Saltar al contenido

Anexo de Tratamiento de Datos

Versión: 1.1 Última revisión: 2026-06-10 Vigente desde: 2026-06-10

La versión en inglés es la versión legalmente vinculante y de carácter auténtico del presente Anexo de Tratamiento de Datos. Cualquier traducción se proporciona únicamente a título informativo. En caso de conflicto, discrepancia o inconsistencia, prevalecerá estrictamente esta versión en inglés en todos los supuestos.

Anexo de Tratamiento de Datos

El presente Anexo de Tratamiento de Datos ("DPA") forma parte de, y se incorpora por referencia a, los Términos del Servicio de CeroVueltas (el "Contrato") celebrado entre SUITE IMPERIAL LLC, una sociedad de responsabilidad limitada constituida en Nuevo México, que opera comercialmente como CeroVueltas ("CeroVueltas"), y la entidad que acepta el Contrato (el "Cliente"). El presente DPA resulta aplicable en la medida en que CeroVueltas trate Datos Personales por cuenta del Cliente en relación con los Servicios. Al aceptar el Contrato o utilizar los Servicios, el Cliente acepta el presente DPA.

  • "Legislación de Protección de Datos Aplicable" designa todas las leyes de privacidad y protección de datos aplicables a los Datos Personales tratados en virtud del presente DPA, incluyendo, según corresponda: la Ley de Privacidad del Consumidor de California, modificada por la CPRA ("CCPA"); otras leyes integrales de privacidad de los estados de EE. UU. (incluidas las de Colorado, Connecticut, Texas, Utah y Virginia) ("Leyes de Privacidad Estatales de EE. UU."); y, únicamente cuando resulte aplicable al uso por parte del Cliente, el Reglamento General de Protección de Datos de la UE 2016/679 ("GDPR"), el GDPR del Reino Unido, la FADP suiza, la LGPD de Brasil, la Ley 25.326 de Argentina y la LFPDPPP de México.
  • "Datos Personales" designa toda información relativa a una persona física identificada o identificable contenida dentro de los Datos del Cliente que CeroVueltas trate por cuenta del Cliente. Los términos "Responsable del Tratamiento", "Encargado del Tratamiento", "Empresa", "Proveedor de Servicios", "Interesado", "Consumidor", "Vender", "Compartir" y "Tratamiento" tienen los significados que les atribuye la Legislación de Protección de Datos Aplicable.
  • "Incidente de Seguridad" designa toda violación confirmada de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, la divulgación no autorizada de, o el acceso a, Datos Personales tratados por CeroVueltas.
  • "Subencargado" designa a un tercero contratado por CeroVueltas para tratar Datos Personales por cuenta del Cliente, incluidos los proveedores de alojamiento y los proveedores terceros de API de Inteligencia Artificial.
  • "SCCs" designa las Cláusulas Contractuales Tipo aprobadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.

Los términos en mayúscula no definidos en este apartado tienen los significados que les atribuye el Contrato.

2.1 Funciones. El Cliente es el Responsable del Tratamiento (o la Empresa) de los Datos Personales, o actúa como Encargado del Tratamiento por cuenta de un Responsable del Tratamiento tercero. CeroVueltas es un Encargado del Tratamiento (o Proveedor de Servicios) que actúa conforme a las instrucciones documentadas del Cliente.

2.2 Instrucciones del Cliente. CeroVueltas tratará los Datos Personales únicamente: (a) para prestar, proteger, mantener y resolver incidencias de los Servicios según se describe en el Contrato; (b) según lo documentado en el presente DPA y en el Anexo I; y (c) conforme a las demás instrucciones documentadas y lícitas del Cliente. El Contrato, la configuración de los Servicios por parte del Cliente (incluidas la Base de Conocimiento y las reglas de enrutamiento) y el uso del panel de control constituyen las instrucciones del Cliente. CeroVueltas informará al Cliente si, a su juicio, una instrucción infringe la Legislación de Protección de Datos Aplicable.

2.3 Responsabilidades del Cliente. El Cliente es el único responsable de: (a) la exactitud, calidad y licitud de los Datos Personales y de los medios por los cuales fueron obtenidos; (b) proporcionar todas las notificaciones legalmente exigidas a, y obtener todos los consentimientos legalmente exigidos de, los Usuarios Finales (incluido lo relativo a los widgets de sitios web, la captura de sesiones y las comunicaciones automatizadas/impulsadas por IA); y (c) garantizar que sus instrucciones cumplan con la Legislación de Protección de Datos Aplicable.

