Mesuvim. Legal

Anexo de Tratamiento de Datos (DPA)

⚖️Borrador en revisión legal. Mesuvim es una marca comercial en proceso de constitución, operada provisionalmente por [NOMBRE LEGAL DEL RESPONSABLE] hasta que se constituya una entidad legal. Los campos marcados entre corchetes [ ] están pendientes de definir y se actualizarán tras la revisión legal.

Fecha de entrada en vigor: [FECHA DE ENTRADA EN VIGOR]
Proveedor / Encargado / Procesador: [RAZÓN SOCIAL PENDIENTE DE CONSTITUCIÓN], Mesuvim.
Cliente / Responsable / Controlador: la persona o entidad que contrata Mesuvim para un Evento.

1. Objeto

Este Anexo de Tratamiento de Datos ("DPA") forma parte de los Terminos y regula el tratamiento de Datos Personales del Evento que Mesuvim realiza por cuenta del Cliente para prestar los Servicios.

2. Roles de las partes

Respecto de los Datos del Evento e Invitados cargados o configurados por el Cliente, el Cliente actua como responsable/controlador y Mesuvim actua como encargado/procesador, salvo que la ley o una situacion especifica establezca otra cosa.

Respecto de datos de cuenta, pagos, seguridad, facturacion, soporte, analitica del sitio, administracion interna y cumplimiento legal de Mesuvim, Mesuvim puede actuar como responsable/controlador independiente.

3. Instrucciones del Cliente

Mesuvim tratara los Datos del Evento conforme a las instrucciones documentadas del Cliente, incluyendo configuraciones dentro de la plataforma, solicitudes de soporte, plantillas, importaciones, activacion de WhatsApp, reglas de seating, formularios RSVP y este DPA.

Mesuvim no tratara Datos del Evento para fines propios incompatibles, no vendera datos de Invitados y no usara datos de Clientes o Invitados para entrenar modelos propios de inteligencia artificial.

4. Duracion del tratamiento

El tratamiento durara mientras el Cliente use Mesuvim para el Evento y durante el periodo de retencion aplicable. Salvo obligacion legal o excepcion documentada, los Datos del Evento e Invitados se eliminaran o anonimizaran 6 meses despues de la fecha de finalizacion del Evento.

5. Naturaleza y finalidad del tratamiento

Mesuvim puede recopilar, recibir, registrar, organizar, almacenar, consultar, transformar, transcribir, analizar, transmitir, enviar, mostrar, modificar, exportar, eliminar o anonimizar Datos del Evento para:

  1. Crear invitaciones digitales.
  2. Gestionar listas de Invitados.
  3. Enviar comunicaciones.
  4. Recibir RSVP.
  5. Organizar mesas.
  6. Interpretar reglas de seating.
  7. Dar soporte.
  8. Mantener seguridad.
  9. Generar reportes.
  10. Cumplir instrucciones del Cliente y obligaciones legales.

6. Categorias de titulares

Los titulares pueden incluir Clientes, Organizadores, Colaboradores, Invitados, acompanantes, familiares, proveedores del Evento y personas incluidas en notas o reglas del Evento.

7. Categorias de datos

Los datos pueden incluir nombre, telefono, email, RSVP, asistencia, acompanantes, grupo familiar, relacion con el Evento, preferencias de mesa, asignacion de mesa, notas de seating, mensajes, respuestas, datos logisticos, preferencias alimentarias, alergias, accesibilidad, datos tecnicos, identificadores, logs y datos similares.

8. Datos sensibles

El Cliente no debera solicitar ni cargar Datos Sensibles salvo que sean necesarios, proporcionales y cuente con consentimiento expreso o base legal valida. Mesuvim podra implementar avisos, checkboxes y advertencias para reducir tratamiento innecesario de Datos Sensibles.

9. Confidencialidad

Mesuvim asegurara que las personas autorizadas para tratar Datos del Evento esten sujetas a obligaciones de confidencialidad contractuales o profesionales. El Cliente debe imponer obligaciones similares a sus Colaboradores.

10. Medidas de seguridad

Mesuvim implementara medidas tecnicas y organizacionales razonables, tomando en cuenta naturaleza, alcance, contexto, fines y riesgos del tratamiento. Las medidas pueden incluir controles de acceso, autenticacion, permisos, cifrado o medidas equivalentes, logs, segregacion de ambientes, backups, monitoreo, gestion de incidentes, seleccion de proveedores, minimizacion de datos y procesos internos.

11. Subprocesadores

El Cliente autoriza de forma general el uso de subprocesadores necesarios para prestar los Servicios. Mesuvim podra usar proveedores como Meta/WhatsApp Business, Resend, Stripe, Google Analytics, proveedores de IA, hosting, base de datos, almacenamiento, seguridad, monitoreo y soporte.

Mesuvim procurara mantener una lista actualizada de subprocesadores y, cuando la ley lo requiera, informar cambios materiales para que el Cliente pueda objetar razonablemente. Si el Cliente objeta un subprocesador indispensable y Mesuvim no puede prestar el Servicio sin el, cualquiera de las partes podra terminar el servicio afectado conforme a los Terminos.

