Volver al inicio

Adenda de Procesamiento de Datos

Effective Date: 21 de marzo de 2026

Preámbulo

Este Anexo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio de la Plataforma Riovis (el "Acuerdo") entre TopHare Software Studio LLC (la "Empresa" o el "Encargado del Tratamiento") y la entidad suscriptora (el "Suscriptor" o el "Responsable del Tratamiento"). Este DPA establece los términos bajo los cuales la Empresa trata Datos Personales en nombre del Suscriptor en relación con la Plataforma Riovis (la "Plataforma").

En caso de conflicto o inconsistencia entre los términos de este DPA y el Acuerdo, este DPA prevalecerá con respecto al Tratamiento de Datos Personales.

1. Definiciones

1.1 "Legislación de Privacidad Aplicable"

Significa cualquier ley, regulación u orientación vinculante relativa al Tratamiento de Datos Personales aplicable a las partes, incluyendo, entre otras: el Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD"); el Reglamento General de Protección de Datos del Reino Unido ("UK GDPR") y la Ley de Protección de Datos del Reino Unido de 2018; la Ley de Privacidad del Consumidor de California de 2018 modificada por la Ley de Derechos de Privacidad de California de 2020 ("CCPA/CPRA"); la Ley de Protección de Información Personal y Documentos Electrónicos ("PIPEDA"); la Ley de Privacidad y Seguridad de Datos de Texas ("Texas TDPSA"); y cualquier otra ley de protección de datos o privacidad aplicable al Tratamiento de Datos Personales bajo este DPA.

1.2 "Responsable del Tratamiento"

Significa el Suscriptor, como la entidad que determina los fines y los medios del Tratamiento de Datos Personales.

1.3 "Interesado"

Significa una persona física identificada o identificable a la que se refieren los Datos Personales. Los Interesados pueden incluir, sin limitación, los clientes del Suscriptor, destinatarios de correo electrónico, audiencias de marketing, empleados y otras personas cuyos datos se tratan a través de la Plataforma.

1.4 "Datos Personales"

Significa cualquier información relativa a una persona física identificada o identificable. Esta definición abarca la "Información Personal" según se define en la CCPA/CPRA y la "Información Personal" según se define en PIPEDA. Los Datos Personales incluyen, sin limitación: nombres, direcciones de correo electrónico, direcciones físicas, identificadores de dispositivos, direcciones IP, cookies y tecnologías de seguimiento similares, historial de compras y datos de comportamiento.

1.5 "Tratamiento"

Significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o no, incluyendo, entre otras: recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión y destrucción.

1.6 "Encargado del Tratamiento"

Significa la Empresa, que trata Datos Personales en nombre del Responsable del Tratamiento en relación con la prestación de la Plataforma.

1.7 "Transferencia Restringida"

Significa una transferencia de Datos Personales desde el Espacio Económico Europeo ("EEE"), el Reino Unido o Suiza a un país que no ha sido considerado como proveedor de un nivel adecuado de protección de datos por la autoridad reguladora aplicable, incluyendo transferencias a los Estados Unidos donde no existe un mecanismo de transferencia lícito vigente.

1.8 "Incidente de Seguridad"

Significa una violación de seguridad confirmada que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales transmitidos, almacenados o tratados de cualquier otro modo por la Empresa o sus Subencargados.

1.9 "Datos Personales Sensibles"

Significa Datos Personales que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para la identificación unívoca de una persona física, datos relativos a la salud, datos relativos a la vida sexual u orientación sexual de una persona, números de Seguridad Social, datos de geolocalización precisa y credenciales de cuentas financieras. La Empresa NO recopila intencionadamente Datos Personales Sensibles. El Suscriptor no cargará Datos Personales Sensibles en la Plataforma sin el consentimiento previo por escrito de la Empresa.

1.10 "Subencargado"

Significa cualquier tercero encargado del tratamiento contratado por la Empresa para tratar Datos Personales en nombre del Suscriptor. La lista actual de Subencargados aprobados se establece en la Sección 7 y el Anexo B de este DPA.

1.11 "Cláusulas Contractuales Tipo"

Significa las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países adoptadas por la Comisión Europea en virtud de la Decisión de Ejecución (UE) 2021/914 ("CCT de la UE"), y el Anexo de Transferencia Internacional de Datos emitido por la Oficina del Comisionado de Información del Reino Unido ("UK IDTA"), según corresponda.

1.12 "Datos de Uso"

Significa datos que han sido anonimizados, agregados o desidentificados de tal manera que no pueden utilizarse razonablemente para identificar a una persona física. Los Datos de Uso NO son Datos Personales y no están sujetos a este DPA.

2. Funciones de las Partes y Alcance del Tratamiento

2.1 Funciones de las Partes

El Suscriptor actúa como el Responsable del Tratamiento y la Empresa actúa como el Encargado del Tratamiento con respecto al Tratamiento de Datos Personales bajo este DPA. La Empresa es un Responsable del Tratamiento independiente para los datos de registro de cuentas, datos de facturación y Datos de Uso. Stripe, Inc. actúa como responsable independiente y/o co-encargado del tratamiento para los datos de pago procesados a través de la infraestructura de pagos de la Plataforma.

