BBe CRMIniciar sesión

Data Processing Agreement (DPA) · BeCRM

Versión: 1.0 Última actualización: 2026-05-24 Fecha de entrada en vigor: 2026-05-24

Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") forma parte y complementa los Términos del Servicio entre Be Graffic LLC (en adelante, "Encargado", "Processor", "BeCRM") y el Customer (en adelante, "Responsable", "Controller").

Se aplica cuando BeCRM trata datos personales por cuenta del Customer en el marco del Servicio. Cumple los requisitos del Art. 28 del RGPD/GDPR (UE/EEE), del UK GDPR, de la LFPDPPP (México), Ley 1581 (Colombia), LGPD (Brasil) y equivalentes.

1. Definiciones

Salvo definición distinta, los términos en mayúscula tendrán el significado del GDPR o la normativa equivalente:

  • "Datos personales": cualquier información relativa a personas físicas identificadas o identificables que el Customer cargue, capture o procese en el Servicio.
  • "Tratamiento": cualquier operación realizada sobre Datos personales.
  • "Interesado": titular de los Datos personales (End Users, Leads).
  • "Subencargado": tercero contratado por BeCRM para tratar Datos personales por cuenta del Customer (subprocessor).
  • "Brecha de seguridad": violación de la seguridad que ocasione destrucción, pérdida, alteración o acceso no autorizado a Datos personales.

2. Objeto y alcance del tratamiento

ConceptoDetalle
ObjetoPrestación del Servicio BeCRM al Customer
Naturaleza del tratamientoAlmacenamiento, organización, consulta, transmisión, alojamiento, comunicación, copia de seguridad, eliminación
FinalidadOperar el Servicio según lo solicitado por el Customer (gestión de leads, campañas omnicanal, integraciones)
DuraciónMientras la Suscripción esté vigente + plazos de retención del Anexo 1
Categorías de InteresadosEnd Users del Customer; Leads cargados o capturados por el Customer
Categorías de Datos personalesIdentificadores (nombre, email, teléfono, IDs externos), datos de contacto, datos profesionales, historial de comunicaciones, contenido de mensajes, metadatos técnicos, datos financieros básicos (si se conecta Stripe)
Categorías especialesEl Customer no debe cargar categorías especiales (salud, religión, biometría, etc.) salvo configuración expresa adicional. Si las carga, lo hace bajo su exclusiva responsabilidad

3. Roles

  • El Customer es Responsable del tratamiento. Determina las finalidades y medios, garantiza la base legal y los derechos de los Interesados.
  • BeCRM es Encargado del tratamiento. Trata los Datos por cuenta y bajo instrucciones del Customer.
  • Para datos operativos propios (cuenta del End User, facturación, telemetría agregada), BeCRM actúa como Responsable independiente según su Política de Privacidad.

4. Obligaciones de BeCRM como Encargado

BeCRM se compromete a:

  1. Tratar los Datos solo según instrucciones documentadas del Customer, incluyendo el uso del Servicio según su configuración. Si una instrucción contraviene la ley aplicable, BeCRM lo notificará salvo prohibición legal.
  2. Confidencialidad: garantizar que su personal autorizado se obligue a confidencialidad por contrato o por deber profesional.
  3. Seguridad: implementar medidas técnicas y organizativas apropiadas (ver Anexo 2).
  4. Subencargados: contratar Subencargados solo cumpliendo el Apartado 5.
  5. Derechos de los Interesados: asistir al Customer mediante medidas técnicas y organizativas apropiadas para responder a solicitudes de acceso, rectificación, supresión, oposición, limitación o portabilidad.
  6. Notificación de brechas: notificar al Customer sin demora indebida y a más tardar 72 horas desde que tome conocimiento (Apartado 7).
  7. Asistencia en evaluaciones: cooperar razonablemente con DPIA y consultas previas cuando corresponda.
  8. Devolución o eliminación: tras la terminación, devolver o eliminar los Datos según elija el Customer, salvo conservación legal obligatoria (Apartado 9).
  9. Auditorías: poner a disposición la información necesaria para demostrar cumplimiento, y permitir auditorías razonables (Apartado 10).

5. Subencargados

5.1 Autorización general

El Customer autoriza a BeCRM a contratar Subencargados para la prestación del Servicio. La lista actualizada está publicada en subprocessors.md.

5.2 Notificación de cambios

BeCRM notificará al Customer la incorporación o sustitución de Subencargados con al menos 30 días de antelación. El canal de notificación será email al contacto designado y/o aviso en la página de Subprocesadores.

5.3 Derecho de objeción

El Customer puede oponerse razonadamente dentro del plazo de notificación. Si la objeción es fundada y BeCRM no puede ofrecer alternativa, el Customer podrá rescindir la parte afectada del Servicio sin penalización para los meses no consumidos.

5.4 Obligaciones equivalentes

BeCRM impone a sus Subencargados obligaciones de protección equivalentes a las de este DPA mediante acuerdos contractuales. BeCRM responde frente al Customer por el cumplimiento de los Subencargados.

6. Transferencias internacionales

Cuando los Datos se transfieran fuera del EEE/UK o de la jurisdicción del Customer, BeCRM aplicará uno o varios de los siguientes mecanismos:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplique, UK IDTA / UK Addendum.
  • Decisiones de adecuación de la Comisión Europea.
  • Reglas Corporativas Vinculantes del Subencargado, cuando estén certificadas.
  • Otras salvaguardias previstas por la ley aplicable.

El Customer y BeCRM se entenderán como suscriptores de las SCC en el módulo aplicable (Module 2: Controller-to-Processor o Module 3: Processor-to-Processor), con la información del Anexo 1 como Apéndice.

