© 2025 DocUnlock, Inc. · Todos los derechos reservados
Este Acuerdo de procesamiento de datos («DPA») se celebra entre el cliente identificado en los Términos de servicio o documento de pedido aplicables («Cliente», «Controlador» o «Empresa») y DocUnlock, Inc. («DocUnlock», «Procesador» o «Proveedor de servicios»), y se incorpora y forma parte de los Términos de servicio de DocUnlock disponibles en https://www.docunlock.com/legal/terms-of-service (el «Acuerdo»).
Esta DPA establece las obligaciones de las partes con respecto al procesamiento de datos personales en relación con el uso del Servicio por parte del Cliente, y se aplica en la medida en que DocUnlock procese datos personales en nombre del Cliente.
En caso de conflicto entre esta DPA y el Acuerdo, esta DPA prevalecerá con respecto al procesamiento de datos personales.
Los términos en mayúscula no definidos en este documento tienen los significados establecidos en el Acuerdo. Además:
«Ley de protección de datos aplicable» se refiere a todas las leyes y reglamentos aplicables relacionados con el procesamiento de datos personales, que incluyen: (a) el Reglamento General de Protección de Datos de la UE 2016/679 («GDPR»); (b) el Reglamento General de Protección de Datos y la Ley de Protección de Datos del Reino Unido de 2018 («GDPR del Reino Unido»); (c) la Ley Federal Suiza de Protección de Datos («FADP»); (d) la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California («CCPA/CPRA»); y (e) cualquier otra ley de privacidad o protección de datos aplicable.
«Controlador» se refiere a la entidad que determina los propósitos y los medios del procesamiento de los datos personales. Cuando se aplica la CCPA/CPRA, controlador significa «empresa» tal como se define en ellas.
«Sujeto de datos» significa una persona física identificada o identificable a la que se refieren los datos personales.
«Datos personales» se refiere a cualquier información relacionada con una persona física identificada o identificable, tal como se define en la Ley de Protección de Datos Aplicable. Cuando se aplica la CCPA/CPRA, los datos personales incluyen la «información personal» tal como se define en ella.
Por «procesamiento» se entiende cualquier operación o conjunto de operaciones realizadas con datos personales, incluida la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión, la alineación, la combinación, la restricción, el borrado o la destrucción.
«Procesador» se refiere a la entidad que procesa los datos personales en nombre del Controlador. Cuando se aplique la CCPA/CPRA, el procesador significa «proveedor de servicios» tal como se define en ellas.
Por «incidente de seguridad» se entiende cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos personales transmitidos, almacenados o procesados de otro modo por DocUnlock en relación con el Servicio.
Por «cláusulas contractuales estándar» o «SCC» se entiende las cláusulas contractuales estándar aprobadas por la Comisión Europea en la Decisión de Ejecución (UE) 2021/914, cuyo texto completo está disponible en https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 y se incorpora a esta DPA como referencia cuando proceda.
«Subprocesador» se refiere a cualquier tercero contratado por DocUnlock para procesar datos personales en nombre del Cliente.
2.1 Funciones de las partes. El cliente actúa como controlador (o empresa) y DocUnlock actúa como procesador (o proveedor de servicios) con respecto a los datos personales procesados en relación con el Servicio.
2.2 Alcance del procesamiento. DocUnlock procesará los datos personales únicamente para proporcionar el Servicio al Cliente de conformidad con el Acuerdo, este DPA y las instrucciones documentadas del Cliente, tal como se describe en la Sección 3.
2.3 Detalles del procesamiento. El tema, la duración, la naturaleza, el propósito, los tipos de datos personales y las categorías de sujetos de datos se describen en el anexo I de esta DPA.
3.1 Instrucciones documentadas. DocUnlock procesará los datos personales únicamente siguiendo las instrucciones documentadas del cliente, incluso en lo que respecta a las transferencias de datos personales a un tercer país, a menos que la ley aplicable lo exija. En tal caso, DocUnlock informará al Cliente de ese requisito legal antes del procesamiento, a menos que la ley prohíba dicha notificación por motivos importantes de interés público.
3.2 Alcance de las instrucciones. Las instrucciones del cliente para el procesamiento se establecen en el Acuerdo, en esta DPA y en cualquier documento de pedido aplicable. El cliente puede emitir instrucciones adicionales por escrito de conformidad con los términos del Acuerdo.