2.2 Alcance

El alcance del Tratamiento se limita a la prestación de las funcionalidades de la Plataforma descritas en este DPA y el Acuerdo. Los detalles del Tratamiento se establecen en el Anexo A.

2.3 Prohibición de Venta de Datos Personales

La Empresa NO vende Datos Personales según se define en la CCPA/CPRA. La Empresa no participa en publicidad conductual entre contextos excepto cuando lo indica el Suscriptor (por ejemplo, cuando el Suscriptor utiliza funcionalidades de la Plataforma que interactúan con la API de Meta Ads para ejecutar campañas publicitarias).

2.4 Designación como Proveedor de Servicios bajo CCPA/CPRA

A los efectos de la CCPA/CPRA, la Empresa es un "Proveedor de Servicios." La Empresa trata Datos Personales únicamente para los fines comerciales específicos establecidos en este DPA y el Acuerdo. La Empresa certifica que entiende y cumplirá con las restricciones aplicables a los Proveedores de Servicios bajo la CCPA/CPRA, incluyendo la prohibición de vender o compartir Datos Personales, retener, usar o divulgar Datos Personales fuera de la relación comercial directa, y combinar Datos Personales recibidos del Suscriptor con Datos Personales recibidos de otras fuentes.

2.5 Designación como Encargado bajo Texas TDPSA

A los efectos de la Texas TDPSA, la Empresa actúa como Encargado del Tratamiento. La Empresa cumplirá con las instrucciones del Suscriptor respecto al Tratamiento de Datos Personales y asistirá al Suscriptor en el cumplimiento de sus obligaciones como Responsable del Tratamiento bajo la Texas TDPSA, incluyendo las obligaciones relacionadas con la seguridad del Tratamiento y la notificación de Incidentes de Seguridad.

2.6 Cumplimiento de PIPEDA

Cuando PIPEDA sea aplicable, la Empresa trata Datos Personales como agente del Suscriptor y mantiene un nivel de protección comparable para los Datos Personales según lo requerido por PIPEDA. El Suscriptor es responsable de obtener todos los consentimientos necesarios de los Interesados canadienses de conformidad con PIPEDA antes de proporcionar Datos Personales a la Plataforma.

3. Instrucciones de Tratamiento

3.1 Instrucciones Documentadas

La Empresa tratará Datos Personales únicamente según instrucciones documentadas del Suscriptor. Las instrucciones documentadas incluyen: los términos de este DPA, el Acuerdo, las configuraciones de la Plataforma establecidas por el Suscriptor, las instrucciones proporcionadas a través de los canales de soporte de la Plataforma, y cualquier instrucción escrita adicional acordada por las partes.

3.2 Notificación de Instrucciones Infractoras

La Empresa informará prontamente al Suscriptor si, en opinión de la Empresa, una instrucción del Suscriptor infringe la Legislación de Privacidad Aplicable. La Empresa podrá suspender el Tratamiento correspondiente hasta que el Suscriptor proporcione una aclaración o una instrucción revisada.

3.3 Prohibición de Tratamiento No Autorizado

La Empresa no retendrá, usará ni divulgará Datos Personales fuera de la relación comercial directa entre la Empresa y el Suscriptor. La Empresa no combinará Datos Personales recibidos del Suscriptor con Datos Personales recibidos de otras fuentes. La Empresa no utilizará Datos Personales para el entrenamiento de modelos de IA sin el consentimiento explícito previo por escrito del Suscriptor.

3.4 Entrenamiento de Modelos de IA - Prohibición Explícita

LA EMPRESA NO UTILIZARÁ CONTENIDO DEL SUSCRIPTOR, DATOS PERSONALES, INDICACIONES DE IA NI RESULTADOS GENERADOS POR IA PARA ENTRENAR, AJUSTAR O EVALUAR MODELOS DE INTELIGENCIA ARTIFICIAL O APRENDIZAJE AUTOMÁTICO SIN UN CONSENTIMIENTO EXPLÍCITO POR ESCRITO SEPARADO DEL SUSCRIPTOR.

La Empresa reconoce que utiliza proveedores de IA de terceros, incluyendo OpenAI, Anthropic y Google (Veo/GCP), cada uno de los cuales mantiene sus propias políticas de procesamiento de datos. La Empresa utiliza configuraciones de API y compromisos contractuales de estos proveedores que prohíben el uso de datos de clientes para el entrenamiento de modelos ("configuraciones de no-entrenamiento").

4. Obligaciones de la Empresa como Encargado del Tratamiento

4.1 Confidencialidad

La Empresa garantizará que todo el personal autorizado para tratar Datos Personales esté sujeto a obligaciones de confidencialidad apropiadas, ya sean contractuales o legales. El acceso a los Datos Personales se limitará al personal que necesite conocerlos.

4.2 Medidas Técnicas y Organizativas de Seguridad

La Empresa implementará y mantendrá las medidas técnicas y organizativas de seguridad apropiadas descritas en el Anexo C, teniendo en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del Tratamiento, y el riesgo de probabilidad y gravedad variables para los derechos y libertades de los Interesados.

