Acuerdo de Procesamiento de Datos (DPA)
Vigente desde: 26 de mayo de 2026
Este Acuerdo de Procesamiento de Datos (el “DPA”) forma parte integral de los Términos de Servicio (los “Términos”) suscritos entre ByDomu LLC (“Domu”, “Procesador”) y el cliente que contrata los Servicios (el “Cliente”, “Controlador”; conjuntamente, las “Partes”), y regula el tratamiento de Datos Personales que Domu realiza por cuenta del Cliente en su rol de Procesador. En caso de conflicto entre este DPA y los Términos respecto del tratamiento de Datos Personales, prevalecerá este DPA.
Incorporación automática. Conforme a la Sección 14 de los Términos, este DPA se entiende incorporado por referencia y plenamente vinculante para Clientes sujetos al GDPR, UK GDPR, LGPD, Ley 1581 de 2012, CCPA/CPRA y regímenes equivalentes, aunque no haya sido suscrito físicamente. El Cliente puede solicitar la firma de un ejemplar físico escribiendo a [email protected].
1. Definiciones
Los términos en mayúscula no definidos aquí tienen el significado que les dan los Términos, el Reglamento (UE) 2016/679 (“GDPR”), el UK GDPR, la Ley General de Protección de Datos brasileña (“LGPD”), la Ley 1581 de 2012 colombiana (“Ley 1581”) o la legislación de protección de datos personales aplicable.
- Datos Personales: toda información sobre una persona física identificada o identificable que el Cliente cargue, transmita o genere en los Servicios y que Domu trate por cuenta del Cliente.
- Titular: persona física a la que se refieren los Datos Personales.
- Tratamiento / Procesamiento: cualquier operación realizada sobre Datos Personales (recolección, registro, organización, conservación, consulta, uso, transferencia, supresión, etc.).
- Subprocesador: cualquier tercero contratado por Domu para llevar a cabo, en todo o en parte, actividades de tratamiento por cuenta de Domu en cumplimiento de los Servicios.
- Incidente de Seguridad: violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizados, de forma accidental o ilícita, a Datos Personales.
- Ley Aplicable de Protección de Datos: el GDPR, UK GDPR, LGPD, Ley 1581 y normas concordantes, CCPA/CPRA y demás leyes estatales de privacidad de EE.UU., y demás legislación aplicable al tratamiento.
- SCCs: las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.
- UK IDTA / Addendum: el International Data Transfer Addendum a las SCCs de la Comisión Europea, publicado por la ICO del Reino Unido.
2. Objeto, naturaleza, finalidad y duración del tratamiento
Objeto: la prestación de los Servicios de Domu al Cliente conforme a los Términos.
Naturaleza del tratamiento: alojamiento, almacenamiento, organización, consulta, modificación, transmisión, copia de seguridad, eliminación y demás operaciones técnicas necesarias para prestar los Servicios; aplicación de Funciones de IA conforme a la Sección 9 de los Términos; envío de comunicaciones (incluido WhatsApp) por instrucción del Cliente.
Finalidad del tratamiento: prestar, mantener, asegurar y mejorar los Servicios al Cliente; brindar soporte; cumplir obligaciones legales.
Duración del tratamiento: mientras la cuenta del Cliente esté activa, más los plazos de devolución y supresión previstos en la Sección 11 y los plazos de conservación de la Política de Privacidad.
Tipos de Datos Personales y categorías de Titulares: descritos en el Anexo I.
3. Roles y obligaciones generales
- El Cliente actúa como Controlador / Responsable y determina los fines y medios del tratamiento.
- Domu actúa como Procesador / Encargado y trata los Datos Personales exclusivamente conforme a las instrucciones documentadas del Cliente, incluyendo las contenidas en los Términos, este DPA y la configuración del Cliente en los Servicios.
- Si Domu considera que una instrucción del Cliente infringe la Ley Aplicable de Protección de Datos, lo notificará al Cliente y podrá suspender la ejecución de dicha instrucción.
- Si Domu está legalmente obligado a tratar Datos Personales fuera de las instrucciones del Cliente (p. ej., por mandato judicial), lo notificará al Cliente antes del tratamiento salvo prohibición legal expresa.
4. Obligaciones del Cliente (Controlador)
El Cliente declara y garantiza que:
- Cuenta con base legal válida para el tratamiento de los Datos Personales que carga en los Servicios, incluyendo, cuando corresponda, la autorización previa, expresa, específica e informada del Titular.
- Ha proporcionado a los Titulares la información requerida por la Ley Aplicable de Protección de Datos respecto del tratamiento y de la transferencia de sus Datos Personales a Domu y sus Subprocesadores.
