Este Acuerdo de procesamiento de datos ("DPA") forma parte de los Términos de servicio entre CallMama Limited ("CallMama", "Procesador") y el cliente comercial que lo acepta ("Cliente", "Responsable"). Se aplica cuando CallMama procesa datos personales en nombre del Cliente; en la práctica, cuando un Cliente comercial utiliza el portal web CallMama para enrutar, almacenar o registrar comunicaciones con sus propias personas que llaman y contactos.
1. Roles
Para los datos personales que el Cliente procesa a través del Servicio sobre sus propias personas que llaman y contactos ("Datos personales del Cliente"), el Cliente es el controlador y CallMama es el procesador. CallMama procesa los Datos personales del Cliente únicamente según las instrucciones documentadas del Cliente, que incluyen los Términos de servicio, este DPA y el uso que hace el Cliente de las funciones del Servicio.
2. Objeto y detalles del tratamiento
| Artículo | Detalle |
|---|---|
| Asunto | Provisión del servicio de llamadas, mensajería, números, enrutamiento y grabación (portal web) CallMama |
| Duración | La duración de los Términos de Servicio |
| Naturaleza y propósito | Para proporcionar los Servicios al Cliente y sus usuarios finales, incluido el alojamiento, la transmisión, el enrutamiento, el almacenamiento y (cuando el Cliente lo permita) el registro de las comunicaciones del Cliente; y para mantener la seguridad e integridad del Servicio |
| Tipos de datos personales | Números de contacto, nombres, metadatos y contenido de llamadas y mensajes, correo de voz, grabaciones de llamadas y otros datos que el Cliente decida procesar |
| Categorías de interesados | Las personas que llaman, los contactos, los clientes y el personal del cliente. |
Plazos de conservación: Los registros de detalles de llamadas se conservan durante los períodos requeridos por las leyes fiscales y de telecomunicaciones aplicables (normalmente de 90 días a 12 meses, según la jurisdicción). Todos los demás Datos personales del Cliente se conservan hasta que el Cliente solicite la eliminación, finalice el DPA o expire el período de retención aplicable, lo que ocurra primero.
3. Obligaciones de CallMama
- Procesar los Datos personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, a menos que la ley exija lo contrario (en cuyo caso CallMama informará al Cliente a menos que la ley lo prohíba).
- Garantizar que las personas autorizadas para procesar los datos estén sujetas a la confidencialidad.
- Implementar medidas de seguridad técnicas y organizativas apropiadas (Anexo a continuación).
- Asistir al Cliente, teniendo en cuenta la naturaleza del procesamiento, con las solicitudes de los interesados, la seguridad, la notificación de violaciones y las evaluaciones de impacto de la protección de datos.
- Dentro de los 30 días posteriores a la terminación de los Términos de servicio o la solicitud por escrito, elimine o devuelva todos los Datos personales del Cliente y confirme la eliminación por escrito, excepto en la medida en que la ley aplicable requiera una retención continua, en cuyo caso CallMama informará al Cliente sobre la base legal y la fecha prevista de eliminación.
- Poner a disposición la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías e inspecciones por parte del Cliente o su auditor autorizado, sujeto a: (i) notificación por escrito con 60 días hábiles de antelación; (ii) conducta durante el horario comercial sin perturbaciones indebidas; (iii) auditor sujeto a confidencialidad; (iv) El cliente asume los costos a menos que la auditoría revele un incumplimiento material. CallMama puede proporcionar un informe ISO 27001 o SOC 2 en lugar de una auditoría directa.
- Registros de procesamiento: CallMama mantiene registros de todas las categorías de procesamiento realizadas en nombre del Cliente según el artículo 30(2) del RGPD, disponibles previa solicitud por escrito.
- Asistencia EIPD: Cuando la grabación de llamadas u otro procesamiento requiera una EIPD según el artículo 35 del RGPD, CallMama brindará asistencia razonable, incluida información sobre medidas de seguridad, subprocesadores y actividades de procesamiento.
4. Obligaciones del cliente
- El Cliente es responsable de disponer de una base legal para el tratamiento y de la legalidad de sus instrucciones.
- Si el Cliente utiliza la función de grabación de llamadas del portal web, el Cliente debe notificar a quienes llaman y obtener los consentimientos que exige la ley; consulte la Aviso de grabación de llamadas.
- El Cliente no debe enviar datos de categoría especial CallMama o datos confidenciales más allá de lo que el Servicio está diseñado para manejar.