3.3 Notificación de cumplimiento. Si DocUnlock cree razonablemente que una instrucción del cliente infringe la ley de protección de datos aplicable, DocUnlock lo notificará de inmediato al Cliente y podrá suspender la ejecución de la instrucción correspondiente hasta que el Cliente modifique o confirme la instrucción.
4.1 Obligaciones del personal. DocUnlock garantiza que todo el personal autorizado a procesar datos personales esté sujeto a obligaciones de confidencialidad por escrito, ya sean contractuales o legales.
4,2 Limitaciones de acceso. DocUnlock limita el acceso a los datos personales a aquellos miembros del personal que requieren acceso para cumplir con sus obligaciones en virtud del Acuerdo, y garantiza que dicho personal procese los datos personales únicamente de acuerdo con las instrucciones del Cliente.
5.1 Medidas de seguridad. DocUnlock implementará y mantendrá las medidas técnicas y organizativas apropiadas para proteger los datos personales contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño. Estas medidas se describen en el anexo II e incluyen, como mínimo:
(a) Cifrado de datos personales en tránsito (TLS 1.2+) y en reposo (AES-256); (b) Controles de acceso basados en roles y autenticación multifactorial; (c) Revisiones periódicas del acceso y registro de auditorías; (d) Seguridad de la red, incluidos firewalls, detección de intrusos y segmentación de la red; (e) Planificación de la respuesta a incidentes con monitoreo de seguridad ininterrumpido; (f) Evaluaciones periódicas de vulnerabilidad y pruebas de penetración; (g) Capacidades de continuidad empresarial y recuperación ante desastres; y (h) Capacitación anual en materia de seguridad para todo el personal con acceso a los datos personales.
5.2 Cumplimiento de SOC 2. DocUnlock mantiene la certificación SOC 2 de tipo II (o equivalente) que cubre los criterios de seguridad, disponibilidad y confidencialidad del servicio de confianza. DocUnlock proporcionará un resumen de su informe SOC 2 más reciente si el Cliente lo solicita por escrito, sujeto a los requisitos de confidencialidad estándar de DocUnlock.
5.3 Mejora continua. DocUnlock probará, evaluará y evaluará periódicamente la eficacia de sus medidas de seguridad, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo para los sujetos de datos.
6.1 Autorización. El cliente proporciona una autorización general por escrito para que DocUnlock contrate a subprocesadores para procesar datos personales. La lista actual de subprocesadores figura en el anexo III y en el apéndice A de las condiciones de servicio.
6.2 Obligaciones del subprocesador. DocUnlock celebrará un acuerdo por escrito con cada subprocesador que imponga obligaciones de protección de datos no menos protectoras que las establecidas en esta DPA, incluidas las obligaciones relacionadas con la confidencialidad, la seguridad y las restricciones de procesamiento.
6.3 Notificación de cambios. DocUnlock notificará al Cliente al menos treinta (30) días antes de contratar un nuevo subprocesador o reemplazar un subprocesador existente. Los clientes pueden suscribirse a las notificaciones enviando un correo electrónico a privacy@docunlock.com o mediante la configuración de la cuenta.
6,4 Derecho a objetar. El cliente puede oponerse a un nuevo subprocesador enviando una notificación por escrito a privacy@docunlock.com en un plazo de treinta (30) días a partir de la recepción de la notificación. La objeción debe incluir motivos específicos y razonables relacionados con la protección de datos. DocUnlock trabajará de buena fe para abordar la objeción, lo que puede incluir proporcionar información adicional, implementar medidas de seguridad adicionales u ofrecer una configuración de servicio alternativa. Si DocUnlock no puede aceptar razonablemente la objeción, cualquiera de las partes podrá cancelar la parte afectada del Servicio mediante notificación por escrito y el Cliente recibirá un reembolso prorrateado de las tarifas pagadas por adelantado.
6,5 Responsabilidad. DocUnlock sigue siendo totalmente responsable de los actos y omisiones de sus subprocesadores en la misma medida en que DocUnlock sería responsable si realizara el procesamiento directamente.
6.6 Subprocesadores AI y LLM. Cuando DocUnlock contrata a proveedores de modelos de lenguaje de gran tamaño o IA como subprocesadores:
(a) Los datos del cliente se procesan únicamente con el fin de proporcionar el servicio; (b) los datos del cliente no se utilizan para la formación o la mejora de modelos; (c) los datos del cliente no se conservan más allá del tiempo necesario para generar el resultado solicitado, excepto según lo exija la ley; y (d) DocUnlock mantiene los compromisos contractuales de cada subprocesador de AI/LLM que reflejan las obligaciones de (a) a (c).
