Cómo Piraja procesa datos en nombre de los clientes cumpliendo con el GDPR y regulaciones de privacidad globales.
1. Introducción
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre Piraja CRM ("Procesador", "nosotros") y el cliente ("Controlador", "tú") que utiliza los servicios de Piraja CRM.
Este DPA se aplica donde y en la medida en que procesemos Datos Personales en tu nombre en el curso de la prestación de nuestros servicios. Este DPA está diseñado para garantizar el cumplimiento del Artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 ("GDPR") y disposiciones equivalentes bajo las leyes de protección de datos aplicables en todo el mundo.
2. Definiciones
- Datos Personales: Cualquier información relacionada con una persona natural identificada o identificable según lo definido en la legislación de protección de datos aplicable.
- Procesamiento: Cualquier operación realizada sobre Datos Personales, incluyendo la recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, divulgación, combinación, restricción, eliminación o destrucción.
- Sujeto de Datos: La persona natural identificada o identificable a la que se refieren los Datos Personales.
- Sub-procesador: Cualquier tercero contratado por el Procesador para procesar Datos Personales en nombre del Controlador.
3. Alcance y Propósito del Procesamiento
Procesamos Datos Personales únicamente con el propósito de proporcionar los servicios de Piraja CRM a ti, incluyendo:
- Gestión de relaciones con clientes: Almacenamiento y gestión de información de contacto, organizaciones e individuos.
- Comunicación: Procesamiento de datos de correo electrónico para el módulo de integración de buzón (Gmail, Outlook).
- Facturación y cobros: Procesamiento de información de pago y facturación a través de Stripe.
- Soporte y gestión de tickets: Gestión de tickets de soporte y casos de servicio.
- Analítica: Análisis de uso agregados y anonimizados para mejorar el servicio.
4. Categorías de Sujetos de Datos y Datos Personales
Los sujetos de datos pueden incluir:
- Tus empleados y miembros del equipo (cuentas de usuario)
- Tus clientes y contactos (registros de CRM)
- Tus socios comerciales y proveedores
Categorías de Datos Personales procesados:
- Información de contacto (nombre, correo electrónico, número de teléfono, dirección)
- Información profesional (cargo, empresa, departamento)
- Registros de comunicación (correos electrónicos, notas, registros de actividad)
- Datos financieros (facturas, referencias de pago — los datos de tarjeta son procesados únicamente por Stripe)
- Datos técnicos (direcciones IP, información del navegador para autenticación)
5. Obligaciones del Procesador
Nosotros:
a) Procesaremos Datos Personales solo según tus instrucciones documentadas, a menos que lo exija la ley aplicable.
b) Aseguraremos que las personas autorizadas para procesar Datos Personales se hayan comprometido a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad.
c) Implementaremos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado de datos en tránsito (TLS/HTTPS) y en reposo
- Cifrado AES-256-GCM para tokens OAuth
- Seguridad a Nivel de Fila (RLS) en tablas de bases de datos
- Evaluaciones y auditorías de seguridad regulares
- Controles de acceso y autenticación a través de Supabase Auth
d) No contrataremos a otro procesador sin tu autorización previa por escrito. Mantenemos una lista de sub-procesadores aprobados (ver Sección 8).
e) Te asistiremos en la respuesta a solicitudes de Sujetos de Datos (acceso, rectificación, eliminación, portabilidad, restricción y oposición).
f) Te ayudaremos a garantizar el cumplimiento de tus obligaciones respecto a la seguridad, notificación de violaciones, evaluaciones de impacto de protección de datos y consultas previas.
g) A tu elección, eliminaremos o devolveremos todos los Datos Personales al finalizar la prestación de servicios, y eliminaremos copias existentes a menos que la ley aplicable requiera su almacenamiento.
h) Pondremos a tu disposición toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a auditorías.
