Acuerdo de Tratamiento de Datos (Encargo / DPA) de Guapu

1. Resumen en lenguaje sencillo (no sustituye al texto legal)

Este documento explica cómo Guapu trata los datos personales que pasan por la plataforma cuando tú, como empresa Cliente, usas el Servicio para atender a tus clientes por WhatsApp, Instagram, Facebook, web, email y demás canales conectados.

La idea central es sencilla: los datos de tus contactos y de las personas que te escriben son TUYOS. Tú decides qué se hace con ellos (eres el Responsable). Guapu solo es la herramienta que los procesa siguiendo tus instrucciones (somos el Encargado). No usamos esos datos para fines propios, no los vendemos y no los usamos para entrenar modelos de inteligencia artificial.

Para que la plataforma funcione, algunos proveedores tecnológicos (la base de datos, el hosting, los motores de IA, los canales de mensajería, la pasarela de pagos) también tocan esos datos. Los llamamos subencargados, publicamos la lista completa en el Anexo III y les exigimos por contrato las mismas obligaciones de protección que asumimos contigo. Te avisamos antes de añadir o cambiar uno, y puedes oponerte.

Aplicamos medidas de seguridad concretas: cifrado en tránsito y en reposo, aislamiento de los datos de cada Cliente con Row-Level Security, autenticación multifactor, control de acceso por roles y registros de auditoría. Si ocurriera una brecha de seguridad, te avisamos sin dilación indebida para que tú puedas cumplir tus propios plazos frente a la autoridad. Cuando termina el contrato, te devolvemos o eliminamos los datos, a tu elección.

Como parte de tus datos se alojan o procesan fuera de tu país (Estados Unidos, la Unión Europea, los Emiratos Árabes Unidos), este DPA incorpora las Cláusulas Contractuales Tipo (SCC) de la Unión Europea y explica cómo se protege cada transferencia internacional (Anexo IV).

Este DPA cumple con el GDPR europeo (artículo 28), con la ley de privacidad de California (CCPA/CPRA, donde Guapu actúa como Service Provider) y con la Ley 1581 de 2012 de Colombia (funciona como contrato de transmisión de datos del artículo 25 del Decreto 1377). Fecha de esta versión: 22 de junio de 2026.

2. 1. Definiciones

A efectos de este Acuerdo de Tratamiento de Datos (en adelante, el "DPA" o el "Acuerdo"), los términos siguientes tendrán el significado indicado. Cuando un término no esté definido aquí, se interpretará según la Normativa de Protección de Datos aplicable.

• "Guapu", "nosotros", "el Encargado" o "el Proveedor": [ENTIDAD LEGAL] (declarada en el repositorio legal vigente como MENDEZ GROWTH CONSULTING - FZCO, pendiente de confirmación), entidad de free zone constituida en Dubai Silicon Oasis (DSOA), con domicilio en [DOMICILIO] (Building A1, Dubai Digital Park, Dubai Silicon Oasis, Emiratos Árabes Unidos) y número de registro [NIT], titular del servicio "Guapu" / "Guapu CRM" accesible en guapu.io.
• "Cliente", "tú", "el Responsable" o "el Controlador": la persona física o jurídica (organización o tenant) que contrata el Servicio y que, en su relación con sus propios contactos y usuarios finales, determina los fines y medios del tratamiento.
• "Servicio": la plataforma SaaS multi-tenant Guapu CRM, que centraliza comunicaciones de múltiples canales (WhatsApp Business, Instagram, Facebook Messenger, TikTok, chat web, email, entre otros) y opera agentes de inteligencia artificial que responden de forma automatizada, junto con sus funciones de CRM, bandeja unificada, flujos, formularios, integraciones y facturación.
• "Datos Personales": cualquier información sobre una persona física identificada o identificable que el Encargado trate por cuenta del Responsable en el marco del Servicio.
• "Datos Personales del Cliente": los Datos Personales que el Cliente, sus usuarios autorizados o sus usuarios finales introducen, cargan, generan o transmiten a través del Servicio, y que Guapu trata exclusivamente por cuenta del Cliente. Excluye los datos que Guapu trata como Responsable independiente (ver sección 3.3).
• "Titular" o "Interesado": la persona física a quien se refieren los Datos Personales (por ejemplo, un contacto del Cliente o una persona que escribe a un canal conectado).
• "Tratamiento": cualquier operación sobre Datos Personales (recogida, registro, conservación, consulta, uso, transmisión, supresión, etc.).
• "Subencargado" o "Subprocesador": cualquier tercero contratado por Guapu que trate Datos Personales del Cliente para prestar el Servicio (ver Anexo III).
• "Brecha de Seguridad" o "Violación de Datos Personales": toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales del Cliente, o la comunicación o acceso no autorizados a dichos datos.
• "Normativa de Protección de Datos": el conjunto de leyes aplicables, incluyendo de forma no limitativa el Reglamento (UE) 2016/679 (GDPR) y su transposición en el EEE y Reino Unido; la Ley Estatutaria 1581 de 2012 de Colombia y su Decreto Reglamentario 1377 de 2013; la California Consumer Privacy Act reformada por la CPRA ("CCPA"); y demás normas locales de protección de datos que resulten aplicables a cada flujo.
• "SCC" (Cláusulas Contractuales Tipo): las cláusulas tipo aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914 para transferencias internacionales, y, cuando proceda, el Addendum Internacional de Transferencia de Datos del Reino Unido (IDTA / UK Addendum).
• "Evaluación de Impacto de la Transferencia" (TIA, Transfer Impact Assessment): el análisis que documenta, para cada destino sin decisión de adecuación, si el nivel de protección es esencialmente equivalente y qué medidas complementarias se adoptan.