7,1 Asistencia. DocUnlock ayudará al Cliente a responder a las solicitudes de los interesados que ejerzan sus derechos en virtud de la ley de protección de datos aplicable, incluidos los derechos de acceso, rectificación, borrado, restricción, portabilidad y objeción.
7.2 Notificación. Si DocUnlock recibe una solicitud directamente de un sujeto de datos, DocUnlock redirigirá de inmediato la solicitud al Cliente, a menos que lo prohíba la ley, y no responderá a la solicitud sin la autorización previa del Cliente, excepto para confirmar que la solicitud se refiere al Cliente.
7.3 Medidas razonables. DocUnlock proporcionará la asistencia técnica y organizativa que sea razonablemente necesaria para que el Cliente pueda cumplir con las solicitudes del sujeto de datos, teniendo en cuenta la naturaleza del procesamiento.
8.1 Notificación. DocUnlock notificará al Cliente sin demora indebida, después de tener conocimiento de cualquier incidente de seguridad que afecte a los datos personales del Cliente.
8.2 Contenidos. La notificación incluirá, en la medida en que se conozca:
(a) La naturaleza del incidente de seguridad, incluidas las categorías y el número aproximado de interesados y registros de datos personales afectados; (b) el nombre y los detalles de contacto del responsable de protección de datos de DocUnlock; (c) Las posibles consecuencias del incidente de seguridad; y (d) las medidas adoptadas o propuestas para abordar el incidente de seguridad y mitigar sus efectos.
8.3 Actualizaciones continuas. Cuando la información completa no esté disponible en el momento de la notificación inicial, DocUnlock proporcionará la información por fases sin más demoras indebidas.
8,4 Cooperación. DocUnlock cooperará con el Cliente y tomará las medidas razonables para ayudar en la investigación, mitigación y remediación del Incidente de Seguridad, y ayudará al Cliente a cumplir con sus obligaciones de notificación de incumplimiento a las autoridades supervisoras y a los sujetos de datos.
8,5 Documentación. DocUnlock documentará todos los incidentes de seguridad, incluidos los hechos, los efectos y las medidas correctivas adoptadas, y pondrá dicha documentación a disposición del Cliente y las autoridades supervisoras que la soliciten.
9,1 Asistencia. DocUnlock proporcionará asistencia razonable al Cliente para realizar evaluaciones de impacto en la protección de datos y consultas previas con las autoridades supervisoras cuando así lo exijan los artículos 35 y 36 del RGPD, teniendo en cuenta la naturaleza del procesamiento y la información disponible para DocUnlock.
DocUnlock tiene su sede en los Estados Unidos. Los datos personales recopilados a través del Sitio de marketing y procesados a través de la Plataforma se almacenan y procesan en los Estados Unidos.
11,1 Información de auditoría. DocUnlock pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA y la Ley de Protección de Datos Aplicable.
11,2 Derechos de auditoría. DocUnlock pondrá a disposición del Cliente una copia de su informe SOC 2 Tipo II más reciente si lo solicita por escrito, sujeto a la ejecución de un acuerdo de confidencialidad en una forma aceptable para DocUnlock. El cliente acepta que la recepción del informe SOC 2 cumple con las obligaciones de auditoría e inspección de DocUnlock en virtud de esta DPA y de cualquier ley de protección de datos aplicable que exija a DocUnlock demostrar el cumplimiento de sus obligaciones como procesador.
11,3 Informes SOC 2. DocUnlock puede satisfacer las solicitudes de auditoría proporcionando su informe SOC 2 tipo II más reciente (o una auditoría o certificación equivalente de un tercero), siempre que aborde los asuntos relevantes para la solicitud de auditoría. Si el informe del SOC 2 no aborda adecuadamente las inquietudes del cliente, el cliente conserva sus derechos de auditoría en virtud de la sección 11.2.
11,4 Auditorías reglamentarias. DocUnlock cooperará con cualquier autoridad supervisora que necesite acceder a las instalaciones o documentación de DocUnlock y le proporcionará asistencia razonable en relación con una investigación relacionada con el procesamiento de datos personales en virtud de esta DPA.
12,1 Duración. DocUnlock procesará los datos personales durante la vigencia del Acuerdo, a menos que el Cliente indique lo contrario.
