1. Definiciones
Los términos "Datos Personales", "Procesamiento", "Responsable", "Procesador", "Sub-procesador", "Brecha de Datos" y "Autoridad Supervisora" tienen el significado dado en el GDPR (Reglamento UE 2016/679).
2. Objeto y alcance
Este Acuerdo de Procesamiento de Datos ("DPA") se aplica al procesamiento de Datos Personales por Blacknel ("Procesador") en nombre del Cliente ("Responsable") bajo el Artículo 28 GDPR. Forma parte integral del Master Services Agreement (MSA) firmado entre las partes.
3. Roles y duración
El Cliente actúa como Responsable; Blacknel actúa como Procesador. Este DPA tiene vigencia mientras Blacknel procese Datos Personales en nombre del Cliente bajo el MSA, más los períodos de retención aplicables.
4. Naturaleza del procesamiento
Blacknel procesa Datos Personales únicamente para ejecutar el Servicio: gestión de presencia digital incluyendo inbox unificado, publicación social, reviews, anuncios, IA y analítica. Tipos de datos procesados: datos de identificación de Usuarios, datos de Contenido del Cliente, métricas de uso y comunicación.
5. Instrucciones del Responsable
Blacknel procesa Datos Personales solo bajo instrucciones documentadas del Cliente, salvo cuando lo requiera la ley aplicable. Las funcionalidades del Servicio configuradas por el Cliente constituyen instrucciones documentadas suficientes.
6. Confidencialidad del personal
Blacknel garantiza que todo personal autorizado a procesar Datos Personales está obligado por compromisos de confidencialidad apropiados y ha recibido training en protección de datos.
7. Medidas técnicas y organizativas (Anexo 2)
Blacknel implementa medidas de seguridad alineadas con ISO 27001 y SOC 2 Type II (auditoría en curso). Ver detalle completo en blacknel.com/security:
- Encryption at rest (AES-256) e in transit (TLS 1.3)
- Row-Level Security en base de datos (aislamiento multi-tenant)
- RBAC granular con permission checks en 3 capas
- Audit log inmutable append-only
- 2FA obligatorio para empleados
- Revisiones de seguridad trimestrales
- Programa de bug bounty privado
- Backups diarios con point-in-time recovery
8. Sub-procesadores autorizados (Anexo 1)
El Cliente autoriza el uso de los sub-procesadores listados en blacknel.com/privacy, con notificación previa de 30 días para cambios sustanciales. El Cliente tiene derecho a oponerse a un nuevo sub-procesador; si la objeción no se resuelve, el Cliente puede terminar el MSA sin penalidad.
9. Requests de Data Subjects
Blacknel asiste al Cliente con medidas técnicas y organizativas apropiadas para responder requests de Data Subjects (acceso, rectificación, borrado, portabilidad). Para requests directos a Blacknel sobre datos del Cliente, los reenviamos al Cliente sin demora indebida.
10. Notificación de brechas
En caso de brecha de Datos Personales, Blacknel notificará al Cliente sin demora indebida y a más tardar dentro de 48 horas tras tener conocimiento, con la información requerida bajo el Art. 33.3 GDPR.
11. DPIAs y consultas previas
Blacknel proporciona al Cliente la información razonablemente necesaria para que el Cliente realice Data Protection Impact Assessments (DPIA) o consultas previas con la Autoridad Supervisora, conforme a los Arts. 35–36 GDPR.
12. Transferencias internacionales (Anexo 3)
Para transferencias de Datos Personales fuera del EEE, Blacknel adopta las Standard Contractual Clauses (SCC) aprobadas por la Comisión Europea (Decisión 2021/914, Module Two: Controller-to-Processor). Bajo solicitud, Blacknel proporciona Transfer Impact Assessments (TIA) específicos.
13. Auditorías
Blacknel pone a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 GDPR. Los clientes Enterprise pueden solicitar auditorías presenciales o de tercera parte con 30 días de anticipación, sujetas a NDA y cumplimiento de restricciones operativas razonables.
14. Retorno o borrado de datos
Tras la terminación del MSA, Blacknel borra o devuelve (a elección del Cliente) todos los Datos Personales procesados, salvo cuando la ley aplicable requiera retención adicional. El borrado se ejecuta dentro de 90 días tras la terminación.
15. Responsabilidad
La responsabilidad bajo este DPA está sujeta a las limitaciones establecidas en el MSA. Nada en este DPA limita los derechos de Data Subjects bajo el GDPR o legislación local aplicable.
16. Cómo firmar el DPA
Si tu organización requiere DPA firmado físicamente, escribinos a legal@blacknel.com con tu razón social, jurisdicción y datos de tu DPO. Procesamos solicitudes de DPA en máximo 5 días hábiles.