3. 2. Objeto, naturaleza y finalidad del tratamiento (GDPR art. 28.3)

Este DPA forma parte integral de los Términos de Servicio de Guapu (los "Términos") y los complementa. Su objeto es regular el tratamiento de Datos Personales del Cliente que Guapu realiza, como Encargado, por cuenta del Cliente, en el marco de la prestación del Servicio, y establecer las cláusulas que el artículo 28.3 del GDPR exige a todo contrato entre Responsable y Encargado.

La naturaleza y finalidad del tratamiento consisten en operar el Servicio contratado: recibir, almacenar, organizar, mostrar y procesar las comunicaciones de los canales conectados del Cliente; generar respuestas automatizadas mediante agentes de IA; gestionar contactos, conversaciones, oportunidades de negocio (deals), calendario y base de conocimiento; ejecutar flujos, formularios e integraciones activadas por el Cliente; y emitir cobros y facturación cuando el Cliente lo solicite.

Guapu trata los Datos Personales del Cliente únicamente para prestar el Servicio y cumplir sus obligaciones bajo los Términos y este DPA, y exclusivamente conforme a las instrucciones documentadas del Cliente (sección 4). El detalle del tratamiento (categorías de Titulares, tipos de datos, operaciones y duración) figura en el Anexo I, que cumple los requisitos de descripción del artículo 28.3 del GDPR.

La duración del tratamiento coincide con la vigencia del contrato de Servicio entre el Cliente y Guapu, más los periodos de retención y supresión descritos en la sección 11 y en la Política de Privacidad de Guapu.

4. 2.1 Cláusulas obligatorias del artículo 28.3 del GDPR (índice de garantías del Encargado)

Para mayor claridad, y conforme exige el artículo 28.3 del GDPR, Guapu, como Encargado, asume frente al Cliente, como Responsable, las garantías que se enumeran una por una a continuación. Cada literal se desarrolla en la sección o Anexo indicado, que forma parte inseparable de este compromiso.

• (a) Tratar los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, inclusive en lo relativo a las transferencias internacionales, salvo obligación legal aplicable a Guapu, en cuyo caso lo informará antes del tratamiento salvo prohibición legal. Se desarrolla en la sección 4 (instrucciones documentadas) y en la sección 14 (transferencias).
• (b) Garantizar que las personas autorizadas para tratar los Datos Personales del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad equivalente. Se desarrolla en la sección 5.
• (c) Adoptar todas las medidas de seguridad exigidas por el artículo 32 del GDPR (medidas técnicas y organizativas apropiadas al riesgo). Se desarrolla en la sección 9 y se detalla en el Anexo II.
• (d) Respetar las condiciones para recurrir a subencargados, conforme al artículo 28.2 y 28.4: autorización general por escrito del Responsable, lista de subencargados, derecho del Responsable a oponerse a las altas o cambios, e imposición a cada subencargado de las mismas obligaciones de protección de datos por vía contractual. Se desarrolla en la sección 6 y se detalla en el Anexo III.
• (e) Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para responder a las solicitudes de ejercicio de derechos de los Titulares. Se desarrolla en la sección 7.
• (f) Asistir al Responsable para garantizar el cumplimiento de las obligaciones de los artículos 32 a 36 del GDPR: seguridad del tratamiento, notificación de Brechas de Seguridad, evaluaciones de impacto relativas a la protección de datos (DPIA, art. 35) y consultas previas a la autoridad de control (art. 36). Se desarrolla en la sección 8 y, en cuanto a la notificación de brechas, en la sección 10.
• (g) A elección del Responsable, suprimir o devolver todos los Datos Personales del Cliente una vez finalizada la prestación de los servicios de tratamiento, y suprimir las copias existentes salvo que la ley exija su conservación. Se desarrolla en la sección 11.
• (h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28, y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o por un auditor mandatado por este. Se desarrolla en la sección 12.
• Garantía adicional (art. 28.3, último párrafo): Guapu informará inmediatamente al Cliente si, en su opinión, una instrucción infringe la Normativa de Protección de Datos. Se desarrolla en la sección 4.

5. 3. Roles de las partes y calificación legal

Las partes reconocen y acuerdan la siguiente distribución de roles respecto de los Datos Personales del Cliente. Esta distribución coexiste con la doble condición de Guapu descrita en la sección 3.3: Guapu es Responsable de los datos de cuenta de sus propios usuarios y Encargado de los datos que el Cliente sube sobre sus propios clientes.

• Respecto de los datos de los contactos y usuarios finales del Cliente, el Cliente actúa como Responsable del Tratamiento (Controller, bajo GDPR) y Guapu actúa como Encargado del Tratamiento (Processor, bajo GDPR art. 28).
• Bajo la CCPA/CPRA, el Cliente es el Business y Guapu actúa como Service Provider (o Contractor según el caso): Guapu trata la información personal únicamente para los business purposes documentados por el Cliente, no la vende ni la comparte, y no la retiene, usa ni divulga fuera de la relación contractual directa con el Cliente ni para ningún fin propio (ver sección 13).
• Bajo la Ley 1581 de 2012 de Colombia, el Cliente es el Responsable del Tratamiento y Guapu es el Encargado. Este DPA constituye el contrato de transmisión de datos previsto en el artículo 25 del Decreto 1377 de 2013: Guapu, como Encargado, se obliga a aplicar la Política de Tratamiento del Responsable y los deberes legales, y la transmisión internacional de datos al Encargado no requiere autorización adicional del Titular por existir este contrato.

6. 3.1 Responsabilidades del Cliente como Responsable

El Cliente, como Responsable, es el único responsable de determinar la licitud del tratamiento y, en particular, asume las siguientes obligaciones.