- No cargará en los Servicios Datos Personales cuya naturaleza, sensibilidad o volumen exceda razonablemente el objeto de los Servicios sin haber adoptado las medidas legales y técnicas adicionales que correspondan.
- Configurará adecuadamente los permisos, roles y accesos de sus Usuarios Autorizados.
- Responderá a las solicitudes de los Titulares en su rol de Controlador.
5. Obligaciones de Domu (Procesador)
5.1 Tratamiento conforme a instrucciones
Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, salvo obligación legal en contrario.
5.2 Confidencialidad
Garantizar que las personas autorizadas para tratar Datos Personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad apropiada.
5.3 Seguridad del tratamiento (Art. 32 GDPR)
Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, descritas en el Anexo II (TOMs).
5.4 Asistencia para responder a derechos del Titular
Asistir al Cliente, mediante medidas técnicas y organizativas razonables, en el cumplimiento de su obligación de responder a las solicitudes de Titulares de derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición y derechos relacionados con decisiones automatizadas.
Cuando un Titular contacte directamente a Domu para ejercer derechos relacionados con datos tratados por cuenta del Cliente, Domu redirigirá al Titular al Cliente y notificará al Cliente sin demora indebida.
5.5 Asistencia con DPIA y consultas previas
Asistir al Cliente, a su solicitud y a un costo razonable acordado, en la realización de evaluaciones de impacto en la protección de datos (DPIA) y consultas previas a la autoridad de control cuando ello sea exigible.
5.6 Notificación de Incidentes de Seguridad
Notificar al Cliente sin demora indebida tras tener conocimiento de un Incidente de Seguridad que afecte Datos Personales tratados por cuenta del Cliente. La notificación incluirá, en la medida en que la información esté disponible: naturaleza del incidente, categorías y volumen aproximado de Titulares y registros afectados, consecuencias probables y medidas adoptadas o propuestas para mitigarlo y prevenirlo.
Domu cooperará razonablemente con el Cliente para cumplir las obligaciones de notificación del Cliente ante autoridades y Titulares conforme a la Ley Aplicable de Protección de Datos.
5.7 Devolución o eliminación al término del tratamiento
Al término de la prestación de los Servicios, conforme a la elección del Cliente, Domu devolverá los Datos Personales al Cliente (mediante exportación en formato estructurado y de uso común) o los eliminará, junto con las copias existentes, dentro de los plazos previstos en la Sección 11 de los Términos y en la Política de Privacidad, salvo obligación legal de conservación.
5.8 Auditoría y demostración de cumplimiento
Poner a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de este DPA, incluyendo certificaciones, reportes de auditoría de terceros (cuando estén disponibles) y la documentación de seguridad pertinente.
A solicitud razonable del Cliente y previo aviso de al menos treinta (30) días, las Partes acordarán de buena fe el alcance de auditorías presenciales o remotas, sujetas a obligaciones de confidencialidad, frecuencia razonable (no superior a una vez al año salvo Incidente de Seguridad o requerimiento de autoridad), realización en horario laboral y costo a cargo del Cliente, salvo que la auditoría revele incumplimiento material de Domu, en cuyo caso Domu asumirá los costos razonables.
6. Subprocesadores
El Cliente otorga a Domu autorización general para contratar Subprocesadores en la prestación de los Servicios.
Lista pública. La lista de Subprocesadores vigente se publica en la Sección 9 de la Política de Privacidad y se replica resumidamente en el Anexo III de este DPA.
Notificación de cambios. Domu notificará al Cliente, con al menos quince (15) días de antelación, de la incorporación de nuevos Subprocesadores o de cambios sustanciales, mediante actualización de la lista pública y/o notificación por correo al contacto registrado en la cuenta del Cliente.
Derecho de oposición. El Cliente podrá oponerse razonablemente al nuevo Subprocesador por motivos legítimos relacionados con la protección de datos, dentro del plazo de notificación. Las Partes negociarán de buena fe; si no se alcanza una solución, el Cliente podrá terminar el contrato sin penalización, con reembolso pro rata de cuotas prepagadas no consumidas.
Obligaciones de Domu frente al Subprocesador. Domu impondrá al Subprocesador, mediante contrato u otro acto jurídico vinculante, obligaciones de protección de datos equivalentes a las contenidas en este DPA, incluyendo, en particular, las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas (Art. 28.4 GDPR). Domu responderá frente al Cliente del cumplimiento por parte del Subprocesador.
