1. Objeto y Partes
1.1 Encargado del Tratamiento
Yellowhak OÜ, con domicilio en Harju maakond, Tallinn, Lasnamäe linnaosa, Lõõtsa tn 5, 11415, Estonia, actúa en calidad de Encargado del Tratamiento de los datos personales de los contactos de WhatsApp del Cliente, procesados a través de la plataforma InvokerOS.
1.2 Responsable del Tratamiento
El Cliente (la empresa o persona física que contrata InvokerOS) actúa en calidad de Responsable del Tratamiento de los datos personales de sus contactos, clientes finales y prospectos cuyas comunicaciones gestiona a través de InvokerOS.
1.3 Objeto
El presente DPA regula el tratamiento de datos personales realizado por Yellowhak OÜ en nombre y por cuenta del Cliente, en el contexto de la prestación del servicio InvokerOS, incluyendo el procesamiento de mensajes de WhatsApp, datos de contactos, datos de transacciones y cualquier otro dato personal que el Cliente introduzca o genere en la plataforma.
2. Definiciones
Los términos en mayúsculas no definidos en el presente DPA tienen el significado atribuido en los Términos de Uso o en el RGPD. A efectos de este DPA:
- "RGPD": Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- "Datos Personales": Toda información sobre una persona física identificada o identificable, según el Art. 4.1 RGPD.
- "Tratamiento": Cualquier operación o conjunto de operaciones efectuadas sobre datos personales, según el Art. 4.2 RGPD.
- "Responsable": El Cliente, quien determina los fines y medios del tratamiento.
- "Encargado": Yellowhak OÜ, quien trata los datos por cuenta del Responsable.
- "Subencargado": Cualquier tercero designado por Yellowhak OÜ para realizar actividades de tratamiento en nombre del Responsable.
- "Interesado": La persona física a la que se refieren los Datos Personales (ej. contactos de WhatsApp del Cliente).
- "Brecha de Seguridad": Violación de la seguridad que cause la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales.
- "CCT": Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para transferencias internacionales.
3. Instrucciones de Tratamiento
Yellowhak OÜ tratará los Datos Personales exclusivamente siguiendo las instrucciones documentadas del Cliente, incluyendo las establecidas en este DPA y en la configuración que el Cliente realice en la plataforma InvokerOS. Yellowhak OÜ:
- No tratará los Datos Personales para fines propios distintos a la prestación del Servicio.
- Informará al Cliente inmediatamente si, en su opinión, una instrucción del Cliente infringe el RGPD u otras normas de protección de datos aplicables.
- No divulgará los Datos Personales a terceros salvo con instrucción del Cliente o por obligación legal, en cuyo caso lo notificará al Cliente con carácter previo si la ley lo permite.
4. Obligaciones de Yellowhak OÜ como Encargado
Yellowhak OÜ se compromete a:
- Confidencialidad: Garantizar que las personas autorizadas para tratar los Datos Personales hayan asumido compromisos de confidencialidad o estén sujetas a obligaciones estatutarias de confidencialidad apropiadas.
- Cooperación: Proporcionar al Cliente toda la asistencia razonablemente necesaria para el cumplimiento de las obligaciones del Responsable en materia de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas.
- Registro de Actividades: Mantener un registro de las actividades de tratamiento realizadas por cuenta del Cliente, conforme al Art. 30.2 RGPD.
- Designación de DPO: Yellowhak OÜ ha designado un Delegado de Protección de Datos (DPO) contactable en legal@yellowhak.com.
- Supresión o Devolución: A elección del Cliente, suprimir o devolver todos los Datos Personales una vez finalizada la prestación del Servicio, y suprimir las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos.
- No afectación de derechos individuales: No vender, alquilar ni comercializar los Datos Personales del Cliente bajo ninguna circunstancia.
5. Subencargados
5.1 Autorización General
El Cliente autoriza de forma general a Yellowhak OÜ a contratar subencargados para la prestación del Servicio. Yellowhak OÜ publica y mantiene actualizada la lista de sus subencargados principales en esta página. Yellowhak OÜ notificará al Cliente con al menos 30 días de antelación cualquier incorporación o sustitución de subencargados, dando al Cliente la posibilidad de oponerse razonadamente.
5.2 Responsabilidad por Subencargados
Yellowhak OÜ impondrá a los subencargados, mediante contrato, obligaciones de protección de datos equivalentes a las establecidas en este DPA. Yellowhak OÜ seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del subencargado.
5.3 Subencargados Actuales Principales
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud, almacenamiento | UE (Frankfurt) / con CCT para US |
| Meta Platforms, Inc. | API de WhatsApp Business | EEUU (con CCT) |
| Stripe, Inc. | Procesamiento de pagos | EEUU/UE (con CCT) |
| MercadoPago S.A. | Procesamiento de pagos LATAM | Argentina/Perú |
6. Asistencia en el Ejercicio de Derechos de los Interesados
Cuando Yellowhak OÜ reciba directamente de un Interesado una solicitud de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, limitación u oposición) relacionada con datos personales cuyo Responsable es el Cliente, Yellowhak OÜ:
- Remitirá la solicitud al Cliente en el plazo de 5 días hábiles.
- Proporcionará al Cliente la asistencia técnica razonablemente necesaria para responder a la solicitud dentro de los plazos legales.
- No responderá directamente al Interesado sobre dichos datos sin autorización expresa del Cliente, salvo obligación legal.
7. Medidas Técnicas y Organizativas de Seguridad (Art. 32 RGPD)
Yellowhak OÜ implementa y mantiene las siguientes medidas de seguridad, adecuadas al nivel de riesgo:
7.1 Medidas Técnicas
- Cifrado en tránsito: TLS 1.3 para todas las comunicaciones entre clientes y servidores.