• Contar con una base legal válida para tratar los Datos Personales del Cliente. En el caso de Colombia, obtener la autorización previa, expresa e informada del Titular antes del tratamiento (art. 9 Ley 1581 y arts. 5 a 7 Decreto 1377), conservando prueba de dicha autorización, dado que la carga de la prueba recae en el Responsable. Esto es especialmente crítico para los usuarios finales que escriben por WhatsApp y para los contactos que el Cliente cargue en el Servicio.
• Disponer de una Política de Tratamiento de la Información y de un Aviso de Privacidad cuando la ley aplicable lo exija, e informar a los Titulares conforme corresponda. En Colombia, evaluar e inscribir, cuando aplique según el umbral vigente, sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio (SIC); esta obligación recae en el Responsable, no en Guapu.
• No introducir en el Servicio datos sensibles (por ejemplo, salud, orientación sexual, datos biométricos, origen racial, convicciones religiosas o políticas) ni datos de menores de edad sin la base legal reforzada que exige la ley (autorización explícita, advertencia de no obligatoriedad y, para menores, autorización del representante legal). El Cliente reconoce que por canales abiertos como WhatsApp los Titulares pueden compartir datos sensibles de forma espontánea y se compromete a gestionarlos conforme a la normativa.
• Emitir instrucciones lícitas y velar por que el tratamiento solicitado a Guapu cumpla la Normativa de Protección de Datos.
• Atender, en última instancia, las solicitudes de los Titulares, con la asistencia de Guapu prevista en la sección 7.

7. 3.2 Garantías de Guapu como Encargado

Guapu garantiza que ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de modo que el tratamiento cumpla la Normativa de Protección de Datos y proteja los derechos de los Titulares, conforme al artículo 28 del GDPR. El conjunto de tales garantías es el enumerado en la sección 2.1 y desarrollado en las secciones 4 a 12 y los Anexos I a IV. Guapu solo recurrirá a subencargados en las condiciones de la sección 6 y tratará los Datos Personales del Cliente únicamente conforme a la sección 4.

8. 3.3 Doble rol de Guapu: Responsable de los datos de cuenta y Encargado de los datos del Cliente

Guapu tiene una doble condición que conviene distinguir con precisión. Respecto de los Datos Personales del Cliente referidos a los contactos y usuarios finales del Cliente, Guapu actúa siempre como Encargado, conforme a este DPA.

En cambio, respecto de cierta información, Guapu actúa como Responsable independiente y no como Encargado: en particular, los datos de la cuenta y de las personas de contacto del Cliente (nombre, email, teléfono, organización, credenciales, rol), los datos de facturación de la suscripción a Guapu, los registros contables y fiscales, y los logs técnicos y de seguridad necesarios para operar, asegurar y mejorar el Servicio de forma agregada. El tratamiento de estos datos se rige por la Política de Privacidad de Guapu y no por este DPA.

Esta distinción no altera la condición de Encargado de Guapu respecto de los Datos Personales del Cliente referidos a sus contactos y usuarios finales. En resumen: Guapu es Responsable de los datos de cuenta de sus propios usuarios (los Clientes) y Encargado de los datos que cada Cliente sube sobre sus propios clientes.

9. 4. (a) Tratamiento conforme a instrucciones documentadas

En cumplimiento del literal (a) del artículo 28.3 del GDPR, Guapu tratará los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, inclusive en lo relativo a las transferencias internacionales de datos, salvo que el Derecho de la Unión, de un Estado miembro o la legislación aplicable a Guapu le obliguen a otra cosa; en tal caso, Guapu informará al Cliente de esa exigencia legal antes del tratamiento, salvo prohibición legal por razones de interés público.

Constituyen instrucciones documentadas del Cliente: (i) este DPA y los Términos; (ii) la configuración que el Cliente realice en el Servicio (agentes, personas, base de conocimiento, flujos, integraciones, canales conectados, permisos y capacidades); y (iii) las instrucciones adicionales que el Cliente curse por los canales habilitados. La configuración del Servicio por parte del Cliente es la forma principal y suficiente de instruir a Guapu.

Guapu no tratará los Datos Personales del Cliente para fines propios. En particular, Guapu no venderá ni alquilará dichos datos, no los usará para publicidad ni para perfilado ajeno al Servicio, y no los empleará para entrenar modelos de inteligencia artificial propios o de terceros.

En cumplimiento del último párrafo del artículo 28.3, si Guapu considera que una instrucción del Cliente infringe la Normativa de Protección de Datos, lo informará al Cliente inmediatamente. Guapu podrá suspender la ejecución de la instrucción afectada hasta que el Cliente la confirme, modifique o retire.

En relación con los proveedores de IA descritos en el Anexo III, Guapu transmite el contenido de los mensajes y el contexto necesario (persona del agente, base de conocimiento) estrictamente para generar la respuesta solicitada por el Cliente. Estos proveedores operan bajo acuerdos de tratamiento que prohíben usar los datos del Cliente para entrenar sus modelos.

10. 5. (b) Confidencialidad del personal

En cumplimiento del literal (b) del artículo 28.3 del GDPR, Guapu garantiza que las personas autorizadas para tratar los Datos Personales del Cliente (empleados, contratistas y colaboradores) se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad de carácter equivalente, que subsiste tras la finalización de su relación con Guapu.

• El acceso a los Datos Personales del Cliente se limita al personal que necesita acceder para prestar, mantener o asegurar el Servicio (principio de necesidad de conocer / least privilege).
• El personal con acceso recibe instrucciones sobre el tratamiento conforme a este DPA y a la Normativa de Protección de Datos, y formación razonable en materia de protección de datos y seguridad.
• Guapu impone obligaciones de confidencialidad equivalentes a sus subencargados (sección 6).

11. 6. (d) Subencargados (subprocesadores)

En cumplimiento del literal (d) del artículo 28.3 y de los apartados 28.2 y 28.4 del GDPR, el Cliente otorga a Guapu una autorización general, por escrito, para recurrir a subencargados con el fin de prestar el Servicio. La lista de subencargados vigentes figura en el Anexo III, se mantiene disponible y actualizada en una página pública enlazada desde el Servicio, y el Cliente puede solicitar la versión vigente a privacidad@guapu.io.

