ACUERDO DE TRATAMIENTO DE DATOS (DPA)
CitaChat LLC

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integral de los Términos y Condiciones de CitaChat LLC y regula el tratamiento de datos personales realizado por CitaChat en el marco de la prestación del servicio. Al aceptar los Términos y Condiciones, el Usuario acepta íntegramente este DPA.

1. Partes

Responsable del Tratamiento: El Usuario de la Plataforma (empresa o persona que contrata el Servicio de CitaChat).

Encargado del Tratamiento: CitaChat LLC, 16192 Coastal Highway, Lewes, Delaware 19958, Estados Unidos. Contacto DPA: soporte@citachat.co.

2. Objeto

Regular el tratamiento de datos personales realizado por CitaChat LLC por cuenta del Usuario en el marco de la prestación del Servicio de agente de IA conversacional para atención al cliente y agendamiento de citas a través de WhatsApp, Instagram y web widget.

3. Naturaleza, Finalidad y Categorías de Datos Tratados

3.1 Naturaleza del tratamiento

Recopilación, almacenamiento, procesamiento, análisis, transmisión y eliminación de datos personales.

3.2 Finalidades del tratamiento por cuenta del Usuario (Responsable)

• Operar la Plataforma y prestar el Servicio contratado.
• Automatizar conversaciones de atención al cliente, calificación de leads y agendamiento de citas.
• Almacenar y procesar conversaciones para permitir la gestión del historial del cliente.
• Integrar con calendarios, CRMs y otros sistemas autorizados por el Usuario.
• Enviar notificaciones de confirmación de citas por correo electrónico.
• Cumplir obligaciones legales en nombre del Usuario cuando aplique.

3.3 Finalidades propias de CitaChat como Responsable (I+D de IA)

CitaChat también actúa como Responsable del Tratamiento respecto al uso de datos anonimizados o agregados para el desarrollo de sus modelos propios de inteligencia artificial. Esta finalidad está sujeta a las siguientes condiciones:

• Solo se utilizan datos que han pasado por un proceso de anonimización que elimina nombre, número de teléfono, correo electrónico y cualquier otro identificador directo del usuario final.
• El procesamiento con esta finalidad ocurre en entornos separados del entorno operativo del Servicio.
• El Usuario puede oponerse a esta finalidad en cualquier momento escribiendo a soporte@citachat.co, sin que ello afecte la prestación del Servicio base.
• Los modelos de IA resultantes son propiedad exclusiva de CitaChat y no son compartidos con terceros.

3.4 Categorías de datos personales tratados

• Nombre y datos de contacto de clientes finales del Usuario (nombre, número de teléfono, correo electrónico).
• Transcripciones de conversaciones (texto y notas de voz procesadas).
• Datos de comportamiento conversacional (intención de compra, preferencias, estado en el embudo de ventas).
• Datos de agenda y citas (fecha, hora, servicio solicitado).
• Datos técnicos (timestamps, metadatos de sesión).

3.5 Categorías de titulares

Clientes finales, leads y prospectos de las empresas usuarias de CitaChat.

4. Instrucciones del Responsable

CitaChat tratará los datos personales conforme a las instrucciones documentadas del Usuario, establecidas en los Términos y Condiciones, este DPA y la configuración que el Usuario defina en la Plataforma. Si CitaChat considera que alguna instrucción del Usuario viola la normativa aplicable, lo notificará sin demora.

El Usuario garantiza que:

• Cuenta con las autorizaciones legales necesarias de los titulares para el tratamiento de sus datos.
• Ha obtenido el consentimiento de sus clientes para recibir comunicaciones automatizadas a través de WhatsApp, conforme a las políticas de Meta Platforms Inc.
• La información configurada en el Agente de IA es veraz y no infringe derechos de terceros.

5. Obligaciones de CitaChat como Encargado

CitaChat se compromete a:

• 5.1 Legalidad: Tratar los datos únicamente para las finalidades autorizadas en este DPA y conforme a las instrucciones del Usuario.
• 5.2 Confidencialidad: Garantizar que el personal con acceso a los datos personales esté sujeto a obligaciones de confidencialidad.
• 5.3 Seguridad: Implementar las medidas técnicas y organizativas descritas en la Política de Seguridad, incluyendo cifrado en tránsito y en reposo, control de accesos por mínimo privilegio, y monitoreo continuo.
• 5.4 Asistencia al Responsable: Asistir al Usuario, en la medida razonablemente posible, para: responder solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, oposición, portabilidad); cumplir con evaluaciones de impacto de privacidad (DPIA) cuando el Usuario lo requiera; y gestionar notificaciones de brechas de seguridad.
• 5.5 Notificación de incidentes: Notificar al Usuario sobre cualquier brecha de seguridad o incidente que afecte datos personales en un plazo no mayor a 72 horas desde la detección, incluyendo: (i) naturaleza del incidente; (ii) categorías y volumen aproximado de datos afectados; (iii) medidas adoptadas o propuestas.
• 5.6 Eliminación o devolución: Al término del contrato de servicio, CitaChat eliminará o devolverá al Usuario los datos personales tratados en un plazo máximo de 90 días, salvo obligación legal de conservación. Se exceptúan los datos anonimizados utilizados para I+D de IA, que por definición no son datos personales.
• 5.7 Auditoría: CitaChat cooperará con auditorías razonables solicitadas por el Usuario para verificar el cumplimiento de este DPA, con un preaviso mínimo de 30 días y en horario comercial. Los costos de auditoría son asumidos por el Usuario.

