Legal / Adenda de Procesamiento de Datos
Vigente desde 2026-05-19

Adenda de Procesamiento de Datos

Resumen de 30 segundos: Para clientes empresariales que necesitan DPA formal: actuamos como procesador de tus datos, tú sigues siendo el responsable. Procesamos solo según instrucciones, mantenemos confidencialidad, aseguramos los datos y ayudamos con solicitudes de titulares. Firma y devuelve el PDF a legal@agora-virtual.com.

1. Roles y alcance

El cliente ("tú") es el responsable del tratamiento. Mycontracts ("nosotros") es el encargado del tratamiento. Procesamos datos personales en tu nombre únicamente para proveer el servicio según estos términos y tus instrucciones documentadas.

2. Categorías de datos + titulares

  • Categorías de datos: identificadores de negocio, datos de contacto, facturación, telemetría de uso, salidas de IA.
  • Categorías de titulares: tus empleados, usuarios autorizados, contactos dentro del perfil.
  • Datos sensibles: no procesamos a sabiendas categorías especiales (salud, raza, religión, biometría). No debes subir esos datos.

3. Propósitos del procesamiento

Únicamente:

  • Proveer los servicios Mycontracts contratados.
  • Cumplir obligaciones legales.
  • Mejorar el servicio de forma agregada y anónima (opt-out disponible).

4. Subprocesadores

Autorizas a los subprocesadores listados en /subprocessors. Notificaremos con 30 días de anticipación antes de agregar o reemplazar uno. Puedes objetar — si no resolvemos la objeción, puedes terminar el servicio.

5. Seguridad

Implementamos medidas técnicas y organizativas apropiadas al riesgo. Lo destacado:

  • TLS 1.2+ en tránsito; cifrado Fernet a nivel de campo para PII en reposo.
  • Auth0 OIDC + MFA obligatorio en planes pagos; CSP y CSRF estrictos.
  • Logs de auditoría en cada acción sensible.
  • Auditoría SOC2 anual (Type 1 para Q1 2026, Type 2 para Q2 2026).
  • Postura completa documentada en /security.

6. Brechas de datos personales

Notificamos sin demora indebida (dentro de 72 horas de tomar conocimiento) cualquier brecha de datos personales que afecte tus datos. La notificación incluye naturaleza, alcance, consecuencias probables y medidas de mitigación.

7. Solicitudes de titulares

Cuando un titular (tu empleado/usuario) nos envía una solicitud directamente, te la reenviamos y te ayudamos a responder. No respondemos independientemente excepto cuando la ley lo requiera.

8. Transferencias internacionales

Para transferencias UE/UK a Estados Unidos, usamos las Cláusulas Contractuales Estándar UE (Módulo Dos: Responsable-a-Encargado) y UK IDTA cuando aplica. Copias bajo petición.

9. Derechos de auditoría

Puedes auditar nuestro cumplimiento una vez por año natural con 30 días de aviso, a tu cargo, en horario laboral, sujeto a confidencialidad. Alternativamente compartimos nuestro reporte SOC2 (cuando esté disponible) bajo NDA.

10. Devolución o eliminación

Al terminar, puedes exportar tus datos vía la plataforma. Después de 30 días eliminamos a menos que la ley nos obligue a retener (registros fiscales, auditoría — esos se retienen hasta 7 años con acceso controlado).

Cómo firmar este DPA

Escribe a legal@agora-virtual.com con el nombre de tu empresa + firmante. Te enviamos el PDF firmado en 2 días hábiles.