7. Brechas de seguridad

En caso de Brecha que afecte Datos personales tratados por cuenta del Customer:

  1. BeCRM notificará al Customer sin demora indebida tras conocerla, a más tardar en 72 horas.
  2. La notificación incluirá: naturaleza de la brecha, categorías y número aproximado de Interesados y registros afectados, consecuencias probables, medidas adoptadas o propuestas, contacto del DPO o equivalente.
  3. BeCRM cooperará razonablemente en la investigación, mitigación y, si procede, comunicación a los Interesados.
  4. BeCRM mantendrá registro interno de brechas conforme exige el GDPR.

El Customer es responsable de notificar a la autoridad y/o a los Interesados conforme al rol de Responsable.

8. Derechos de los Interesados

BeCRM no responde directamente solicitudes de Interesados que le lleguen sobre Datos del Customer, salvo obligación legal. En su lugar:

  • Las redirige al Customer en plazo razonable.
  • Pone herramientas en el Servicio para que el Customer atienda solicitudes (exportación, edición, eliminación de leads y datos relacionados).
  • Asiste razonablemente al Customer cuando este no pueda atender la solicitud por medios del producto.

9. Devolución y eliminación al término

A la finalización del Servicio:

  • El Customer dispone de hasta 90 días para exportar Datos desde el dashboard o solicitar exportación asistida a support@begraffic.com.
  • Tras dicho plazo, BeCRM eliminará o anonimizará los Datos personales, salvo conservación legal obligatoria (registros contables, requerimientos vinculantes).
  • Los backups cifrados rotativos se sobrescriben en su ciclo natural (hasta 35 días adicionales).

10. Auditorías

  1. BeCRM pondrá a disposición del Customer información razonable para demostrar cumplimiento (reportes, certificaciones de subprocesadores cuando estén disponibles, descripciones de medidas técnicas).
  2. El Customer podrá auditar a BeCRM una vez al año, con preaviso de 30 días, en horario laboral y sin perturbar la operación. Cuando exista una certificación independiente vigente (p.ej. SOC 2, ISO 27001), esta se considerará prueba suficiente salvo causa justificada.
  3. Costos: cada parte asume los propios. BeCRM puede facturar tiempo razonable de su personal si la auditoría excede el alcance habitual.

11. Responsabilidad

La responsabilidad de las partes bajo este DPA queda sujeta a los límites previstos en los Términos del Servicio, sin perjuicio de la responsabilidad imperativa frente a Interesados conforme a la ley.

12. Prevalencia y orden

En caso de conflicto entre este DPA, los Términos del Servicio y las SCC, prevalecerán: (1) SCC, (2) este DPA, (3) Términos del Servicio.

13. Cambios

BeCRM puede actualizar este DPA para reflejar cambios normativos o de subprocesadores. Notificará cambios materiales con al menos 30 días de antelación.

14. Aceptación

Este DPA se considera aceptado por el Customer cuando:

  • Acepta los Términos del Servicio que lo incorporan por referencia, o
  • Firma electrónicamente este documento (versión PDF disponible bajo solicitud a legal@begraffic.com), o
  • Sigue usando el Servicio tras la entrada en vigor de la versión actualizada.

Anexo 1 · Detalles del tratamiento

ConceptoValor
Nombre del ResponsableEl Customer (organización registrada en el Workspace)
Contacto del ResponsableEl indicado al alta del Workspace y/o el administrador designado
Nombre del EncargadoBe Graffic LLC
Contacto del Encargadolegal@begraffic.com
FinalidadPrestación del Servicio BeCRM
Tipos de DatosIdentificadores, contacto, profesionales, contenido de comunicaciones, metadatos técnicos, financieros básicos vía Stripe
Categorías de InteresadosEnd Users del Customer; Leads / clientes finales del Customer
Duración del tratamientoVigencia de la Suscripción + 90 días post-cancelación
SubencargadosVer subprocessors.md

Anexo 2 · Medidas técnicas y organizativas (MTOs)

BeCRM implementa al menos las siguientes medidas:

Seguridad organizativa

  • Política interna de seguridad y manejo de datos.
  • Acuerdos de confidencialidad con personal con acceso.
  • Capacitación periódica del equipo en privacidad y seguridad.
  • Principio de mínimo privilegio para acceso a sistemas productivos.

Control de acceso

  • Autenticación con credenciales propias o SSO; soporte para MFA en el panel administrativo.
  • Roles y permisos por workspace (RBAC) reforzados con Firestore Rules.
  • Revocación inmediata al desvincular personal.

Cifrado

  • TLS 1.2+ para transporte de datos al Servicio y entre subprocesadores.
  • Cifrado en reposo aplicado por los proveedores de almacenamiento (Firestore, S3, etc.).
  • Cifrado adicional de secretos críticos (tokens OAuth, claves API de terceros) con clave maestra SECRET_KEY_ENCRYPTION_KEY segregada.

Aislamiento

  • Cada Workspace cuenta con scope independiente en Firestore.
  • APIs internas validan workspace y rol del solicitante.

Resiliencia

  • Backups automáticos cifrados con retención rotativa.
  • Procedimientos de recuperación documentados.

Monitoreo y detección

  • Logs operativos y de seguridad centralizados.
  • Alertas sobre anomalías de tasa de error, accesos sospechosos y uso de features sensibles (envíos masivos, exportaciones).
  • Revisión periódica de dependencias y CVEs.

Desarrollo seguro

  • Revisión de código previa al merge.
  • Pruebas automatizadas (unit, integración, E2E).
  • Hardening contra OWASP Top 10.
  • Gestión de secretos vía secret manager, no en repositorio.

Gestión de incidentes

  • Procedimiento documentado de respuesta a incidentes con SLA interno de notificación.
  • Mejora continua basada en lecciones aprendidas (post-mortem).