4.3 Asistencia en Derechos de los Interesados

La Empresa asistirá al Suscriptor en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados. La Empresa remitirá cualquier solicitud de Interesados recibida directamente al Suscriptor dentro de cinco (5) días hábiles. La Empresa no responderá a las solicitudes de los Interesados en nombre del Suscriptor sin la autorización previa del Suscriptor. La Empresa proporcionará herramientas y capacidades técnicas razonables para permitir al Suscriptor atender las solicitudes de los Interesados a través de la Plataforma.

4.4 Asistencia en el Cumplimiento

La Empresa proporcionará asistencia razonable al Suscriptor con las evaluaciones de impacto de protección de datos ("EIPD"), consultas previas con las autoridades de control y otras obligaciones del Responsable del Tratamiento bajo la Legislación de Privacidad Aplicable, en la medida en que dicha asistencia sea necesaria y se refiera al Tratamiento de Datos Personales por parte de la Empresa.

4.5 Notificación de Procesos Legales

Si la Empresa recibe una citación, orden judicial u otro proceso legal que requiera la divulgación de los Datos Personales del Suscriptor, la Empresa: (a) notificará prontamente al Suscriptor en la medida permitida por la ley; (b) cooperará con el Suscriptor para solicitar una orden de protección u otro recurso apropiado; y (c) divulgará únicamente la cantidad mínima de Datos Personales requerida por el proceso legal.

4.6 Registros de Actividades de Tratamiento

La Empresa mantendrá registros de las actividades de Tratamiento realizadas en nombre del Suscriptor de conformidad con el Artículo 30(2) del RGPD. Dichos registros se pondrán a disposición del Suscriptor previa solicitud.

5. Notificación y Respuesta ante Incidentes de Seguridad

5.1 Notificación

La Empresa notificará al Suscriptor cualquier Incidente de Seguridad confirmado sin demora indebida y en todo caso dentro de setenta y dos (72) horas desde que tenga conocimiento del incidente. La notificación incluirá, en la medida en que esté disponible:

  • La naturaleza del Incidente de Seguridad, incluyendo las categorías y el número aproximado de Interesados y registros afectados;
  • El nombre y los datos de contacto del Delegado de Protección de Datos de la Empresa o el contacto designado;
  • Una descripción de las consecuencias probables del Incidente de Seguridad;
  • Una descripción de las medidas adoptadas o propuestas para abordar el Incidente de Seguridad, incluyendo medidas para mitigar sus efectos adversos.

La Empresa cooperará con el Suscriptor y tomará medidas razonables para contener y remediar el Incidente de Seguridad.

5.2 Plan de Respuesta a Incidentes

La Empresa mantiene un plan de respuesta a incidentes que incluye las siguientes fases:

  1. Detección: Identificación de posibles Incidentes de Seguridad a través de sistemas de monitoreo y alerta.
  2. Contención: Medidas inmediatas para contener el Incidente de Seguridad y prevenir accesos no autorizados o pérdidas de datos adicionales.
  3. Análisis forense: Investigación y análisis para determinar el alcance, la causa y el impacto del Incidente de Seguridad.
  4. Remediación: Implementación de medidas correctivas para abordar las vulnerabilidades y prevenir la recurrencia.
  5. Revisión: Revisión posterior al incidente para evaluar la efectividad de la respuesta y actualizar los procedimientos según sea necesario.
  6. Notificación regulatoria: Coordinación con el Suscriptor respecto a la notificación a autoridades de control e Interesados afectados según lo requiera la Legislación de Privacidad Aplicable.

5.3 Responsabilidad de Notificación del Suscriptor

El Suscriptor conserva la responsabilidad exclusiva de determinar si un Incidente de Seguridad activa obligaciones de notificación bajo la Legislación de Privacidad Aplicable y de emitir cualquier notificación requerida a las autoridades de control, los Interesados u otras partes.

5.4 Exclusiones

Los siguientes eventos no constituyen un Incidente de Seguridad a los efectos de esta Sección 5:

  • Intentos fallidos de inicio de sesión, ataques de fuerza bruta u otros intentos de acceso no exitosos que no resulten en un acceso no autorizado;
  • Escaneos de puertos, sondeos de red u otras actividades de reconocimiento;
  • Incidentes causados por las propias acciones, configuraciones o negligencia del Suscriptor;
  • Incidentes que afecten a sistemas de terceros fuera del control de la Empresa.

6. Derechos y Solicitudes de los Interesados

6.1 Derechos bajo RGPD/UK GDPR

La Empresa asistirá al Suscriptor en la respuesta a las solicitudes de los Interesados que ejerzan los siguientes derechos bajo el RGPD y el UK GDPR:

  • Derecho de acceso (Artículo 15);
  • Derecho de rectificación (Artículo 16);
  • Derecho de supresión ("derecho al olvido") (Artículo 17);
  • Derecho a la limitación del tratamiento (Artículo 18);
  • Derecho a la portabilidad de datos (Artículo 20);
  • Derecho de oposición (Artículo 21);
  • Derechos relacionados con la toma de decisiones individuales automatizadas, incluida la elaboración de perfiles (Artículo 22).

Las solicitudes de supresión se procesarán dentro de treinta (30) días desde su recepción.

