Volver al inicio
Legal

DPA · Acuerdo de Tratamiento de Datos

Este acuerdo regula cómo Sendiak (Encargado) trata los datos personales que el Cliente (Responsable) le entrega al usar el Servicio. Se incorpora por referencia a los Términos y Condiciones y aplica automáticamente cuando el Cliente procesa datos personales de terceros a través de Sendiak.

Última actualización·

1.Objeto

En lenguaje humano
Este anexo regula qué puede y qué no puede hacer Sendiak con los datos personales que pasen por la plataforma.

El presente Acuerdo de Tratamiento de Datos (en adelante, el “DPA”) regula el tratamiento por parte de Sendiak de los datos personales que el Cliente, en calidad de Responsable, incorpore al Servicio para que sean procesados por Sendiak en calidad de Encargado.

Este DPA hace parte integral de los Términos y Condiciones y se rige por la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y demás normas concordantes de la República de Colombia.

2.Definiciones

En lenguaje humano
Vocabulario habeas data: Titular, Responsable, Encargado, etc.
Titular
Persona natural cuyos datos personales son objeto de tratamiento. En el contexto de este DPA, típicamente los Usuarios Finales del Cliente.
Responsable del Tratamiento
El Cliente. Quien decide sobre la base de datos y/o el tratamiento.
Encargado del Tratamiento
Sendiak. Quien realiza el tratamiento por cuenta del Responsable.
Sub-Encargado (Sub-procesador)
Tercero contratado por Sendiak para procesar datos personales en nombre del Responsable. Listado en el Anexo B.
Datos Personales
Cualquier información vinculada o asociable a una o varias personas naturales determinadas o determinables.
Datos Sensibles
Los definidos en el artículo 5 de la Ley 1581 de 2012.
Incidente de Seguridad
Cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración, acceso no autorizado o divulgación de Datos Personales.

3.Roles de las partes

En lenguaje humano
Tú decides qué datos se tratan y con qué fin. Nosotros solo ejecutamos según tus instrucciones.

Las partes reconocen que, respecto de los Datos Personales procesados a través del Servicio:

  • El Cliente actúa como Responsable del Tratamiento.
  • Sendiak actúa como Encargado del Tratamiento y procesará los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, salvo cuando una norma legal aplicable exija un tratamiento distinto.

Se entiende como instrucciones documentadas: estos Términos, el presente DPA, las configuraciones que el Cliente realice en el panel y las solicitudes adicionales que envíe por escrito al canal indicado por Sendiak.

4.Alcance, naturaleza y finalidad del tratamiento

En lenguaje humano
Sendiak trata los datos solo para hacer funcionar el servicio que tú configuraste. Nada más.

Los detalles del tratamiento (categorías de Titulares, tipos de datos, finalidad, duración) se describen en el Anexo A. La finalidad general es operar el Servicio para el Cliente, incluyendo recibir y enviar mensajes, ejecutar agentes de IA, mantener un inbox unificado, sincronizar con el CRM del Cliente y emitir webhooks a los sistemas que el Cliente configure.

Sendiak no comercializará, alquilará ni utilizará los Datos Personales para finalidades distintas a las instruidas por el Responsable.

5.Obligaciones de Sendiak (Encargado)

En lenguaje humano
Tratamos los datos como nos digas, los protegemos, te ayudamos con derechos del titular, y solo usamos sub-procesadores aprobados.

Sendiak, en su calidad de Encargado, se obliga a:

  • Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable y para las finalidades del Servicio.
  • Garantizar que el personal autorizado para tratar Datos Personales haya asumido un compromiso de confidencialidad.
  • Implementar y mantener las medidas técnicas y organizativas descritas en el Anexo C.
  • Respetar las condiciones para la contratación de Sub-procesadores establecidas en la sección 7.
  • Asistir al Responsable, en la medida de lo posible y a su costa razonable, para responder a solicitudes de los Titulares y requerimientos de autoridades.
  • Notificar al Responsable los Incidentes de Seguridad sin demora injustificada conforme a la sección 10.
  • A elección del Responsable, devolver o suprimir los Datos Personales al final del Servicio conforme a la sección 13.
  • Poner a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de este DPA.
  • Llevar registro de las actividades de tratamiento realizadas por cuenta del Responsable.