12,2 Eliminación. Tras la rescisión o el vencimiento del Acuerdo, DocUnlock eliminará todos los datos personales de sus sistemas de producción dentro de noventa (90) días. El Cliente no necesita hacer una elección afirmativa; la eliminación se realizará automáticamente a menos que el Cliente solicite por escrito un período de transición más largo antes de la rescisión.
12,3 Retención de copias de seguridad. Los datos personales pueden permanecer en los sistemas de copia de seguridad cifrados durante un máximo de noventa (90) días tras la eliminación de los sistemas de producción, de modo que el período máximo de retención total tras la finalización no supere noventa (90) días. Durante este período, los datos de respaldo se cifran, se restringe el acceso y se consideran funcionalmente inaccesibles. DocUnlock volverá a aplicar las solicitudes de eliminación pendientes si los datos de la copia de seguridad se restauran con fines de recuperación ante desastres.
12,4 Excepciones legales. DocUnlock puede retener los datos personales en la medida en que lo exija la ley aplicable, siempre que DocUnlock limite dicha retención a los datos y la duración requeridos y notifique al Cliente, a menos que la ley lo prohíba.
12,5 Certificación. Tras la solicitud por escrito del Cliente, DocUnlock proporcionará una confirmación por escrito de que los datos personales se han eliminado de conformidad con esta sección.
En la medida en que la CCPA/CPRA se aplique al procesamiento de datos personales por parte de DocUnlock en nombre del cliente:
13,1 Estado del proveedor de servicios. DocUnlock es un «proveedor de servicios» tal como se define en la CCPA/CPRA y procesa la información personal únicamente en nombre del Cliente y para los fines comerciales especificados en el Acuerdo.
13,2 Actividades prohibidas. DocUnlock no hará lo siguiente:
(a) Vender o compartir información personal; (b) retener, usar o divulgar información personal para cualquier propósito que no sea el propósito comercial especificado en el Acuerdo, incluso para cualquier propósito comercial que no sea la prestación del Servicio; (c) retener, usar o divulgar información personal fuera de la relación comercial directa entre DocUnlock y el cliente; o (d) combinar la información personal recibida del cliente con la información personal recibida de otras fuentes, excepto según lo permita expresamente la CCPA/CPRA.
13,3 Certificación de cumplimiento. DocUnlock certifica que entiende y cumplirá con las restricciones de las secciones 13.1 y 13.2.
13,4 Asistencia en materia de derechos del consumidor. DocUnlock ayudará al Cliente a responder a las solicitudes verificables de los consumidores en virtud de la CCPA/CPRA, incluidas las solicitudes de información, eliminación, corrección y exclusión voluntaria de la venta o el intercambio.
13,5 Notificación de incapacidad de cumplimiento. DocUnlock notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA/CPRA. Tras dicha notificación, el Cliente podrá tomar las medidas razonables y apropiadas para detener y remediar el uso no autorizado de la información personal.
13,6 Derecho a monitorear. El cliente tiene derecho a tomar medidas razonables y apropiadas para garantizar que DocUnlock utilice la información personal de manera coherente con las obligaciones del cliente en virtud de la CCPA/CPRA. DocUnlock cumplirá con las solicitudes razonables del Cliente para verificar el cumplimiento.
14,1 Ley aplicable. Esta DPA se rige por las leyes establecidas en el Acuerdo, excepto que las SCC se rigen por la ley del Estado miembro de la UE en el que está establecido el Controlador (o, si el Controlador no está establecido en un Estado miembro de la UE, por las leyes de Irlanda).
14,2 Orden de precedencia. En caso de conflicto: (a) las SCC prevalecen sobre este DPA; (b) este DPA prevalece sobre el Acuerdo; y (c) el Acuerdo prevalece en todos los demás aspectos.
14,3 Separabilidad. Si alguna disposición de esta DPA se considera inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto.
14,4 Plazo. Este DPA entrará en vigor una vez que el Cliente acepte el Acuerdo y permanecerá en vigor hasta que se eliminen o devuelvan todos los datos personales de conformidad con la Sección 12.
14,5 Enmiendas. Este DPA solo puede modificarse por escrito y firmado por ambas partes, excepto que DocUnlock puede actualizar los anexos para reflejar los cambios en los subprocesadores (sujeto a los requisitos de notificación de la sección 6.3) o en las medidas de seguridad.