En la medida en que CeroVueltas trate Datos Personales sujetos a la CCPA o a las Leyes de Privacidad Estatales de EE. UU., CeroVueltas:

(a) actúa como Proveedor de Servicios / Encargado del Tratamiento y tratará los Datos Personales únicamente para los fines comerciales descritos en el Contrato y en el Anexo I;

(b) no Venderá ni Compartirá los Datos Personales;

(c) no conservará, utilizará ni divulgará los Datos Personales fuera de la relación comercial directa con el Cliente ni para ningún fin distinto de los fines comerciales especificados, salvo en lo permitido por la Legislación de Protección de Datos Aplicable;

(d) no combinará los Datos Personales con información personal que reciba de otras fuentes, salvo en lo permitido por la Legislación de Protección de Datos Aplicable (p. ej., para fines de seguridad y prevención del fraude);

(e) certifica que comprende y cumplirá las restricciones establecidas en la presente Cláusula 3;

(f) notificará al Cliente si determina que ya no puede cumplir sus obligaciones en virtud de la Legislación de Protección de Datos Aplicable, en cuyo caso el Cliente podrá adoptar las medidas razonables y apropiadas para detener y subsanar el tratamiento no autorizado; y

(g) otorga al Cliente el derecho a adoptar las medidas razonables para garantizar que CeroVueltas utilice los Datos Personales de forma coherente con las obligaciones del Cliente, a través del mecanismo de auditoría establecido en la Cláusula 9.

CeroVueltas garantizará que el personal autorizado para tratar Datos Personales quede vinculado por obligaciones escritas de confidencialidad o por un deber legal apropiado de confidencialidad, y que acceda a los Datos Personales únicamente con base en la necesidad de conocer.

5.1 Autorización General. El Cliente otorga a CeroVueltas autorización general por escrito para contratar Subencargados, incluidos los proveedores de infraestructura de alojamiento y los proveedores terceros de API de Inteligencia Artificial utilizados para el enrutamiento dinámico. La lista actual de Subencargados sustanciales se mantiene en nuestra Lista de Subencargados.

5.2 Actualizaciones y Objeción. CeroVueltas actualizará la Lista de Subencargados antes de incorporar o sustituir a un Subencargado de carácter material, y habilitará un mecanismo de suscripción a notificaciones de actualización. El Cliente podrá formular objeciones, debidamente documentadas y fundadas en motivos razonables de protección de datos, dentro de los diez (10) días siguientes a la publicación de una actualización, mediante comunicación escrita dirigida a privacidad@cerovueltas.com. Si las partes no pudieran resolver la objeción de buena fe en un plazo de treinta (30) días, el único y exclusivo remedio del Cliente será la terminación de los Servicios afectados. El Cliente no tendrá derecho a reembolso, crédito o compensación alguna por la capacidad ya consumida, las cuotas de uso utilizadas o los saldos de servicio vencidos al momento de la terminación al amparo de la presente Sección.

5.3 Traspaso de Obligaciones. CeroVueltas impondrá a los Subencargados obligaciones de protección de datos que sean sustancialmente no menos protectoras que las del presente DPA y seguirá siendo responsable del desempeño de sus Subencargados en la misma medida en que sería responsable si prestara los servicios por sí misma, con sujeción a las limitaciones establecidas en el Contrato.

5.4 Prohibición de Entrenamiento de IA. De conformidad con la Cláusula 10.2 del Contrato, CeroVueltas no utiliza Datos Personales, Datos del Cliente, contenido de la Base de Conocimiento ni mensajes de Usuarios Finales para entrenar modelos de IA o de aprendizaje automático, y selecciona Subencargados terceros de IA cuyas políticas publicadas prohíben utilizar los datos de la API para entrenar sus modelos fundacionales de propósito general. El Cliente reconoce que estos Subencargados podrán conservar temporalmente registros de la API estrictamente para fines de seguridad, monitoreo de abusos y de confianza y seguridad (trust-and-safety), de conformidad con sus respectivas políticas.

6.1 Medidas. CeroVueltas implementará y mantendrá medidas técnicas y organizativas comercialmente razonables diseñadas para proteger los Datos Personales contra Incidentes de Seguridad, según se describe en el Anexo II. CeroVueltas podrá actualizar dichas medidas, siempre que las actualizaciones no reduzcan sustancialmente el nivel general de protección.

