Documento legal

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 9 de junio de 2026  ·  Incluye: addendum GDPR (UE) y addendum CCPA/CPRA (California)

Este DPA regula el tratamiento de datos personales que la Compañía realiza por cuenta del usuario cuando éste contrata el Servicio. Forma parte integrante de los Términos del Servicio y entra en vigor automáticamente al contratar cualquier plan, sin necesidad de firma adicional, salvo que se acuerde una versión específica por escrito.

1.Definiciones y roles

Los términos "Datos Personales", "Tratamiento", "Responsable", "Encargado", "Subencargado", "Interesado" y "Autoridad de Control" se interpretan conforme al RGPD. Los términos equivalentes bajo CCPA ("Business", "Service Provider", "Consumer", "Personal Information") se aplican análogamente para usuarios o interesados sujetos a esa normativa.

Roles

  • Usuario = Responsable / Business: determina los fines y medios del tratamiento de los datos extraídos.
  • ROIQ PARTNERS LLC = Encargada / Service Provider: trata los datos siguiendo las instrucciones del Usuario, derivadas del uso del Servicio.

2.Alcance del tratamiento

El tratamiento se limita a lo necesario para prestar el Servicio, en concreto:

  • Procesar localmente en el navegador del usuario los datos de negocios extraídos de Google Maps.
  • Transmitir transitoriamente lotes de leads, a través del backend de la Compañía (Cloudflare Workers), al servicio de IA cuando el usuario invoque la función de limpieza, exclusivamente para devolver los datos normalizados al navegador.
  • Almacenar metadatos de licencia (email del usuario, plan, cuotas, créditos, fechas) en la base de datos de licencias (Cloudflare D1).
No almacenamos de forma persistente el contenido de los listados extraídos. Los datos van del navegador del usuario al fichero exportado en su equipo, salvo el paso transitorio por la IA cuando el usuario lo solicita.

3.Categorías de datos e interesados

Categorías de Datos Personales (cuando aplica, dado que muchos datos extraídos son de empresas y no constituyen datos personales):

  • Nombre del establecimiento o profesional.
  • Dirección postal del negocio.
  • Teléfono comercial publicado.
  • Email comercial publicado o encontrado en el sitio web del negocio.
  • URL del sitio web del negocio.
  • Categoría de actividad, calificación pública y horario, si están publicados.

Categorías de Interesados: personas físicas o jurídicas titulares de los negocios listados en Google Maps cuyos datos sean recopilados por el Usuario mediante el Servicio.

Duración del tratamiento: la del contrato principal entre el Usuario y la Compañía, salvo que el tratamiento concreto sea instantáneo (caso del paso por IA).

4.Obligaciones de la Compañía como Encargada

La Compañía se compromete a:

  • Tratar los datos exclusivamente conforme a las instrucciones documentadas del Usuario (derivadas del uso del Servicio y de estos términos).
  • Garantizar el deber de confidencialidad del personal con acceso a los datos.
  • Aplicar las medidas técnicas y organizativas detalladas en la Sección 8.
  • Asistir al Usuario, en la medida posible, en la respuesta a solicitudes de los interesados (acceso, rectificación, supresión, oposición, portabilidad).
  • Notificar al Usuario sin demora indebida cualquier brecha de seguridad que afecte a sus datos.
  • Poner a disposición del Usuario información razonable que demuestre el cumplimiento de las obligaciones derivadas de este DPA.
  • Eliminar o devolver los datos al final del contrato según se indica en la Sección 10.

5.Obligaciones del Usuario como Responsable

El Usuario se compromete a:

  • Disponer de base de licitud válida para el tratamiento (interés legítimo evaluado, consentimiento u otra) según la normativa aplicable.
  • Informar a los interesados conforme a la normativa, especialmente sobre el origen, finalidad, base de licitud, plazos, derechos y posibilidad de oponerse.
  • Tramitar las solicitudes de derechos de los interesados que reciba.
  • Implementar sus propias medidas técnicas y organizativas para proteger los datos una vez exportados.
  • Cumplir CAN-SPAM, TCPA, GDPR, CCPA, LGPD y demás normativa que le sea aplicable según la jurisdicción del interesado.
  • No instruir a la Compañía para realizar tratamientos contrarios a derecho.

6.Subencargados

El Usuario autoriza expresamente, por la mera contratación del Servicio, a los siguientes subencargados:

SubencargadoFinalidadUbicaciónMarco de transferencia
Stripe, Inc. Procesamiento de pagos EE.UU. SCC + DPF
Google LLC (Gemini API) Limpieza de leads con IA (procesamiento transitorio) EE.UU. SCC + DPF
Anthropic, PBC (Claude API) Generación de mensajes de outreach con IA (procesa la información de oferta y modelo de negocio que aporta el Usuario, no los datos de los leads extraídos) EE.UU. SCC
HighLevel, Inc. (GoHighLevel) CRM y emails transaccionales EE.UU. SCC + DPF
Cloudflare, Inc. Infraestructura de licencias y backend (Workers, base de datos D1), proxy de IA, red de entrega de contenido y seguridad del sitio EE.UU. / global SCC + DPF

Los cambios futuros de subencargados serán notificados al Usuario por email o mediante actualización de esta lista en el sitio web con antelación razonable. El Usuario podrá oponerse fundadamente; si la oposición impide la prestación del Servicio en condiciones razonables, el Usuario podrá resolver el contrato.

