Bespokely

Acuerdo de Procesamiento de Datos

Última actualización: 20 de mayo de 2026
Versión: 1.0
Enlace permanente a esta versión: bespokely.io/legal/dpa/v1.0

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del acuerdo entre Bespokely Inc. ("Bespokely", "Procesador") y el cliente identificado en la Confirmación de Pedido relevante ("Cliente", "Controlador") para la provisión de los productos de Bespokely (los "Servicios").

Al aceptar los Términos de Servicio de Bespokely, el Cliente también acepta este DPA. El DPA se aplica siempre que Bespokely procese datos personales en nombre del Cliente en relación con los Servicios.

Nota para el Cliente: este DPA se ofrece como el formulario estándar de Bespokely. Un Cliente que requiera una copia firmada por ambas partes para sus registros puede solicitar una enviando un correo electrónico a privacy@bespokely.io con el asunto "Solicitud de contrafirma del DPA — [nombre del Cliente]". Las copias contrafirmadas no cambian los términos sustantivos de este DPA.

§1 Definiciones

Los términos en mayúsculas utilizados en este DPA tienen los significados que se les otorgan en el RGPD (Reglamento (UE) 2016/679), las Cláusulas Contractuales Estándar de la UE adoptadas bajo la Decisión de Ejecución de la Comisión (UE) 2021/914 ("SCCs"), o — donde se definan aquí — en este DPA.

  • Datos Personales significa cualquier información relacionada con una persona física identificada o identificable que Bespokely procesa en nombre del Cliente al proporcionar los Servicios.
  • Interesado significa una persona física a la que se refieren los Datos Personales.
  • Subprocesador significa un tercero contratado por Bespokely para procesar Datos Personales en nombre del Cliente.
  • Lista de Subprocesadores significa la lista de Subprocesadores mantenida en bespokely.io/legal/sub-processors, actualizada de vez en cuando.
  • TOMs significa las medidas técnicas y organizativas publicadas en bespokely.io/legal/security, actualizadas de vez en cuando.
  • Ley de Protección de Datos Aplicable significa el RGPD, el RGPD del Reino Unido, la Ley Federal Suiza de Protección de Datos, la Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de California, y cualquier otra ley de protección de datos aplicable al uso de los Servicios por parte del Cliente.

§2 Objeto, naturaleza y duración del procesamiento

§2.1 Objeto

Bespokely procesa Datos Personales en nombre del Cliente únicamente para proporcionar los Servicios descritos en la Confirmación de Pedido.

§2.2 Naturaleza y propósito

La naturaleza y el propósito del procesamiento se describen en el Anexo 1 de este DPA. Los ejemplos incluyen: alojar el sitio web del Cliente, operar el portal de clientes del Cliente, operar un asistente de IA en nombre del Cliente, enviar correos electrónicos transaccionales en nombre del Cliente.

§2.3 Categorías de Interesados y Datos Personales

Las categorías de Interesados y los tipos de Datos Personales se describen en el Anexo 1.

§2.4 Duración

El procesamiento dura por la duración de los Servicios, más cualquier período requerido para la devolución o eliminación de Datos Personales bajo §13.

§3 Roles de las partes

  • El Cliente es el Controlador (o Procesador en nombre de sus propios controladores en el caso de relaciones B2B descendentes) de los Datos Personales.
  • Bespokely actúa como el Procesador.
  • Cuando el Cliente es a su vez un Procesador para un controlador ascendente, el Cliente garantiza que tiene la autoridad para contratar a Bespokely como Subprocesador.

§4 Instrucciones del Cliente

§4.1 Instrucción general

El Cliente instruye a Bespokely para procesar Datos Personales solo según sea necesario para proporcionar los Servicios, y solo como se documenta en la Confirmación de Pedido, este DPA, la configuración del Cliente dentro de los productos de Bespokely, y cualquier instrucción escrita adicional que el Cliente proporcione.

