Keycafe

Anexo de Procesamiento de Datos (DPA)

Última actualización: 11 de febrero de 2026

Fecha de entrada en vigor: En la fecha en que el Cliente acepta los Términos de Servicio de Keycafe (los “Términos”).
Partes: El “Cliente” y la entidad contratante de Keycafe (“Keycafe”) conforme a los Términos.

  1. Incorporación; Alcance

    Este DPA se incorpora por referencia a los Términos y se aplica automáticamente siempre que Keycafe Trate Datos Personales en nombre del Cliente como encargado del tratamiento o como proveedor de servicios/contratista conforme a la Ley de Protección de Datos Aplicable. No se requiere firma separada. Si existiera un conflicto entre este DPA y los Términos respecto del tratamiento de Datos Personales, prevalecerá este DPA.

  2. Definiciones

    Los términos en mayúscula que no se definan en este documento tendrán el significado establecido en los Términos.

    • “Ley de Protección de Datos Aplicable” significa todas las leyes que regulen la privacidad, la protección de datos o la seguridad de la información que se apliquen al Tratamiento de Datos Personales, incluyendo el RGPD de la UE/EEE, el RGPD del Reino Unido, la FADP suiza, la CPRA/CCPA de California, la PIPEDA de Canadá y leyes provinciales sustancialmente similares (incluyendo la PIPA de Alberta, la PIPA de Columbia Británica y la ley del sector privado de Quebec), y cualquier otra ley nacional, estatal, provincial o sectorial aplicable.
    • “Datos Personales del Cliente” significa los Datos Personales Tratados por Keycafe en nombre del Cliente en virtud de los Términos.
    • “Tratar” o “Tratamiento” tiene el significado previsto en la Ley de Protección de Datos Aplicable.
    • “SCCs” significa las Cláusulas Contractuales Tipo de la UE (Módulo 2, responsable→encargado) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, según se modifiquen o sustituyan.
    • “Subencargado” significa un encargado del tratamiento contratado por Keycafe para Tratar los Datos Personales del Cliente.
    • “Conocimiento” significa el momento en que el equipo de seguridad de Keycafe confirma, tras una investigación razonable, que se ha producido una Violación de Datos Personales que afecta a los Datos Personales del Cliente. Keycafe no tiene obligación de notificar al Cliente sobre violaciones sospechadas o potenciales antes del Conocimiento.
    • “Incidente de Seguridad” significa un evento adverso sospechado o real que afecte a redes, sistemas o instalaciones y que no resulte en acceso no autorizado, divulgación, alteración o pérdida de Datos Personales del Cliente. Keycafe no tiene obligación de notificar al Cliente sobre Incidentes de Seguridad, aunque Keycafe puede, a su discreción, incluir estadísticas o resúmenes de alto nivel en comunicaciones periódicas de seguridad y confianza.
    • “Violación de Datos Personales” significa una violación de seguridad que derive en la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, accidental o ilícito, a los Datos Personales del Cliente. Intentos o actividades fallidas que no comprometan la seguridad (por ejemplo, pings, escaneos de puertos, malware bloqueado, inicios de sesión fallidos o DDoS) no constituyen Violaciones de Datos Personales.

  3. Roles; Instrucciones; Responsabilidades del Cliente

    1. Roles. El Cliente es el responsable del tratamiento y Keycafe es el encargado del tratamiento/proveedor de servicios respecto de los Datos Personales del Cliente.
    2. Instrucciones. Keycafe Tratará los Datos Personales del Cliente únicamente conforme a instrucciones documentadas del Cliente y en la medida necesaria para prestar los Productos y garantizar su seguridad, conforme a lo descrito en los Términos. Keycafe notificará al Cliente si una instrucción parece infringir la Ley de Protección de Datos Aplicable.
    3. Responsabilidades del Cliente. El Cliente es responsable de la exactitud, calidad y licitud de los Datos Personales del Cliente, y de proporcionar los avisos y obtener los consentimientos necesarios para el Tratamiento por parte de Keycafe.
    4. Datos sensibles; SPI. El Cliente no enviará intencionalmente categorías especiales de datos conforme al RGPD ni Información Personal Sensible (Sensitive Personal Information) conforme a la CPRA (o leyes similares) salvo que el Cliente haya proporcionado notificación previa por escrito y existan salvaguardas adecuadas; las subidas de emergencia deberán notificarse a la mayor brevedad posteriormente.
    5. Sin asesoramiento legal. Keycafe no presta asesoramiento legal; el Cliente es el único responsable de la licitud de los Datos Personales del Cliente, de los avisos y consentimientos requeridos, y de la legalidad de las instrucciones del Cliente.