6. Obligaciones del Controlador
Tú:
a) Asegurarás que tu uso de nuestros servicios y tus instrucciones a nosotros cumplan con las leyes de protección de datos aplicables.
b) Habrás obtenido todos los consentimientos necesarios y bases legales para el procesamiento de Datos Personales compartidos con nosotros.
c) Nos notificarás de inmediato sobre cualquier solicitud de Sujeto de Datos que requiera nuestra asistencia.
7. Notificación de Violaciones de Datos
Te notificaremos sin demora indebida (y en cualquier caso dentro de las 72 horas) después de tomar conocimiento de una violación de Datos Personales. La notificación incluirá:
- Una descripción de la naturaleza de la violación
- Las categorías y el número aproximado de Sujetos de Datos y registros de Datos Personales afectados
- Las posibles consecuencias de la violación
- Las medidas tomadas o propuestas para abordar la violación
8. Sub-procesadores
Utilizamos los siguientes sub-procesadores para ofrecer nuestros servicios:
| Sub-procesador | Propósito | Ubicación |
|---|---|---|
| Supabase (Supabase Inc.) | Alojamiento de bases de datos, autenticación, almacenamiento de archivos | Estados Unidos (AWS) |
| Stripe (Stripe Inc.) | Procesamiento de pagos, facturación, cobros | Estados Unidos |
| Vercel (Vercel Inc.) | Alojamiento de aplicaciones, red de borde, funciones sin servidor | Global (red de borde) |
| Resend (Resend Inc.) | Entrega de correos electrónicos transaccionales | Estados Unidos |
| OpenAI (OpenAI LLC) | Funciones impulsadas por IA (asistente Aiden) | Estados Unidos |
| Google (Google LLC) | Integración de Gmail, Google Calendar, Analítica | Estados Unidos |
| Microsoft (Microsoft Corp.) | Integración de Outlook/Microsoft 365 | Estados Unidos |
Te informaremos sobre cualquier cambio previsto en los sub-procesadores, dándote una oportunidad razonable para objetar.
9. Transferencias Internacionales de Datos
Cuando los Datos Personales se transfieren fuera del Espacio Económico Europeo (EEE), aseguramos que existan salvaguardias adecuadas, incluyendo:
- Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea
- Decisiones de adecuación donde sea aplicable
- Medidas suplementarias según sea necesario
Nuestros sub-procesadores principales mantienen sus propios mecanismos y certificaciones de transferencia de datos.
10. Retención y Eliminación de Datos
- Retenemos Datos Personales solo por el tiempo necesario para proporcionar nuestros servicios.
- Puedes configurar períodos de retención de datos dentro de la configuración de la aplicación.
- La purga automática de datos se ejecuta en horarios configurables.
- Al finalizar los servicios, eliminaremos tus datos dentro de los 30 días a menos que la ley requiera su retención.
- Puedes solicitar la exportación de datos en cualquier momento a través de la aplicación.
11. Derechos de Auditoría
Tienes el derecho de auditar nuestro cumplimiento con este DPA. Las auditorías deberán ser:
- Realizadas con un aviso previo razonable (al menos 30 días)
- Limitadas a una vez al año a menos que haya ocurrido una violación de datos
- Realizadas durante el horario laboral normal
- A expensas del Controlador
Podemos satisfacer las solicitudes de auditoría proporcionando certificaciones relevantes, informes de auditoría u otra documentación.
12. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones establecidas en los Términos de Servicio.
13. Duración y Terminación
Este DPA permanecerá en vigor durante la duración de nuestro procesamiento de Datos Personales en tu nombre. Se terminará automáticamente cuando ya no procesemos Datos Personales para ti.
Las disposiciones que por su naturaleza deban sobrevivir a la terminación (incluyendo obligaciones de eliminación de datos, confidencialidad y responsabilidad) sobrevivirán.
14. Ley Aplicable
Este DPA se regirá por la misma ley que rige los Términos de Servicio, sin perjuicio de las leyes de protección de datos obligatorias que puedan aplicarse.
15. Contacto
Para preguntas sobre este DPA o para ejercer tus derechos, contáctanos en:
Correo electrónico: support@piraja.io