Guapu impondrá a cada subencargado, mediante contrato u otro acto jurídico vinculante, las mismas obligaciones de protección de datos establecidas en este DPA, en particular en materia de seguridad, confidencialidad y asistencia, ofreciendo garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. Guapu seguirá siendo plenamente responsable frente al Cliente del cumplimiento por parte de sus subencargados.

Cuando Guapu pretenda incorporar un nuevo subencargado o sustituir uno existente, lo notificará al Cliente con una antelación razonable (con carácter general, al menos quince (15) días naturales antes de que el nuevo subencargado comience a tratar Datos Personales del Cliente), mediante actualización del Anexo III, aviso en la aplicación o correo electrónico al titular de la cuenta, dando así al Cliente la oportunidad de oponerse a dichos cambios.

Durante el plazo de preaviso, el Cliente podrá oponerse al nuevo subencargado por motivos razonables y documentados de protección de datos. Las partes colaborarán de buena fe para resolver la objeción. Si no se alcanza una solución y Guapu decide mantener el subencargado, el Cliente podrá, como remedio único, resolver la parte del Servicio que no pueda prestarse sin dicho subencargado, conforme a los Términos.

La autorización general anterior es compatible con el régimen colombiano de transmisión (art. 25 Decreto 1377): los subencargados actúan por cuenta del Responsable y quedan sujetos por contrato a los deberes de la Política de Tratamiento del Cliente y de la ley.

12. 6.1 Lista de subencargados (Anexo III, resumen)

Guapu recurre actualmente a los siguientes subencargados. El detalle de finalidad, ubicación y categorías de datos figura en el Anexo III. Las integraciones de marketplace solo reciben datos si el Cliente las activa voluntariamente (opt-in por tenant).

• Supabase Inc. (us-east-1, Virginia, EE. UU.; los legales declaran US/EU): base de datos Postgres, autenticación, Row-Level Security y almacenamiento (Storage). Aloja todos los datos de cuenta y de usuarios finales (contactos, conversaciones, mensajes, deals, base de conocimiento, adjuntos y notas de voz).
• Vercel Inc. (EE. UU.): hosting de la aplicación, edge/CDN, ejecución de Server Actions, rutas de API y crons. Procesa tráfico, logs de petición y payloads en tránsito.
• Anthropic PBC (EE. UU.): motor de IA principal de los agentes (Claude Haiku 4.5, Claude Sonnet 4.6 y Claude Haiku con visión para describir imágenes y stickers). Recibe contenido de mensajes y contexto para generar respuestas, e imágenes en base64 para visión.
• Groq Inc. (EE. UU.): enrutador de intención (Llama 3.3 70B), generación de respaldo (fallback) en niveles 1-2 y transcripción de notas de voz (Whisper large-v3-turbo). Recibe texto de mensajes y audio de notas de voz.
• OpenAI L.L.C. (EE. UU.): generación de respaldo (fallback) en nivel 3 cuando el proveedor principal falla, y respaldo histórico de visión. Recibe texto de mensajes solo en la ruta de fallback.
• Google LLC (EE. UU.): proveedor de modelos de lenguaje disponible como opción o respaldo configurable. Recibe texto de mensajes solo si un agente se configura con Google.
• Meta Platforms Inc. (EE. UU. / Irlanda): canales de mensajería WhatsApp Business Cloud API, Instagram Direct y Facebook Messenger. Procesa mensajes, identificadores de usuario, contenido multimedia y metadatos de canal. Incluye los endpoints de cumplimiento de Meta para borrado y desautorización.
• Stripe Inc. (EE. UU. / Irlanda): procesamiento de pagos, tanto de los cobros que el agente de Ventas genera hacia los clientes finales del Cliente (incluido Stripe Connect a la cuenta del Cliente) como de la facturación de la suscripción a Guapu. Guapu no almacena números de tarjeta; Stripe gestiona directamente los datos de tarjeta.
• Resend Inc. (EE. UU.): correo transaccional (bienvenida, factura, alertas técnicas, restablecimiento de contraseña, enlaces mágicos e invitaciones), incluido el envío SMTP de la autenticación. Procesa el email del titular de la cuenta y el contenido transaccional.
• Evolution API (autoalojado, infraestructura de [ENTIDAD LEGAL] / del Proveedor): gateway de WhatsApp autoalojado para la conexión por código QR. Procesa mensajes entrantes y salientes de WhatsApp, número de teléfono, multimedia y estado de sesión, fuera de Supabase y Vercel.
• Hostinger International Ltd.: proveedor del servidor privado virtual (VPS) que aloja Evolution API y la gestión de DNS. Aloja el contenedor que procesa los mensajes de WhatsApp y la base de datos interna de Evolution.
• Integraciones de marketplace activadas por el Cliente (opt-in por tenant): conectores que el Cliente decide habilitar, gobernados por OAuth o tokens del propio Cliente (cifrados con AES-256-GCM). Incluyen, entre otros, Shopify, WooCommerce, Mercado Libre y Tiendanube (tiendas); Mercado Pago, PayPal, Wompi, ePayco y Bold (pasarelas); Hotmart (cursos e infoproductos); Telegram (canal); Twilio (SMS y voz); Calendly, Zoom, Google (Calendar, Meet, Sheets, Gmail), Outlook y Microsoft (productividad); Mailchimp (email marketing); Slack y Discord (notificaciones internas); y Notion (sincronización de base de conocimiento). La ubicación varía según el proveedor (la mayoría en EE. UU.; Mercado Pago, Mercado Libre, Wompi, ePayco, Bold y Tiendanube en LATAM). Cada integración trata únicamente los datos que el Cliente decide sincronizar.

13. 7. (e) Asistencia al Responsable: derechos de los Titulares

En cumplimiento del literal (e) del artículo 28.3 del GDPR, y teniendo en cuenta la naturaleza del tratamiento, Guapu asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para que el Cliente pueda cumplir su obligación de responder a las solicitudes de ejercicio de derechos de los Titulares.

