ACUERDO DE PROCESAMIENTO DE DATOS (“DPA”) entre A) SUPER LEADS GESTIÓN DIGITAL, S.A.P.I. DE C.V., sociedad mexicana con domicilio en Pedro Camino 242‑1, Col. Ampliación Los Ángeles, C.P. 27148, Torreón, Coahuila, México (“SuperLeads”, el “Encargado del Tratamiento” o “Procesador”); y B) El cliente que acepta los Términos y Condiciones de Uso y contrata la Plataforma SuperLeads (“Cliente”, el “Responsable del Tratamiento” o “Controller”).

Fecha de entrada en vigor: 11 de junio de 2025 (La “Fecha de Entrada en Vigor”)

ANTECEDENTES

  1. SuperLeads presta una plataforma software‑como‑servicio (SaaS) de automatización y mensajería (“Servicios”), tal y como se describe en los Términos y Condiciones de Uso publicados el 11 de junio de 2025.
  2. Para la prestación de los Servicios, SuperLeads tratará Datos Personales por cuenta del Cliente dentro del significado de (i) el Reglamento (UE) 2016/679 (“GDPR”); (ii) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reforma de 2025 (“LFPDPPP”); y (iii) la California Consumer Privacy Act y su enmienda CPRA (“CCPA/CPRA”), entre otras.
  3. Las partes desean regular dicho tratamiento de conformidad con el artículo 28 GDPR, el artículo 33 LFPDPPP y la sección 1798.140 d) CPRA, mediante este DPA y los Anexos correspondientes, incluyendo las Cláusulas Contractuales Estándar 2021/914/UE (“SCC”), que se adjuntan sin modificación en el Anexo IV.

CLÁUSULAS

  1. Definiciones 1.1. “Datos Personales”, “Tratamiento”, “Titular”, “Encargado”, “Responsable”, “Subencargado” y demás términos tendrán el significado que les atribuyen el GDPR, la LFPDPPP y la CPRA, según corresponda. 1.2. Los términos en mayúsculas no definidos aquí tendrán el significado indicado en los Términos y Condiciones de Uso o en la Política de Privacidad de SuperLeads.
  2. Objeto, Naturaleza y Duración 2.1. Objeto: El Encargado tratará Datos Personales exclusivamente para proporcionar, mantener y mejorar los Servicios y para cumplir instrucciones documentadas del Responsable. 2.2. Naturaleza y finalidades: alojamiento, almacenamiento, envío de comunicaciones A2P, análisis y generación de reportes. 2.3. Duración: el presente DPA se mantendrá vigente mientras SuperLeads trate Datos Personales por cuenta del Cliente. 2.4. Categorías de interesados y datos: clientes finales del Cliente y usuarios autorizados; datos de contacto, identificación, financieros, comunicaciones y analíticos. Datos sensibles solo si el Cliente lo autoriza expresamente.
  3. Obligaciones del Responsable 3.1. Garantizar base legal para el tratamiento. 3.2. Entregar únicamente datos pertinentes y actualizados. 3.3. Informar a los Titulares y obtener consentimientos. 3.4. Supervisar las operaciones y emitir instrucciones lícitas y razonables al Encargado.
  4. Obligaciones del Encargado 4.1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable. 4.2. Aplicar las medidas técnicas y organizativas establecidas en el Anexo II. 4.3. Garantizar confidencialidad (art. 32 GDPR / art. 47 LFPDPPP) y firmar acuerdos de confidencialidad con el personal autorizado. 4.4. Asistir al Responsable en la atención de derechos ARSOPL / ARCO / CCPA, solicitudes de acceso y evaluaciones de impacto. 4.5. Notificar sin dilación indebida (máx. 48 h) cualquier Incidente de Seguridad. 4.6. Eliminar o devolver, a elección del Responsable, todos los Datos Personales tras la terminación, salvo obligación legal de conservación. 4.7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables (una por año natural con 15 días de aviso).
  5. Subencargados 5.1. El Responsable autoriza la subcontratación con los proveedores listados en el Anexo III. SuperLeads informará cualquier cambio con 10 días de antelación, permitiendo al Cliente oponerse por escrito. 5.2. SuperLeads impondrá a cada Subencargado obligaciones de protección de datos equivalentes a las de este DPA y será plenamente responsable por su cumplimiento.
  6. Transferencias internacionales 6.1. Para las transferencias de Datos Personales fuera del EEE o de jurisdicciones adecuadas, las partes suscriben las SCC (Módulo 2 y, cuando aplique, Módulo 3) adjuntas en el Anexo IV. 6.2. Cuando la CPRA y la LFPDPPP exijan salvaguardas equivalentes, las SCC se interpretarán como “Terms for Restricted Transfers” e integrarán las obligaciones de “Service Provider” bajo la CPRA y de “Encargado” bajo LFPDPPP. 6.3. En caso de conflicto, prevalecerán las SCC respecto del tratamiento sujeto al GDPR; en los demás supuestos, prevalecerá este DPA.
  7. Seguridad y responsabilidad proactiva 7.1. SuperLeads mantiene certificación ISO 27001 y aplica cifrado TLS 1.3 en tránsito y AES‑256 en reposo, autenticación multifactor y registro de accesos, conforme a los criterios de “responsabilidad proactiva” del INAI (México) y al art. 32 GDPR. 7.2. Revisiones de penetración: al menos una vez al año por terceros cualificados.
  8. Derechos de los Titulares 8.1. El Encargado pondrá a disposición mecanismos que permitan al Responsable gestionar solicitudes de acceso, rectificación, cancelación, oposición, limitación, portabilidad y opt‑out (CPRA, §1798.120). 8.2. Cuando el Cliente no pueda atender la solicitud por sí mismo, SuperLeads prestará asistencia razonable sin coste adicional.
  9. Notificación de Incidentes 9.1. La notificación incluirá naturaleza de la brecha, datos afectados, medidas adoptadas, punto de contacto y acciones recomendadas. 9.2. SuperLeads asistirá en la notificación a autoridades (INAI, Supervisor competente) y Titulares, según lo exija la ley.
  10. Auditoría y Documentación 10.1. A petición escrita, SuperLeads pondrá a disposición informes SOC 2 Type II o equivalente. 10.2. Auditorías in‑situ serán limitadas a una anual, durante horario laboral, con confidencialidad y sin interferir en operaciones.
  11. Limitación de responsabilidad 11.1. La responsabilidad total de SuperLeads se limitará a las cantidades pagadas por el Cliente en los 12 meses anteriores o USD 1 000, lo que resulte mayor, salvo dolo o culpa grave. 11.2. Ninguna de las partes será responsable de daños indirectos, salvo violación de obligaciones esenciales de seguridad o disposiciones imperativas.
  12. Vigencia y terminación 12.1. Este DPA permanecerá vigente mientras SuperLeads trate Datos Personales por cuenta del Cliente y, en todo caso, mientras exista un Contrato Principal vigente. 12.2. Las cláusulas 4, 6, 7, 9 y 11 subsistirán tras la terminación.
  13. Legislación y jurisdicción 13.1. Para tratamientos sujetos al GDPR, las SCC designan como autoridad de control principal a la Agencia Española de Protección de Datos. 13.2. En lo no previsto por el GDPR, este DPA se regirá por las leyes federales de México; controversias se someterán a arbitraje CAM, Ciudad de México, según la cláusula 19.2 de los TyC.