6.2 Derechos bajo CCPA/CPRA

La Empresa asistirá al Suscriptor en la respuesta a los siguientes derechos del consumidor bajo la CCPA/CPRA:

  • Derecho a conocer qué Información Personal se recopila, utiliza y divulga;
  • Derecho a eliminar Información Personal;
  • Derecho a corregir Información Personal inexacta;
  • Derecho a optar por no participar en la venta o el intercambio de Información Personal;
  • Derecho a limitar el uso y la divulgación de Información Personal Sensible;
  • Derecho a la no discriminación por ejercer derechos de privacidad.

La Empresa asistirá al Suscriptor en la respuesta a las solicitudes verificadas de consumidores de conformidad con la CCPA/CPRA.

6.3 Derechos bajo Texas TDPSA

La Empresa asistirá al Suscriptor en la respuesta a los siguientes derechos del consumidor bajo la Texas TDPSA:

  • Derecho a confirmar si se están tratando Datos Personales;
  • Derecho de acceso a los Datos Personales;
  • Derecho a corregir inexactitudes en los Datos Personales;
  • Derecho a eliminar Datos Personales;
  • Derecho a obtener una copia portátil de los Datos Personales;
  • Derecho a optar por no participar en publicidad dirigida, venta de Datos Personales y elaboración de perfiles.

6.4 Derechos bajo PIPEDA

La Empresa asistirá al Suscriptor en la respuesta a los derechos de los Interesados bajo PIPEDA, incluyendo el derecho de acceso a la Información Personal y el derecho a impugnar la exactitud e integridad de la Información Personal.

6.5 Plazos de Respuesta

La Empresa remitirá cualquier solicitud de Interesados recibida directamente al Suscriptor dentro de cinco (5) días hábiles. Las solicitudes de los Interesados se atenderán dentro de treinta (30) días, o dentro de un plazo más breve si así lo requiere la Legislación de Privacidad Aplicable.

7. Subencargados

7.1 Autorización General

El Suscriptor otorga a la Empresa una autorización general por escrito para contratar a los Subencargados enumerados en el Anexo B para el Tratamiento de Datos Personales en relación con la Plataforma.

7.2 Obligaciones de los Subencargados

La Empresa celebrará un acuerdo de tratamiento de datos por escrito con cada Subencargado que imponga obligaciones de protección de datos sustancialmente similares a las establecidas en este DPA. La Empresa seguirá siendo plenamente responsable ante el Suscriptor por los actos y omisiones de sus Subencargados. El acceso de los Subencargados a los Datos Personales se limitará a lo estrictamente necesario para la ejecución de las actividades de Tratamiento delegadas.

7.3 Cambios de Subencargados

La Empresa proporcionará al Suscriptor un aviso previo por escrito de al menos treinta (30) días antes de contratar a un nuevo Subencargado o reemplazar a un Subencargado existente. El Suscriptor dispondrá de catorce (14) días desde la recepción del aviso para objetar al cambio propuesto por motivos razonables de protección de datos. En caso de objeción, las partes entablarán negociaciones de buena fe para resolver la preocupación. Si las partes no logran llegar a una resolución, el Suscriptor tendrá derecho a resolver el Acuerdo mediante un aviso por escrito con sesenta (60) días de antelación.

7.4 Subencargados de IA

La Empresa contrata a los siguientes Subencargados de IA: OpenAI, Anthropic y Google (Veo/GCP). Estos proveedores tratan datos a través de configuraciones de API que prohíben el uso de datos de clientes para el entrenamiento de modelos ("configuraciones de no-entrenamiento"). La Empresa notificará al Suscriptor cualquier cambio material en las políticas de procesamiento de datos de los Subencargados de IA. Todos los Subencargados de IA tienen su sede en los Estados Unidos y están sujetos a las disposiciones de Transferencia Restringida. Los enlaces de revisión de la política de privacidad relevante para cada Subencargado de IA se proporcionan en el Anexo B.

7.5 Rastreo del Motor Riovis

La funcionalidad del Motor Riovis de la Plataforma rastrea los sitios web de acceso público del Suscriptor para extraer datos de configuración de marca (colores, fuentes, logotipos, tono de voz). Estos datos se tratan exclusivamente con el fin de configurar el perfil de marca del Suscriptor dentro de la Plataforma. Los datos rastreados se conservan durante el Periodo de Suscripción más noventa (90) días después de la terminación o vencimiento. Los datos rastreados no se comparten con terceros y no se utilizan para el entrenamiento de modelos de IA. El Suscriptor es responsable de cualquier dato o contenido de terceros presente en el sitio web del Suscriptor que pueda ser capturado durante el proceso de rastreo.

7.6 Resend (Entrega de Correo Electrónico)

Resend trata las siguientes categorías de Datos Personales: direcciones de correo electrónico, nombres de destinatarios, contenido de correos electrónicos y metadatos de correo electrónico (horarios de envío, tasas de apertura, tasas de clics, datos de rebote). El Suscriptor es el Responsable del Tratamiento con respecto a los destinatarios de correo electrónico y sus Datos Personales. Resend conserva los datos de interacción por un periodo de hasta veinticuatro (24) meses desde la fecha de envío. El Suscriptor no utilizará las funcionalidades de correo electrónico de la Plataforma para enviar comunicaciones comerciales no solicitadas (spam).

