Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 12 de agosto de 2025

1. Introducción y Alcance

Este Acuerdo de Procesamiento de Datos ("DPA") es un anexo a nuestros Términos de Servicio y Política de Privacidad, y rige el procesamiento de datos personales por parte de Kumanday Labs ("Procesador") en nombre de nuestros clientes ("Controlador") en el contexto de nuestros servicios de automatización y WhatsApp Business API.

Este DPA entra en vigor cuando usted utiliza nuestros servicios que involucran el procesamiento de datos personales y permanece vigente durante la duración de nuestro acuerdo de servicios.

2. Definiciones

Para los propósitos de este DPA:

  • Datos Personales: Cualquier información relacionada con una persona física identificada o identificable
  • Procesamiento: Cualquier operación realizada sobre datos personales, como recopilación, registro, organización, estructuración, almacenamiento, adaptación, alteración, recuperación, consulta, uso, divulgación, alineación, combinación, restricción, eliminación o destrucción
  • Controlador: El cliente que determina los propósitos y medios del procesamiento de datos personales
  • Procesador: Kumanday Labs, que procesa datos personales en nombre del Controlador
  • Subprocesador: Cualquier tercero contratado por Kumanday Labs para procesar datos personales
  • Interesado: La persona física identificada o identificable a quien se refieren los datos personales

3. Naturaleza y Propósito del Procesamiento

3.1. Categorías de Datos Personales

Podemos procesar las siguientes categorías de datos personales:

  • Datos de identidad (nombres, apellidos, títulos)
  • Datos de contacto (direcciones de email, números de teléfono)
  • Datos profesionales (empresa, cargo, información laboral)
  • Datos de comunicación (mensajes de WhatsApp Business, conversaciones de Chatwoot)
  • Datos técnicos (direcciones IP, identificadores de dispositivos, logs de sistema)
  • Datos de uso (métricas de interacción, preferencias de usuario)

3.2. Categorías de Interesados

  • Clientes del Controlador
  • Empleados del Controlador
  • Contactos comerciales del Controlador
  • Usuarios finales de servicios del Controlador

3.3. Propósitos del Procesamiento

Procesamos datos personales únicamente para:

  • Proporcionar servicios de automatización contratados
  • Facilitar comunicaciones a través de WhatsApp Business API
  • Gestionar conversaciones de clientes mediante Chatwoot
  • Proporcionar soporte técnico y mantenimiento
  • Cumplir con obligaciones legales aplicables
  • Proteger la seguridad y integridad de nuestros sistemas

4. Obligaciones del Procesador

Kumanday Labs se compromete a:

  • Procesamiento según instrucciones: Procesar datos personales únicamente según las instrucciones documentadas del Controlador
  • Confidencialidad: Asegurar que las personas autorizadas a procesar datos personales se hayan comprometido a mantener la confidencialidad
  • Seguridad: Implementar medidas técnicas y organizativas apropiadas para proteger los datos personales
  • Subprocesadores: No contratar subprocesadores adicionales sin el consentimiento previo del Controlador
  • Asistencia: Ayudar al Controlador a cumplir con las solicitudes de derechos de los interesados
  • Notificación de violaciones: Notificar al Controlador sobre cualquier violación de datos personales sin demora indebida
  • Eliminación o devolución: Eliminar o devolver todos los datos personales al finalizar los servicios
  • Auditorías: Poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías

5. Medidas de Seguridad

Implementamos las siguientes medidas de seguridad técnicas y organizativas:

5.1. Medidas Técnicas

  • Cifrado de datos en tránsito y en reposo (AES-256, TLS 1.3)
  • Autenticación multifactor para acceso a sistemas
  • Firewall y sistemas de detección de intrusos
  • Monitoreo continuo de seguridad 24/7
  • Backups cifrados y seguros
  • Segregación de redes y ambientes
  • Logs de auditoría detallados

5.2. Medidas Organizativas

  • Políticas de seguridad de la información documentadas
  • Capacitación regular en protección de datos para empleados
  • Acuerdos de confidencialidad con todo el personal
  • Principio de menor privilegio para acceso a datos
  • Procedimientos de respuesta a incidentes
  • Revisiones regulares de seguridad y auditorías
  • Gestión de acceso y control de identidad

6. Subprocesadores

El Controlador autoriza expresamente el uso de los siguientes subprocesadores:

6.1. Subprocesadores Actuales

  • Meta Platforms Inc. - Servicios de WhatsApp Business API
    Ubicación: Estados Unidos
    Propósito: Infraestructura de mensajería de WhatsApp
  • Chatwoot Inc. - Plataforma de gestión de conversaciones
    Ubicación: Estados Unidos
    Propósito: Gestión y análisis de conversaciones de clientes
  • Amazon Web Services (AWS) - Servicios de infraestructura en la nube
    Ubicación: Estados Unidos, Europa
    Propósito: Alojamiento y procesamiento de datos

6.2. Cambios en Subprocesadores

Notificaremos al Controlador con al menos 30 días de anticipación sobre cualquier adición o cambio de subprocesadores. El Controlador puede objetar por motivos relacionados con la protección de datos.

