Acuerdo de Tratamiento de Datos (DPA)
Este Acuerdo de Tratamiento de Datos ("DPA") rige el tratamiento por parte de Supera de la información personal por cuenta de los clientes empresariales bajo las leyes de privacidad de los estados de EE. UU. Forma parte de, y se incorpora por referencia a, los Términos del Servicio entre el cliente ("Cliente") y Zolopreneur LLC – Supera PS ("Supera"). Al aceptar los Términos del Servicio, el Cliente acepta este DPA.
En términos sencillos: cuando tu empresa usa Supera, tú decides qué información de empleados se ingresa y por qué — eres el negocio / responsable del tratamiento. Supera es tu proveedor de servicios / encargado del tratamiento: manejamos esa información solo para operar el Servicio para ti, no la vendemos y no la usamos para nuestros propios fines, y la resguardamos según lo descrito aquí y en nuestras páginas de Seguridad y Privacidad.
1. Alcance y ley aplicable
Este DPA aplica al tratamiento por parte de Supera de la "información personal" sujeta a las leyes de privacidad de los estados de EE. UU., incluida la Ley de Privacidad del Consumidor de California, según enmendada por la Ley de Derechos de Privacidad de California (CCPA/CPRA), y leyes de privacidad estatales integrales comparables (incluidas, según corresponda, las de Virginia, Colorado, Connecticut, Utah, Texas, Oregón, Montana y otros estados de EE. UU. con dichas leyes) (en conjunto, las "Leyes de Privacidad Estatales de EE. UU."). Supera actualmente ofrece el Servicio solo a empresas ubicadas en EE. UU.; este DPA no cubre la UE/EEE, el Reino Unido ni Suiza (aplicaría un acuerdo distinto si Supera ofrece el Servicio allí).
2. Roles de las partes
Para la información personal tratada bajo el Servicio, el Cliente es el "negocio" / "responsable del tratamiento", y Supera es el "proveedor de servicios" / "encargado del tratamiento", según se definen esos términos en las Leyes de Privacidad Estatales de EE. UU. Términos como "información personal", "tratar", "consumidor", "vender" y "compartir" tienen el significado dado en la ley aplicable.
3. Tratamiento de la información personal por Supera
Supera tratará la información personal únicamente según las instrucciones documentadas del Cliente — los Términos del Servicio, este DPA y el uso configurado del Servicio por el Cliente — y solo para prestar el Servicio (el "propósito comercial"). Supera informará al Cliente si considera que una instrucción infringe la ley aplicable.
4. Obligaciones del proveedor de servicios / encargado
Respecto de la información personal sujeta a las Leyes de Privacidad Estatales de EE. UU., Supera deberá:
- No vender ni compartir la información personal (según se definen "vender" y "compartir" en la CCPA/CPRA).
- No conservar, usar ni divulgar la información personal para ningún propósito distinto del propósito comercial especificado, o según lo permitan las Leyes de Privacidad Estatales de EE. UU. — incluido no para los fines comerciales propios de Supera, y no para entrenar modelos de inteligencia artificial.
- No conservar, usar ni divulgar la información personal fuera de la relación comercial directa con el Cliente.
- No combinar la información personal con información personal de otra fuente, salvo lo permitido por las Leyes de Privacidad Estatales de EE. UU. y sus reglamentos.
- Proporcionar el mismo nivel de protección de la privacidad que se exige al Cliente.
- Asegurar que las personas autorizadas a tratar la información personal estén sujetas a una obligación de confidencialidad.
- Implementar y mantener medidas de seguridad razonables apropiadas a la información personal (descritas en el Anexo C).
- Contratar subencargados únicamente de acuerdo con la Sección 5.
- Asistir al Cliente, teniendo en cuenta la naturaleza del tratamiento, para responder a las solicitudes verificables de consumidores (conocer/acceder, eliminar, corregir y excluirse) y para cumplir con las obligaciones de seguridad y, cuando corresponda, de evaluación del Cliente.
- Notificar al Cliente con prontitud si Supera determina que ya no puede cumplir sus obligaciones.
- Otorgar al Cliente el derecho de tomar medidas razonables y apropiadas para ayudar a asegurar que Supera use la información personal de forma coherente con las obligaciones del Cliente, y para detener y remediar cualquier uso no autorizado.
- Poner a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA y, a solicitud razonable, cooperar con evaluaciones razonables según la Sección 8.
Supera certifica que entiende y cumplirá las restricciones de esta Sección 4.
5. Subencargados
El Cliente otorga autorización general para que Supera contrate a los subencargados enumerados en el Anexo B. Supera: (a) celebrará un contrato escrito con cada subencargado que imponga obligaciones de protección de datos y confidencialidad sustancialmente equivalentes a las de este DPA; (b) seguirá siendo responsable del desempeño de sus subencargados; y (c) dará al Cliente aviso previo de cualquier adición o reemplazo de un subencargado, durante el cual el Cliente podrá objetar por motivos razonables de protección de datos; si las partes no resuelven la objeción, el Cliente podrá rescindir la parte afectada del Servicio.
