Última actualización: 22/08/2025

Aceptación y eficacia digital.
Este DPA forma parte de los Términos y Condiciones de Prospecty y resulta obligatorio cuando el Cliente: (i) acepta los Términos y Condiciones, (ii) crea o mantiene una cuenta en el Servicio, o (iii) firma una orden o propuesta que lo incorpore. Prospecty conservará registros electrónicos de la aceptación (fecha/hora, IP, user-agent, ID de usuario/cuenta y versión del DPA/T&C aceptados). Si el Cliente requiere copia firmada electrónicamente, Prospecty la proporcionará sin alterar el contenido sustantivo.

1) Partes

Prospecty (nombre comercial de Joaquín Zavala) con domicilio para oír y recibir notificaciones en Blvd. Gustavo Díaz Ordaz 12415, El Paraiso, 22106 Tijuana, B.C., México, contacto [email protected] (“Encargado”); y el Cliente identificado en la cuenta del Servicio (“Responsable”).

2) Definiciones

Servicio: plataforma CRM/automatización de Prospecty.

Datos del Cliente: datos personales que el Cliente o sus usuarios cargan o generan en el Servicio (contactos, mensajes, formularios, llamadas, citas, adjuntos, metadatos, etc.).

Titulares: personas físicas a quienes pertenecen los datos.

Subprocesador: tercero que procesa datos por cuenta del Encargado para operar el Servicio.

3) Objeto, alcance y roles

El Encargado tratará los Datos del Cliente únicamente para prestar el Servicio al Responsable, conforme a este DPA y a instrucciones documentadas del Responsable. El Responsable determina fines y medios del tratamiento respecto de sus Titulares y asume la licitud de la recolección, la información y los consentimientos; también atiende los derechos ARCO de sus Titulares. El Encargado no usará los Datos del Cliente para fines propios, ni los venderá o compartirá para publicidad conductual.

4) White-label y subcuentas del Cliente

Si el Cliente habilita subcuentas para sus propios clientes bajo su marca, el Cliente actúa frente a ellos como proveedor y Responsable de sus tratamientos. Prospecty es Encargado solo del Cliente y no mantiene relación de encargado directa con subclientes, salvo acuerdo específico por escrito. El Cliente se obliga a: (i) celebrar con sus subclientes los instrumentos de privacidad/encargos que correspondan; (ii) informarles sobre integraciones/transferencias; y (iii) exigirles un uso lícito conforme a este DPA y a los Términos y Condiciones.

5) Instrucciones del Responsable

Se materializan mediante: configuración de cuenta y módulos; cargas/flujo de datos; comunicaciones de soporte (tickets/correos). Si una instrucción es inviable o contraria a la Ley, el Encargado lo notificará para su ajuste o retiro.

6) Categorías de datos, titulares y operaciones

Datos (según módulos activados): identificación y contacto; contenido y metadatos de WhatsApp/SMS/email; estados de entrega; adjuntos; formularios/landing pages; citas/calendarios; registros y —si se habilita— grabaciones y transcripciones de llamadas; etiquetas, calificaciones y eventos del CRM.

Titulares: prospectos, clientes, alumnos, pacientes u otros usuarios finales del Responsable.
Operaciones: recolección, registro, organización, conservación, consulta, uso, transmisión, interconexión, supresión y/o anonimización, según lo necesario para el Servicio.

7) Datos sensibles

El Servicio no requiere tratar datos sensibles. Si el Responsable los introduce, declara contar con consentimiento expreso y base legal suficiente, y se hace responsable de dicho tratamiento. El Encargado podrá bloquear o suprimir contenidos manifiestamente contrarios a la Ley o a este DPA.

8) Seguridad

El Encargado aplicará medidas administrativas, técnicas y físicas razonables acordes al riesgo (ver Anexo A). El acceso de personal y proveedores estará limitado por rol y sujeto a confidencialidad.

9) Incidentes y vulneraciones de seguridad

El Encargado notificará sin demora indebida al Responsable cuando tenga conocimiento de una vulneración de seguridad que pueda afectar significativamente derechos de Titulares, indicando naturaleza del incidente, categorías afectadas, medidas adoptadas y acciones de contención propuestas. Las partes cooperarán de buena fe. El Responsable determina y ejecuta, según corresponda, notificaciones a Titulares y autoridades conforme a su propio aviso de privacidad y Ley aplicable.