6.2 Notificación de Incidentes de Seguridad. CeroVueltas notificará al Cliente sin dilación indebida y, en todo caso, dentro de las setenta y dos (72) horas siguientes a la confirmación de un Incidente de Seguridad que afecte a los Datos Personales del Cliente. La notificación incluirá, en la medida en que sea conocida: la naturaleza del incidente, las categorías y el volumen aproximado de datos afectados, las consecuencias probables y las medidas adoptadas o propuestas. La notificación de CeroVueltas no constituye un reconocimiento de culpa o responsabilidad. El Cliente es el único responsable de cualquier notificación legalmente exigida a las autoridades reguladoras, a los Interesados o a los Consumidores.

Considerando la naturaleza del tratamiento, CeroVueltas prestará asistencia razonable al Cliente en los siguientes ámbitos: (a) la atención de solicitudes de Titulares de Datos / Consumidores (acceso, supresión, rectificación, portabilidad y oposición al tratamiento), cuando dichas solicitudes sean recibidas directamente por CeroVueltas, esta redirigirá al solicitante ante el Cliente; (b) la realización de evaluaciones de impacto relativas a la protección de datos y las consultas previas con las autoridades de control, cuando así lo exija el GDPR; y (c) el cumplimiento por parte del Cliente de sus obligaciones en materia de seguridad y notificación de brechas de seguridad.

Honorarios Administrativos: Toda asistencia administrativa manual, técnica o personalizada prestada por CeroVueltas al amparo de la presente Sección que exceda una función automatizada estándar de la plataforma o una simple redirección básica (incluyendo, de forma meramente enunciativa y no limitativa, la extracción manual de historiales de conversaciones o la compilación de documentación técnica) quedará estrictamente sujeta a un honorario por servicios administrativos de USD $150,00 por hora, facturado en incrementos mínimos de una (1) hora, el cual deberá ser abonado íntegramente por el Cliente con carácter previo a la ejecución de dicha asistencia.

Tras la resolución o expiración del Contrato, CeroVueltas, dentro de los treinta (30) días, suprimirá o anonimizará todos los Datos Personales de los sistemas de producción activos, salvo cuando la conservación sea exigida por la ley aplicable o para fines de auditoría fiscal/financiera (sin exceder de siete (7) años para dichos registros). Los Datos Personales contenidos en las copias de seguridad automatizadas se suprimirán o sobrescribirán dentro de los noventa (90) días. Durante la vigencia, el Cliente podrá exportar los Datos del Cliente a través del panel de control o de las API disponibles.

9.1 Informes de Auditoría. A solicitud escrita, con una frecuencia máxima de una (1) vez por cada período de doce (12) meses, CeroVueltas pondrá a disposición del Cliente, dentro de los cuarenta y cinco (45) días siguientes a la recepción de dicha solicitud, la documentación razonablemente necesaria para acreditar el cumplimiento de la presente DPA. Dicha documentación quedará estrictamente limitada a resúmenes de seguridad estándar, preguntas frecuentes (FAQ) o descripciones generales de políticas que CeroVueltas ponga a disposición general de sus clientes en ese momento.

9.2 Auditorías Regulatorias y de Carácter Obligatorio. Cuando la Legislación Aplicable en materia de Protección de Datos otorgue al Cliente un derecho legal de auditoría de carácter obligatorio e irrenunciable que no pueda ser satisfecho razonablemente mediante la documentación suministrada conforme a la Sección 9.1, el Cliente podrá iniciar dicha auditoría estrictamente bajo el cumplimiento acumulativo de las siguientes condiciones:

(a) El Cliente deberá notificar por escrito a CeroVueltas con una antelación mínima de sesenta (60) días calendario, adjuntando un plan de auditoría detallado;

(b) La auditoría deberá ser conducida exclusivamente por un auditor tercero independiente y certificado (restringido estrictamente a una firma reconocida de auditoría y contabilidad del denominado "Big Four"), aprobado por escrito por CeroVueltas y sujeto a un acuerdo de confidencialidad de carácter estricto; queda terminantemente prohibido que empleados, personal interno o competidores directos o indirectos del Cliente actúen en calidad de auditores;

(c) El alcance de la auditoría quedará estrictamente circunscrito a una revisión remota de escritorio de evidencias de cumplimiento personalizadas, registros de sistema anonimizados y presentaciones guiadas de la arquitectura de seguridad, facilitadas mediante pantalla compartida remota por personal de CeroVueltas;

