Novedad: Kwamle AI Studio ya está disponible — crea chatbots inteligentes en minutos.Descubrir →
Legal

Acuerdo de tratamiento de datos

Este Acuerdo de Tratamiento de Datos (DPA) rige el tratamiento de datos personales en nombre de nuestros clientes, conforme al RGPD (UE) y la CCPA (California).

Última actualización: 12 de junio de 2026

1. Partes

Este acuerdo se celebra entre Kwamle Media (el «Encargado» / Encargado del tratamiento) y el Cliente (el «Responsable» / Responsable del tratamiento) que utiliza la plataforma kwamlemedia.com / app.kwamlemedia.com.

2. Definiciones

  • «Datos personales»: cualquier información relativa a una persona física identificable.
  • «Tratamiento»: cualquier operación realizada sobre datos personales (recopilación, almacenamiento, uso, transferencia, eliminación).
  • «RGPD»: el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679).
  • «CCPA»: la Ley de Privacidad del Consumidor de California.
  • «Subencargado»: cualquier tercero que trate datos en nombre de Kwamle.

3. Alcance del tratamiento

Kwamle trata los datos personales para los siguientes fines:

  • Operar servicios de automatización de marketing y bots inteligentes.
  • Gestionar páginas y cuentas de Meta e interactuar con la audiencia del cliente.
  • Generar analíticas y estadísticas.
  • Ejecutar llamadas de IA según la configuración del cliente.

Los datos incluyen: nombres, números de teléfono, direcciones de correo electrónico, identificadores de Facebook/Instagram, el contenido de los mensajes y los comentarios.

4. Obligaciones de Kwamle como encargado del tratamiento

  • Tratar los datos únicamente según las instrucciones documentadas del cliente.
  • Garantizar la confidencialidad de los datos entre todo el personal que tiene acceso a ellos.
  • Aplicar medidas de seguridad apropiadas (artículo 32 del RGPD).
  • Ayudar al cliente a responder a las solicitudes de los interesados.
  • Notificar al cliente cualquier violación de datos en un plazo de 72 horas.
  • No contratar a un subencargado sin el consentimiento del cliente.
  • Eliminar o devolver los datos del cliente cuando finalice el servicio.

5. Medidas de seguridad

  • Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256).
  • Control de acceso basado en roles (RBAC) y el principio de mínimo privilegio.
  • Registros de auditoría conservados durante 12 meses.
  • Pruebas de penetración anuales realizadas por terceros.
  • Autenticación de dos factores para el personal en los sistemas de producción.
  • Copias de seguridad cifradas cada 24 horas en una ubicación geográfica diferente.
  • Un programa de gestión de vulnerabilidades junto con actualizaciones de seguridad inmediatas.

6. Subencargados actuales

Encargado del tratamientoFinalidadUbicación
DigitalOceanAlojamiento de infraestructuraAmsterdam, Frankfurt
CloudflareCDN, protección DDoSGlobal (red Edge)
OpenAIModelos de IA (opcional)Estados Unidos
Google (Gemini)Modelos de IA (opcional)Global
AnthropicModelos de IA (opcional)Estados Unidos
StripeProcesamiento de pagosEstados Unidos, Irlanda
PaymobProcesamiento de pagos (Egipto)El Cairo
PostmarkEntrega de correo electrónicoEstados Unidos

El cliente puede oponerse a la incorporación de un nuevo subencargado en un plazo de 30 días desde la notificación.

7. Transferencias internacionales de datos

Al transferir datos fuera del Espacio Económico Europeo, nos basamos en:

  • Las nuevas Cláusulas Contractuales Tipo (SCC 2021).
  • Decisiones de adecuación para los países aprobados por la Comisión Europea.
  • Una Evaluación de Impacto de las Transferencias (TIA) para cada relación con un subencargado.

8. Violaciones de datos

Cuando se detecta una violación:

  • Notificar al cliente en un plazo de 72 horas con los detalles del incidente.
  • Proporcionar un informe completo sobre la causa, el alcance y las acciones tomadas.
  • Cooperar plenamente en la respuesta y en la notificación a las autoridades reguladoras.

9. Derecho de auditoría

El cliente tiene derecho a:

  • Solicitar el informe anual SOC 2 Type II.
  • Realizar una auditoría anual con 30 días de aviso previo, a su propio cargo.
  • Obtener un resumen de los resultados de las pruebas de penetración.

10. Eliminación de datos al finalizar el servicio

  • Tras la rescisión del acuerdo, Kwamle elimina todos los datos personales en un plazo de 90 días.
  • Los registros de facturación se conservan durante 7 años (un requisito contable).
  • A petición, se entrega al cliente una copia de sus datos en formato JSON/CSV antes de la eliminación.

¿Listo para firmar?

Contacta con nuestro equipo legal para recibir un DPA firmado para tu organización.

legal@kwamlemedia.com →