7.7 Meta Graph API

La Plataforma se integra con la Meta Graph API para habilitar funcionalidades de publicación en redes sociales y publicidad. Meta trata las siguientes categorías de datos: tokens de acceso de páginas, contenido creativo de anuncios y parámetros de segmentación de audiencias. Las propias políticas de privacidad y términos de servicio de Meta se aplican a los datos tratados a través de la plataforma de Meta. El Suscriptor es responsable del cumplimiento de los Términos de Plataforma de Meta, las Políticas de Publicidad y todos los requisitos aplicables de Meta.

7.8 Shopify

La Plataforma accede a los datos de Shopify a través de la API de Socios de Shopify, incluyendo productos, colecciones, pedidos y datos de configuración de la tienda en línea. La Empresa no accede ni almacena información de identificación personal de clientes más allá de lo estrictamente necesario para las funcionalidades de publicación y sincronización. El tratamiento de datos de Shopify está sujeto a los Términos de Servicio de la API de Shopify y al Acuerdo del Programa de Socios de Shopify.

8. Transferencias Internacionales de Datos

8.1 Mecanismos de Transferencia

La Empresa se basa en los siguientes mecanismos para las Transferencias Restringidas de Datos Personales:

  • Cláusulas Contractuales Tipo de la UE (Módulo 2 - Responsable a Encargado) para transferencias desde el EEE a los Estados Unidos;
  • Anexo de Transferencia Internacional de Datos del Reino Unido (UK IDTA) para transferencias desde el Reino Unido;
  • Protecciones contractuales consistentes con los requisitos de PIPEDA para transferencias de Información Personal canadiense;
  • CCT y/o UK IDTA para transferencias de Datos Personales a Subencargados de IA con sede en los Estados Unidos.

8.2 Evaluación de Impacto de Transferencia

La Empresa proporcionará asistencia razonable al Suscriptor en la realización de una Evaluación de Impacto de Transferencia previa solicitud por escrito.

8.3 Invalidación de Mecanismos

Si cualquier mecanismo de transferencia en el que se basa esta Sección 8 es invalidado por un tribunal competente o autoridad de control, las partes cooperarán de buena fe para implementar un mecanismo de transferencia lícito alternativo. La Empresa podrá suspender la Transferencia Restringida afectada si no existe un mecanismo lícito disponible y dicha suspensión es requerida por la Legislación de Privacidad Aplicable.

9. Derechos de Auditoría e Inspección

9.1 Derechos de Auditoría

El Suscriptor podrá ejercer sus derechos de auditoría a través de los siguientes mecanismos:

  • Auditoría anual (remota): El Suscriptor podrá enviar cuestionarios escritos, solicitar copias de los informes de auditoría pertinentes (como informes SOC 2 Tipo II), certificaciones (como ISO 27001) y otra documentación de cumplimiento. El Suscriptor podrá solicitar acceso al personal pertinente para discutir las prácticas de protección de datos de la Empresa.
  • Auditoría presencial: Sujeto a un acuerdo de auditoría por escrito, el Suscriptor podrá realizar una auditoría presencial de las instalaciones y sistemas de la Empresa. Las auditorías presenciales requieren un aviso previo por escrito de al menos treinta (30) días, se realizarán durante el horario comercial normal y serán por cuenta y cargo exclusivo del Suscriptor.

9.2 Confidencialidad de los Resultados de Auditoría

Todos los resultados de auditoría, informes e información relacionada obtenidos durante una auditoría serán tratados como Información Confidencial de la Empresa y estarán sujetos a las disposiciones de confidencialidad del Acuerdo.

9.3 Cooperación con Autoridades de Control

La Empresa cooperará con las autoridades de control con jurisdicción sobre las actividades de Tratamiento, incluyendo las Autoridades de Protección de Datos de la UE ("APD"), la Oficina del Comisionado de Información del Reino Unido ("ICO"), la Agencia de Protección de la Privacidad de California ("PPA") y la Oficina del Comisionado de Privacidad de Canadá.

10. Minimización de Datos, Retención y Eliminación

10.1 Minimización de Datos

Los Datos Personales tratados bajo este DPA serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.

10.2 Retención

Los Datos Personales se conservarán de conformidad con el calendario de retención establecido en el Anexo A de este DPA.

10.3 Eliminación Posterior a la Terminación

Tras la terminación o vencimiento del Acuerdo, y tras la expiración de cualquier Periodo de Exportación aplicable, la Empresa, a elección del Suscriptor, eliminará o devolverá todos los Datos Personales en un formato estructurado, de uso común y legible por máquina. Los Datos Personales almacenados en sistemas de respaldo se eliminarán dentro de doce (12) meses después de la terminación o vencimiento.

10.4 Datos Anonimizados

Los datos que hayan sido irreversiblemente anonimizados de modo que ya no constituyan Datos Personales podrán ser conservados por la Empresa indefinidamente. Los datos anonimizados no están sujetos a este DPA.

