Data Processing Agreement
Acuerdo sobre el tratamiento de datos personales conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD), parte integrante de los Términos de Servicio.
1. Roles de las partes
El cliente de Swavo (la empresa usuaria) actúa como Responsable del tratamiento de los datos de sus clientes finales. Swavo actúa como Encargado del tratamiento y trata dichos datos únicamente por cuenta del Responsable y según sus instrucciones documentadas.
2. Objeto y duración
El tratamiento abarca los datos personales gestionados a través de la plataforma Swavo (voice agent Giulia, WhatsApp AI, portal, brain) y dura mientras esté vigente el contrato de servicio, salvo obligaciones legales de conservación.
3. Tipos de datos y categorías de interesados
Datos identificativos y de contacto, contenido conversacional (llamadas, chats), datos de citas y de facturación. Categorías de interesados: clientes finales, contactos y proveedores de la empresa usuaria.
4. Instrucciones del Responsable
Swavo trata los datos solo por instrucción documentada del Responsable, incluido el uso de la plataforma y las configuraciones elegidas. Swavo informa al Responsable si una instrucción infringe el RGPD u otra normativa aplicable.
5. Confidencialidad
El personal autorizado de Swavo está sujeto a confidencialidad y accede a los datos solo en la medida necesaria para prestar el servicio.
6. Medidas de seguridad (art. 32)
Cifrado en tránsito y en reposo, control de acceso basado en roles, aislamiento multi-tenant, registros de auditoría, copias de seguridad periódicas y procedimientos de recuperación. Los servidores están ubicados en la Unión Europea (Supabase EU, Vercel EU, Hetzner Alemania).
7. Subencargados
Swavo recurre a subencargados (entre ellos Supabase, Vercel, Hetzner, OpenAI, Anthropic, ElevenLabs, Deepgram, Twilio, Meta WhatsApp Business, Stripe), todos vinculados por acuerdos conformes al RGPD. El Responsable autoriza dicho recurso y será informado de los cambios, con derecho a oponerse por motivos justificados.
8. Asistencia al Responsable
Swavo asiste al Responsable para responder a las solicitudes de ejercicio de derechos de los interesados y para cumplir las obligaciones de los arts. 32-36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto), en la medida técnicamente posible.
9. Brechas de datos
Swavo notifica al Responsable sin dilación indebida, y en todo caso en un plazo de 48 horas desde que tenga conocimiento, de cualquier brecha de datos personales que le afecte, facilitando la información necesaria para el cumplimiento legal.
10. Devolución y supresión
Al finalizar el contrato, a elección del Responsable, Swavo devuelve o suprime los datos personales tratados y elimina las copias existentes, salvo obligación legal de conservación.
11. Auditoría
Swavo pone a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permite auditorías, incluso mediante un tercero encargado, con preaviso razonable y sin comprometer la seguridad de otros clientes.
12. Transferencias fuera de la UE
Las transferencias a subencargados fuera de la UE se realizan sobre la base de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, cuando proceda, del Data Privacy Framework.