(d) PROHIBICIÓN EXPRESA DE ACCESO: Bajo ninguna circunstancia se otorgará al auditor ni al Cliente acceso físico o lógico alguno a sistemas, infraestructuras, redes, software, bases de datos, entornos, personal ni a ningún otro activo físico o digital, recurso o información de carácter propietario de cualquier índole, ya sea de titularidad o utilización de CeroVueltas. La auditoría queda estrictamente confinada a la revisión visual remota de la evidencia explícitamente facilitada o exhibida por CeroVueltas;

(e) El Cliente asumirá el cien por ciento (100 %) de todos los costos, honorarios y gastos incurridos por el auditor externo; y

(f) El Cliente abonará a CeroVueltas un honorario administrativo obligatorio por interrupción operativa de USD $1.500,00 por día (o fracción del mismo) durante el cual se ejecute la revisión de auditoría, el cual deberá ser pagado en su totalidad con carácter previo. CeroVueltas se reserva el derecho de suspender o dar por terminada la auditoría de forma inmediata si la revisión ocasionara inestabilidad en los sistemas, riesgo de exposición de propiedad intelectual o vulneración de los límites de seguridad operativa.

10.1 Ubicación del Tratamiento. Los Servicios se alojan y operan en los Estados Unidos. El Cliente reconoce e instruye que los Datos Personales serán tratados en los Estados Unidos y en las jurisdicciones de los Subencargados enumerados en nuestra Lista de Subencargados.

10.2 Transferencias EEE/Reino Unido/Suiza. Únicamente en la medida en que el Cliente transfiera a CeroVueltas Datos Personales sujetos al GDPR, al GDPR del Reino Unido o a la FADP suiza, las SCCs se incorporan por referencia de la siguiente manera:

Concepto Aplicación
Módulo Módulo Dos (Responsable → Encargado); Módulo Tres (Encargado → Encargado) cuando el Cliente es un Encargado
Cláusula 7 (Adhesión) No aplicable
Cláusula 9 (Subencargados) Opción 2 (autorización general), plazo de preaviso según la Cláusula 5.2
Cláusula 11 (Recurso) Texto opcional no aplicable
Cláusula 17 (Legislación Aplicable) Leyes de Irlanda
Cláusula 18 (Fuero) Tribunales de Irlanda
Anexos I–II Cumplimentados por los Anexos I–II del presente DPA
Transferencias al Reino Unido Resulta aplicable el Anexo de Transferencia Internacional de Datos del Reino Unido (Anexo IDTA), con las tablas cumplimentadas por el presente DPA
Transferencias a Suiza SCCs adaptadas según lo exigido por el FDPIC suizo (las referencias al GDPR se entienden hechas a la FADP; la autoridad de control es el FDPIC)

10.3 Responsabilidad del Cliente. El Cliente, en su calidad de Responsable del Tratamiento, sigue siendo responsable de determinar la licitud de las transferencias internacionales para su caso de uso específico y sus Interesados. CeroVueltas no formula declaración alguna en el sentido de que la jurisdicción de algún Subencargado sea considerada "adecuada".

11.1 La responsabilidad de cada parte derivada de o relacionada con la presente DPA (incluyendo las SCCs) queda estrictamente sujeta a las exclusiones y limitaciones generales de responsabilidad establecidas en el Acuerdo (Términos de Servicio), incluyendo los topes de responsabilidad, los procedimientos de indemnización, las renuncias a acciones colectivas y las disposiciones de arbitraje contenidas en dicho instrumento. La presente DPA no modifica, deroga, amplía ni reduce ninguna limitación de responsabilidad ni disposición de resolución de controversias del Acuerdo.

11.2 En caso de conflicto: (a) las SCCs prevalecerán sobre la presente DPA únicamente en lo que respecta a las transferencias que estas regulan; (b) la presente DPA prevalecerá sobre el Acuerdo únicamente en lo relativo a los mecanismos técnicos del tratamiento de Datos Personales; y (c) el Acuerdo (Términos de Servicio) prevalecerá estrictamente en todos los demás aspectos, incluyendo, de forma meramente enunciativa y no limitativa, todas las cuestiones relativas a responsabilidad, daños y perjuicios, resolución de controversias y legislación aplicable.