6.Obligaciones del Cliente (Responsable)

En lenguaje humano
Tú obtienes las autorizaciones, defines las finalidades, y mantienes en orden tus configuraciones de seguridad.

El Cliente, en su calidad de Responsable, se obliga a:

  • Contar con las autorizaciones válidas de los Titulares para el tratamiento de sus Datos Personales en los términos exigidos por la ley aplicable.
  • Informar al Titular sobre la finalidad del tratamiento, su carácter facultativo cuando corresponda, sus derechos y los datos de contacto del Responsable, conforme al artículo 12 del Decreto 1377 de 2013.
  • Mantener actualizada la información de su cuenta, las credenciales, las configuraciones de privacidad y los destinatarios de webhooks.
  • Cumplir las políticas de uso aceptable, incluidas las de WhatsApp Business y las de los proveedores de IA.
  • Atender las solicitudes de los Titulares y responder ante la SIC u otras autoridades competentes.
  • No cargar al Servicio Datos Sensibles ni datos de menores de edad salvo que cuente con las autorizaciones específicas exigidas por la ley y haya configurado los controles correspondientes.
  • Inscribir, cuando corresponda, sus bases de datos en el Registro Nacional de Bases de Datos (RNBD) administrado por la SIC.

7.Sub-procesadores

En lenguaje humano
Autorizas a Sendiak a usar los sub-procesadores del Anexo B. Te avisamos antes de incorporar uno nuevo y puedes objetar.

El Cliente otorga a Sendiak una autorización general para contratar Sub-procesadores que le permitan prestar el Servicio. Los Sub-procesadores actuales se listan en el Anexo B.

Sendiak:

  • Suscribirá con cada Sub-procesador un contrato escrito que imponga obligaciones de protección de datos sustancialmente equivalentes a las de este DPA.
  • Mantendrá responsabilidad frente al Responsable por el cumplimiento de las obligaciones del Sub-procesador.
  • Notificará al Cliente cualquier incorporación o reemplazo de Sub-procesador con al menos treinta (30) días de antelación, mediante publicación en esta página y/o correo al contacto registrado.
  • Permitirá al Cliente objetar por motivos razonables relacionados con la protección de datos. Si la objeción no puede ser resuelta, el Cliente podrá terminar el Servicio sin penalidad, con derecho al reembolso prorrateado del período pagado y no consumido.

8.Transferencias y transmisiones internacionales

En lenguaje humano
Algunos sub-procesadores están fuera de Colombia. Aplicamos cláusulas contractuales y medidas equivalentes a la ley colombiana.

Las partes reconocen que la prestación del Servicio puede implicar transmisiones internacionales de Datos Personales hacia países que no necesariamente cuentan con un nivel adecuado de protección. Sendiak adoptará una o más de las siguientes garantías:

  • Contratos de transmisión internacional que incluyan obligaciones equivalentes a las previstas en la Ley 1581 de 2012, conforme al artículo 25 del Decreto 1377 de 2013.
  • Adopción de cláusulas contractuales estándar reconocidas por autoridades de protección de datos.
  • Cuando aplique, declaraciones de conformidad emitidas por la SIC.

El Cliente, al usar el Servicio, otorga su autorización para estas transferencias y transmisiones, siempre que se mantengan las garantías indicadas.

9.Medidas de seguridad

En lenguaje humano
Cifrado, control de acceso, segregación de tenants, logs, pruebas. Detalle técnico en el Anexo C.

Sendiak implementará las medidas técnicas, administrativas y organizativas descritas en el Anexo C, que se actualizarán periódicamente sin disminuir el nivel general de seguridad. Las medidas se diseñan considerando: el estado de la técnica, los costos de implementación, la naturaleza y alcance del tratamiento y los riesgos para los Titulares.

10.Notificación de Incidentes

En lenguaje humano
Si pasa algo malo con tus datos, te avisamos rápido (objetivo: 72 horas) con la info que tengamos.