Las herramientas del Servicio permiten al Cliente, de forma autónoma, acceder, exportar (incluida la descarga en formato JSON), rectificar y suprimir Datos Personales del Cliente. Cuando una solicitud no pueda atenderse con dichas herramientas, Guapu prestará asistencia razonable al Cliente.

Si Guapu recibe directamente una solicitud de un Titular relativa a Datos Personales del Cliente, no responderá por su cuenta (salvo obligación legal) y redirigirá la solicitud al Cliente sin dilación indebida, para que este la atienda como Responsable.

• Derechos cubiertos por el GDPR: acceso, rectificación, supresión ("derecho al olvido"), limitación, oposición, portabilidad y a no ser objeto de decisiones automatizadas, conforme proceda.
• Derechos cubiertos por la Ley 1581 de Colombia: conocer, actualizar, rectificar y suprimir los datos, revocar la autorización y solicitar prueba de la autorización otorgada. El Cliente, como Responsable, observa los plazos legales colombianos (consultas: 10 días hábiles, prorrogables 5; reclamos: 15 días hábiles, prorrogables 8); Guapu colabora para que pueda cumplirlos.
• Derechos cubiertos por la CCPA/CPRA: conocer, acceder, corregir, eliminar, y optar por no vender o compartir; Guapu, como Service Provider, asiste al Business para atenderlos y elimina la información personal cuando el Business lo instruya, salvo excepciones legales.

14. 8. (f) Asistencia al Responsable: seguridad, brechas y evaluaciones (GDPR arts. 32 a 36)

En cumplimiento del literal (f) del artículo 28.3 del GDPR, y teniendo en cuenta la naturaleza del tratamiento y la información disponible, Guapu asistirá al Cliente para garantizar el cumplimiento de las obligaciones de los artículos 32 a 36 del GDPR, en particular:

• La seguridad del tratamiento (art. 32), mediante las medidas descritas en la sección 9 y el Anexo II.
• La notificación de Brechas de Seguridad a la autoridad de control (art. 33) y la comunicación a los Titulares (art. 34), facilitando al Cliente la información de la sección 10 sin dilación indebida.
• La realización de evaluaciones de impacto relativas a la protección de datos (EIPD / DPIA, art. 35), proporcionando la información razonablemente disponible sobre el Servicio, los flujos de datos y sus medidas de seguridad para que el Cliente pueda elaborar su DPIA.
• La consulta previa a la autoridad de control (art. 36), aportando la información que razonablemente necesite el Cliente cuando una DPIA arroje un riesgo alto no mitigado.
• Guapu podrá repercutir al Cliente los costes razonables de la asistencia que exceda de lo que es propio de la prestación ordinaria del Servicio, previa comunicación.

15. 9. (c) Medidas técnicas y organizativas de seguridad (GDPR art. 32)

En cumplimiento del literal (c) del artículo 28.3 y del artículo 32 del GDPR, Guapu aplica y mantiene medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme también al principio de seguridad del artículo 4 de la Ley 1581. El detalle se recoge en el Anexo II. Las medidas vigentes incluyen, como mínimo:

• Cifrado en tránsito mediante TLS 1.3 y cifrado en reposo mediante AES-256 para los datos almacenados.
• Aislamiento de los datos de cada Cliente (multi-tenant) mediante Row-Level Security (RLS) en la base de datos, asociado al identificador de organización, de modo que un Cliente no pueda acceder a los datos de otro.
• Control de acceso basado en roles y pertenencia a la organización, con principio de mínimo privilegio.
• Autenticación multifactor (MFA) disponible para las cuentas, gestionada a través del proveedor de autenticación.
• Cifrado adicional de credenciales y tokens de integraciones de terceros mediante AES-256-GCM.
• Registros de auditoría (logs) de actividad y de seguridad, y monitoreo continuo de actividad sospechosa, con verificación de autenticidad de los webhooks entrantes (por ejemplo, validación de firma HMAC y verificación de signed_request en los endpoints de cumplimiento de Meta).
• Capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente físico o técnico: copias de seguridad defensivas, controles de despliegue con verificación previa y mecanismos de reversión automática ante fallos, y endurecimiento de la infraestructura del VPS (fijación de imágenes por digest SHA256).
• Procedimientos de gestión de vulnerabilidades, control de cambios y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas (art. 32.1.d).
• El Cliente reconoce que estas medidas pueden evolucionar conforme avanza la técnica, siempre que el nivel de seguridad no disminuya respecto del aquí descrito.

16. 10. Notificación de Brechas de Seguridad del Encargado al Responsable

Guapu notificará al Cliente sin dilación indebida tras tener conocimiento de una Brecha de Seguridad que afecte a Datos Personales del Cliente. Esta obligación del Encargado de notificar al Responsable sin dilación indebida da cumplimiento al artículo 33.2 del GDPR y permite al Cliente cumplir, cuando proceda, su propia obligación de notificar a la autoridad de control en el plazo de setenta y dos (72) horas previsto en el artículo 33.1 del GDPR, así como las obligaciones equivalentes bajo la Ley 1581 y la CCPA.

La notificación de Guapu describirá, en la medida en que la información esté disponible: la naturaleza de la Brecha y, cuando sea posible, las categorías y el número aproximado de Titulares y de registros afectados; las posibles consecuencias; las medidas adoptadas o propuestas para abordar la Brecha y mitigar sus efectos; y un punto de contacto para obtener más información. Si la información no puede facilitarse de forma simultánea, se proporcionará de manera escalonada sin más dilación indebida.

Guapu cooperará razonablemente con el Cliente y adoptará las medidas a su alcance para contener, investigar y remediar la Brecha. La notificación de una Brecha por sí sola no constituye un reconocimiento de culpa o responsabilidad por parte de Guapu.