  4. Confidencialidad del Personal

    Keycafe garantizará que su personal autorizado para Tratar los Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad y reciba capacitación adecuada en privacidad y seguridad.

  5. Seguridad

    Keycafe mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales del Cliente contra destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, accidental o ilícito. Estas medidas incluyen controles de acceso, cifrado cuando corresponda, registro y monitoreo, gestión de vulnerabilidades, copias de seguridad y seguridad física conforme se detalla en el Anexo II (Medidas de Seguridad). Keycafe evaluará y actualizará sus medidas considerando la naturaleza del Tratamiento y el riesgo.

  6. Subencargados

    1. Uso; obligaciones equivalentes. El Cliente autoriza a Keycafe a utilizar Subencargados para prestar los Productos. Keycafe impondrá a los Subencargados obligaciones de protección de datos no menos protectoras que las establecidas en este DPA.
    2. Lista y notificación. La lista vigente de Subencargados y el mecanismo de notificación de Keycafe se establecen en el Anexo 6 (Subencargados) de los Términos. La publicación de una actualización en la lista identificada en el Anexo 6 constituye notificación de un cambio. El Cliente puede enviar un correo a privacy@keycafe.com para unirse a la lista opcional de notificaciones por correo mencionada en el Anexo 6.
    3. Objeción (motivos limitados); recurso. En un plazo de 14 días desde la notificación, el Cliente podrá objetar únicamente por motivos razonables y materialmente fundamentados de protección de datos. Keycafe podrá atender la objeción eliminando o sustituyendo el Subencargado u ofreciendo una alternativa razonable. Si no se resuelve tras un diálogo de buena fe, el Cliente podrá rescindir únicamente la funcionalidad afectada (no el Servicio en su totalidad) y recibirá un reembolso prorrateado de las tarifas prepagadas y no utilizadas correspondientes a dicha funcionalidad. La falta de objeción dentro de los 14 días se considerará consentimiento.
    4. Responsabilidad; subsanación. Keycafe seguirá siendo responsable del desempeño de sus Subencargados en la misma medida que por sus propios actos. Cuando el incumplimiento de un Subencargado afecte los Servicios, la reejecución o corrección por parte de Keycafe o del Subencargado será el único y exclusivo recurso del Cliente respecto de dicho incumplimiento, sin perjuicio del derecho de terminación del Cliente conforme al apartado (c).

  7. Asistencia; Violaciones; Evaluaciones de Impacto; Requerimientos Gubernamentales

    1. Solicitudes de titulares. Teniendo en cuenta la naturaleza del Tratamiento, Keycafe proporcionará asistencia razonable mediante las capacidades del producto y soporte para responder a solicitudes de ejercicio de derechos de los titulares. La asistencia que exceda las funcionalidades del producto o que sea excesiva o repetitiva podrá cobrarse conforme a un esquema de tiempo y materiales.
    2. Incidentes de seguridad. Keycafe notificará al Cliente sin dilación indebida y, cuando sea factible, dentro de las 72 horas posteriores al Conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente, y proporcionará información en la medida en que se conozca en ese momento, seguida de actualizaciones. Para mayor claridad, intentos o actividades fallidas que no comprometan la seguridad no constituyen una Violación de Datos Personales. La notificación o respuesta de Keycafe no constituye una admisión de culpa ni de responsabilidad.
    3. EIPD y consultas. Keycafe proporcionará información razonable para apoyar las evaluaciones de impacto en la protección de datos del Cliente y las consultas con autoridades de control en la medida en que el Tratamiento por parte de Keycafe esté involucrado; el trabajo que exceda esfuerzos razonables podrá cobrarse conforme a un esquema de tiempo y materiales.
    4. Solicitudes gubernamentales y regulatorias. Keycafe no responderá a ninguna solicitud gubernamental, de las fuerzas del orden o de autoridad supervisora relativa a los Datos Personales del Cliente excepto para acusar recibo y remitir a la autoridad al Cliente, a menos que esté legalmente obligada a responder. Cuando esté permitido, Keycafe notificará oportunamente al Cliente sobre la solicitud, evaluará su legalidad y divulgará únicamente la información mínima requerida. Keycafe documentará su evaluación y respuestas y las pondrá a disposición del Cliente previa solicitud.