7. Transferencias Internacionales

Cuando los datos personales se transfieren fuera del Espacio Económico Europeo (EEE), implementamos las siguientes salvaguardas:

  • Cláusulas Contractuales Estándar (SCC): Utilizamos las SCC aprobadas por la Comisión Europea
  • Decisiones de Adequacy: Transferimos a países con decisiones de adequacy cuando es aplicable
  • Medidas Complementarias: Implementamos medidas técnicas adicionales cuando es necesario
  • Certificaciones: Nos basamos en marcos de certificación reconocidos cuando están disponibles

8. Derechos de los Interesados

Asistimos al Controlador en el cumplimiento de los siguientes derechos de los interesados:

  • Derecho de acceso: Proporcionar acceso a datos personales procesados
  • Derecho de rectificación: Corregir datos personales inexactos
  • Derecho de supresión: Eliminar datos personales cuando se solicite
  • Derecho de restricción: Restringir el procesamiento cuando se solicite
  • Derecho de portabilidad: Proporcionar datos en formato estructurado
  • Derecho de oposición: Cesar el procesamiento cuando se objete

Las solicitudes deben dirigirse inicialmente al Controlador, quien puede contactarnos para asistencia técnica.

9. Violaciones de Datos Personales

En caso de una violación de datos personales:

  • Notificación inmediata: Notificaremos al Controlador sin demora indebida y, en cualquier caso, dentro de las 24 horas posteriores a tomar conocimiento
  • Información detallada: Proporcionaremos toda la información disponible sobre la violación
  • Medidas correctivas: Implementaremos medidas inmediatas para contener y mitigar la violación
  • Cooperación: Cooperaremos completamente con las investigaciones del Controlador
  • Documentación: Mantendremos registros detallados de todas las violaciones

10. Retención y Eliminación de Datos

Los períodos de retención son los siguientes:

  • Datos de contacto: Durante la vigencia del contrato de servicios
  • Mensajes de WhatsApp: Solo con consentimiento explícito, según instrucciones del Controlador
  • Datos de Chatwoot: Según configuración del cliente o máximo 2 años
  • Logs de sistema: Máximo 90 días para fines de seguridad
  • Datos de backup: Máximo 30 días después de la eliminación de producción

Al finalizar los servicios, eliminaremos o devolveremos todos los datos personales dentro de 30 días, salvo que la ley requiera su conservación.

11. Auditorías e Inspecciones

El Controlador tiene derecho a:

  • Recibir informes de auditoría anuales sobre nuestras medidas de seguridad
  • Realizar auditorías presenciales con 30 días de aviso previo
  • Designar auditores independientes calificados
  • Acceder a registros y documentación relevantes
  • Entrevistar al personal relevante

Las auditorías se realizarán durante horario comercial normal y no interferirán con nuestras operaciones.

12. Responsabilidad y Limitaciones

En relación con el procesamiento de datos personales:

  • Cada parte es responsable de cumplir con sus obligaciones bajo las leyes de protección de datos aplicables
  • Kumanday Labs es responsable únicamente por daños causados por el incumplimiento de este DPA
  • La responsabilidad total está limitada según nuestros Términos de Servicio principales
  • Excluimos responsabilidad por actos u omisiones del Controlador o terceros

13. Resolución de Disputas

Para disputas relacionadas con el procesamiento de datos:

  • Las partes intentarán resolver disputas a través de negociación de buena fe
  • Si la negociación falla, las disputas se resolverán mediante arbitraje
  • El arbitraje se realizará en Manizales, Colombia
  • Se aplicará la ley colombiana y las regulaciones internacionales de protección de datos

14. Modificaciones

Este DPA puede modificarse únicamente:

  • Por acuerdo escrito mutuo de las partes
  • Para cumplir con cambios en las leyes de protección de datos aplicables
  • Para reflejar cambios en nuestros servicios, con notificación previa de 60 días

15. Vigencia y Terminación

Este DPA:

  • Entra en vigor cuando comienza el procesamiento de datos personales
  • Permanece vigente durante toda la duración de nuestros servicios
  • Sobrevive a la terminación de los servicios principales hasta que se completen las obligaciones de eliminación
  • Puede terminarse por cualquier parte con causa justificada relacionada con protección de datos

16. Contacto para Asuntos de Protección de Datos

Para consultas sobre este DPA o asuntos de protección de datos:

Kumanday Labs
Oficial de Protección de Datos (DPO)
Correo electrónico: privacidad@kumandaylabs.com
Correo electrónico general: contacto@kumandaylabs.com
Teléfono: +57 320 707 5013
Dirección: Manizales, Caldas, Colombia
Horario de atención: Lunes a Viernes, 8:00 AM - 6:00 PM (COT)

17. Anexos y Referencias

Este DPA debe leerse junto con:

18. Declaración de Cumplimiento

Kumanday Labs declara que:

  • Cumple con el Reglamento General de Protección de Datos (GDPR) de la UE
  • Cumple con la Ley de Privacidad del Consumidor de California (CCPA)
  • Mantiene certificaciones SOC 2 Tipo II
  • Es un proveedor tecnológico certificado de Meta para WhatsApp Business API
  • Implementa y mantiene un programa integral de protección de datos