17. 11. (g) Supresión o devolución de los datos al finalizar

En cumplimiento del literal (g) del artículo 28.3 del GDPR, a la finalización de la prestación de los servicios de tratamiento, y a elección del Cliente, Guapu suprimirá o devolverá al Cliente todos los Datos Personales del Cliente y suprimirá las copias existentes, salvo que la legislación aplicable exija su conservación. El Cliente puede comunicar su elección (supresión o devolución) a privacidad@guapu.io; a falta de instrucción dentro del periodo de gracia, Guapu procederá a la supresión.

• Durante la vigencia de la suscripción, el Cliente puede exportar en cualquier momento sus datos en formato estructurado (JSON) desde el panel de facturación (mecanismo de devolución autónoma).
• Tras la cancelación, Guapu conserva los datos durante un periodo de gracia de sesenta (60) días naturales, durante el cual el Cliente puede reactivar la cuenta sin pérdida de datos o descargar toda su información. Transcurrido ese plazo, los datos se suprimen de forma definitiva mediante un proceso de purga automatizado (cron diario).
• Quedan exceptuados de la supresión los datos que Guapu deba conservar por obligación legal (por ejemplo, registros contables y fiscales, conservados hasta siete (7) años), que se mantendrán protegidos y aislados hasta el fin del periodo legal de conservación.
• A solicitud del Cliente, Guapu certificará por escrito el cumplimiento de la supresión o devolución.

18. 12. (h) Auditoría, inspección e información para demostrar cumplimiento

En cumplimiento del literal (h) del artículo 28.3 del GDPR, Guapu pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 y permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor mandatado por este.

Con el fin de no comprometer la seguridad ni la confidencialidad del entorno multi-tenant, las partes acuerdan el siguiente procedimiento, que no limita el derecho de auditoría sino que ordena su ejercicio.

• En primer término, Guapu podrá atender el derecho de auditoría facilitando documentación de cumplimiento, descripciones de sus medidas de seguridad y, cuando existan, informes o certificaciones de terceros independientes (por ejemplo, certificaciones de seguridad o informes de tipo SOC, propios o de sus subencargados).
• Cuando dicha documentación no sea suficiente para satisfacer un requisito legal concreto del Cliente, este podrá solicitar una auditoría específica, con un preaviso razonable (con carácter general, al menos treinta (30) días naturales), limitada en alcance y frecuencia (con carácter general, no más de una vez al año, salvo requerimiento de una autoridad o tras una Brecha de Seguridad).
• La auditoría se realizará en horario laboral, sin interrumpir indebidamente las operaciones de Guapu, respetando la confidencialidad y sin acceder a datos de otros clientes ni a información de terceros. El auditor deberá suscribir compromisos de confidencialidad razonables.
• Guapu informará inmediatamente al Cliente si considera que una instrucción de auditoría infringe la Normativa de Protección de Datos o vulnera derechos de terceros.
• Cada parte sufragará sus propios costes; Guapu podrá repercutir los costes razonables de su colaboración cuando la auditoría exceda de lo previsto en este apartado.

19. 13. Disposiciones específicas de la CCPA/CPRA (Service Provider)

En la medida en que la CCPA/CPRA resulte aplicable, las partes acuerdan que Guapu actúa como Service Provider del Cliente (Business) y se obliga a lo siguiente respecto de la información personal tratada por cuenta del Cliente.

• No vender ni compartir la información personal del Cliente en el sentido de la CCPA/CPRA.
• No retener, usar ni divulgar la información personal para ningún fin distinto de los business purposes específicos de prestación del Servicio establecidos en este DPA y los Términos, ni para fines comerciales propios.
• No combinar la información personal del Cliente con información recibida de otras fuentes, salvo en lo permitido por la CCPA/CPRA para un Service Provider.
• Cumplir las obligaciones aplicables de la CCPA/CPRA y proporcionar el mismo nivel de protección de la privacidad que exige dicha norma.
• Notificar al Cliente si Guapu determina que ya no puede cumplir estas obligaciones, en cuyo caso el Cliente podrá adoptar medidas razonables para detener y remediar el uso no autorizado.
• Las mismas obligaciones se imponen contractualmente a los subencargados que actúen como Service Providers o Contractors.

20. 14. Transferencias internacionales de datos

El Cliente reconoce y autoriza que la prestación del Servicio implica el tratamiento de Datos Personales del Cliente en Estados Unidos, la Unión Europea / EEE, los Emiratos Árabes Unidos y otras jurisdicciones donde operen los subencargados del Anexo III. La instrucción del Cliente de operar el Servicio, junto con la activación de cada integración, constituye su instrucción documentada para estas transferencias (sección 4).

Para las transferencias de Datos Personales sujetos al GDPR desde el EEE, Reino Unido o Suiza hacia países que no cuenten con una decisión de adecuación, las partes incorporan por referencia, como módulo anexo a este DPA, las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914, que se entienden suscritas entre las partes y se completan según el Anexo IV. Cuando la transferencia esté sujeta al régimen del Reino Unido, será de aplicación el UK Addendum (IDTA), y para Suiza las salvaguardas equivalentes.