11. Obligaciones del Suscriptor como Responsable del Tratamiento

11.1 Licitud

El Suscriptor declara y garantiza que ha cumplido con todas las leyes aplicables con respecto a su recopilación y provisión de Datos Personales a la Plataforma, que tiene una base jurídica válida para todo el Tratamiento instruido bajo este DPA, que ha proporcionado todos los avisos requeridos y ha obtenido todos los consentimientos requeridos de los Interesados, y que no instruirá a la Empresa para tratar Datos Personales de una manera que viole la Legislación de Privacidad Aplicable.

11.2 Exactitud

El Suscriptor es responsable de la exactitud de los Datos Personales proporcionados a la Plataforma. La Empresa no está obligada a verificar independientemente la exactitud de los Datos Personales recibidos del Suscriptor.

11.3 Datos Personales Sensibles

El Suscriptor no cargará ni proporcionará de otro modo Datos Personales Sensibles a la Plataforma sin el consentimiento previo por escrito de la Empresa.

11.4 Cumplimiento de Correo Electrónico y Marketing

El Suscriptor es el único responsable del cumplimiento de todas las leyes aplicables de correo electrónico y marketing, incluyendo CAN-SPAM, CASL y el RGPD. Esto incluye el mantenimiento de listas de correo lícitas, la obtención de los consentimientos requeridos, el cumplimiento de las solicitudes de exclusión y cancelación de suscripción, y la inclusión del contenido requerido en los mensajes comerciales.

11.5 Cumplimiento con Plataformas de Terceros

El Suscriptor es responsable del cumplimiento de los términos de servicio, políticas de publicidad y políticas de desarrolladores de las plataformas de terceros accedidas a través de la Plataforma, incluyendo Meta, Shopify y Google.

12. Responsabilidad, Indemnización y Relación con el Acuerdo

12.1 Incorporación al Acuerdo

Este DPA se incorpora y forma parte del Acuerdo. Todas las limitaciones de responsabilidad establecidas en el Acuerdo se aplican a este DPA. En caso de conflicto entre este DPA y el Acuerdo con respecto a cuestiones de protección de datos, este DPA prevalecerá.

12.2 Responsabilidad de la Empresa

La Empresa será responsable de los actos y omisiones de sus Subencargados en la misma medida que si la Empresa hubiera realizado el Tratamiento por sí misma, sujeto a las limitaciones de responsabilidad establecidas en el Acuerdo.

12.3 Indemnización del Suscriptor

El Suscriptor indemnizará, defenderá y mantendrá indemne a la Empresa de y contra cualquier reclamación, daño, pérdida, coste y gasto (incluyendo honorarios razonables de abogados) que surjan de o estén relacionados con:

  • El incumplimiento por parte del Suscriptor de sus obligaciones como Responsable del Tratamiento bajo la Legislación de Privacidad Aplicable;
  • Las instrucciones de Tratamiento emitidas por el Suscriptor que violen la Legislación de Privacidad Aplicable;
  • El incumplimiento por parte del Suscriptor de obtener los consentimientos requeridos de los Interesados;
  • Cualquier incumplimiento del Suscriptor de este DPA.

12.4 Cooperación en Investigaciones Regulatorias

Las partes cooperarán entre sí en caso de una investigación regulatoria o acción de cumplimiento relacionada con el Tratamiento de Datos Personales bajo este DPA.

13. Vigencia y Terminación

Este DPA entrará en vigor en la Fecha de Entrada en Vigor y permanecerá vigente durante la duración del Acuerdo. Este DPA terminará automáticamente con la terminación o vencimiento del Acuerdo. Sin perjuicio de la terminación, las disposiciones de este DPA relativas a seguridad, confidencialidad y eliminación o devolución de Datos Personales sobrevivirán hasta que todos los Datos Personales hayan sido eliminados o devueltos de conformidad con la Sección 10.

14. Disposiciones Generales

14.1 Modificaciones

La Empresa podrá actualizar este DPA de tiempo en tiempo proporcionando al Suscriptor un aviso previo por escrito de al menos treinta (30) días. El uso continuado de la Plataforma después de la fecha de entrada en vigor de cualquier modificación constituirá la aceptación del DPA actualizado.

14.2 Acuerdo Completo

Este DPA, junto con sus Anexos y el Acuerdo, constituye el acuerdo completo entre las partes con respecto al Tratamiento de Datos Personales y reemplaza todos los acuerdos, declaraciones y entendimientos anteriores o contemporáneos relacionados con el objeto del mismo.

14.3 Divisibilidad

Si cualquier disposición de este DPA se considera inválida, ilegal o inaplicable, las disposiciones restantes continuarán en pleno vigor y efecto. La disposición inválida se modificará en la medida mínima necesaria para hacerla válida y ejecutable preservando su intención original.

14.4 Contacto de Protección de Datos

Para preguntas, solicitudes o inquietudes sobre este DPA o las prácticas de protección de datos de la Empresa, por favor contacte: privacy@riovis.com.