10) Subprocesadores

El Responsable autoriza en general el uso de subprocesadores en categorías como: plataforma SaaS/CRM, procesamiento de pagos, mensajería/voz (SMS/WhatsApp/voz), correo transaccional/marketing, alojamiento/infraestructura/analítica y funciones de IA (transcripción, clasificación, respuesta asistida). El Encargado impondrá a los subprocesadores obligaciones de confidencialidad y seguridad equivalentes y limitará el tratamiento a lo necesario. A solicitud del Responsable, el Encargado proporcionará un listado actualizado por categorías de subprocesadores utilizados. El Responsable podrá oponerse, de forma motivada, a un nuevo subprocesador; las partes buscarán una alternativa proporcional al riesgo.

11) Transferencias internacionales

El Encargado podrá realizar transferencias fuera de México cuando sean necesarias para operar el Servicio, exigiendo salvaguardas contractuales adecuadas a subprocesadores. El Responsable informará a sus Titulares sobre dichas transferencias en su propio aviso de privacidad.

12) Asistencia al Responsable (ARCO y solicitudes)

El Encargado brindará asistencia razonable para: (i) atender solicitudes ARCO; (ii) gestionar revocaciones o limitaciones de uso; y (iii) responder consultas de autoridades, en la medida en que disponga de la información necesaria. El Encargado no responderá directamente a Titulares salvo instrucción documentada o mandato legal.

13) Devolución y supresión de datos

A la terminación del Servicio o por instrucción del Responsable, el Encargado devolverá o suprimirá/anonimizará los Datos del Cliente dentro de un plazo razonable, salvo conservación exigida por ley (p. ej., fiscales o respaldo transaccional).

14) Auditorías y documentación

El Encargado pondrá a disposición información razonable para demostrar cumplimiento (descripciones de controles, políticas), preservando seguridad y confidencialidad. Auditorías razonables requerirán aviso previo, coordinación de alcance y acuerdo de confidencialidad, sin interferir indebidamente con la operación.

15) Responsabilidad e indemnidad

Cada parte responde por el incumplimiento de sus obligaciones. El Responsable indemnizará al Encargado por reclamaciones, procedimientos, multas o costos (incluidos honorarios) derivados de: (i) campañas, comunicaciones o contenidos del Responsable (incluido spam o contactos sin consentimiento); (ii) carga de datos inexactos, ilícitos o sensibles sin base legal; (iii) instrucciones del Responsable contrarias a la Ley. Este DPA no amplía la responsabilidad del Encargado más allá de lo pactado en los Términos y Condiciones.

16) Relación con los Términos y Condiciones

Este DPA complementa los Términos y Condiciones. En caso de conflicto entre ambos sobre protección de datos personales, prevalecerá este DPA. Para aspectos comerciales (precios, SLA, facturación, limitación de responsabilidad), rigen los T&C.

17) Ley aplicable y jurisdicción

Este DPA se rige por las leyes de los Estados Unidos Mexicanos. Cualquier controversia se someterá a los tribunales competentes de Tijuana, B.C., salvo acuerdo por escrito de arbitraje.

Anexo A — Medidas técnicas y organizativas (resumen)

Gobierno y acceso: control por roles y mínimo privilegio; autenticación reforzada (p. ej., MFA); registros de acceso y revisión periódica; acuerdos de confidencialidad del personal.

Seguridad de datos: cifrado en tránsito (TLS); segregación lógica por cuenta; respaldos y plan de continuidad/DR; gestión de vulnerabilidades y parches.

Aplicación/infraestructura: monitoreo y alertas; registro centralizado de eventos; pruebas razonables de seguridad; gestión de cambios.

Operación: altas/bajas de personal con revocación oportuna de accesos; capacitación periódica; verificación de identidad en mesa de ayuda.

Incidentes: detección, contención, análisis de causa raíz; notificación sin demora indebida al Responsable; acciones correctivas y documentación del incidente.

Nota

Para conocer cómo trata Prospecty los datos como Responsable (usuarios de Prospecty), consulta el Aviso de Privacidad.