6. Eliminación y devolución de la información personal
El Cliente puede exportar sus datos en cualquier momento, incluso antes de la eliminación. Al terminar el Servicio, o a solicitud del Cliente, Supera eliminará la información personal del Cliente, salvo que la ley exija conservarla. Eliminar un registro individual es una eliminación permanente de la base de datos activa; eliminar o cerrar la cuenta entera activa la cifrado-destrucción (destrucción de la clave de cifrado de la cuenta), volviendo todos los datos de ese Cliente — incluidos los respaldos — permanentemente ilegibles. La información personal en respaldos inmutables se vuelve ilegible mediante la cifrado-destrucción al eliminar la cuenta entera y, de lo contrario, expira en el ciclo de retención de respaldos de Supera.
7. Solicitudes de consumidores
Cuando Supera reciba una solicitud directamente de un consumidor relativa a la información personal del Cliente, Supera (salvo que la ley exija actuar) dirigirá al consumidor al Cliente y, cuando corresponda, notificará al Cliente. Supera brindará asistencia razonable al Cliente para atender las solicitudes verificables de consumidores.
8. Demostración del cumplimiento
Supera pondrá a disposición la información razonablemente necesaria para demostrar su cumplimiento de este DPA. Cuando se requiera una evaluación razonable, Supera podrá satisfacer dicha solicitud proporcionando un resumen actual de sus controles de seguridad o un informe de un tercero pertinente, o cooperando con una evaluación razonable y mutuamente acordada, con aviso previo razonable, no más de una vez cada doce (12) meses (salvo un incidente de seguridad documentado o un requisito legal), sujeto a confidencialidad y a los requisitos razonables de seguridad y operación de Supera.
9. Generalidades
Este DPA está sujeto a, y su responsabilidad está limitada por, los Términos del Servicio. En caso de conflicto entre este DPA y los Términos del Servicio respecto del tratamiento de información personal, prevalece este DPA. Este DPA se rige por la ley indicada en los Términos del Servicio, salvo que las Leyes de Privacidad Estatales de EE. UU. exijan lo contrario. Supera puede actualizar este DPA para reflejar cambios en la ley o en su Servicio; las fechas de "Versión" y "Vigencia" indican la versión actual, y los cambios sustanciales se comunicarán según se requiera.
Anexo A — Descripción del tratamiento
- Naturaleza y propósito: prestar un servicio bilingüe de evaluaciones de desempeño (evaluaciones de prueba/PIP, revisiones periódicas, retroalimentación 360°, metas, acuses de recibo y seguimiento opcional de credenciales) para que el Cliente realice y documente las evaluaciones de su personal.
- Categorías de personas: empleados, trabajadores y administradores/gerentes del Cliente.
- Categorías de información personal: nombres; datos de contacto (correo, teléfono móvil); puesto, departamento, fecha de contratación, idioma preferido; contenido de evaluaciones, metas y acuses de recibo; datos opcionales de credenciales profesionales / educación continua. No se recopilan por diseño: números de Seguro Social, compensación, datos bancarios ni fechas de nacimiento; se instruye a los Clientes a no ingresar información de salud/pacientes.
- Duración: el plazo del Acuerdo, más el período limitado de exportación/eliminación descrito en la Sección 6.
Anexo B — Subencargados
| Subencargado | Propósito |
|---|---|
| Cloudflare | Alojamiento, almacenamiento, red (certificado SOC 2 / ISO 27001) |
| Google Cloud (Cloud KMS) | Gestión de claves de cifrado |
| WorkOS | Inicio de sesión y autenticación de varios factores |
| Anthropic | Redacción y traducción con IA (no se usa para entrenar modelos) |
| Stripe | Facturación de suscripciones |
| Twilio y Meta (WhatsApp) | Entrega de mensajes SMS / WhatsApp |
| Resend | Entrega de correo electrónico |
| Slack / Microsoft (Teams) | Solo si el Cliente activa esa integración opcional |
La lista actual de subencargados también está disponible en [email protected].
Anexo C — Medidas de seguridad
- Cifrado en tránsito (TLS) y en reposo (AES-256); claves de cifrado por empresa (cifrado de sobre).
- Aislamiento de la base de datos por empresa.
- Autenticación de varios factores para administradores; inicio de sesión sin contraseña para empleados; acceso basado en roles con visibilidad limitada por gerente.
- Registro de auditoría a prueba de manipulaciones, encadenado por hash.
- Cifrado-destrucción para la eliminación de la cuenta entera; eliminación permanente para registros individuales.
- Respaldos cifrados, versionados/inmutables con restauración probada.
- Sin entrenamiento de IA con datos del cliente.
- Prácticas de desarrollo seguro, acceso de mínimo privilegio, monitoreo/alertas y un plan de respuesta a incidentes.
Detalle completo: consulta nuestra página de Seguridad.