- Cifrado en reposo: AES-256 para datos almacenados en bases de datos y sistemas de archivos.
- Control de acceso: RBAC (Control de Acceso Basado en Roles), principio de mínimo privilegio, MFA obligatorio para accesos privilegiados.
- Seudoanonimización: Aplicada donde sea técnicamente posible para reducir el riesgo de identificación.
- Copias de seguridad: Backups cifrados automáticos con retención de 30 días y pruebas de restauración periódicas.
- Gestión de vulnerabilidades: Parcheo periódico, escaneo de vulnerabilidades y tests de penetración anuales.
- Monitorización continua: Sistema de detección y prevención de intrusiones (IDS/IPS) y alertas automatizadas.
7.2 Medidas Organizativas
- Política de seguridad de la información documentada y revisada anualmente.
- Formación obligatoria en protección de datos y seguridad para todos los empleados.
- Acuerdos de confidencialidad firmados por todos los empleados y contratistas.
- Procedimiento documentado de respuesta a incidentes de seguridad.
- Plan de continuidad del negocio y recuperación ante desastres (BCP/DRP).
- Registro de actividades de tratamiento conforme al Art. 30 RGPD.
8. Notificación de Brechas de Seguridad
En caso de Brecha de Seguridad que afecte a Datos Personales tratados por cuenta del Cliente, Yellowhak OÜ notificará al Cliente sin dilación indebida y, en todo caso, en el plazo máximo de 36 horas desde que tenga conocimiento, facilitando:
- Descripción de la naturaleza de la brecha (categorías y volumen aproximado de datos e interesados afectados).
- Datos de contacto del DPO de Yellowhak OÜ.
- Descripción de las posibles consecuencias de la brecha.
- Descripción de las medidas adoptadas o propuestas para remediar la brecha.
Corresponde al Cliente, como Responsable, notificar la brecha a la autoridad de supervisión competente (en el plazo de 72 horas según Art. 33 RGPD) y, cuando proceda, a los Interesados afectados. Yellowhak OÜ colaborará con el Cliente en dicha notificación.
9. Evaluación de Impacto en Protección de Datos (EIPD / PIA)
Yellowhak OÜ proporcionará al Cliente toda la información razonablemente necesaria para que este pueda realizar Evaluaciones de Impacto en la Protección de Datos (EIPD) y consultas previas con la autoridad supervisora, conforme a los Arts. 35 y 36 RGPD. El Cliente es el responsable de iniciar y completar la EIPD cuando sea legalmente requerida.
10. Transferencias Internacionales de Datos
Cuando el tratamiento de Datos Personales implique una transferencia a países fuera del EEE, Yellowhak OÜ garantizará que dicha transferencia se realice únicamente:
- A países con nivel de protección adecuado reconocido por la Comisión Europea; o
- Mediante Cláusulas Contractuales Tipo (CCT) según Decisión de Ejecución (UE) 2021/914 de la Comisión; o
- Mediante otras garantías apropiadas conforme al Art. 46 RGPD.
Las CCT aplicables se incorporan por referencia como Anexo II de este DPA y están disponibles bajo solicitud a legal@yellowhak.com.
11. Auditoría y Demostrabilidad
Yellowhak OÜ pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA y permitirá y contribuirá a la realización de auditorías, incluyendo inspecciones, llevadas a cabo por el Cliente o un auditor autorizado por este.
Las auditorías se realizarán previo aviso por escrito con al menos 30 días naturales de antelación, con una frecuencia máxima de una vez al año, en horario laboral, sin interferir con las operaciones del Servicio y sujetas a un acuerdo de confidencialidad. Los costes de la auditoría correrán a cargo del Cliente.
12. Duración y Efectos de la Terminación
Este DPA estará vigente durante toda la vigencia del contrato de suscripción de InvokerOS. Tras la terminación del contrato, Yellowhak OÜ:
- Concederá al Cliente un período de 30 días para exportar sus Datos Personales.
- Transcurrido dicho período, procederá a la eliminación segura e irrecuperable de todos los Datos Personales del Cliente en sus sistemas y en los de sus subencargados.
- Emitirá, bajo solicitud del Cliente, una certificación escrita de eliminación.
- Conservará exclusivamente los datos que deba mantener por imperativo legal (ej. registros fiscales).
13. Ley Aplicable
Este DPA se rige por el Derecho de la República de Estonia y el Derecho de la Unión Europea, en particular el RGPD. Las disputas se resolverán conforme a lo establecido en la cláusula de ley aplicable y arbitraje de los Términos de Uso, con las especialidades propias de la normativa de protección de datos.
Anexo I — Descripción de las Actividades de Tratamiento
| Elemento | Descripción |
|---|---|
| Objeto del tratamiento | Gestión de conversaciones de WhatsApp, CRM, cobros y analíticas mediante la plataforma InvokerOS |
| Naturaleza del tratamiento | Almacenamiento, transmisión, consulta, uso, combinación, bloqueo y supresión de datos personales |
| Finalidad | Prestación del Servicio InvokerOS según instrucciones del Cliente |
| Categorías de interesados | Contactos de WhatsApp del Cliente; clientes finales del Cliente; empleados del Cliente (usuarios de la plataforma) |
| Categorías de datos personales | Números de teléfono, nombres, contenido de mensajes de WhatsApp, datos de pedidos y transacciones, metadatos de conversaciones, datos de identificación de cuenta |
| Categorías especiales (Art. 9) | No se tratan de forma sistemática. El Cliente es responsable de no introducir categorías especiales sin las garantías adicionales correspondientes. |
| Duración | Durante la vigencia del contrato + 30 días de período de exportación |