Documento legal · Versión 1.0

Acuerdo de Procesamiento de Datos

Data Processing Agreement (DPA) · Vigente desde: 21 de abril de 2026

¿Qué es este documento?

Este Acuerdo de Procesamiento de Datos (DPA) rige la forma en que Suplifai procesa datos personales de terceros en nombre del Cliente — es decir, los datos de los clientes finales del Cliente que interactúan con los Colaboradores Digitales. Este acuerdo forma parte integral de los Términos y Condiciones y es exigido por regulaciones como el GDPR (Art. 28) y la LFPDPPP.

1. Definiciones

  • Responsable del Tratamiento (Controller): El Cliente — la empresa que contrata los servicios de Suplifai y determina los fines y medios del tratamiento de datos de sus clientes finales.
  • Encargado del Tratamiento (Processor): Suplifai Technologies S.A. de C.V. — procesa datos personales únicamente bajo instrucciones del Responsable.
  • Datos Personales: Cualquier información que permita identificar a una persona física (nombres, teléfonos, correos, conversaciones de chat).
  • Tratamiento: Cualquier operación realizada sobre datos personales: recopilación, almacenamiento, consulta, uso, transmisión o eliminación.
  • Sub-Encargado: Terceros contratados por Suplifai que participan en el procesamiento de datos bajo las condiciones de este DPA.

2. Objeto y Alcance del Procesamiento

Suplifai procesará datos personales en nombre del Cliente con el único propósito de operar los Colaboradores Digitales contratados. Los datos procesados pueden incluir:

  • Nombre, número de teléfono y conversaciones de clientes finales en WhatsApp, Instagram o Web.
  • Información de pedidos, cotizaciones y preferencias de compra.
  • Datos de inventario y precios proporcionados por el sistema del Cliente.

El procesamiento se realiza en el territorio de México y, en algunos casos, en servidores en los Estados Unidos bajo acuerdos de transferencia internacional.

3. Instrucciones del Responsable

Suplifai procesará los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, tal como se establecen en los Términos y Condiciones y en la configuración de la plataforma. Si Suplifai considera que una instrucción viola la legislación aplicable, lo notificará al Cliente de inmediato.

4. Obligaciones de Suplifai como Encargado

  • Procesar los datos únicamente para los fines especificados en este DPA.
  • Garantizar que el personal autorizado a acceder a los datos esté sujeto a obligaciones de confidencialidad.
  • Implementar las medidas de seguridad descritas en la Cláusula 6.
  • Notificar al Cliente sobre cualquier solicitud de un titular de datos dentro de los 5 días hábiles.
  • Notificar al Cliente sobre cualquier brecha de seguridad que afecte datos del Cliente dentro de las 72 horas de haberla detectado.
  • No transferir datos a terceros no autorizados sin instrucción previa del Cliente.
  • Cooperar con el Cliente en auditorías de cumplimiento bajo condiciones acordadas mutuamente.

5. Obligaciones del Cliente como Responsable

  • Contar con base legal para el tratamiento de datos de sus clientes finales (consentimiento, contrato o interés legítimo).
  • Informar a sus clientes finales sobre el uso de herramientas de IA en la atención, conforme a la legislación aplicable.
  • No instruir a Suplifai a realizar tratamientos que violen la ley.
  • Responder directamente ante sus clientes finales por el ejercicio de sus derechos ARCO o de protección de datos.

6. Medidas de Seguridad

Suplifai implementa las siguientes medidas técnicas y organizativas:

Técnicas

  • • Cifrado en tránsito (TLS 1.2+)
  • • Cifrado en reposo (AES-256)
  • • Autenticación multifactor (MFA)
  • • Control de acceso basado en roles (RBAC)
  • • Registro de auditoría de accesos

Organizativas

  • • Política de mínimo privilegio
  • • Acuerdos de confidencialidad con empleados
  • • Revisiones periódicas de seguridad
  • • Plan de respuesta a incidentes
  • • Capacitación en protección de datos

7. Sub-Encargados (Sub-Processors)

El Cliente autoriza a Suplifai a contratar Sub-Encargados para la prestación del servicio. Suplifai se asegura de que cada Sub-Encargado esté sujeto a obligaciones de protección de datos equivalentes a las de este DPA.

Sub-Encargado Finalidad Ubicación
Meta Platforms, Inc. WhatsApp Business API / Instagram EE.UU.
Proveedor de nube (cloud) Almacenamiento e infraestructura MX / EE.UU.
Proveedor LLM (IA) Procesamiento de lenguaje natural EE.UU.

Suplifai notificará al Cliente con al menos 10 días de anticipación ante cambios en la lista de Sub-Encargados. El Cliente puede oponerse por escrito dentro de ese plazo.

8. Transferencias Internacionales de Datos

Algunos Sub-Encargados se encuentran fuera de México (principalmente en los Estados Unidos). Suplifai garantiza que dichas transferencias se realizan bajo mecanismos legales adecuados, incluyendo cláusulas contractuales estándar y la adhesión a los marcos de privacidad reconocidos internacionalmente.

9. Retención y Eliminación de Datos

Al terminar el contrato, Suplifai eliminará o anonimizará todos los datos personales del Cliente y sus usuarios finales dentro de los 90 días calendario posteriores a la fecha de terminación, salvo que la ley exija un período de retención mayor. El Cliente puede solicitar una confirmación escrita de la eliminación.

10. Auditorías y Asistencia

Suplifai permitirá al Cliente realizar auditorías de cumplimiento de este DPA, con previo aviso de 30 días hábiles y bajo condiciones acordadas mutuamente (costos y alcance). Alternativamente, Suplifai podrá proporcionar certificaciones o informes de auditoría de terceros como evidencia de cumplimiento.

11. Vigencia

Este DPA tiene la misma vigencia que los Términos y Condiciones suscritos entre las partes y se actualizará en paralelo con ellos. La versión vigente siempre estará publicada en esta URL.

12. Contacto DPA

Para consultas relacionadas con este Acuerdo de Procesamiento de Datos:

📧 legal@suplifai.com

Asunto: "DPA — [Nombre de su empresa]" · Tiempo de respuesta: máximo 5 días hábiles.