§4.2 Cumplimiento de la ley

Bespokely notificará al Cliente si considera que una instrucción infringe la Ley de Protección de Datos Aplicable. Bespokely no está obligada a seguir una instrucción que razonablemente crea que le causaría incumplir la Ley de Protección de Datos Aplicable.

§4.3 Divulgación legal

Cuando Bespokely esté obligada por ley a procesar Datos Personales fuera de las instrucciones del Cliente, Bespokely informará al Cliente antes de procesar, a menos que la ley relevante prohíba tal aviso.

§5 Confidencialidad

Bespokely asegura que el personal autorizado para procesar Datos Personales está sujeto a obligaciones de confidencialidad apropiadas. Las obligaciones de confidencialidad sobreviven a la terminación del empleo o compromiso.

§6 Seguridad del procesamiento

§6.1 TOMs

Bespokely implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costos de implementación, y la naturaleza, alcance, contexto y propósitos del procesamiento. Las TOMs actuales se publican en bespokely.io/legal/security y se incorporan a este DPA por referencia (Anexo 3).

§6.2 Actualizaciones a las TOMs

Bespokely puede actualizar sus TOMs de vez en cuando, siempre que las actualizaciones no reduzcan materialmente el nivel de seguridad. Las reducciones materiales requieren el consentimiento previo por escrito del Cliente.

§6.3 Pseudonimización y cifrado

Las TOMs incluyen — sin limitación — cifrado de Datos Personales en reposo (AES-256) y en tránsito (TLS 1.2+), pseudonimización donde sea factible, y controles de acceso basados en el principio de menor privilegio.

§7 Subprocesadores

§7.1 Autorización general

El Cliente otorga a Bespokely una autorización general para contratar a los Subprocesadores enumerados en la Lista de Subprocesadores en el momento de la conclusión de este DPA. La Lista de Subprocesadores se incorpora a este DPA por referencia (Anexo 2).

§7.2 Cambios

Bespokely proporcionará al menos 30 días de aviso antes de contratar a un nuevo Subprocesador o reemplazar a uno existente, por correo electrónico al contacto de notificación del Cliente y actualizando la Lista de Subprocesadores.

§7.3 Derecho a objetar

El Cliente puede objetar a un nuevo Subprocesador dentro de los 30 días posteriores a la notificación enviando un correo electrónico a privacy@bespokely.io con el asunto "Objeción al Subprocesador". Si Bespokely no puede acomodar la objeción por medios razonables (por ejemplo, si el nuevo Subprocesador proporciona una funcionalidad que no tiene alternativa), el Cliente puede rescindir los Servicios afectados sin penalización por terminación anticipada, y Bespokely reembolsará las tarifas prepagadas por meses no utilizados de forma prorrateada.

§7.4 Flujo descendente

Bespokely impone a cada Subprocesador obligaciones de protección de datos no menos protectoras que las de este DPA, mediante un contrato escrito que incluye SCCs donde sea aplicable.

§7.5 Responsabilidad

Bespokely sigue siendo responsable ante el Cliente por el desempeño de sus Subprocesadores en relación con sus obligaciones de protección de datos.

§8 Asistencia con derechos de los interesados

§8.1 Solicitudes de interesados recibidas por Bespokely

Si un Interesado contacta a Bespokely directamente con una solicitud para ejercer derechos bajo los Artículos 15–22 del RGPD (o equivalente), Bespokely redirigirá la solicitud al Cliente sin demora indebida y no responderá al Interesado excepto para confirmar la recepción y remitirlo al Cliente.

§8.2 Asistencia al Cliente

Bespokely proporcionará asistencia razonable al Cliente en la respuesta a solicitudes de Interesados, incluyendo proporcionando herramientas dentro de los Servicios para que el Cliente acceda, exporte, corrija y elimine Datos Personales. Cuando Bespokely proporcione asistencia más allá de lo razonablemente disponible a través de los Servicios, Bespokely puede cobrar una tarifa razonable a su tarifa estándar por hora.