12. Transferencias internacionales

El Cliente autoriza transferencias internacionales necesarias para prestar los Servicios. Cuando aplique GDPR u otra ley equivalente, las partes procuraran apoyarse en mecanismos validos como decisiones de adecuacion, clausulas contractuales tipo, anexos de transferencia, medidas tecnicas complementarias, consentimiento u otros mecanismos permitidos.

13. Asistencia con derechos de titulares

Tomando en cuenta la naturaleza del tratamiento, Mesuvim ayudara razonablemente al Cliente a responder solicitudes de acceso, rectificacion, eliminacion, oposicion, portabilidad, limitacion o revocacion de consentimiento relacionadas con Datos del Evento. Mesuvim podra cobrar costos razonables si la solicitud requiere trabajo extraordinario no incluido.

Si un Invitado contacta directamente a Mesuvim por Datos del Evento, Mesuvim podra responder directamente cuando corresponda o remitir la solicitud al Cliente, segun el rol legal aplicable.

14. Incidentes de seguridad

Mesuvim notificara al Cliente sin demora indebida despues de confirmar un incidente de seguridad que afecte materialmente Datos del Evento bajo control de Mesuvim. La notificacion podra incluir, en la medida conocida, naturaleza del incidente, categorias de datos, medidas adoptadas, recomendaciones y punto de contacto. Mesuvim podra proporcionar informacion por etapas conforme avance la investigacion.

El Cliente sera responsable de notificar a autoridades o titulares cuando legalmente le corresponda como controlador, con la asistencia razonable de Mesuvim.

15. Eliminacion o devolucion

Al finalizar los Servicios o vencer el periodo de retencion, Mesuvim eliminara o anonimizará Datos del Evento, salvo que la ley exija conservacion, exista disputa, obligacion contractual, seguridad, fraude, respaldo temporal o instruccion distinta permitida. A solicitud del Cliente, Mesuvim podra exportar datos disponibles antes de la eliminacion, si la funcionalidad existe o se cotiza.

16. Auditorias e informacion

Mesuvim pondra a disposicion informacion razonable para demostrar cumplimiento de este DPA. Las auditorias directas requeriran aviso previo razonable, alcance limitado, confidencialidad, horarios normales, no interferencia con operaciones, proteccion de datos de otros clientes y acuerdo sobre costos. Mesuvim podra satisfacer auditorias mediante reportes, cuestionarios, certificaciones o documentacion equivalente cuando este disponible.

17. Orden de prelacion

En caso de conflicto entre este DPA y los Terminos, este DPA prevalecera respecto del tratamiento de Datos del Evento como encargado/procesador. Los Terminos prevaleceran respecto de pagos, responsabilidad, uso de plataforma y asuntos comerciales generales.

18. Anexo A - Detalles del tratamiento

Materia: operacion de invitaciones digitales, RSVP, comunicaciones y seating para Eventos.
Duracion: durante el Evento y hasta 6 meses despues, salvo excepciones.
Finalidad: prestar Mesuvim al Cliente.
Titulares: Invitados, acompanantes, Clientes, Colaboradores.
Datos: nombre, telefono, email, RSVP, acompanantes, mesa, reglas, preferencias, comunicaciones, datos tecnicos y datos sensibles opcionales.
Frecuencia: continua durante el uso del Servicio.
Eliminacion: 6 meses despues del Evento o antes si se solicita y procede.

19. Anexo B - Medidas tecnicas y organizacionales

Completar y validar tecnicamente antes de publicar:

  1. Control de acceso por usuario y rol.
  2. Autenticacion y gestion de credenciales.
  3. Principio de menor privilegio.
  4. Cifrado en transito mediante HTTPS/TLS.
  5. Cifrado en reposo cuando el proveedor lo soporte.
  6. Logs de actividad y seguridad.
  7. Backups controlados y eliminacion rotativa.
  8. Separacion de ambientes de produccion y desarrollo.
  9. Revision de proveedores criticos.
  10. Procedimiento de respuesta a incidentes.
  11. Restricciones internas de acceso a datos de Invitados.
  12. Prohibicion de usar datos reales en ambientes de prueba salvo necesidad y controles.
  13. Minimización de datos enviados a IA.
  14. No conservacion de audios despues de transcripcion.
  15. Eliminacion o anonimización 6 meses despues del Evento.

20. Anexo C - Subprocesadores iniciales

SubprocesadorServicioDatos tratadosUbicacion aproximada
Meta / WhatsApp BusinessMensajeria WhatsAppTelefonos, contenido de mensaje, metadataInternacional
ResendEmail transaccionalCorreos, contenido de email, metadataInternacional
StripePagosDatos de pago, facturacion, transaccionesInternacional
Google AnalyticsAnaliticaIP, cookies, interacciones, dispositivoInternacional
[Proveedor IA]Interpretacion de instruccionesTexto, reglas, datos minimizadosInternacional
[Hosting / DB]Infraestructura y base de datosDatos de cuenta, evento e invitados[Completar]
[Cloudflare u otro]DNS, seguridad, CDNIP, logs, traficoInternacional