14,6 Contacto. Todas las notificaciones en virtud de esta DPA deben enviarse a:
DocUnlock, Inc. A la atención de: Oficial legal y de protección de datos PO Box 15683 San Francisco, CA 94115
Correo electrónico: legal@docunlock.com/dpo@docunlock.com
A. Lista de Partes
Exportador de datos (controlador/empresa):
Importador de datos (procesador/proveedor de servicios):
B. Objeto y duración
C. Naturaleza y propósito del procesamiento
DocUnlock procesa los datos personales para los siguientes fines:
D. Tipos de datos personales
Los datos personales procesados pueden incluir, según el uso del Servicio por parte del Cliente:
E. Categorías de sujetos de datos
F. Datos sensibles
DocUnlock no recopila ni exige intencionalmente el envío de categorías sensibles o especiales de datos personales. Sin embargo, el Cliente puede cargar documentos que contengan dichos datos. Cuando el Cliente envíe datos confidenciales, el Cliente es responsable de garantizar que exista una base legal y las garantías adecuadas en virtud de la ley de protección de datos aplicable.
DocUnlock implementa y mantiene las siguientes medidas de seguridad, que corresponden a las medidas descritas en el Apéndice B del Acuerdo:
Control de acceso
Cifrado
Seguridad de red
Seguridad física
Seguridad del personal
Respuesta a incidentes
Continuidad del negocio
Seguridad de aplicaciones
Monitorización y registro
Subprocesador
Propósito
Actividades de procesamiento
Categorías de datos personales
Ubicación
Mecanismo de transferencia
Google Cloud Platform (Google LLC)Alojamiento de infraestructura, procesamiento de AI/LLMAlmacenamiento, procesamiento, alojamiento y procesamiento de datos de clientesTodos los datos del cliente, incluidos los datos personales contenidos en ellosEE.UU.SCC (Módulo 3)
AntrópicoProcesamiento AI/LLMAnálisis de documentos y procesamiento de funciones basado en inteligencia artificialDatos del cliente enviados para su procesamiento, que pueden incluir datos personalesEE.UU.SCC (Módulo 3)
IA abierta
Procesamiento AI/LLMAnálisis de documentos y procesamiento de funciones basado en inteligencia artificialDatos del cliente enviados para su procesamiento, que pueden incluir datos personalesEE.UU.SCC (Módulo 3)
Post-Hog
Análisis de productosRecopilación y análisis de datos de uso y rendimientoDatos de uso, identificadores de dispositivos, direcciones IPEE.UU.SCC (Módulo 3)
CentinelaSupervisión de erroresRecopilación y análisis de erroresInformes de errores, datos de sesión, información del dispositivoEE.UU.SCC (Módulo 3)
HubSpot
Gestión de relaciones con los clientesComunicación con los clientes y administración de cuentasNombre, dirección de correo electrónico, nombre de la empresa, historial de comunicacionesEE.UU.SCC (Módulo 3)
DocUnlock mantiene los compromisos contractuales de los subprocesadores de AI/LLM de que los datos del cliente no se utilizan para la capacitación o mejora de modelos. Para suscribirse a las notificaciones de cambios en los subprocesadores, póngase en contacto con privacy@docunlock.com.
Este anexo proporciona la información requerida para completar los SCC.
Cláusula 7 — Cláusula de acoplamiento: Se incluye la cláusula de acoplamiento opcional.
Cláusula 9 — Subprocesadores: Se aplica la opción 2 (autorización general por escrito), con un período de notificación de treinta (30) días.
Cláusula 11 — Reparación: No se incluye el idioma opcional que permite la resolución independiente de disputas.
Cláusula 17 — Ley aplicable: Los SCC se rigen por las leyes de Irlanda.
Cláusula 18 — Foro: Las disputas que surjan en virtud de las SCC se resolverán ante los tribunales de Irlanda.
El texto completo de las SCC se incorpora como referencia, tal como se establece en la sección 1 de esta DPA. En la medida en que un cliente necesite una copia completa de las SCC, DocUnlock se la proporcionará previa solicitud por escrito a legal@docunlock.com.
Información general: support@docunlock.com
Legal: legal@docunlock.com
Privacidad: privacy@docunlock.com
Seguridad: security@docunlock.com
Oficial de protección de datos: dpo@docunlock.com
DocUnlock, Inc.
Apartado postal 15683
San Francisco, California 94115
Última actualización: 1 de enero de 2026