§8.3 SLA

Bespokely responderá a una solicitud de asistencia del Cliente dentro de 14 días de la recepción de una solicitud documentada de un Interesado.

§9 Asistencia con obligaciones del controlador

Bespokely proporcionará asistencia razonable al Cliente con las obligaciones del Cliente bajo los Artículos 32–36 del RGPD (seguridad del procesamiento, notificación de violaciones, evaluación de impacto en la protección de datos, consulta previa), teniendo en cuenta la naturaleza del procesamiento y la información disponible para Bespokely.

§10 Violaciones de datos personales

§10.1 Cronograma de notificación

Bespokely notificará al Cliente de cualquier Violación de Datos Personales confirmada que afecte a los Datos Personales del Cliente sin demora indebida y en cualquier caso dentro de 24 horas después de que Bespokely tenga conocimiento de la violación.

§10.2 Contenido de la notificación

La notificación incluirá, en la medida en que se conozca: (a) la naturaleza de la violación, (b) categorías y número aproximado de Interesados y registros afectados, (c) consecuencias probables, (d) medidas tomadas o propuestas.

§10.3 Sin admisión

La notificación bajo este §10 no es una admisión de culpa o responsabilidad por parte de Bespokely.

§11 Transferencias internacionales

§11.1 Mecanismo de transferencia

Cuando Bespokely procesa Datos Personales fuera del EEE/Reino Unido/Suiza en nombre del Cliente, la transferencia está protegida por: (a) la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU., donde el destinatario (Bespokely o un Subprocesador) está certificado por el DPF y la certificación cubre los datos relevantes; o (b) las SCCs (Módulo 2 — Controlador a Procesador o Módulo 3 — Procesador a Procesador según corresponda), incorporadas por referencia a este DPA (Anexo 4); o (c) otro mecanismo de transferencia permitido bajo el Capítulo V del RGPD.

§11.2 Incorporación de SCC

Donde se aplican las SCCs, se considera que las SCCs se han celebrado entre las partes en los siguientes términos:

  • Módulo: Módulo 2 (Controlador a Procesador) por defecto; Módulo 3 (Procesador a Procesador) donde el Cliente es a su vez un Procesador.
  • Cláusula de acoplamiento (Cláusula 7): optado.
  • Cláusula de subprocesador (Cláusula 9): opción 2 (autorización escrita general) según §7.1 anterior con 30 días de aviso.
  • Recurso (Cláusula 11): mecanismo de resolución de disputas independiente no seleccionado.
  • Responsabilidad (Cláusula 12): según lo acordado en el Acuerdo de Servicios Maestro subyacente.
  • Autoridad de supervisión (Cláusula 13): [TBD según el establecimiento del Cliente — típicamente la autoridad de supervisión del Estado miembro donde el Cliente está establecido].
  • Ley aplicable (Cláusula 17): ley del Estado miembro donde el Cliente está establecido.
  • Foro (Cláusula 18): tribunales del Estado miembro donde el Cliente está establecido.
  • Anexo I.A (Partes) = Anexo 1.A de este DPA.
  • Anexo I.B (Descripción de la transferencia) = Anexo 1.B de este DPA.
  • Anexo II (TOMs) = bespokely.io/legal/security.
  • Anexo III (Subprocesadores) = bespokely.io/legal/sub-processors.

§11.3 Evaluación de Impacto de Transferencia

Bespokely mantiene una Evaluación de Impacto de Transferencia (TIA) para cada Subprocesador donde la transferencia no está cubierta por el DPF. La TIA se proporciona al Cliente a solicitud.

§12 Auditoría e inspección

§12.1 Auditoría por certificación

El derecho de auditoría del Cliente bajo el Art. 28(3)(h) del RGPD se satisface principalmente a través de las certificaciones y reportes de terceros de Bespokely (por ejemplo, informes SOC 2 Tipo II de Bespokely o sus Subprocesadores). Bespokely proporcionará dichos informes bajo un NDA a solicitud razonable del Cliente.

