Acuerdo de Procesamiento de Datos (DPA)

Ultima actualizacion: abril 2026

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el cliente que contrata los servicios de CloserWings (en adelante, el "Responsable del Tratamiento" o "Controlador") y Alex Bano, operando bajo la marca CloserWings (en adelante, el "Encargado del Tratamiento" o "Procesador").

Este DPA forma parte integrante del contrato de servicio entre ambas partes y tiene como finalidad garantizar el cumplimiento del Reglamento General de Proteccion de Datos (RGPD - Reglamento UE 2016/679).

1. Definiciones

  • "Datos Personales" significa cualquier informacion relativa a una persona fisica identificada o identificable, segun lo definido en el articulo 4(1) del RGPD.
  • "Tratamiento" significa cualquier operacion realizada sobre Datos Personales, segun lo definido en el articulo 4(2) del RGPD.
  • "Interesado" significa la persona fisica identificada o identificable a la que se refieren los Datos Personales.
  • "Subencargado" significa cualquier tercero contratado por el Procesador para tratar Datos Personales en nombre del Controlador.
  • "Violacion de Datos Personales" significa una brecha de seguridad que provoque la destruccion, perdida, alteracion o acceso no autorizado a Datos Personales.

2. Alcance y finalidad del tratamiento

Objeto del tratamientoPrestacion de la plataforma SaaS de coaching de ventas con IA CloserWings
DuracionMientras dure la relacion contractual entre el Controlador y el Procesador
Naturaleza y finalidadAnalisis de llamadas de venta mediante IA, preparacion de leads, generacion de seguimientos, gestion de equipos comerciales, facturacion
Tipos de Datos PersonalesNombres, direcciones de email, datos de calendario (eventos, participantes), transcripciones de llamadas de venta, metricas de rendimiento, datos de facturacion, numeros de telefono, mensajes de seguimiento
Categorias de InteresadosClosers (vendedores), managers de equipo, leads/prospectos mencionados en llamadas y calendarios

3. Obligaciones del Procesador

El Procesador (CloserWings) se compromete a:

  • a)Tratar los Datos Personales unicamente conforme a las instrucciones documentadas del Controlador, salvo que lo exija la legislacion aplicable.
  • b)Garantizar que las personas autorizadas para tratar datos estan sujetas a obligaciones de confidencialidad.
  • c)Implementar las medidas tecnicas y organizativas de seguridad apropiadas descritas en la Seccion 5.
  • d)Asistir al Controlador en la respuesta a solicitudes de ejercicio de derechos de los Interesados.
  • e)Asistir al Controlador en el cumplimiento de los articulos 32 a 36 del RGPD (seguridad, notificacion de brechas, evaluaciones de impacto).
  • f)Eliminar o devolver todos los Datos Personales al finalizar el contrato, a eleccion del Controlador.
  • g)Poner a disposicion del Controlador toda la informacion necesaria para demostrar el cumplimiento y permitir auditorias.

4. Subencargados del tratamiento

El Procesador utiliza los siguientes subencargados para la prestacion del servicio. Cada subencargado esta sujeto a obligaciones de proteccion de datos equivalentes a las establecidas en este DPA.

Supabase

Union Europea (UE)

Finalidad: Almacenamiento de datos, base de datos y autenticacion

Datos tratados: Todos los datos personales almacenados (nombre, email, datos de perfil, transcripciones, analisis)

Anthropic (Claude AI)

Estados Unidos (EE.UU.)

Finalidad: Analisis de transcripciones de llamadas mediante inteligencia artificial (scoring, deteccion de objeciones, feedback)

Datos tratados: Transcripciones de llamadas de venta, datos contextuales del lead

Stripe

Estados Unidos / Union Europea (EE.UU. / UE)

Finalidad: Procesamiento de pagos y gestion de suscripciones

Datos tratados: Datos de facturacion, email, nombre del titular, informacion de pago

Google (Calendar OAuth)

Estados Unidos (EE.UU.)

Finalidad: Acceso a eventos de calendario para la preparacion automatizada de llamadas

Datos tratados: Nombre del evento, participantes, fecha y hora, descripcion del evento

Fireflies.ai

Estados Unidos (EE.UU.)

Finalidad: Grabacion y transcripcion automatica de llamadas de venta

Datos tratados: Grabaciones de audio, transcripciones de llamadas

Fathom

Estados Unidos (EE.UU.)

Finalidad: Grabacion y transcripcion automatica de llamadas de venta

Datos tratados: Grabaciones de audio, transcripciones de llamadas

Resend

Estados Unidos (EE.UU.)

Finalidad: Envio de correos electronicos transaccionales y notificaciones del servicio

Datos tratados: Direccion de email, nombre del destinatario, contenido del mensaje

Meta / WhatsApp

Estados Unidos (EE.UU.)

Finalidad: Envio de mensajes de seguimiento cuando el usuario activa la integracion

Datos tratados: Numero de telefono, nombre del contacto, contenido del mensaje

Notificacion de cambios: El Procesador notificara al Controlador con un minimo de 30 dias de antelacion antes de incorporar un nuevo subencargado, proporcionando informacion sobre la identidad, ubicacion y naturaleza del tratamiento. El Controlador podra oponerse en un plazo de 15 dias.