El presente DPA estará vigente mientras CeroVueltas trate Datos Personales por cuenta del Cliente. CeroVueltas podrá actualizar el presente DPA según resulte razonablemente necesario para reflejar cambios en la Legislación de Protección de Datos Aplicable o en los Servicios, de conformidad con la Cláusula 21.6 del Contrato. Salvo cuando las SCCs exijan lo contrario, el presente DPA se rige por las leyes especificadas en la Cláusula 19 del Contrato.

Concepto Descripción
Exportador de datos Cliente (Responsable del Tratamiento o Encargado del Tratamiento)
Importador de datos SUITE IMPERIAL LLC que opera como CeroVueltas (Encargado del Tratamiento), Nuevo México, EE. UU.
Categorías de Interesados Usuarios Finales que se comunican con el Cliente a través de WhatsApp o de widgets de sitios web; personal autorizado y usuarios de la cuenta del Cliente
Categorías de Datos Personales Nombres, números de teléfono, nombres e ID de perfil de WhatsApp, contenido de mensajes, metadatos de conversaciones, datos de contacto, credenciales de cuenta, datos de contacto de facturación y cualesquiera Datos Personales que el Cliente incluya en la Base de Conocimiento o en los Datos del Cliente
Datos Sensibles Ninguno previsto. El Cliente no remitirá datos sensibles/de categorías especiales salvo que esté legalmente permitido y acordado contractualmente por escrito
Naturaleza y Finalidad Alojamiento, enrutamiento de mensajes entrantes, codificación vectorial (RAG), generación de respuestas impulsada por IA a través de API de terceros, analítica del panel de control, soporte, seguridad y resolución de incidencias
Duración La vigencia del Contrato más los plazos de supresión establecidos en la Cláusula 8
Frecuencia Continua
Autoridad de Control Competente (SCCs) Determinada conforme a la Cláusula 13 de las SCCs en función del establecimiento del exportador de datos
  • Cifrado y Seudonimización: TLS 1.2+ en tránsito; AES-256-GCM en reposo para bases de datos y comunicaciones críticas. Seudonimización criptográfica utilizada para los identificadores de PII en las consultas a bases de datos.
  • Control de Acceso: Integración de SSO a través de Proveedores de Identidad (p. ej., Google/Facebook/Correo electrónico) con soporte para MFA a nivel de proveedor; acceso basado en roles; separación lógica de inquilinos (delimitación estricta a nivel de base de datos por ID de Cliente).
  • Seguridad de Sesiones: Gestión de sesiones de Confianza Cero (Zero-Trust) que utiliza cookies con prefijo seguro, políticas SameSite estrictas, tokenización CSRF y tiempos de espera de inactividad de sesión estrictos.
  • Prevención de DDoS y Abusos: Limitación automática de la tasa de solicitudes (rate limiting) con seguimiento atómico y restricciones estrictas del tamaño de la carga útil (payload) para mitigar el abuso y el agotamiento de recursos.
  • Seguridad de la IA: Mecanismos automatizados de detección de inyección de instrucciones (prompt injection) y protocolos de saneamiento dinámico para mitigar las entradas adversarias y el envenenamiento de RAG (RAG Poisoning).
  • Redacción Automatizada de PII: Enmascaramiento automático de Información de Identificación Personal (correos electrónicos, números de teléfono, contraseñas) en los registros de auditoría del sistema con anterioridad a su ingesta en la base de datos.
  • Gestión de Infraestructura y Secretos: Alojamiento en proveedores de nube acreditados que mantienen certificaciones reconocidas (p. ej., SOC 2, ISO 27001). Gestión centralizada de secretos respaldada en la nube para prevenir la exposición de credenciales. Aplicación estricta de la Política de Seguridad de Contenido (CSP).
  • Gestión de Vulnerabilidades: Aplicación periódica de parches, revisión de dependencias y flujos de trabajo de despliegue con línea base segura (canalizaciones de Cero Tiempo de Inactividad).
  • Continuidad del Negocio: Copias de seguridad automatizadas; procedimientos documentados de respuesta a incidentes y de enrutamiento de contingencia para las API dinámicas.
  • Ciclo de Vida de los Datos: Protocolos automatizados de supresión GDPR/SOC2 (p. ej., ventana de purga de 72 horas hábiles) y procesos de sobrescritura de copias de seguridad conforme a la Cláusula 8.

La lista actual de Subencargados sustanciales (proveedores de alojamiento y de IA) se mantiene en nuestra Lista de Subencargados, la cual se incorpora por referencia.

Contacto: privacidad@cerovueltas.com | legal@cerovueltas.com

SUITE IMPERIAL LLC, Nuevo México, EE. UU.