Sendiak notificará al Cliente cualquier Incidente de Seguridad sin demora injustificada tras tener conocimiento del mismo, con el objetivo de hacerlo dentro de las setenta y dos (72) horas siguientes. La notificación incluirá, en la medida en que sea conocida:

  • Descripción del Incidente y categorías de datos afectados.
  • Volumen aproximado de Titulares y registros afectados.
  • Consecuencias probables.
  • Medidas adoptadas o propuestas para mitigarlo.
  • Punto de contacto para más información.

Cuando no sea posible suministrar toda la información a la vez, esta se entregará de forma progresiva sin demora injustificada. La notificación inicial no constituye reconocimiento de responsabilidad.

11.Asistencia al Responsable

En lenguaje humano
Te ayudamos a cumplir solicitudes de titulares y de la SIC con las herramientas del producto.

Sendiak asistirá al Cliente, considerando la naturaleza del tratamiento y la información disponible, para:

  • Responder a solicitudes de los Titulares para ejercer sus derechos (acceso, rectificación, supresión, revocación de autorización). Sendiak pondrá a disposición herramientas en el panel para exportar, anonimizar o suprimir datos.
  • Cumplir obligaciones de seguridad, notificación de incidentes y evaluaciones de impacto cuando apliquen.
  • Atender requerimientos de la SIC u otras autoridades competentes.

Si una autoridad o tercero solicita a Sendiak directamente Datos Personales tratados por cuenta del Cliente, Sendiak: (i) notificará al Cliente cuando legalmente sea posible; (ii) redirigirá la solicitud al Cliente; y (iii) solo entregará los datos si está legalmente obligado.

12.Auditoría

En lenguaje humano
Puedes pedir información razonable para verificar que cumplimos. Para auditorías profundas, acordamos alcance y costos.

Sendiak pondrá a disposición del Cliente la información razonable para demostrar el cumplimiento de este DPA, incluyendo:

  • Reportes de auditoría de terceros (por ejemplo, SOC 2, ISO 27001) o certificaciones, cuando estén disponibles.
  • Respuestas a cuestionarios de seguridad razonables, no más de una vez al año, salvo Incidente de Seguridad o requerimiento de autoridad.
  • Auditorías presenciales únicamente cuando los mecanismos anteriores sean insuficientes, previo acuerdo escrito sobre alcance, fecha, duración y costos, y bajo deber de confidencialidad. Los gastos razonables de la auditoría serán asumidos por el Cliente, salvo que la auditoría revele incumplimientos materiales atribuibles a Sendiak.

13.Devolución y supresión al terminar

En lenguaje humano
Al final del contrato eliges: te exportamos los datos o los borramos. Por defecto, los borramos a los 30 días.

Al terminar la prestación del Servicio, y a elección del Cliente notificada por escrito, Sendiak:

  • Pondrá a disposición del Cliente las funciones de exportación de los Datos Personales durante treinta (30) días; o
  • Suprimirá los Datos Personales y solicitará a los Sub-procesadores que hagan lo propio.

Vencido el período de exportación, Sendiak suprimirá los Datos Personales, salvo cuando la conservación sea exigida por una norma legal aplicable, caso en el cual permanecerán protegidos por las medidas de seguridad descritas en este DPA hasta su eliminación.

14.Confidencialidad

En lenguaje humano
El personal de Sendiak que toque datos está obligado a confidencialidad, durante y después del contrato.

Sendiak garantiza que toda persona autorizada para tratar Datos Personales está sujeta a deberes de confidencialidad por contrato o por obligación legal, vigentes durante y después de la relación laboral o contractual.

15.Duración

En lenguaje humano
Este DPA aplica mientras estés usando Sendiak, y las obligaciones de seguridad y confidencialidad sobreviven a la terminación.

Este DPA está vigente desde la aceptación de los Términos por parte del Cliente y hasta la terminación del Servicio o hasta la supresión completa de los Datos Personales, lo que ocurra después. Las obligaciones de confidencialidad y seguridad sobrevivirán a la terminación.