7. Transferencias internacionales
Cuando el tratamiento implique la transferencia de Datos Personales fuera de la jurisdicción del Cliente, las Partes aplicarán los mecanismos legales adecuados según el origen de los datos:
7.1 Transferencias desde el EEE
Cuando el Cliente esté establecido en el Espacio Económico Europeo o trate Datos Personales sujetos al GDPR, y la transferencia se realice hacia un país no reconocido como de nivel adecuado por la Comisión Europea, se aplican las Cláusulas Contractuales Tipo (SCCs) publicadas mediante la Decisión de Ejecución (UE) 2021/914, en su Módulo 2 (Controller a Processor) y, para subprocesamientos, Módulo 3 (Processor a Subprocessor). Dichas SCCs se entienden incorporadas por referencia a este DPA, con la información de los Anexos I.A, I.B, II y III rellenada conforme a los Anexos del presente DPA.
Cláusulas opcionales:
- Cláusula 7 (“docking”): aplicable.
- Cláusula 11(a) (mecanismo independiente de resolución): no aplicable salvo acuerdo expreso.
- Cláusula 17 (ley aplicable): ley de Irlanda.
- Cláusula 18(b) (foro): tribunales de Irlanda.
Para Subprocesadores estadounidenses certificados bajo el EU–US Data Privacy Framework (verificable en dataprivacyframework.gov), la transferencia se ampara primariamente en la decisión de adecuación correspondiente; las SCCs operan como mecanismo subsidiario.
7.2 Transferencias desde el Reino Unido
Se aplica el International Data Transfer Addendum (UK Addendum) a las SCCs publicado por la ICO, complementario a las SCCs descritas en la Sección 7.1.
7.3 Transferencias desde Suiza
Aplican las SCCs con las adaptaciones publicadas por el FDPIC suizo.
7.4 Transferencias desde Colombia
Las transferencias internacionales se realizan conforme al Decreto 1377 de 2013 y a la Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio (SIC), mediante declaración de conformidad del responsable y, cuando corresponda, autorización expresa del Titular para la transferencia.
7.5 Transferencias desde Brasil
Se aplican las garantías previstas en el Art. 33 de la LGPD: cláusulas contractuales tipo, cláusulas específicas o autorización de la ANPD, según el caso.
7.6 Transferencias desde otras jurisdicciones de Latam
México (LFPDPPP), Argentina (Ley 25.326), Chile (Ley 19.628), Perú (Ley 29.733) y otras: aplican los mecanismos previstos en sus respectivas legislaciones, incluyendo cláusulas contractuales equivalentes y, cuando corresponda, autorización del Titular.
8. Responsabilidad
La responsabilidad de las Partes derivada de este DPA se rige por la cláusula de Limitación de Responsabilidad de los Términos (Sección 18 de los Términos), sin perjuicio de los derechos imperativos del Titular conforme a la Ley Aplicable de Protección de Datos.
9. Duración y terminación
Este DPA permanecerá vigente mientras Domu trate Datos Personales por cuenta del Cliente. Las obligaciones que por su naturaleza deban sobrevivir a la terminación, lo harán (incluyendo, sin limitación, confidencialidad, devolución / eliminación, responsabilidad y mecanismos de auditoría respecto del tratamiento ya realizado).
10. Modificaciones
Domu podrá actualizar este DPA conforme al procedimiento de modificación de la Sección 21 de los Términos. Las modificaciones materiales se notificarán con al menos quince (15) días de antelación.
11. Disposiciones generales
- Subordinación a la Ley Aplicable. En caso de conflicto entre este DPA y la Ley Aplicable de Protección de Datos, prevalece la Ley Aplicable.
- Idiomas. Versión en español (autoritativa para Clientes en Latam y España) y en inglés.
- Notificaciones. A [email protected] para Domu; al correo registrado del Cliente.
Anexo I — Descripción del tratamiento
A. Lista de las Partes
- Exportador / Controlador: el Cliente, identificado en su cuenta y en la suscripción aceptada.
- Importador / Procesador: ByDomu LLC, Complex Llanogrande, L7 primer piso, Rionegro, Antioquia, Colombia. Contacto: [email protected].