Anexo A - Detalles del Tratamiento de Datos

A.1 Naturaleza y Finalidad del Tratamiento

Los Datos Personales se tratan con el fin de operar la Plataforma Riovis, incluyendo:

  • Operación de los módulos de Marketing, Soporte e Inventario de la Plataforma;
  • Rastreo del Motor Riovis de los sitios web del Suscriptor para la configuración de marca;
  • Generación de contenido impulsada por IA utilizando OpenAI, Anthropic y Google Veo/GCP;
  • Creación y envío de campañas de correo electrónico a través de Resend;
  • Publicación en redes sociales y publicidad a través de Meta Graph API;
  • Sincronización de productos y tienda en línea de comercio electrónico a través de la API de Socios de Shopify;
  • Analítica e informes de la Plataforma;
  • Notificaciones y comunicaciones dentro de la aplicación;
  • Procesamiento de pagos y facturación a través de Stripe;
  • Detección de abusos y seguridad de la plataforma.

A.2 Inventario de Datos

Actividad de TratamientoFunción de la EmpresaCategorías de Datos PersonalesBase Jurídica (RGPD)
Registro de cuentas y autenticaciónResponsableNombre, correo electrónico, hash de contraseña, organizaciónEjecución del contrato (Art. 6(1)(b))
Facturación y procesamiento de pagos (vía Stripe)Responsable / Co-Encargado (Stripe)Nombre de facturación, correo electrónico, datos de tarjeta de pago, registros de transaccionesEjecución del contrato (Art. 6(1)(b))
Envío de campañas de correo electrónico (vía Resend)EncargadoDirecciones de correo de destinatarios, nombres, contenido de correo, metadatos de interacciónInterés legítimo / Consentimiento (según el Suscriptor)
Generación de contenido por IA (OpenAI, Anthropic, Google Veo)EncargadoIndicaciones, contenido generado, datos de configuración de marcaEjecución del contrato (Art. 6(1)(b))
Rastreo del sitio web del Motor RiovisEncargadoContenido de sitio web de acceso público, activos de marcaInterés legítimo (Art. 6(1)(f))
Publicación en redes sociales (Meta Graph API)EncargadoTokens de página, contenido creativo de anuncios, parámetros de segmentación de audienciasConsentimiento / Interés legítimo (según el Suscriptor)
Sincronización de comercio electrónico (Shopify)EncargadoProductos, colecciones, pedidos, configuración de tienda en líneaEjecución del contrato (Art. 6(1)(b))
Gestión de tickets de soporteEncargadoNombres de clientes, correos electrónicos, contenido de tickets, archivos adjuntosInterés legítimo (Art. 6(1)(f))
Analítica de la PlataformaResponsable (Datos de Uso) / Encargado (Datos Personales)Direcciones IP, identificadores de dispositivos, datos de comportamiento, datos de sesiónInterés legítimo (Art. 6(1)(f))
Detección de abusos y seguridadResponsableDirecciones IP, registros de acceso, eventos de autenticaciónInterés legítimo (Art. 6(1)(f))

A.3 Categorías de Interesados

Las siguientes categorías de Interesados pueden tener sus Datos Personales tratados a través de la Plataforma:

  • Usuarios autorizados: Personas a las que el Suscriptor otorga acceso a la Plataforma (empleados, contratistas, agentes);
  • Clientes: Los clientes del Suscriptor cuyos datos se gestionan a través de la Plataforma;
  • Destinatarios de correo electrónico: Personas que reciben comunicaciones por correo electrónico enviadas a través de la Plataforma;
  • Visitantes del sitio web: Personas cuya información de acceso público es capturada durante los rastreos del Motor Riovis del o los sitios web del Suscriptor;
  • Audiencias de redes sociales: Personas a las que se dirigen o alcanzan a través de las funcionalidades de publicación en redes sociales y publicidad.

A.4 Calendario de Retención

Categoría de DatosPeriodo de Retención
Datos de cuenta del SuscriptorDuración del Periodo de Suscripción + 90 días
Contenido del SuscriptorDuración del Periodo de Suscripción + Periodo de Exportación de 30 días (90 días de retención activa, 12 meses en respaldos)
Datos de rastreo del Motor RiovisDuración del Periodo de Suscripción + 90 días
Metadatos de campañas de correo electrónico24 meses desde la fecha de envío
Registros de indicaciones de IA90 días continuos
Entradas de generación de video30 días después de la generación
Registros de pagos y facturación7 años (cumplimiento legal/fiscal)
Registros de seguridad12 meses continuos
Listas de supresión y exclusiónRetención indefinida (requisito de cumplimiento)
Datos de Uso anonimizadosRetención indefinida (no son Datos Personales)

Anexo B - Lista de Subencargados Aprobados

SubencargadoEntidad LegalUbicaciónFinalidadCategorías de DatosPolítica de Privacidad
AWSAmazon.com, Inc.Estados UnidosAlojamiento en la nube e infraestructuraTodas las categorías de Datos Personalesaws.amazon.com/privacy
GCPGoogle LLCEstados UnidosInfraestructura en la nubeTodas las categorías de Datos Personalescloud.google.com/privacy
Google VeoGoogle LLCEstados UnidosGeneración de video por IAIndicaciones, archivos multimedia, configuración de marcapolicies.google.com/privacy
OpenAIOpenAI, L.L.C.Estados UnidosInferencia de LLMIndicaciones de contenido, configuración de marcaopenai.com/policies/privacy-policy
AnthropicAnthropic PBCEstados UnidosInferencia de IAIndicaciones de contenido, configuración de marcaanthropic.com/privacy
StripeStripe, Inc.Estados UnidosProcesamiento de pagos y facturaciónNombre de facturación, correo electrónico, datos de tarjeta de pago, registros de transaccionesstripe.com/privacy
ResendResend, Inc.Estados UnidosEntrega de correo electrónicoDirecciones de correo electrónico, contenido, metadatosresend.com/privacy
MetaMeta Platforms, Inc.Estados UnidosPublicación en redes sociales y publicidadContenido creativo de anuncios, parámetros de segmentación, tokens de páginafacebook.com/privacy/policy
ShopifyShopify Inc.CanadáSincronización de comercio electrónicoProductos, pedidos, configuración de tienda en líneashopify.com/legal/privacy