6. Subprocesadores

6.1 Autorización general

El Usuario autoriza a CitaChat a subcontratar el tratamiento de datos con terceros proveedores (subprocesadores), sujeto a las condiciones de este artículo.

6.2 Subprocesadores actuales principales

La lista actualizada de subprocesadores está disponible bajo solicitud a soporte@citachat.co. CitaChat notificará al Usuario con al menos 14 días de anticipación sobre cambios relevantes en subprocesadores, dando al Usuario la oportunidad de oponerse si el cambio afecta materialmente la protección de datos.

6.3 Responsabilidad

CitaChat impondrá a sus subprocesadores obligaciones de protección de datos equivalentes a las establecidas en este DPA. CitaChat seguirá siendo responsable frente al Usuario por el desempeño de sus subprocesadores.

7. Transferencias Internacionales de Datos

El Usuario autoriza expresamente la transferencia internacional de datos necesaria para la prestación del Servicio, incluyendo hacia los países donde operan los subprocesadores listados en §6.2.

Dichas transferencias se realizan sobre la base de:

• Cláusulas Contractuales Estándar de la Comisión Europea (SCCs), donde aplique.
• Decisiones de adecuación de la Comisión Europea para países receptores que así las tengan.
• Las garantías contractuales impuestas por CitaChat a sus subprocesadores.
• Las condiciones de transferencia internacional establecidas en la Ley 1581 de 2012 (Colombia) y normativa equivalente en México.

8. Solicitudes de Autoridades Públicas

8.1 CitaChat cuenta con un procedimiento documentado para gestionar solicitudes de acceso a datos por parte de autoridades gubernamentales, que incluye:

• Revisión obligatoria de la legalidad y proporcionalidad de cada solicitud.
• Derecho de CitaChat a recusar o impugnar solicitudes que considere ilegítimas o excesivas.
• Aplicación del principio de minimización: solo se divulga la información estrictamente necesaria.
• Documentación interna de cada solicitud, incluyendo base legal invocada, datos divulgados y razonamiento jurídico.

8.2 CitaChat notificará al Usuario sobre solicitudes de autoridades que afecten sus datos en la medida en que la ley aplicable lo permita.

8.3 En caso de que la legislación aplicable prohíba dicha notificación, CitaChat informará al Usuario en términos generales sobre la existencia de la restricción, sin revelar información que pudiera comprometer una investigación legítima.

9. Evaluación de Impacto de Privacidad (DPIA)

Cuando el tratamiento de datos a través de CitaChat pueda implicar un alto riesgo para los derechos y libertades de los titulares (por ejemplo, tratamiento a escala de datos de salud o perfiles de comportamiento detallados), CitaChat asistirá al Usuario en la realización de una Evaluación de Impacto de Privacidad (DPIA) conforme al GDPR Art. 35, aportando la información técnica relevante sobre el procesamiento.

10. Registro de Actividades de Tratamiento

CitaChat mantiene un registro interno de las actividades de tratamiento realizadas en nombre de los Usuarios, conforme al GDPR Art. 30(2), que incluye: categorías de tratamientos, subprocesadores utilizados, transferencias internacionales y medidas de seguridad generales. Dicho registro está disponible para las autoridades supervisoras competentes bajo solicitud.

11. Duración

Este DPA estará vigente mientras CitaChat trate datos personales por cuenta del Usuario. Terminará automáticamente al término del contrato de servicio, sin perjuicio de las obligaciones de eliminación y confidencialidad post-contractual.

12. Ley Aplicable

Este DPA se rige por las leyes del Estado de Delaware, Estados Unidos de América, sin perjuicio de los requisitos adicionales impuestos por la normativa de protección de datos aplicable en la jurisdicción del Usuario (Ley 1581 de 2012 en Colombia; LFPDPPP en México; GDPR donde aplique; CCPA en California).

13. Contacto DPA

Para cualquier consulta, solicitud de auditoría, ejercicio de derechos o notificación de incidentes relacionada con este DPA:

CitaChat LLC — Área Legal
Correo: soporte@citachat.co
Teléfono: +57 311 635 4428
Dirección: 16192 Coastal Highway, Lewes, Delaware 19958, EE.UU.

CitaChat LLC — soporte@citachat.co — citachat.co