B. Descripción de la transferencia
| Aspecto | Descripción |
|---|---|
| Categorías de Titulares | Usuarios Autorizados del Cliente; Contactos Finales (propietarios, arrendatarios, compradores, oferentes, prospectos comerciales); contrapartes contractuales del Cliente. |
| Categorías de Datos Personales | Datos de identificación (nombre, documento); datos de contacto (correo, teléfono, dirección); datos profesionales y comerciales; datos financieros básicos cuando el Cliente los cargue (capacidad de pago, certificados laborales); contenido de comunicaciones gestionadas por el Cliente. |
| Datos sensibles o categorías especiales | Únicamente los que el Cliente decida cargar bajo su responsabilidad como Controlador, con autorización previa, expresa, específica e informada del Titular (típicamente: copias de documentos de identidad, fotografías de personas, datos de menores en grupos familiares de arrendatarios, certificados médicos relativos a accesibilidad). |
| Frecuencia de la transferencia | Continua, durante la vigencia de la cuenta del Cliente. |
| Naturaleza del tratamiento | Alojamiento, almacenamiento, organización, consulta, modificación, transmisión, copia de seguridad y eliminación; aplicación de Funciones de IA; envío de comunicaciones (incluido WhatsApp) por instrucción del Cliente. |
| Finalidad del tratamiento | Prestar, mantener, asegurar y mejorar los Servicios. |
| Plazo de conservación | Conforme a la Sección 11 de la Política de Privacidad. |
| Subprocesamiento | Conforme al Anexo III. |
C. Autoridad de control competente
Para Clientes en el EEE: la autoridad de control del Estado miembro de establecimiento principal del Cliente. Para Clientes en otras jurisdicciones: la autoridad de protección de datos competente conforme a su ley local.
Anexo II — Medidas técnicas y organizativas (TOMs)
Domu aplica las siguientes medidas, las cuales pueden actualizarse para reflejar evolución técnica, manteniendo siempre un nivel de protección equivalente o superior:
Seguridad de la red e infraestructura
- Cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones públicas.
- Cifrado en reposo de bases de datos y almacenamiento de archivos cuando es soportado por el proveedor.
- Segregación de entornos: producción, staging y desarrollo.
- Protección de capa de red mediante Cloudflare (DDoS, bot management, WAF).
- Aislamiento de inquilinos (multi-tenant) a nivel lógico mediante esquemas de identificación de organización y controles de acceso a nivel aplicativo.
Control de acceso
- Autenticación de Usuarios Autorizados con hashing seguro de contraseñas (Argon2 / bcrypt).
- Soporte de autenticación multifactor (MFA) cuando el Cliente lo active.
- Control de acceso basado en roles (RBAC) a nivel aplicativo.
- Acceso del personal de Domu a entornos productivos restringido por principio de mínimo privilegio, con registro de auditoría y revisión periódica.
Gestión de personal
- Acuerdos de confidencialidad con todo el personal con acceso a Datos Personales.
- Capacitación periódica en protección de datos y seguridad.
- Procesos formales de alta y baja de accesos.
Continuidad y recuperación
- Copias de seguridad automatizadas cifradas.
- Procedimientos de recuperación ante desastres documentados.
- Monitoreo continuo y alertas operacionales.
Gestión de incidentes
- Procedimiento documentado de respuesta a Incidentes de Seguridad.
- Notificación al Cliente conforme a la Sección 5.6 de este DPA.
Gestión de Subprocesadores
- Evaluación previa de seguridad y cumplimiento.
- Contratos vinculantes con obligaciones equivalentes.
- Revisión periódica.
Desarrollo seguro
- Revisión de código por pares.
- Análisis estático y de dependencias.
- Pruebas de seguridad antes de despliegues mayores.
Anexo III — Subprocesadores
La lista vigente y completa de Subprocesadores se publica en la Sección 9 de la Política de Privacidad y prevalece sobre cualquier copia incluida aquí. A la fecha de entrada en vigor de este DPA, los principales Subprocesadores son:
| Subprocesador | Servicio | Ubicación principal | Mecanismo de transferencia |
|---|---|---|---|
| Vercel | Hosting web y serverless | EE.UU. | DPF / SCCs |
| Railway | Hosting de API | EE.UU. | SCCs |
| AWS | Infraestructura adicional | EE.UU. | DPF / SCCs |
| Neon | Base de datos PostgreSQL | EE.UU. | SCCs |
| Vercel Blob | Almacenamiento de archivos | EE.UU. | DPF / SCCs |
| Stripe | Pagos | EE.UU. | DPF / SCCs |
| Wompi | Pagos en Latam | Colombia | N/A (procesamiento local) |
| Resend | Email transaccional | EE.UU. | SCCs |
| Anthropic | Modelos de IA (Claude) | EE.UU. | SCCs |
| OpenAI | Modelos de IA | EE.UU. | SCCs |
| Google Cloud | Modelos de IA (Gemini) y servicios | EE.UU. | DPF / SCCs |
| Meta Platforms | WhatsApp Business API | EE.UU. | SCCs |
| Cloudflare | CDN, DNS, protección | Global | DPF / SCCs |
Contacto
ByDomu LLC
Complex Llanogrande, L7 primer piso, Rionegro, Antioquia, Colombia
Agente registrado en EE.UU.: Legalinc Corporate Services Inc., 131 Continental Dr, Suite 305, Newark, DE 19713, USA.
[email protected]
+57 314 203 1119