Nota sobre Subencargados de IA: Todos los Subencargados de IA (OpenAI, Anthropic, Google Veo/GCP) se contratan a través de configuraciones de API que prohíben contractualmente el uso de datos de clientes para el entrenamiento de modelos. Se recomienda al Suscriptor revisar las políticas de privacidad enlazadas anteriormente para cada Subencargado de IA.

Anexo C - Medidas Técnicas y Organizativas de Seguridad

C.1 Control de Acceso

  • Control de acceso basado en roles (RBAC) aplicado en todos los sistemas y entornos;
  • Autenticación multifactor (MFA) requerida para todo el personal que accede a sistemas de producción;
  • Credenciales únicas asignadas a cada usuario autorizado; las cuentas compartidas están prohibidas;
  • Revisiones trimestrales de acceso para verificar que los derechos de acceso sean apropiados y revocar los privilegios innecesarios;
  • Gestión de Acceso Privilegiado (PAM) para cuentas administrativas y con privilegios elevados.

C.2 Cifrado

  • Todos los datos en tránsito se cifran utilizando TLS 1.2 o superior;
  • Todos los datos en reposo se cifran utilizando cifrado AES-256;
  • Las claves de cifrado se gestionan mediante Módulos de Seguridad de Hardware (HSM) y/o Servicios de Gestión de Claves (KMS) nativos de la nube;
  • Las copias de seguridad se cifran con los mismos estándares que los datos de producción.

C.3 Seguridad de Red

  • Infraestructura alojada con proveedores de nube certificados ISO 27001 (AWS y GCP);
  • Segmentación de red para aislar entornos de producción, staging y desarrollo;
  • Firewall de Aplicaciones Web (WAF) desplegado para proteger contra ataques web comunes;
  • Protección contra ataques de Denegación de Servicio Distribuido (DDoS);
  • Sistemas de Detección y Prevención de Intrusiones (IDS/IPS);
  • Escaneo periódico de vulnerabilidades de la infraestructura de red.

C.4 Seguridad de Aplicaciones

  • Prácticas de Ciclo de Vida de Desarrollo de Software Seguro (SSDLC);
  • Análisis de Composición de Software (SCA) para dependencias de terceros;
  • Desarrollo de aplicaciones alineado con la mitigación de los 10 principales riesgos de seguridad de OWASP;
  • Pruebas de penetración anuales realizadas por evaluadores externos cualificados;
  • Controles de seguridad de API incluyendo autenticación OAuth 2.0, gestión de claves de API y limitación de velocidad.

C.5 Registro y Monitoreo

  • Sistema de Gestión de Información y Eventos de Seguridad (SIEM) para la agregación y análisis centralizado de registros;
  • Alertas en tiempo real para actividad anómala y posibles eventos de seguridad;
  • Registros de auditoría inmutables conservados por un mínimo de doce (12) meses;
  • Monitoreo 24/7 de sistemas de producción e infraestructura de seguridad.

C.6 Minimización de Datos

  • Técnicas de seudonimización aplicadas cuando sea técnicamente viable;
  • Los datos de producción no se utilizan en entornos de desarrollo o pruebas;
  • Las integraciones de API solicitan únicamente los datos mínimos necesarios para la finalidad de Tratamiento prevista.

C.7 Seguridad Física

  • La infraestructura de producción está alojada en centros de datos de AWS y GCP que mantienen certificaciones SOC 2 Tipo II, ISO 27001 y PCI DSS, con controles de acceso biométricos y vigilancia por CCTV;
  • Las instalaciones de oficina de la Empresa están aseguradas con control de acceso por tarjeta;
  • No se almacenan datos de producción en medios físicos o dispositivos locales.

C.8 Seguridad del Personal

  • Capacitación anual en concientización sobre seguridad y protección de datos para todo el personal;
  • Verificación de antecedentes para el personal con acceso a sistemas de producción;
  • Obligaciones de confidencialidad vinculantes para todo el personal que accede a Datos Personales;
  • Delegado de Protección de Datos (DPO) designado responsable de supervisar el cumplimiento;
  • Evaluaciones de riesgo de proveedores realizadas antes de contratar nuevos Subencargados.

C.9 Continuidad del Negocio y Recuperación ante Desastres

  • Copias de seguridad automatizadas diarias de todos los datos de producción;
  • Pruebas anuales del Plan de Recuperación ante Desastres (DRP) con Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) definidos;
  • Redundancia geográfica en múltiples zonas de disponibilidad y/o regiones.