7.Transferencias internacionales

Las transferencias fuera del Espacio Económico Europeo se amparan en:

  • Las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) en las versiones controlador → encargado y encargado → subencargado, que se incorporan por referencia a este DPA.
  • El EU-US Data Privacy Framework, cuando el subencargado esté certificado.
  • Medidas técnicas y organizativas suplementarias (cifrado, control de accesos, minimización).

8.Medidas técnicas y organizativas

La Compañía aplica al menos las siguientes medidas:

  • Cifrado TLS 1.2 o superior en todas las comunicaciones entre cliente y servidores propios y subencargados.
  • Cifrado en reposo en la infraestructura de los subencargados conforme a sus estándares (Cloudflare D1, Stripe).
  • Control de acceso por rol con principio de mínimo privilegio.
  • Acceso al panel de administración protegido mediante Cloudflare Access (Zero Trust), con verificación en dos pasos / código de un solo uso (OTP).
  • Registro de auditoría de operaciones administrativas sobre la base de licencias (Cloudflare D1).
  • Segregación lógica de los datos entre usuarios.
  • Revisión periódica de permisos y eliminación de accesos no necesarios.
  • Confidencialidad contractual del personal con acceso a datos.
  • Copias de seguridad regulares con retención limitada y rotación.
  • Plan de respuesta a incidentes documentado y revisado.

9.Brechas de seguridad

En caso de violación de seguridad que afecte a Datos Personales tratados por la Compañía por cuenta del Usuario, la Compañía:

  • Notificará al Usuario por email dentro de las 72 horas siguientes a tener conocimiento de la brecha.
  • Proporcionará información razonable sobre la naturaleza, alcance, datos afectados, medidas adoptadas y recomendaciones.
  • Cooperará razonablemente con el Usuario para que éste pueda cumplir sus propias obligaciones de notificación a la autoridad de control y a los interesados cuando proceda.

La notificación al Usuario no constituye reconocimiento de responsabilidad por parte de la Compañía.

10.Devolución y eliminación de datos

Al finalizar el contrato, a elección del Usuario manifestada en los 30 días siguientes, la Compañía:

  • Eliminará los Datos Personales tratados, o
  • Los devolverá en formato estructurado.

Pasado el plazo de 30 días sin instrucción, la Compañía procederá a la eliminación en los plazos indicados en la Política de Privacidad, conservando lo estrictamente necesario por obligación legal (especialmente, datos contables y de facturación durante 7 años).

11.Auditoría

La Compañía pondrá a disposición del Usuario, previa solicitud razonable y con preaviso de 30 días, la información necesaria para acreditar el cumplimiento de este DPA. Cuando el Usuario sea un cliente empresarial con obligaciones reforzadas, podrá solicitar una auditoría una vez al año natural, en horario laboral, sin coste para la Compañía, sujeta a confidencialidad y sin acceso a información de otros clientes. Las auditorías presenciales requieren acuerdo previo sobre alcance, fechas y costes asociados.

12.Addendum GDPR (UE / EEE / UK)

Para los Usuarios sujetos al RGPD y/o UK GDPR:

  • Las SCC versión controlador → encargado (Módulo 2) aprobadas por la Comisión Europea (Decisión 2021/914) se incorporan por referencia y prevalecen sobre cualquier disposición contraria de este DPA.
  • El Reino Unido aplica el International Data Transfer Addendum a las SCC (B1.0), también incorporado por referencia cuando proceda.
  • El Usuario reconoce ser el Responsable y la Compañía la Encargada.
  • La autoridad supervisora competente es la del país de establecimiento principal del Usuario.

13.Addendum CCPA/CPRA (California)

Para los Usuarios sujetos a la CCPA/CPRA, la Compañía actúa como Service Provider según definición de la ley, y se compromete específicamente a:

  • NO vender ni compartir la información personal recibida del Usuario.
  • NO retener, usar ni divulgar la información personal fuera del propósito de la prestación de los servicios contratados.
  • NO combinar la información personal del Usuario con información recibida de otros sources o recopilada por su cuenta, salvo en lo estrictamente necesario para prestar el Servicio.
  • Notificar al Usuario si determina que no puede cumplir estas obligaciones.
  • Permitir al Usuario verificar el cumplimiento mediante medidas razonables.

La Compañía certifica que comprende y cumplirá las restricciones aplicables a Service Providers bajo la CCPA/CPRA.

14.Contacto del DPO

Aunque la Compañía no está obligada por su tamaño a designar un Delegado de Protección de Datos (DPO), todas las consultas de privacidad pueden dirigirse a:

  • Email: [email protected] (asunto "DPA")
  • Responsable: ROIQ PARTNERS LLC, Florida, EE.UU.