16.Disposiciones generales

En lenguaje humano
Conflictos, orden de prelación, ley aplicable y jurisdicción.
  • Orden de prelación. En caso de conflicto entre este DPA y los Términos, prevalecerá este DPA en lo relativo a protección de datos.
  • Independencia de partes. Este DPA no crea sociedad, agencia o representación entre las partes.
  • Ley aplicable y jurisdicción. Aplica lo previsto en la sección 16 de los Términos.
  • Versiones. Sendiak podrá actualizar este DPA para reflejar cambios en la normativa o en los Sub-procesadores. La versión vigente se publica en sendiak.com/dpa.

Anexo A · Detalles del tratamiento

En lenguaje humano
Quiénes son los titulares, qué datos se procesan, con qué fin, por cuánto tiempo.
Categorías de Titulares
Usuarios Finales que interactúan con los canales conectados del Cliente (clientes finales, prospectos, contactos del CRM, colaboradores del Cliente con acceso al panel).
Categorías de Datos Personales
Identificación (nombre, alias), datos de contacto (número de teléfono, correo electrónico), contenido de las conversaciones, metadatos de mensajes, atributos de perfil que el Cliente configure, datos de geolocalización si se comparten en el chat, archivos adjuntos enviados por los Titulares y datos de interacción con los agentes.
Tipo de tratamiento
Recolección, almacenamiento, uso, circulación, transmisión y supresión, para operar el Servicio.
Finalidad
Prestar el Servicio al Cliente: enviar y recibir mensajes, ejecutar agentes de IA, mantener inbox y handoff, sincronizar con CRM, generar respuestas con base en la base de conocimiento del Cliente y emitir webhooks a sistemas configurados.
Duración
Mientras dure el Servicio. Tras la terminación, conforme a la sección 13.

Anexo B · Sub-procesadores

En lenguaje humano
Lista actualizada de quién más toca los datos para que el servicio funcione.

Sendiak emplea los siguientes Sub-procesadores para prestar el Servicio:

ProveedorServicioUbicación
Meta Platforms, Inc.WhatsApp Business Cloud APIIrlanda · EE. UU.
OpenAI, L.L.C.Modelos LLM (BYOK del Cliente)EE. UU.
Anthropic, PBCModelos LLM (BYOK del Cliente)EE. UU.
Google LLCModelos Gemini (BYOK del Cliente)EE. UU. · UE
Zoho CorporationCRM (cuando el Cliente conecte)EE. UU. · India · UE
VPS autoadministrado por Selekto S.A.S.Cómputo, red y base de datos PostgreSQL (incluye almacenamiento de archivos adjuntos)Colombia
Mercado PagoPasarela de pagosArgentina · regional

Anexo C · Medidas técnicas y organizativas

En lenguaje humano
Lo que hacemos en la práctica para mantener los datos seguros.

Controles de acceso

  • Acceso al panel mediante credenciales individuales.
  • Autenticación multifactor obligatoria para todo el personal interno de Sendiak con acceso a sistemas productivos.
  • Mínimo privilegio y revisión periódica de permisos.
  • Aislamiento lógico entre cuentas (multi-tenant) a nivel aplicativo y de base de datos.

Cifrado

  • Cifrado en tránsito: TLS 1.2 o superior para todas las comunicaciones externas.
  • Cifrado en reposo: AES-256 para bases de datos y almacenamiento de objetos del proveedor cloud.
  • Credenciales sensibles (API keys BYOK, tokens de Meta) cifradas con llaves administradas y rotación periódica.

Operaciones de seguridad

  • Registro de auditoría de accesos y operaciones críticas.
  • Monitoreo de eventos de seguridad.
  • Gestión de vulnerabilidades y parches.
  • Pruebas de seguridad periódicas.

Resiliencia

  • Respaldos automáticos con prueba periódica de restauración.
  • Plan de continuidad y recuperación ante desastres.

Personal

  • Acuerdos de confidencialidad para todo el personal.
  • Capacitación en protección de datos y seguridad de la información.

Gestión de incidentes

  • Procedimiento documentado de respuesta a incidentes con roles y tiempos.
  • Comunicación al Responsable conforme a la sección 10 del DPA.