ALVEX
Legal · B2B · GDPR

Acuerdo de Procesamiento de Datos

Última actualización: 31 de mayo de 2026 · Modelo aplicable a clientes B2B en territorio EU / UK / áreas con normativas equivalentes

Este Acuerdo de Procesamiento de Datos ("DPA", Data Processing Agreement) forma parte de los Términos de Servicio entre [PENDIENTE — actualizar antes de lanzamiento] ("ALVEX", "Procesador") y el cliente que contrata el servicio ("Cliente", "Responsable").

En corto: Tú eres el responsable de los datos de tus clientes finales. ALVEX actúa como procesador que solo trata esos datos siguiendo tus instrucciones. Este acuerdo cumple con el Artículo 28 del GDPR y normativas equivalentes (UK GDPR, LGPD Brasil, Ley 1581 Colombia).

1. Definiciones

  • Datos Personales: cualquier información sobre una persona identificada o identificable que se procese mediante el servicio ALVEX.
  • Cliente Final: la persona natural cuyos datos personales son procesados (típicamente el cliente del Cliente que conversa con el agente de IA).
  • Responsable (Controller): el Cliente, quien determina los fines y medios del tratamiento.
  • Procesador (Processor): ALVEX, quien trata los datos en nombre del Responsable.
  • Subprocesador: tercero contratado por ALVEX para tratar Datos Personales (ver Anexo II).

2. Objeto del tratamiento

AspectoDetalle
NaturalezaProcesamiento de conversaciones (texto, voz, metadatos) entre el agente de IA del Cliente y sus Clientes Finales.
FinalidadPrestar el servicio ALVEX según los Términos de Servicio: responder mensajes, agendar citas, ejecutar acciones configuradas por el Cliente.
DuraciónMientras esté vigente la suscripción del Cliente + 30 días adicionales para exportación + retención legal mínima.
Tipos de datosIdentificadores (número, nombre), contenido de mensajes, metadatos (timestamps, idioma), información que el Cliente Final comparte voluntariamente.
Categorías de personasClientes Finales del Cliente (consumidores, leads, contactos comerciales).

3. Obligaciones de ALVEX como Procesador

ALVEX se compromete a:

  • Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Cliente.
  • Garantizar que el personal autorizado a tratar los datos esté sometido a obligaciones de confidencialidad.
  • Implementar las medidas técnicas y organizativas descritas en el Anexo I.
  • No subcontratar tratamientos sin autorización previa (ver Anexo II para subprocesadores autorizados).
  • Asistir al Cliente con solicitudes de derechos de Clientes Finales (acceso, rectificación, eliminación, portabilidad, oposición).
  • Notificar al Cliente sin demora indebida sobre cualquier brecha de seguridad que afecte los datos (máximo 72 horas desde su detección).
  • Eliminar o devolver todos los Datos Personales al finalizar la relación, salvo obligaciones legales de retención.
  • Permitir auditorías razonables por parte del Cliente o de un tercero designado.

4. Obligaciones del Cliente como Responsable

El Cliente se compromete a:

  • Tener una base legal válida para el tratamiento (consentimiento, contrato, interés legítimo).
  • Obtener el consentimiento explícito de los Clientes Finales antes de iniciar conversaciones outbound (ver Política de Uso Aceptable sección 2.1).
  • Informar a los Clientes Finales sobre el uso de un agente de IA en su propia política de privacidad.
  • Configurar el agente respetando las leyes aplicables de su jurisdicción y la de los Clientes Finales.
  • Atender las solicitudes de derechos de los Clientes Finales en los plazos legales (típicamente 30 días).
  • Mantener actualizada la información de contacto del Cliente y del DPO si aplica.

5. Transferencias internacionales

Algunos Subprocesadores de ALVEX están ubicados fuera del Espacio Económico Europeo (ver Anexo II). Para estas transferencias, ALVEX aplica:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) para transferencias a Estados Unidos y otras jurisdicciones sin decisión de adecuación.
  • Decisión de Adecuación EU-US Data Privacy Framework para subprocesadores certificados.
  • Medidas técnicas adicionales (cifrado, pseudonimización) cuando aplique.

6. Seguridad de la información

Ver Anexo I para detalle. Implementamos como mínimo:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
  • Autenticación multifactor obligatoria para personal de ALVEX.
  • Logs de auditoría de accesos administrativos durante 12 meses.
  • Aislamiento de datos por cliente (multi-tenancy con Row Level Security).
  • Pruebas periódicas de penetración y revisiones de seguridad.
  • Plan de continuidad y recuperación ante desastres.

