Última actualización: 2026-01-19
Este Addendum de Procesamiento de Datos («DPA») forma parte del acuerdo entre Koalendar («Encargado del tratamiento», «nosotros») y la entidad cliente que utiliza Koalendar («Cliente», «Responsable del tratamiento de datos», «usted») y se aplica en la medida en que Koalendar procesa Datos Personales en nombre del Cliente en el marco de la prestación del servicio Koalendar (el «Servicio»).
Este DPA se incorpora por referencia a nuestros Términos de Servicio. Al crear una cuenta o usar el Servicio, usted acepta este DPA.
1. Definiciones
Salvo que se definan aquí, los términos de este DPA tienen los significados indicados en el RGPD o en nuestros Términos.
- «RGPD» significa el Reglamento (UE) 2016/679.
- «Datos Personales» significa cualquier información relativa a una persona física identificada o identificable procesada en nombre del Cliente.
- «Procesamiento» tiene el significado indicado en el RGPD.
- «Subcontratado» significa un tercero designado por Koalendar para procesar Datos Personales en nombre del Cliente.
2. Roles y alcance
- El Cliente es el Responsable del tratamiento de los Datos Personales enviados o recopilados a través del Servicio para la programación de citas (por ejemplo, datos de invitados y reservas).
- Koalendar es el Encargado del tratamiento de dichos Datos Personales y los procesará únicamente de conformidad con las instrucciones documentadas del Cliente, tal como se describen en este DPA y en la funcionalidad del Servicio.
Este DPA no se aplica a:
- Datos que Koalendar procesa como responsable independiente (por ejemplo, administración de cuentas, facturación y marketing cuando proceda).
- Servicios de terceros que el Cliente habilita opcionalmente (por ejemplo, Zoom o proveedores de calendario). Dichos proveedores actúan como terceros independientes bajo sus propios términos y políticas de privacidad.
3. Detalles del procesamiento (artículo 28(3))
Los detalles del procesamiento se describen en el Anexo 1 (objeto, duración, naturaleza y finalidad del procesamiento, tipos de Datos Personales y categorías de interesados).
4. Obligaciones del encargado del tratamiento
Koalendar se compromete a:
- Procesar según instrucciones. Procesar los Datos Personales únicamente conforme a instrucciones documentadas del Cliente, implementadas a través de la funcionalidad del Servicio, incluida la transferencia de Datos Personales a un tercer país u organización internacional, salvo que la ley aplicable lo exija (en cuyo caso informaremos al Cliente salvo prohibición).
- Confidencialidad. Garantizar que las personas autorizadas a procesar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada.
- Seguridad. Implementar medidas técnicas y organizativas apropiadas para proteger los Datos Personales (véase el Anexo 1 para un resumen de alto nivel).
- Subcontratados. Utilizar Subcontratados únicamente según lo establecido en la Sección 5.
- Asistir al Cliente. Prestar asistencia razonable al Cliente para responder a solicitudes de los interesados y cumplir con las obligaciones del RGPD, según lo establecido en la Sección 7.
- Notificación de brechas. Notificar al Cliente sin dilación indebida tras tener conocimiento de una Brecha de Datos Personales que afecte a los Datos Personales del Cliente, según lo establecido en la Sección 8.
- Eliminación o devolución. Eliminar o devolver los Datos Personales al finalizar la prestación de servicios, según lo establecido en la Sección 9.
- Información y auditorías. Facilitar la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitir auditorías según lo establecido en la Sección 10.
5. Subcontratados
5.1 Subcontratados autorizados
El Cliente autoriza a Koalendar a contratar Subcontratados para procesar Datos Personales en nombre del Cliente. Una lista de los Subcontratados actuales se proporciona en el Anexo 2.
5.2 Obligaciones de los Subcontratados
Koalendar se compromete a:
- Imponer a los Subcontratados condiciones de protección de datos no menos protectoras que las de este DPA, incluidas obligaciones apropiadas de confidencialidad y seguridad.
- Mantener la responsabilidad del cumplimiento de las obligaciones de los Subcontratados en la medida que exija la ley aplicable.
5.3 Cambios en los Subcontratados
Koalendar puede actualizar los Subcontratados periódicamente. Si añadimos o sustituimos un Subcontratado, actualizaremos el Anexo 2. Si el Cliente tiene una objeción razonable relacionada con la protección de datos, puede notificárnoslo con prontitud y, si las partes no pueden resolver el problema, el Cliente puede dejar de usar la parte afectada del Servicio o rescindir la parte afectada del Servicio o el Servicio de conformidad con los Términos.
6. Transferencias internacionales de datos
El Cliente reconoce que algunos Subcontratados pueden procesar Datos Personales fuera del EEE, el Reino Unido o Suiza.
Cuando el RGPD exija un mecanismo de transferencia para tales transferencias, las partes acuerdan que:
- Koalendar garantizará que se aplique un mecanismo de transferencia apropiado (por ejemplo, las Cláusulas Contractuales Tipo de la UE (Módulo Dos, responsable a encargado) y, cuando proceda, el Addendum del Reino Unido).
- Si se requiere, Koalendar implementará medidas complementarias apropiadas al riesgo de transferencia.
7. Asistencia con solicitudes de interesados y obligaciones del RGPD
Teniendo en cuenta la naturaleza del procesamiento y la información disponible para Koalendar, prestaremos asistencia razonable al Cliente para:
- Responder a las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).