  8. Derechos de Auditoría e Información

    A solicitud escrita no más de una vez en cualquier período de 12 meses (salvo una solicitud justificada de un regulador o tras una violación), Keycafe proporcionará informes o certificaciones de auditoría de terceros vigentes (por ejemplo, SOC/ISO), políticas y resúmenes de seguridad suficientes para satisfacer las obligaciones de auditoría conforme a este DPA y las SCCs. Si, tras revisar esta información, el Cliente considera razonablemente que es insuficiente, el Cliente podrá realizar (o designar a un auditor independiente, mutuamente acordado, para realizar) una auditoría in situ de los sistemas e instalaciones pertinentes con 30 días de aviso, limitada a 1 día hábil, durante horario laboral y limitada a sistemas que Traten Datos Personales del Cliente. El acceso in situ está condicionado a que el auditor firme un acuerdo de confidencialidad no menos protector que los Términos y acuerde un plan de auditoría por escrito (alcance, evidencias, cronograma). Las auditorías están sujetas a confidencialidad, seguridad y tarifas razonables por tiempo y materiales para supervisión y apoyo. Las auditorías posteriores a una violación o exigidas por un regulador podrán realizarse según corresponda. La información y los resultados de auditoría podrán compartirse con una autoridad supervisora competente a solicitud.

  9. Transferencias Internacionales

    1. UE/EEE. Cuando los Datos Personales del Cliente se transfieran a Keycafe en un país sin decisión de adecuación, las SCCs (Módulo 2) se incorporan por referencia y se consideran ejecutadas por las Partes tras la aceptación de los Términos por el Cliente. Los Anexos I/II/III de las SCCs se cumplen mediante los Anexos I/II/III de este DPA. Se aplica la cláusula de adhesión (docking clause).
    2. Reino Unido. Para transferencias del Reino Unido, el IDTA/Adenda del Reino Unido a las SCCs se incorpora y se considera ejecutado al aceptar los Términos; las tablas completadas se satisfacen mediante los Anexos I-III y los detalles de los Términos.
    3. Suiza. Para transferencias suizas, se aplican las SCCs según se modifiquen por la orientación del FDPIC (las referencias al RGPD incluyen la FADP suiza; la autoridad supervisora es el FDPIC).
    4. Medidas suplementarias. Keycafe implementará medidas suplementarias cuando lo exija la ley y notificará al Cliente si ya no puede cumplir con las SCCs/IDTA.
    5. Ubicación de datos. El Tratamiento podrá realizarse en cualquier jurisdicción donde operen Keycafe o sus Subencargados, sujeto a esta Sección 9 y a la Ley de Protección de Datos Aplicable.
    6. Adecuación de Canadá (informativo). Cuando Keycafe actúe a través de una entidad en Canadá sujeta a PIPEDA, la adecuación UE/Reino Unido para transferencias a Canadá puede aplicar. Este considerando no limita ni sustituye las SCCs/Adenda del Reino Unido, que permanecen operativas para otras ubicaciones y para transferencias ulteriores.

  10. Devolución y Eliminación

    Al terminar o expirar los servicios relevantes, a elección escrita del Cliente dentro de los 30 días, Keycafe habilitará la exportación directa por parte del Cliente o, en su defecto, proporcionará los Datos Personales del Cliente en un formato de uso común y legible por máquina (sin ETL personalizado ni extracción a medida), o los eliminará/anonimizará. Si el Cliente no elige la devolución dentro de ese período, Keycafe eliminará/anonimizará dentro de los 90 días, sujeto a requisitos legales de conservación. La eliminación en copias de seguridad se realiza mediante sobrescritura conforme al ciclo de retención estándar; no se requiere purga anticipada. Keycafe podrá conservar datos desidentificados o agregados para fines comerciales legítimos.

  11. Términos de Proveedor de Servicios (CPRA/CCPA) (EE. UU.)

    Respecto de la Información Personal de California, Keycafe actúa como proveedor de servicios/contratista y: (i) no venderá ni compartirá dicha Información Personal; (ii) no la retendrá, usará ni divulgará fuera de los fines comerciales de prestación de los Productos (incluyendo mantener y mejorar la seguridad y según lo permitido por la ley); (iii) no la combinará con otros datos salvo según lo permita la CPRA (por ejemplo, para detectar incidentes de seguridad o mejoras del servicio); (iv) trasladará estas restricciones a los Subencargados; y (v) certifica que entiende y cumplirá con estas obligaciones.

  12. Responsabilidad; Prelación

    La responsabilidad conforme a este DPA está sujeta a, y no se suma a, las limitaciones y exclusiones de los Términos. Nada de lo dispuesto en este DPA pretende ampliar la responsabilidad de Keycafe más allá de los Términos. Para mayor claridad, los créditos de servicio y otros recursos exclusivos previstos en los Términos permanecen aplicables.