5. Subprocesadores
El Cliente otorga autorización general por escrito para que CallMama contrate subprocesadores, incluidos los enumerados en el Lista de subprocesadores publicado en CallMama.com. CallMama impone obligaciones de protección de datos a cada subprocesador equivalentes a las impuestas a CallMama por este DPA, incluidas obligaciones de confidencialidad. CallMama sigue siendo responsable del rendimiento de sus subprocesadores. CallMama notificará al Cliente al menos 14 días antes de agregar o reemplazar un subprocesador. El Cliente puede oponerse a un subprocesador nuevo o de reemplazo por motivos razonables y documentados de protección de datos notificando a CallMama por escrito dentro de los 14 días posteriores a la recepción del aviso. Si las partes no pueden resolver la objeción, el Cliente podrá rescindir la parte afectada del Servicio mediante notificación por escrito. El uso continuado del Servicio después del período de objeción de 14 días constituye la aceptación del nuevo subprocesador.
6. Transferencias internacionales
Cuando los Datos personales del cliente se transfieren desde el EEE o el Reino Unido a un país sin una decisión de adecuación, la transferencia se rige por las SCC de la UE (Decisión de Implementación de la Comisión 2021/914), Módulo 2 (Controlador a Procesador) para transferencias del EEE, y por la IDTA 2022 del Reino Unido para transferencias del Reino Unido. Ambos se incorporan como referencia y se completan con los detalles en la Sección 2. CallMama ha realizado Evaluaciones de Impacto de la Transferencia para todos los subprocesadores de terceros países.
7. Violación de datos personales
CallMama notificará al Cliente sin demoras indebidas y, cuando sea posible, a más tardar 24 horas después de tener conocimiento de una Violación de Datos Personales que afecta los Datos Personales del Cliente. Este cronograma tiene como objetivo permitir al Cliente evaluar la infracción y, cuando sea necesario, notificar a la autoridad supervisora competente dentro del período de 72 horas requerido por el artículo 33 del RGPD y el artículo 33 del RGPD del Reino Unido. La notificación incluirá, en la medida conocida en ese momento: (a) una descripción de la naturaleza de la infracción, incluidas las categorías y el número aproximado de interesados y registros afectados; (b) las probables consecuencias del incumplimiento; y (c) las medidas tomadas o propuestas para abordar el incumplimiento. Cuando la información no esté disponible de inmediato, CallMama la proporcionará en fases sin más demoras indebidas.
8. Responsabilidad y plazo
Este DPA complementa y está sujeto a los Términos de servicio. En caso de conflicto entre este DPA y los Términos de servicio sobre cualquier asunto relacionado con el procesamiento de datos personales, este DPA prevalece. Este DPA se rige por las leyes de la Región Administrativa Especial de Hong Kong. Sin embargo, para las disputas que surjan en virtud de las CEC de la UE, la ley aplicable y los tribunales son los especificados en las CEC aplicables (Cláusulas 17 y Cláusula 18 de la Decisión de Ejecución 2021/914 de la Comisión). Este DPA entra en vigor cuando el Cliente acepta los Términos de Servicio (o, para los clientes que requieren un DPA refrendado, en la fecha de la última firma por ambas partes) y continúa mientras CallMama procese los Datos Personales del Cliente.
Anexo — Medidas de seguridad
CallMama implementa las siguientes medidas técnicas y organizativas, según lo exige el artículo 32 del RGPD y como se detalla con más detalle en el Anexo II de las CEC de la UE:
A. Cifrado y datos en tránsito
- Cifrado en tránsito: Todos los datos personales transmitidos entre el Servicio y los dispositivos del usuario final se cifran utilizando TLS 1.2 o superior. Está prohibida la transmisión no cifrada de datos personales.
- Cifrado en reposo: Los datos personales confidenciales (incluidas grabaciones de llamadas y mensajes de voz) se cifran en reposo mediante AES-256 o equivalente. Todos los medios de respaldo están encriptados.
B. Controles de acceso y autenticación
- Autenticación multifactor: requerido para todo el personal que accede a los sistemas que contienen datos personales del cliente, incluido el acceso remoto.
- Control de acceso basado en roles: El acceso a los Datos Personales del Cliente está limitado al personal cuya función lo requiera. Los derechos de acceso se revisan trimestralmente y se revocan inmediatamente en caso de terminación o cambio de rol.