§12.2 Auditoría del Cliente

Cuando las certificaciones en §12.1 no aborden un control específico que el Cliente razonablemente requiera auditar, el Cliente puede llevar a cabo una auditoría mediante un cuestionario escrito. Las auditorías in situ están permitidas solo (i) donde el cuestionario y las certificaciones sean insuficientes, (ii) tras un aviso escrito de 30 días, (iii) durante el horario laboral, (iv) sin interrumpir las operaciones de Bespokely, (v) no más de una vez cada 12 meses, excepto donde lo requiera una orden de la autoridad de supervisión o tras una Violación de Datos Personales confirmada, y (vi) a expensas del Cliente.

§12.3 Cooperación con autoridades de supervisión

Bespokely cooperará con las autoridades de supervisión según lo requiera la ley.

§13 Devolución o eliminación de datos personales

§13.1 Fin de los Servicios

A elección del Cliente expresada por escrito dentro de los 30 días posteriores al final de los Servicios, Bespokely devolverá los Datos Personales en un formato estructurado, de uso común y legible por máquina (JSON, CSV o comparable), o (b) eliminará los Datos Personales.

§13.2 Por defecto

Si el Cliente no hace ninguna elección dentro del período de 30 días, Bespokely eliminará los Datos Personales dentro de otros 30 días.

§13.3 Retención por ley

Este §13 no se aplica donde Bespokely esté obligada a retener Datos Personales por ley de la Unión o del Estado miembro.

§13.4 Copias de seguridad

Los Datos Personales pueden persistir en copias de seguridad cifradas durante hasta 30 días después de la eliminación; dichas copias de seguridad no se restauran excepto para recuperación de desastres, en cuyo caso se aplica nuevamente la eliminación.

§14 Responsabilidad

La responsabilidad bajo este DPA está sujeta a las limitaciones y exclusiones en el Acuerdo de Servicios Maestro subyacente y los Términos de Servicio de Bespokely, excepto donde la Ley de Protección de Datos Aplicable (en particular los Artículos 82–83 del RGPD) requiera lo contrario. Nada en este DPA limita los derechos de un Interesado bajo la Ley de Protección de Datos Aplicable.

§15 Plazo y terminación

Este DPA entra en vigor en la fecha efectiva del Acuerdo de Servicios Maestro y continúa mientras Bespokely procese Datos Personales en nombre del Cliente. Las disposiciones de §13 (Devolución o eliminación), §10 (Violaciones relacionadas con eventos durante el plazo), §12 (Auditoría relacionada con eventos durante el plazo), y §14 (Responsabilidad) sobreviven a la terminación.

§16 Orden de prevalencia

En caso de conflicto:

  1. Las SCCs (donde sea aplicable) prevalecen sobre este DPA.
  2. Este DPA prevalece sobre el Acuerdo de Servicios Maestro y los Términos de Servicio en lo que respecta al procesamiento de Datos Personales.
  3. El Acuerdo de Servicios Maestro y los Términos de Servicio rigen todos los demás asuntos.

§17 Ley aplicable

Este DPA se rige por la ley del Estado de Delaware, EE. UU., excepto donde prevalezcan las disposiciones obligatorias de la Ley de Protección de Datos Aplicable en la jurisdicción del Cliente. Donde se aplican las SCCs, la ley aplicable para las SCCs es la especificada en §11.2.

§18 Actualizaciones a este DPA

Bespokely puede actualizar este DPA de vez en cuando. Las actualizaciones materiales se notifican a los Clientes activos por correo electrónico al menos 30 días antes de que entren en vigor. Las actualizaciones que endurezcan las obligaciones de Bespokely o fortalezcan las protecciones del Cliente entran en vigor de inmediato y se notifican dentro de los 30 días posteriores a su publicación.

Anexo 1 — Detalles del procesamiento

A. Partes

Controlador (exportador de datos): el Cliente identificado en la Confirmación de Pedido.