7. Brechas de seguridad

En caso de brecha que afecte datos del Cliente, ALVEX:

  1. Notifica al Cliente sin demora indebida (objetivo: 72 horas desde la detección).
  2. Informa sobre la naturaleza, alcance, categorías de datos afectados, consecuencias probables y medidas tomadas.
  3. Coopera activamente para mitigar el impacto.
  4. Documenta el incidente completo y lo entrega al Cliente para reportes regulatorios.

8. Asistencia con derechos de los Clientes Finales

Cuando un Cliente Final ejerce sus derechos, ALVEX pone a disposición del Cliente:

  • Acceso: exportación completa en formatos estándar (CSV, JSON).
  • Rectificación: herramientas de edición desde el dashboard.
  • Eliminación: proceso descrito en Política de Eliminación de Datos.
  • Portabilidad: exportación en formato legible por máquina.
  • Oposición / Limitación: flags de configuración por contacto.

9. Terminación

Al terminar la relación contractual:

  • ALVEX entrega al Cliente una exportación completa de sus datos durante 30 días.
  • Después de 30 días, ALVEX elimina los datos de sus sistemas activos.
  • Backups históricos se eliminan en máximo 90 días (rotación normal).
  • Se retienen únicamente datos requeridos por obligaciones legales (facturación 5 años, logs de auditoría 12 meses).

10. Responsabilidad y limitaciones

La responsabilidad de cada parte se rige por los Términos de Servicio. Este DPA no extiende ni reduce las limitaciones de responsabilidad establecidas en los Términos, salvo en la medida que sea contrario a la normativa de protección de datos aplicable.

11. Ley aplicable

Este DPA se rige por las leyes de la República de Colombia para clientes residentes en Latinoamérica. Para clientes residentes en la Unión Europea / EEE / Reino Unido, las disposiciones sobre transferencias internacionales y derechos del titular se complementan con el GDPR y las SCCs aplicables.

Anexo I — Medidas técnicas y organizativas (TOMs)

Cifrado

  • TLS 1.2+ obligatorio en toda comunicación.
  • AES-256 para datos en reposo (Supabase, Vercel KV, Backups).
  • Tokens y secretos cifrados con KMS (AWS / GCP).

Control de acceso

  • SSO obligatorio para personal de ALVEX.
  • MFA obligatorio en cuentas administrativas.
  • RBAC con principio de mínimo privilegio.
  • Revisión trimestral de accesos.

Aislamiento multi-tenant

  • Row Level Security en base de datos por tenant_id.
  • Aislamiento de tokens de WhatsApp por cliente.
  • Logs separados por tenant.

Monitoreo y auditoría

  • Logs de auditoría de accesos administrativos durante 12 meses.
  • Alertas automáticas sobre eventos anómalos.
  • SIEM con retención mínima de 90 días.

Backups

  • Backups diarios automáticos con cifrado.
  • Retención de 30 días en backups operativos.
  • Pruebas de restauración trimestrales.

Personal

  • Acuerdos de confidencialidad firmados.
  • Capacitación anual obligatoria en protección de datos.
  • Revocación inmediata de accesos al término del vínculo laboral.

Anexo II — Subprocesadores autorizados

ProveedorServicioUbicación de datosMecanismo de transferencia
Meta Platforms Ireland Limited WhatsApp Business Platform (BSP oficial) Irlanda (EU) / Estados Unidos SCCs + EU-US DPF
Supabase Inc. Base de datos y autenticación Estados Unidos / Frankfurt (EU) SCCs + EU-US DPF
Vercel Inc. Hosting, edge functions, CDN Global (edge) SCCs + EU-US DPF
Polar Software Inc. Procesamiento de pagos (MoR), facturación, retención fiscal Estados Unidos SCCs
OpenAI / Anthropic / Google Modelos de lenguaje (procesamiento en tiempo real, no training) Estados Unidos SCCs + acuerdos enterprise no-training
Resend Inc. Envío de correos transaccionales Estados Unidos SCCs
Railway Corp. Workers de procesamiento (Baileys / WhatsApp QR) Estados Unidos SCCs
Cloudflare Inc. DNS, WAF, mitigación DDoS Global (edge) SCCs

ALVEX notificará al Cliente con al menos 30 días de anticipación cualquier cambio en la lista de subprocesadores. El Cliente podrá oponerse fundadamente en ese plazo.

Anexo III — Contactos

[PENDIENTE — actualizar antes de lanzamiento]
NIT [PENDIENTE — actualizar antes de lanzamiento]
[PENDIENTE — actualizar antes de lanzamiento]

Contacto de Protección de Datos: privacidad@alvexsaas.com
DPO (Data Protection Officer): [PENDIENTE — actualizar antes de lanzamiento]
Representante UE (Art. 27 GDPR): [PENDIENTE — actualizar antes de lanzamiento]