- Seguridad, notificación de brechas y evaluaciones de impacto en la protección de datos cuando proceda.
El Cliente sigue siendo responsable de responder a las solicitudes de los interesados. Las solicitudes deben enviarse a support@koalendar.com con detalles suficientes para identificar la cuenta y la página de reserva correspondientes.
8. Brecha de Datos Personales
Koalendar notificará al Cliente sin dilación indebida tras tener conocimiento de una Brecha de Datos Personales que afecte a los Datos Personales del Cliente y proporcionará la información razonablemente disponible sobre:
- La naturaleza de la brecha
- Las consecuencias probables
- Las medidas adoptadas o propuestas para abordar la brecha
9. Retención, eliminación y devolución de datos
El Cliente puede eliminar datos a través del Servicio (cuando esté disponible) o solicitando la eliminación en support@koalendar.com.
Al rescindir o caducar el Servicio, Koalendar eliminará o devolverá los Datos Personales del Cliente de conformidad con las prácticas estándar de retención y eliminación del Servicio, salvo que la ley aplicable exija el almacenamiento de los Datos Personales.
10. Auditorías e información de cumplimiento
Koalendar facilitará la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Si el Cliente requiere una auditoría, debe proporcionar un aviso previo razonable y la auditoría debe:
- Limitarse a la información relevante para los Datos Personales del Cliente
- No interferir de manera irrazonable con las operaciones de Koalendar
- Estar sujeta a obligaciones de confidencialidad apropiadas
Cuando sea posible, Koalendar podrá satisfacer las solicitudes de auditoría proporcionando certificaciones de terceros, informes de auditoría o resúmenes.
11. Disposiciones varias
- Orden de prelación. Si hay conflicto entre este DPA y los Términos respecto al procesamiento de Datos Personales, prevalecerá este DPA.
- Responsabilidad. Las disposiciones de responsabilidad en los Términos se aplican a este DPA en la máxima medida permitida por la ley.
Anexo 1: Detalles del procesamiento
A. Objeto
Prestación del Servicio, incluidas las flujos de trabajo de programación de citas y las comunicaciones.
B. Duración
La duración del uso del Servicio por parte del Cliente, más cualquier período de retención limitado requerido por seguridad, copias de seguridad, resolución de disputas o cumplimiento legal.
C. Naturaleza y finalidad del procesamiento
- Crear y gestionar páginas de reserva y citas
- Enviar notificaciones relacionadas con reservas (correo electrónico y SMS cuando estén configurados)
- Proporcionar soporte al cliente
- Prevenir abusos y fraudes
- Proporcionar análisis del servicio y mejorar el rendimiento
D. Categorías de interesados
- Usuarios finales del Cliente (invitados y otros participantes)
- Usuarios y administradores del Cliente
E. Tipos de Datos Personales
Según la configuración del Cliente y el uso del Servicio:
- Datos de identidad y contacto (nombre, dirección de correo electrónico, número de teléfono)
- Metadatos de reserva y programación (hora de la cita, duración, nombre del evento, respuestas a preguntas del formulario de reserva)
- Datos técnicos (dirección IP, metadatos de dispositivo y navegador, registros)
- Metadatos de integración (por ejemplo, ID de eventos de calendario y enlaces de videoconferencia, si están habilitados)
El Cliente no debe enviar categorías especiales de datos (según lo definido en el artículo 9 del RGPD) salvo que sea estrictamente necesario y configurado por el Cliente bajo su propia responsabilidad.
F. Medidas de seguridad (resumen)
Koalendar mantiene un programa de seguridad diseñado para proteger los Datos Personales, que incluye medidas como:
- Cifrado en tránsito (TLS) y controles de acceso para sistemas de producción
- Controles de acceso basados en roles y autenticación multifactor para acceso privilegiado
- Registro y supervisión
- Prácticas seguras de desarrollo y gestión del cambio
Las medidas de seguridad pueden actualizarse periódicamente de conformidad con los estándares de la industria.
Anexo 2: Subcontratados
Koalendar puede utilizar los siguientes Subcontratados para prestar el Servicio. Las ubicaciones de procesamiento indicadas son típicas y algunos proveedores pueden procesar datos en regiones adicionales según la configuración y las necesidades operativas.
| Subcontratado | Finalidad | Ubicación típica de procesamiento |
|---|---|---|
| Google Cloud Platform (incluido Firebase) | Hospedaje de aplicaciones, almacenamiento de datos, registros y procesamiento en segundo plano | Estados Unidos y EEE |
| Twilio | Entrega de SMS y mensajería | Estados Unidos y otras regiones |
| Amazon Web Services (SES) | Entrega de correo electrónico | Estados Unidos y otras regiones |
| Mixpanel | Análisis de producto | Estados Unidos |
| Microsoft (Clarity) | Análisis de sesión y diagnósticos | Estados Unidos y EEE |
| Help Scout | Atención al cliente y mesa de ayuda | Estados Unidos |
| HubSpot | Ventas y gestión de contactos | Estados Unidos y EEE |
| Stripe | Procesamiento de pagos y facturación | Estados Unidos y EEE |
| OpenAI | Moderación de contenido automatizada y funciones asistidas por IA (cuando estén habilitadas) | Estados Unidos y otras regiones |
| Slack | Notificaciones internas para soporte y operaciones | Estados Unidos y otras regiones |
| Typeform | Formularios opcionales (incorporación, comentarios) | Estados Unidos y EEE |