• Módulo aplicable: dado que el Cliente es Responsable y Guapu es Encargado, se aplica el Módulo 2 (Responsable a Encargado) de las SCC. Cuando Guapu transfiera a un subencargado, se aplicará el Módulo 3 (Encargado a Encargado).
• Cláusula de opción de acoplamiento (docking clause): se entiende incorporada para permitir la adhesión de nuevas partes cuando proceda.
• Análisis por destino — Estados Unidos: la mayor parte de los datos se aloja y procesa en EE. UU. (Supabase, Vercel, Anthropic, Groq, OpenAI, Google, Stripe, Resend, Meta). EE. UU. no cuenta con una decisión de adecuación general; cuando el subencargado esté certificado bajo el EU-U.S. Data Privacy Framework, este servirá de mecanismo adicional, y en su defecto regirán las SCC más las medidas complementarias indicadas más abajo.
• Análisis por destino — Emiratos Árabes Unidos: la entidad responsable (Encargado) está potencialmente domiciliada en los EAU (Dubai Silicon Oasis). Los EAU no cuentan, a la fecha de esta versión, con una decisión de adecuación de la Comisión Europea, por lo que las transferencias hacia el Encargado en los EAU se amparan en las SCC (Módulo 2) y en las medidas complementarias.
• Análisis por destino — Colombia: cuando intervengan flujos hacia Colombia, se tiene en cuenta que la Superintendencia de Industria y Comercio (SIC) ha emitido una declaración de conformidad respecto de ciertos países considerados con nivel adecuado de protección; para los destinos no cubiertos por dicha declaración, la transferencia internacional se ampara en este DPA como contrato de transmisión (art. 25 Decreto 1377) o, si constituyera transferencia a un Responsable distinto, en la autorización del Titular o una excepción legal.
• Evaluación de Impacto de la Transferencia (TIA): para cada destino sin decisión de adecuación (en particular EE. UU. y EAU), las partes han considerado las leyes y prácticas del país de destino y concluyen que, con las SCC y las medidas complementarias adoptadas, el nivel de protección es esencialmente equivalente; Guapu mantiene y actualiza esta evaluación y la pone a disposición del Cliente a solicitud.
• Medidas complementarias: las partes adoptarán, cuando sea necesario, medidas complementarias razonables de carácter técnico (cifrado en tránsito y en reposo, control de acceso, seudonimización cuando proceda), contractual (compromisos de notificación de requerimientos gubernamentales y de impugnación de solicitudes desproporcionadas) y organizativo (políticas de acceso y registro), para garantizar un nivel de protección esencialmente equivalente.
• Para transferencias internacionales bajo la Ley 1581 de Colombia, este DPA opera como contrato de transmisión (art. 25 Decreto 1377); en consecuencia, la transmisión a Guapu y a sus subencargados, que tratan por cuenta del Responsable, no requiere autorización adicional del Titular. Si algún flujo constituyera una transferencia a un Responsable distinto en un país sin nivel adecuado, el Cliente será responsable de obtener la autorización del Titular o de ampararla en una excepción legal.
• En caso de conflicto entre este DPA y las SCC respecto de las transferencias cubiertas por estas, prevalecerán las SCC.

21. 15. Ley aplicable, articulación con los Términos y vigencia

Este DPA se rige, con carácter general, por la misma ley aplicable y jurisdicción que los Términos de Servicio de Guapu, esto es, las leyes de los Emiratos Árabes Unidos y, en particular, la normativa aplicable a las entidades de free zone en Dubai Silicon Oasis (DSOA), con sometimiento a los tribunales competentes de Dubai. No obstante, esta elección de ley no priva a los Titulares de la protección imperativa que les confiere la Normativa de Protección de Datos aplicable a su situación (en particular el GDPR y la Ley 1581 de Colombia), cuyas disposiciones imperativas prevalecen sobre este DPA cuando resulten aplicables. Respecto de las transferencias cubiertas por las SCC, regirá la ley que estas designen.

Este DPA forma parte de los Términos y los complementa. En caso de conflicto entre este DPA y los Términos en materia de protección de datos, prevalecerá este DPA. En caso de conflicto entre este DPA y las SCC respecto de transferencias internacionales, prevalecerán las SCC.

Este DPA entra en vigor en la fecha de aceptación de los Términos o de la firma del presente Acuerdo, lo que ocurra primero, y permanecerá vigente mientras Guapu trate Datos Personales del Cliente por cuenta del Cliente. Las obligaciones que por su naturaleza deban subsistir (confidencialidad, supresión, auditoría respecto de tratamientos pasados) seguirán vigentes tras la terminación.

Guapu podrá actualizar este DPA para reflejar cambios legales, de subencargados o del Servicio, notificando los cambios sustanciales con al menos treinta (30) días de antelación por correo electrónico al titular de la cuenta o mediante aviso en la aplicación.

Fecha de última actualización: 22 de junio de 2026. Servicio: Guapu (guapu.io). Encargado: [ENTIDAD LEGAL], [NIT], [DOMICILIO]. Contacto de datos: privacidad@guapu.io. Contacto general: hi@guapu.io.

22. Anexo I — Descripción del tratamiento (GDPR art. 28.3)

Este Anexo describe el tratamiento que Guapu realiza por cuenta del Cliente y sirve, asimismo, como Anexo I.B de las SCC (descripción de la transferencia).

• Objeto: prestación del Servicio Guapu CRM (CRM, bandeja unificada, agentes de IA, flujos, formularios, integraciones y cobros) por cuenta del Cliente.
• Naturaleza y finalidad: recepción, almacenamiento, organización, consulta, uso, generación de respuestas automatizadas, transmisión a subencargados estrictamente necesarios y supresión de Datos Personales del Cliente, con la finalidad de operar el Servicio conforme a las instrucciones del Cliente.
• Categorías de Titulares: usuarios autorizados del Cliente; contactos del Cliente; y usuarios finales que se comunican con el Cliente a través de los canales conectados (WhatsApp, Instagram, Facebook, TikTok, chat web, email, Telegram, entre otros).
• Categorías de Datos Personales: datos de identificación y contacto (nombre, número de teléfono, identificador o usuario de la plataforma, email cuando se comparta); contenido de los mensajes (texto y multimedia: imágenes, stickers, notas de voz o audio, documentos); información que el usuario final comparta voluntariamente (por ejemplo, email o empresa, extraída además por el componente de extracción de información de leads); metadatos (marcas de tiempo, canal, idioma detectado, sentimiento); oportunidades de negocio (deals) y notas; y, cuando el Cliente lo active, datos sincronizados desde integraciones (pedidos, pagos, eventos de calendario). Para los cobros gestionados por Stripe: email del cliente final, monto, moneda y metadatos (identificador de organización y de conversación); Guapu no almacena números de tarjeta.
• Categorías especiales de datos (datos sensibles): el Servicio no está diseñado para tratar datos sensibles ni datos de menores. No obstante, por la naturaleza de los canales abiertos, los Titulares pueden compartirlos de forma espontánea; su tratamiento es responsabilidad del Cliente conforme a la sección 3.1.
• Naturaleza de las transferencias y frecuencia: las transferencias a los subencargados del Anexo III tienen carácter continuo, mientras dure la prestación del Servicio.
• Duración del tratamiento y plazos de conservación: vigencia del contrato de Servicio, más los periodos de retención y supresión de la sección 11 (periodo de gracia de 60 días y conservación legal contable/fiscal de hasta 7 años).
• Operaciones de tratamiento: las descritas en la sección 2 y en este Anexo.

