHUB notificará cualquier cambio con 30 días de anticipación, permitiendo al Cliente objetar cambios significativos.
- Objeción a Subencargados: Si el Cliente objeta, CRMHUB intentará resolver la objeción. Si no es posible, el Cliente podrá terminar el contrato sin penalización y CRMHUB devolverá los Datos Personales.
- Obligaciones de Subencargados: CRMHUB asegura que los Subencargados implementan medidas de seguridad equivalentes y cumplen con las obligaciones de confidencialidad y protección de datos exigidas al Encargado.
8. Derechos de Interesados
- Derechos Disponibles: Los Interesados tienen derecho de acceso, rectificación, eliminación, limitación del tratamiento, portabilidad, oposición y protección contra decisiones automatizadas.
- Procedimiento de Solicitud: El Interesado contactará al Cliente (Responsable). El Cliente validará la identidad y coordinará con CRMHUB para obtener los datos necesarios. CRMHUB proporcionará los datos dentro de los plazos especificados para que el Cliente pueda responder.
- Plazos de Respuesta: 30 días para RGPD (extendible a 90 días en casos complejos), 10 días hábiles para LOPDP, y 30 días (acceso) o 60 días (enmienda) para HIPAA.
- Contacto de CRMHUB: privacy@crmhubplatform.com para asistencia en solicitudes de derechos.
9. Violaciones de Seguridad
- Notificación Inmediata: CRMHUB notificará al Cliente sin demora indebida (máximo 48 horas) sobre cualquier acceso, modificación o destrucción no autorizada de Datos Personales, informando la naturaleza del incidente, los datos afectados y las medidas tomadas.
- Investigación: CRMHUB investigará la causa raíz, documentará la línea de tiempo, identificará los datos afectados e implementará medidas correctivas inmediatas.
- Asistencia al Cliente: CRMHUB asistirá al Cliente en la evaluación de riesgos para los Interesados y en la notificación a las autoridades y a los Interesados, si fuera requerido por la ley.
- Contacto de Seguridad: security@crmhubplatform.com.
10. Auditoría y Certificación
- Auditorías por Cliente: El Cliente puede solicitar auditorías de cumplimiento, para las cuales CRMHUB cooperará con notificación previa razonable. El Cliente cubrirá los costos de auditorías adicionales a las estándar.
- Auditorías por Terceros: El Cliente puede designar a un auditor independiente (obligado a confidencialidad) con el cual CRMHUB cooperará.
- Certificaciones de Seguridad: CRMHUB mantiene y proporcionará copias de certificaciones como SOC 2 Type II, ISO 27001 e ISO 27018 (anuales).
- Acceso a Registros: El Cliente tiene acceso a los registros de tratamiento (accesos, cambios, auditoría) que se retienen según los requisitos legales.
11. Devolución y Eliminación de Datos
- Opciones al Término: Al finalizar el contrato, el Cliente puede elegir entre la devolución de sus Datos Personales en formato estructurado o su eliminación segura.
- Devolución de Datos: Se proporcionarán en formatos como CSV, JSON o XML dentro de los 30 días posteriores a la solicitud, acompañados de un certificado de devolución.
- Eliminación de Datos: Se realizará de forma segura conforme a los estándares de la industria dentro de los 30 días posteriores a la solicitud, proporcionando un certificado de eliminación (salvo que la ley exija su conservación).
- Backups: Las copias de seguridad se eliminarán conforme a la política de retención (30 días) y los datos no se recuperarán de los backups después de su eliminación.
12. Duración y Terminación
- Duración: Este DPA continuará vigente mientras exista una relación contractual entre el Cliente y CRMHUB.
- Terminación: El DPA termina cuando finaliza el contrato principal, el Cliente solicita la terminación, o CRMHUB suspende definitivamente los servicios.
- Efectos: Las obligaciones de confidencialidad continuarán indefinidamente. El Cliente elegirá la devolución o eliminación de sus datos al momento de la terminación.
13. Enmiendas y Actualizaciones
- Cambios en Ley u Operaciones: Si cambios en el RGPD, LOPDP u otras leyes aplicables, o en las operaciones de CRMHUB, requieren modificaciones al DPA, CRMHUB notificará al Cliente.
- Consentimiento y Continuidad: El Cliente deberá consentir los cambios significativos. Si el Cliente no consiente, podrá terminar el contrato sin penalización.
14. Contactos
Para consultas relacionadas con este DPA y la protección de datos, utilice los siguientes contactos:
- Privacidad General: privacy@crmhubplatform.com
- Seguridad e Incidentes: security@crmhubplatform.com
- RGPD y DPO: dpo@crmhubplatform.com
- LOPDP: privacy@crmhubplatform.com
- Cumplimiento General: compliance@crmhubplatform.com
Apéndice: Cláusulas Contractuales Estándar (SCCs)
Las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea se incorporan por referencia a este DPA para legitimar las transferencias de Datos Personales hacia países que no cuentan con una decisión de adecuación, asegurando un nivel de protección equivalente al exigido por el RGPD.
Para obtener una copia firmada del DPA y las SCCs aplicables a su cuenta, por favor contacte a compliance@crmhubplatform.com.