5. Medidas de seguridad

El Procesador implementa las siguientes medidas tecnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

Medidas tecnicas

  • Cifrado de datos en transito (TLS/HTTPS) y en reposo
  • Control de acceso basado en roles (RBAC) y autenticacion segura
  • Almacenamiento de contrasenas con hash seguro (bcrypt)
  • Copias de seguridad y procedimientos de recuperacion ante desastres
  • Registro y monitorizacion de accesos a datos
  • Revision periodica de seguridad y evaluacion de vulnerabilidades
  • Aislamiento de datos entre equipos/organizaciones (multi-tenancy seguro)

Medidas organizativas

  • Formacion del personal en proteccion de datos
  • Acuerdos de confidencialidad con todo el personal
  • Procedimientos de respuesta ante incidentes de seguridad
  • Revision y actualizacion periodica de las medidas de seguridad
  • Principio de minimo privilegio en el acceso a datos
  • Politica de gestion de accesos y bajas de personal

6. Notificacion de violaciones de datos

El Procesador notificara al Controlador cualquier violacion de Datos Personales sin demora indebida y en un plazo maximo de 72 horas desde que tenga conocimiento de la misma.

La notificacion incluira:

  • a)Naturaleza de la violacion, incluyendo las categorias y el numero aproximado de Interesados afectados.
  • b)Nombre y datos de contacto del punto de contacto para la proteccion de datos.
  • c)Consecuencias probables de la violacion.
  • d)Medidas adoptadas o propuestas para remediar la violacion y mitigar sus posibles efectos adversos.

7. Transferencias internacionales de datos

Los datos principales se almacenan en servidores de Supabase dentro de la Union Europea. No obstante, determinados subencargados se encuentran ubicados en Estados Unidos. Las transferencias internacionales de datos fuera del EEE se realizan conforme al Capitulo V del RGPD, amparadas por:

  • Clausulas Contractuales Tipo (SCCs) aprobadas por la Comision Europea (Decision de Ejecucion 2021/914).
  • Marco de Proteccion de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework), cuando el subencargado este certificado.
  • Medidas tecnicas complementarias: cifrado en transito y en reposo, seudonimizacion cuando sea posible, y controles de acceso estrictos.

Los subencargados con transferencias internacionales son: Anthropic, Stripe, Google, Fireflies.ai, Fathom, Resend y Meta/WhatsApp. Todos cuentan con acuerdos de procesamiento de datos y mecanismos de transferencia adecuados.

8. Derechos de los Interesados

El Procesador asistira al Controlador en el cumplimiento de sus obligaciones de respuesta a solicitudes de los Interesados relativas a:

  • Acceso a sus datos personales (Art. 15 RGPD).
  • Rectificacion de datos inexactos o incompletos (Art. 16 RGPD).
  • Supresion de datos ("derecho al olvido") (Art. 17 RGPD).
  • Limitacion del tratamiento (Art. 18 RGPD).
  • Portabilidad de datos en formato estructurado (Art. 20 RGPD).
  • Oposicion al tratamiento (Art. 21 RGPD).

El Procesador respondera a las solicitudes del Controlador en un plazo maximo de 10 dias habiles.

9. Auditorias

El Controlador tiene derecho a realizar auditorias, directamente o a traves de un auditor externo, para verificar el cumplimiento de este DPA. El Procesador:

  • Pondra a disposicion del Controlador toda la informacion necesaria para demostrar el cumplimiento.
  • Permitira y contribuira a la realizacion de auditorias e inspecciones.
  • Las auditorias se realizaran con un preaviso minimo de 30 dias y en horario laboral razonable.

10. Duracion y finalizacion

Este DPA permanecera en vigor durante toda la duracion del contrato de servicio subyacente. A la finalizacion del contrato:

  • El Procesador eliminara o devolvera todos los Datos Personales en un plazo de 30 dias, a eleccion del Controlador.
  • El Procesador certificara por escrito la eliminacion de los datos.
  • Se exceptuan los datos cuya conservacion sea exigida por la legislacion aplicable (p. ej., datos de facturacion durante 5 anos conforme a la normativa fiscal espanola).

11. Legislacion aplicable

Este Acuerdo de Procesamiento de Datos se rige por la legislacion del Reino de Espana y por el Reglamento General de Proteccion de Datos (RGPD - Reglamento UE 2016/679). Cualquier controversia derivada de este acuerdo sera sometida a los juzgados y tribunales competentes de Espana.

12. Contacto

Para cualquier cuestion relacionada con este DPA o con el tratamiento de datos personales, puede contactar con el Procesador en:

Este documento tiene caracter informativo y contractual. Se recomienda que ambas partes consulten con un abogado especializado en proteccion de datos antes de la firma definitiva. CloserWings se compromete a actualizar este acuerdo cuando se produzcan cambios relevantes en los subencargados, las medidas de seguridad o la legislacion aplicable.