23. Anexo II — Medidas técnicas y organizativas de seguridad (GDPR art. 32)

Este Anexo II detalla las medidas técnicas y organizativas a las que remite el literal (c) del artículo 28.3 y la sección 9 de este DPA, y sirve, asimismo, como Anexo II de las SCC.

Las medidas vigentes incluyen, como mínimo: cifrado en tránsito (TLS 1.3) y en reposo (AES-256); aislamiento multi-tenant mediante Row-Level Security asociado al identificador de organización; control de acceso por roles con mínimo privilegio y necesidad de conocer; autenticación multifactor disponible; cifrado de credenciales y tokens de integraciones (AES-256-GCM); registros de auditoría y monitoreo continuo; verificación de autenticidad de webhooks (firma HMAC / signed_request); capacidad de restaurar la disponibilidad y el acceso mediante copias de seguridad, controles de despliegue con reversión automática y endurecimiento del VPS (fijación por digest SHA256); compromisos de confidencialidad del personal con acceso; y procedimientos de gestión de vulnerabilidades, control de cambios y verificación, evaluación y valoración regulares de la eficacia de las medidas. Estas medidas podrán actualizarse sin disminuir el nivel de seguridad.

24. Anexo III — Lista de subencargados (enlace a la página pública)

Este Anexo III contiene la lista de subencargados a la que remite el literal (d) del artículo 28.3 y la sección 6 de este DPA, y sirve, asimismo, como Anexo III de las SCC.

La lista vigente de subencargados es la recogida en la sección 6.1 de este DPA, con indicación de finalidad, ubicación y categorías de datos para cada uno, y se mantiene publicada y enlazada desde una página pública del Servicio (sección de privacidad / subencargados en guapu.io). Las integraciones de marketplace solo participan en el tratamiento si el Cliente las activa (opt-in por tenant) y se gobiernan mediante OAuth o tokens del propio Cliente, cifrados con AES-256-GCM. Guapu mantiene esta lista actualizada y notifica las altas y los cambios conforme a la sección 6, dando al Cliente la oportunidad de oponerse. La versión vigente puede solicitarse a privacidad@guapu.io.

25. Anexo IV — Cláusulas Contractuales Tipo (SCC) y datos de las partes

Para las transferencias internacionales sujetas al GDPR, se incorporan por referencia, como módulo anexo a este DPA, las SCC de la Decisión de Ejecución (UE) 2021/914, con la siguiente configuración. La firma o aceptación de este DPA equivale a la firma de las SCC entre las partes.

• Exportador de datos: el Cliente (Responsable), con los datos de contacto indicados en su cuenta y en el contrato de Servicio.
• Importador de datos: [ENTIDAD LEGAL] (Encargado), [NIT], [DOMICILIO] (Building A1, Dubai Digital Park, Dubai Silicon Oasis, Emiratos Árabes Unidos); contacto privacidad@guapu.io.
• Módulos aplicables: Módulo 2 (Responsable a Encargado) entre el Cliente y Guapu; Módulo 3 (Encargado a Encargado) entre Guapu y sus subencargados.
• Cláusula 7 (acoplamiento): aplicable. Cláusula 9 (subencargados): Opción 2, autorización general con preaviso conforme a la sección 6. Cláusula 11 (recurso): no se aplica la opción de organismo independiente de resolución de litigios. Cláusulas 17 y 18 (ley y foro): se completarán con un Estado miembro del EEE conforme a las SCC; [Estado miembro y foro a completar por el equipo legal].
• Anexo I.A de las SCC (partes): los datos del exportador y del importador indicados arriba. Anexo I.B de las SCC (descripción de la transferencia): se cumplimenta con el contenido del Anexo I de este DPA. Anexo I.C de las SCC (autoridad de control competente): la del Estado miembro que se designe conforme a la Cláusula 13. Anexo II de las SCC (medidas de seguridad): el Anexo II de este DPA. Anexo III de las SCC (lista de subencargados): el Anexo III de este DPA.
• Evaluación de Impacto de la Transferencia: las partes incorporan el análisis por destino y las medidas complementarias de la sección 14 como soporte de la Cláusula 14 de las SCC (leyes y prácticas locales del país de destino).
• Cuando proceda, se aplicará el UK Addendum (IDTA) para transferencias sujetas al régimen del Reino Unido, y las salvaguardas equivalentes para Suiza.

26. Cómo aceptar este DPA

Este DPA puede ser aceptado y firmado por el Cliente (tenant) como anexo a los Términos de Servicio, ya sea mediante aceptación electrónica al contratar el Servicio o mediante firma de una copia por un representante autorizado de cada parte. Una vez aceptado, vincula a las partes conforme a la sección 15 e implica la suscripción de las SCC del Anexo IV en cuanto resulten aplicables. Para solicitar una copia firmable, gestionar las SCC o resolver dudas, escribe a privacidad@guapu.io.

Fecha de esta versión: 22 de junio de 2026.