Acuerdo de Procesamiento de Datos
Fecha Efectiva: 3 de marzo de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre la entidad comercial que se suscribe a Calltide ("Responsable del Tratamiento," "Cliente," o "usted") y Calltide LLC ("Encargado del Tratamiento," "Calltide," "nosotros," o "nos"). Este DPA forma parte de y complementa los Términos de Servicio.
Este DPA refleja el compromiso de las partes de cumplir con las leyes de protección de datos aplicables, incluyendo la Reglamentación General de Protección de Datos (UE) 2016/679 ("GDPR"), la Ley de Privacidad del Consumidor de California modificada por la Ley de Derechos de Privacidad de California ("CCPA/CPRA"), y otras regulaciones de privacidad aplicables.
1. Definiciones
• "Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable, conforme se define en la ley de protección de datos aplicable.
• "Procesamiento" significa cualquier operación realizada en Datos Personales, incluyendo recopilación, registro, almacenamiento, recuperación, uso, divulgación, borrado o destrucción.
• "Sujeto de Datos" significa la persona identificada o identificable a la que se refieren los Datos Personales.
• "Sub-Encargado del Tratamiento" significa cualquier tercero contratado por Calltide para procesar Datos Personales en nombre del Responsable del Tratamiento.
• "Incidente de Seguridad" significa cualquier acceso no autorizado, divulgación, alteración o destrucción de Datos Personales.
2. Alcance y Roles
2.1 Responsable del Tratamiento y Encargado del Tratamiento
El Cliente actúa como el Responsable del Tratamiento de los Datos Personales de sus clientes (llamantes). Calltide actúa como el Encargado del Tratamiento, procesando Datos Personales en nombre del Responsable del Tratamiento únicamente para proporcionar la plataforma Calltide.
2.2 Detalles del Procesamiento
| Elemento | Descripción |
|---|---|
| Asunto | Prestación de servicios de recepcionista virtual impulsado por inteligencia artificial |
| Duración | Para el período de la suscripción del Cliente, más los períodos de retención aplicables |
| Naturaleza del Procesamiento | Gestión automatizada de llamadas telefónicas, transcripción de voz a texto, resumen de llamadas impulsado por inteligencia artificial, reserva de citas, notificaciones por SMS, creación de registros en CRM |
| Propósito | Responder llamadas telefónicas entrantes, reservar citas, enviar notificaciones, generar análisis de llamadas, y servicios relacionados conforme se describe en los Términos de Servicio |
| Categorías de Datos Personales | Números de teléfono, nombres de llamantes, grabaciones de voz, transcripciones de llamadas, detalles de citas, solicitudes de servicio, contenido de SMS, direcciones de correo electrónico |
| Categorías de Sujetos de Datos | Llamantes al número de teléfono del negocio del Cliente, empleados y representantes del Cliente |
3. Obligaciones del Encargado del Tratamiento
Calltide deberá:
3.1 Procesamiento Lícito
Procesar Datos Personales únicamente conforme a instrucciones documentadas del Responsable del Tratamiento (conforme se establece en este DPA y en los Términos de Servicio), a menos que sea requerido hacerlo por ley aplicable. En tal caso, Calltide informará al Responsable del Tratamiento de ese requisito legal antes de procesar, a menos que esté prohibido por ley.
3.2 Confidencialidad
Asegurar que todo el personal autorizado para procesar Datos Personales haya asumido obligaciones de confidencialidad o esté sujeto a una obligación estatutaria apropiada de confidencialidad.
3.3 Medidas de Seguridad
Implementar y mantener medidas de seguridad técnicas y organizacionales apropiadas, incluyendo:
• Encriptación de Datos Personales en tránsito (TLS 1.2+) y en reposo
• Autenticación sin contraseña (enlaces mágicos) para acceso del Cliente
• Controles de acceso basados en roles con separación entre funciones del Cliente y administrador
• Limitación de velocidad en todos los puntos finales de API (200 solicitudes por 60 segundos en rutas del panel de control)
• Validación de entrada y sanitización en todas las entradas del usuario, incluyendo protección contra inyección de solicitudes
• Monitoreo de errores automatizado y alertas
• Auditorías de seguridad regulares y evaluaciones de vulnerabilidades
• Sistema de respuesta de buzón de voz para continuidad comercial
3.4 Sub-Encargados del Tratamiento
Calltide utiliza los Sub-Encargados del Tratamiento enumerados en /legal/sub-processors. Calltide deberá:
• Imponer obligaciones de protección de datos en cada Sub-Encargado del Tratamiento que no sean menos protectoras que las de este DPA.
• Permanecer completamente responsable por los actos y omisiones de sus Sub-Encargados del Tratamiento.
• Notificar al Responsable del Tratamiento al menos 30 días antes de agregar o reemplazar un Sub-Encargado del Tratamiento, proporcionando al Responsable del Tratamiento la oportunidad de objetar. Si el Responsable del Tratamiento objeta con fundamentos razonables, las partes trabajarán de buena fe para resolver la preocupación. Si no se llega a una resolución, el Responsable del Tratamiento podrá rescindir el servicio afectado.
3.5 Derechos de Sujetos de Datos
Calltide deberá asistir al Responsable del Tratamiento en responder solicitudes de Sujetos de Datos (acceso, rectificación, borrado, portabilidad, restricción u objeción) mediante:
• Proporcionar un sistema de manejo de DSAR (Solicitud de Acceso de Sujeto de Datos) accesible a través del panel de control del administrador.
• Responder a solicitudes de cumplimiento de sujeto de datos del Responsable del Tratamiento dentro de 10 días hábiles.
• Apoyar la eliminación por lotes atómica en todas las tablas de bases de datos al procesar solicitudes de borrado.