  13. Ley Aplicable; Orden de Prelación

    Este DPA sigue las disposiciones de ley aplicable y resolución de disputas de los Términos. En caso de conflicto sobre el Tratamiento de Datos Personales, prevalecerá este DPA; en caso contrario, prevalecerán los Términos.

  14. Vigencia

    Este DPA permanecerá vigente mientras Keycafe Trate Datos Personales del Cliente en nombre del Cliente conforme a los Términos.

  15. Subsistencia

    Las Secciones 4, 5, 6 (en la medida en que sus obligaciones, por su naturaleza, sobrevivan), 7(d), 8, 9, 10, 12, 13 y los Anexos I-III sobreviven a la terminación.

Anexo I — Detalles del Tratamiento de Datos (Art. 28 y SCCs)

  1. Partes y Contactos

    • Exportador de datos (responsable): Cliente (contacto: según figure en la cuenta del Cliente).
    • Importador de datos (encargado): Keycafe (contacto: privacy@keycafe.com).

  2. Descripción del Tratamiento

    • Objeto: Prestación, operación y soporte de los Productos conforme a los Términos.
    • Duración: El Plazo de Suscripción y cualquier período de cierre/retención conforme a la Sección 10.
    • Naturaleza y finalidad: Alojamiento, almacenamiento, transmisión, gestión de accesos, registros de telemetría, soporte y seguridad de los Productos.
    • Categorías de interesados: Personal/agentes del Cliente; usuarios finales del Cliente; invitados/visitantes designados por el Cliente.
    • Categorías de Datos Personales: Datos de identificación y contacto (por ejemplo, nombre, correo electrónico, teléfono); identificadores de cuenta; registros de dispositivo y uso; eventos de acceso/transacción; ubicación/GPS opcional cuando esté habilitado; cualesquiera otros Datos Personales que el Cliente decida enviar.
    • Datos sensibles: No se prevé; si el Cliente envía datos sensibles, las Partes implementarán salvaguardas adecuadas.
    • Frecuencia de la transferencia: Continua según sea necesario.
    • Instrucciones de tratamiento: Según se establece en los Términos, este DPA y las configuraciones y solicitudes documentadas del Cliente.
    • Retención: Conforme a la Sección 10.

  3. Autoridad de control competente

    • Para las SCCs de la UE: la autoridad competente del exportador conforme al RGPD.
    • Para transferencias suizas: el FDPIC.
    • Para transferencias del Reino Unido: la ICO (según la Adenda del Reino Unido).

Anexo II — Medidas Técnicas y Organizativas de Seguridad

Keycafe mantiene medidas apropiadas al riesgo, incluyendo:

  • Controles de acceso: acceso basado en roles, MFA para accesos privilegiados, mínimo privilegio, revisión periódica de accesos.
  • Cifrado: cifrado en tránsito; cifrado en reposo para almacenes de datos primarios cuando corresponda; políticas de gestión de claves.
  • Seguridad de red e infraestructura: segmentación, cortafuegos, protecciones DDoS, líneas base de configuración segura, gestión de vulnerabilidades y gestión de parches.
  • Seguridad de aplicaciones: SDLC seguro, revisión de código, gestión de dependencias, gestión de secretos, registro y monitoreo.
  • Seguridad operativa: plan de respuesta a incidentes, monitoreo de eventos de seguridad, pruebas de respaldo/restauración, gestión de cambios.
  • Seguridad física: uso de centros de datos con protecciones consistentes con la práctica de la industria.
  • Personal y capacitación: verificaciones de antecedentes cuando esté permitido; capacitación en confidencialidad, seguridad y privacidad.
  • Riesgo de terceros: diligencia debida y controles contractuales para Subencargados; reevaluación periódica.
  • Pruebas y auditoría: pruebas de penetración y/o evaluaciones independientes apropiadas al perfil de riesgo.

Anexo III — Subencargados

Ver Anexo 6 (Subencargados) de los Términos. Para mayor claridad, la publicación de una actualización en la lista identificada en el Anexo 6 constituye notificación de un cambio. Los derechos de objeción y recursos son los establecidos en las Secciones 6(c)–(d) de este DPA.

Ejecución. Las Partes acuerdan que este DPA (incluyendo las SCCs/IDTA incorporadas) se considera ejecutado por las Partes y entra en vigor cuando el Cliente acepta los Términos.

Cerca