Procesador (importador de datos): Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, EE. UU. Contacto: privacy@bespokely.io · +1 (512) 348-6588.

B. Descripción de la transferencia

Categorías de Interesados

Las categorías de Interesados cuyos Datos Personales se procesan dependen del uso que el Cliente haga de los Servicios y pueden incluir:

  • visitantes del sitio web del Cliente,
  • usuarios registrados del portal de clientes del Cliente,
  • clientes, prospectos, contactos y empleados del Cliente,
  • destinatarios de comunicaciones transaccionales enviadas por el Cliente.

Categorías de Datos Personales

  • identificadores (nombre, correo electrónico, teléfono, credenciales de cuenta),
  • atributos de perfil que el Cliente elige recopilar (título del trabajo, empresa, jurisdicción, idioma),
  • datos de contenido enviados a través de formularios, portal o asistente de IA (mensajes, documentos, archivos),
  • datos de uso (marcas de tiempo de inicio de sesión, vistas de página, registros de interacción),
  • datos técnicos (dirección IP, agente de usuario, metadatos de sesión).

Categorías especiales de datos

Los Servicios de Bespokely no están diseñados para procesar categorías especiales de Datos Personales bajo el Art. 9 del RGPD. Cuando el uso de los Servicios por parte del Cliente resulte en el procesamiento de tales categorías, el Cliente es responsable de la legalidad de ese procesamiento y debe informar a Bespokely para que se puedan acordar salvaguardias adicionales.

Frecuencia

Continua, durante la duración de los Servicios.

Naturaleza del procesamiento

Alojamiento, almacenamiento, procesamiento de datos estructurados y no estructurados, transmisión, visualización, búsqueda y recuperación, inferencia de IA (donde los Servicios incluyen un asistente de IA), copia de seguridad, eliminación.

Propósito

Provisión de los Servicios como se describe en la Confirmación de Pedido.

Período de retención

Durante la duración de los Servicios. Después de la terminación, ver §13 de este DPA.

Subprocesadores

Como se enumeran en la Lista de Subprocesadores en bespokely.io/legal/sub-processors.

C. Autoridad de supervisión competente

La autoridad de supervisión del Estado miembro (o país) en el que el Cliente está establecido, excepto donde otra autoridad de supervisión tenga competencia primaria bajo el Art. 56 del RGPD.

Anexo 2 — Subprocesadores

La Lista actual de Subprocesadores se publica y mantiene en:

bespokely.io/legal/sub-processors

Este Anexo se incorpora dinámicamente al DPA. Cada versión de la Lista de Subprocesadores tiene una URL versionada permanente (por ejemplo, /v1.0) preservada para referencia probatoria.

Anexo 3 — Medidas técnicas y organizativas

Las TOMs actuales se publican y mantienen en:

bespokely.io/legal/security

Este Anexo se incorpora dinámicamente al DPA. Cada versión tiene una URL versionada permanente (por ejemplo, /v1.0).

Anexo 4 — Cláusulas Contractuales Estándar

Donde sea aplicable bajo §11 de este DPA, las SCCs adoptadas por la Decisión de Ejecución de la Comisión (UE) 2021/914 de 4 de junio de 2021 se incorporan por referencia. El texto actual y autoritativo se publica en:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

El Módulo 2 (Controlador a Procesador) se aplica por defecto. El Módulo 3 (Procesador a Procesador) se aplica donde el Cliente es a su vez un Procesador.

Los Anexos I, II y III de las SCCs se completan por referencia al Anexo 1, Anexo 3 y Anexo 2 de este DPA respectivamente, como se establece en §11.2.

Contacto para preguntas sobre el DPA:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, EE. UU. · privacy@bespokely.io · +1 (512) 348-6588

Este DPA es una plantilla. No reemplaza el asesoramiento legal independiente. Bespokely recomienda que los Clientes busquen su propio asesoramiento antes de confiar en los términos de este DPA para satisfacer requisitos regulatorios específicos aplicables a su negocio.