3.6 Notificación de Incidentes de Seguridad
En caso de un Incidente de Seguridad que implique Datos Personales, Calltide deberá:
• Notificar al Responsable del Tratamiento sin demora indebida y no más tarde de 48 horas después de tener conocimiento del incidente.
• Proporcionar información suficiente para permitir que el Responsable del Tratamiento cumpla con sus obligaciones de notificación de brechas (dentro de 72 horas conforme al GDPR).
• Cooperar con la investigación y los esfuerzos de remediación del Responsable del Tratamiento.
• Documentar el incidente, incluyendo sus efectos y las acciones correctivas tomadas.
La notificación deberá incluir: (a) la naturaleza del incidente; (b) las categorías y el número aproximado de Sujetos de Datos afectados; (c) las consecuencias probables; y (d) las medidas tomadas o propuestas para abordar el incidente.
3.7 Evaluaciones de Impacto de Protección de Datos
Calltide deberá proporcionar asistencia razonable al Responsable del Tratamiento en la realización de evaluaciones de impacto de protección de datos y consultas previas con autoridades de supervisión, cuando sea requerido por ley aplicable.
3.8 Derechos de Auditoría
Previa solicitud escrita del Responsable del Tratamiento (no más de una vez por período de 12 meses), Calltide deberá poner a disposición la información necesaria para demostrar cumplimiento con este DPA. Esto puede satisfacerse mediante:
• Provisión de un informe actual de SOC 2 Tipo II u informe de auditoría de tercero equivalente, si está disponible.
• Respuestas escritas al cuestionario de auditoría razonable del Responsable del Tratamiento.
• En ausencia de lo anterior, una auditoría remota u presencial realizada por el Responsable del Tratamiento o un auditor de tercero mutuamente acordado, a expensas del Responsable del Tratamiento, con al menos 30 días de notificación escrita.
4. Retención y Eliminación de Datos
4.1 Períodos de Retención
Calltide retiene Datos Personales conforme al siguiente cronograma:
| Tipo de Datos | Período de Retención |
|---|---|
| Grabaciones y transcripciones de llamadas | 12 meses desde la fecha de la llamada |
| Metadatos de llamadas | 24 meses desde la fecha de la llamada |
| Contenido de SMS | 6 meses desde la fecha del mensaje |
| Registros de consentimiento | 7 años |
| Datos de cuenta | Duración de la suscripción + 30 días |
4.2 Eliminación en Caso de Terminación
Previa la terminación de la suscripción del Cliente:
• Calltide retendrá Datos del Cliente durante 30 días para permitir la exportación de datos.
• Después del período de 30 días, Calltide eliminará permanentemente todos los Datos Personales del Cliente de sistemas activos dentro de 30 días.
• Las copias de seguridad serán eliminadas dentro de 90 días de la terminación.
• Calltide podrá retener datos anonimizados y agregados que no identifiquen individuos.
• Los datos sujetos a requisitos de retención legal (por ejemplo, registros de consentimiento, registros de facturación) serán retenidos durante el período requerido y luego eliminados.
4.3 Devolución de Datos
Previa solicitud escrita antes de la eliminación, Calltide proporcionará al Responsable del Tratamiento una copia de sus Datos Personales en un formato estructurado, comúnmente utilizado y legible por máquina (JSON o CSV).
5. Transferencias Internacionales de Datos
5.1 Ubicaciones de Procesamiento
Todos los Datos Personales se procesan y almacenan dentro de los Estados Unidos. Los Sub-Encargados del Tratamiento de Calltide son todas entidades con sede en EE.UU.
5.2 Mecanismos de Transferencia
Para transferencias de Datos Personales de la UE/EEA a los Estados Unidos, Calltide se basa en el Marco de Privacidad de Datos UE-EE.UU. cuando es aplicable, y Cláusulas Contractuales Estándar (SCCs) — Módulo Dos (Responsable del Tratamiento a Encargado del Tratamiento) — conforme adoptadas por la Comisión Europea en junio de 2021.
5.3 Medidas Complementarias
Calltide implementa las siguientes medidas técnicas complementarias para proteger datos transferidos:
• Encriptación de extremo a extremo para datos en tránsito
• Encriptación en reposo para todos los datos almacenados
• Controles de acceso que limitan el acceso a datos únicamente a personal autorizado
• Eliminación oportuna de datos conforme a cronogramas de retención
6. Disposiciones Específicas CCPA/CPRA
Para propósitos de CCPA/CPRA:
• Calltide es un Proveedor de Servicios conforme se define conforme a la CCPA.
• Calltide no deberá vender ni compartir Información Personal recibida del Responsable del Tratamiento.
• Calltide no deberá retener, usar, o divulgar Información Personal para ningún propósito que no sea proporcionar el Servicio, o conforme sea permitido de otra manera por la CCPA.
• Calltide no deberá combinar Información Personal recibida del Responsable del Tratamiento con Información Personal recibida de o en nombre de otra persona, excepto conforme sea permitido por la CCPA.
7. Responsabilidad
La responsabilidad de cada parte bajo este DPA estará sujeta a las limitaciones de responsabilidad establecidas en los Términos de Servicio.
8. Vigencia
Este DPA permanecerá en vigor durante la duración de la suscripción del Responsable del Tratamiento a Calltide. Las disposiciones relacionadas con eliminación de datos, confidencialidad y derechos de auditoría sobrevivirán la terminación.
9. Contacto
Para preguntas sobre este DPA o procesamiento de datos:
Calltide LLC
Consultas de Protección de Datos: privacy@calltide.app
General: support@calltide.app
Teléfono: (830) 521-7133