- Cuentas de usuario únicas: Cada miembro del personal tiene un identificador único. Las cuentas compartidas están prohibidas. Se aplican requisitos de complejidad de contraseña.
- Gestión de sesiones: las sesiones inactivas expiran automáticamente. El número máximo de intentos fallidos de inicio de sesión provoca el bloqueo de la cuenta.
C. Monitoreo, registro y respuesta a incidentes
- Monitoreo de seguridad: Los sistemas se monitorean continuamente para detectar eventos de seguridad. Se implementan sistemas de detección y prevención de intrusiones.
- Registro de auditoría: se registra todo acceso y modificación de los datos personales del cliente. Los registros se conservan durante un mínimo de 12 meses y son a prueba de manipulaciones.
- Respuesta al incidente: Se mantiene y prueba un plan documentado de respuesta a incidentes al menos una vez al año. Los incidentes se clasifican, contienen y notifican de acuerdo con este DPA.
D. Seguridad física y de infraestructura
- Seguridad del centro de datos: Los datos personales del cliente se alojan en centros de datos certificados ISO 27001 (Hetzner) con controles de acceso físico, CCTV, controles ambientales y suministro de energía ininterrumpida.
- Copia de seguridad y recuperación: Se realizan copias de seguridad periódicas y se almacenan de forma segura. Los procedimientos de recuperación ante desastres están documentados y probados. Se definen y revisan objetivos de tiempo de recuperación.
E. Controles de personal y proveedores
- Confidencialidad del personal: Todo el personal y los contratistas con acceso a los Datos personales del Cliente están sujetos a obligaciones contractuales de confidencialidad. Se realizan verificaciones de antecedentes cuando lo permite la ley aplicable.
- Formación en seguridad: todo el personal con acceso a datos personales recibe capacitación sobre protección de datos y concientización sobre seguridad de manera activa y anual.
- Debida diligencia del proveedor: Todos los subprocesadores son evaluados en cuanto a protección de datos y cumplimiento de seguridad antes de su participación y monitoreados de forma continua.
F. Desarrollo y gestión del cambio
- Desarrollo seguro: La seguridad se incorpora al ciclo de vida del desarrollo de software. Las revisiones de código incluyen evaluación de seguridad. Existen procedimientos de gestión de vulnerabilidades y de parches.
- Pruebas de penetración: Se realizan pruebas de penetración independientes al menos una vez al año. Las vulnerabilidades críticas se solucionan en un plazo de 30 días.
- Minimización de datos: Los sistemas están diseñados para minimizar los datos personales tratados. Cuando sea apropiado, se utilizará seudonimización.
Cómo ejecutar este DPA
Un Cliente empresarial que necesite un DPA firmado debe contactar legal@CallMama.com. La aceptación de los Términos de Servicio por parte de un Cliente comercial que procesa los datos de sus propios usuarios finales a través del Servicio también constituye la aceptación de este DPA.
9. Disposiciones adicionales para jurisdicciones específicas
Estados Unidos: CCPA/CPRA
Cuando los Datos personales del cliente incluyen información personal de residentes de California, CallMama es un "proveedor de servicios" según CCPA/CPRA, no un "tercero". CallMama no venderá ni compartirá datos personales del cliente, no los retendrá, utilizará ni divulgará fuera de la relación comercial directa y certifica el cumplimiento de las restricciones CCPA/CPRA. Los subprocesadores que manejan información personal de California están sujetos a restricciones equivalentes del proveedor de servicios.
Canadá — PIPEDA y Ley 25 de Quebec
Cuando los datos personales del cliente incluyen información personal de residentes canadienses:
- PIPEDA: La Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) requiere que CallMama implemente salvaguardias de seguridad consistentes con el Principio 7 (Salvaguardias). El Cliente sigue siendo responsable de obtener el consentimiento significativo y responder a las solicitudes de acceso y corrección.
- Ley 25 de Quebec: Para los residentes de Quebec, la Ley 25 (en vigor desde septiembre de 2023) impone una obligación de notificación de incumplimiento en un plazo de 72 horas a la Commission d'accès à l'information (CAI). CallMama notificará al Cliente dentro de las 24 horas posteriores al conocimiento de una violación que afecta los datos de los residentes de Quebec.
Esta página forma parte de la documentación de cumplimiento de CallMama. Vea también nuestro política de privacidad, Términos de servicio, y opciones de contacto.