ACUERDO DE TRATAMIENTO DE DATOS (DATA PROCESSING AGREEMENT)
Versión: 1.0 Fecha de vigencia: Al aceptar los Términos del Servicio o al contratar un plan.
Preámbulo
Este Acuerdo de Tratamiento de Datos (en adelante "DPA") forma parte integrante de los TÉRMINOS Y CONDICIONES DE SERVICIO de InboMarket (en adelante el "MSA") suscritos entre Idecus S.R.L. (en adelante "Encargado" o "InboMarket") y el Tenant suscrito (en adelante "Responsable").
Las Partes han acordado que en el curso de la prestación del Servicio, InboMarket tratará Datos Personales por cuenta del Responsable, y por tanto requieren regular las obligaciones, responsabilidades y garantías que les son aplicables bajo la normativa de protección de datos.
1. Definiciones
1.0 Marco regulatorio aplicable
- Constitución de la República Dominicana, Art. 44.2 (habeas data, autodeterminación informativa)
- Sentencias Tribunal Constitucional RD TC/0296/24 y TC/0700/25 (reafirmación derecho fundamental)
- Ley 172-13 RD (Protección Integral de Datos Personales) — autoridad supervisora: Superintendencia de Bancos
- GDPR (UE) 2016/679 — adoptado voluntariamente como estándar superior
- CCPA / CPRA (California) — cumplimiento para residentes California
- LGPD (Brasil) Art. 39 — cuando Tenant opere Brasil
Los términos no definidos aquí tienen el significado del MSA. Adicionalmente:
| Término | Significado |
|---|---|
| Datos Personales | Cualquier información sobre persona identificada o identificable, conforme Ley 172-13 / GDPR / CCPA |
| Tratamiento | Cualquier operación realizada sobre Datos Personales |
| Responsable / Controller | El Tenant — define finalidades y medios del tratamiento de los Datos Personales de sus clientes (Compradores) |
| Encargado / Processor | InboMarket — trata Datos Personales por cuenta y bajo instrucciones del Responsable |
| Interesado / Titular | Persona física a la que se refieren los Datos Personales (típicamente: Compradores, prospects, leads del Tenant) |
| Brecha | Incidente que comprometa confidencialidad, integridad o disponibilidad de Datos Personales |
| Subencargado | Subcontratista de InboMarket que trata datos en su nombre (lista anexa) |
2. Objeto y alcance
2.1 InboMarket trata Datos Personales por cuenta del Responsable estrictamente para:
- Prestar las funcionalidades del servicio contratado (CRM, marketing, mensajería, IA asistencial, e-CF, dashboard)
- Cumplir obligaciones legales propias (logs de seguridad, facturación)
- Las finalidades secundarias autorizadas en el MSA y esta DPA
2.2 Cualquier tratamiento por finalidad distinta requiere autorización previa del Responsable.
2.3 Tipos de datos tratados:
| Categoría | Ejemplos | Origen |
|---|---|---|
| Identificación básica | nombre, correo, teléfono | Lead form, registro voluntario |
| Datos de interacción | mensajes, consultas, visitas | Mensajería interna |
| Datos demográficos no sensibles | rango edad, ubicación aproximada | Auto-declarados |
| Datos comerciales | rango de presupuesto, tipo de propiedad | Auto-declarados |
| Datos financieros (limitados) | método pago preferido (NO PAN) | Si Tenant los captura |
2.4 Datos sensibles: InboMarket NO procesa datos sensibles intencionalmente. Si el Responsable los ingresa, es bajo su exclusiva responsabilidad y se compromete a obtener consentimiento expreso y a cumplir Art. 7 GDPR / Art. 11 Ley 172-13.
2.5 Categorías de Interesados:
- Compradores potenciales del Responsable
- Clientes activos del Responsable
- Prospects de campañas de marketing del Responsable
- Residentes (si plan Condominium)
- Visitantes a sitios públicos generados
2.6 Duración: durante la vigencia del MSA y los plazos de conservación detallados en PRIVACY_POLICY_v1.md y la política post-cancelación.
3. Obligaciones del Encargado (InboMarket)
InboMarket se obliga a:
3.1 Tratar Datos Personales únicamente conforme a instrucciones documentadas del Responsable, incluidas las contenidas en este DPA, los términos del servicio y los parámetros configurables en el dashboard. Si una instrucción contraviene la ley, InboMarket informará al Responsable y podrá suspender la ejecución.
3.2 Garantizar que el personal autorizado a tratar los datos esté sujeto a obligación de confidencialidad equivalente (cláusulas en contratos laborales).
3.3 Implementar medidas técnicas y organizativas adecuadas (Anexo II), incluyendo:
- Cifrado en tránsito y reposo
- Aislamiento multi-tenant (Row-Level Security)
- Control de acceso basado en roles (RBAC) con least privilege
- Logs de auditoría inmutables
- Backups cifrados con plan de continuidad
- Pruebas periódicas de seguridad
3.4 Asistir al Responsable:
- Con medidas técnicas para responder a derechos de los Interesados (acceso, rectificación, supresión, portabilidad)
- Con información para cumplir obligaciones de notificación de brechas
- Con información para evaluaciones de impacto (DPIA) cuando se requieran
- Con consultas a autoridades de control cuando proceda
3.5 Notificar brechas sin demora indebida (objetivo: ≤24h desde toma de conocimiento) al correo de contacto del Responsable, con:
- Naturaleza de la brecha y categorías/aproximado de Interesados afectados
- Consecuencias probables
- Medidas adoptadas o propuestas para mitigar
3.6 Devolver o suprimir los Datos Personales al término del servicio, salvo conservación legal obligatoria (Anexo III).
3.7 Permitir auditorías del Responsable (o de un auditor independiente autorizado) con preaviso razonable (mínimo 30 días, máximo una vez al año salvo brecha), sobre el cumplimiento de este DPA. InboMarket podrá ofrecer reportes SOC 2 / ISO 27001 (V1.2+) como alternativa.
3.8 Mantener un Registro de Actividades de Tratamiento (RAT) que documente los tratamientos realizados por cuenta del Responsable (Art. 30 GDPR).
3.9 No transferir datos fuera del país de origen sin salvaguardas adecuadas (SCC, decisión de adecuación, normas corporativas vinculantes).
4. Obligaciones del Responsable (Tenant)
El Responsable se obliga a:
4.1 Tener una base legal válida para todo tratamiento que delegue a InboMarket (consentimiento, contrato, obligación legal, interés legítimo balanceado).
4.2 Informar a los Interesados según Art. 13-14 GDPR / Art. 5 Ley 172-13 (transparencia).
4.3 No ingresar datos sensibles salvo cumplimiento estricto de normativa.
4.4 Configurar correctamente los parámetros de retención, accesos internos y permisos en el dashboard.
4.5 Capacitar a sus Usuarios Internos.
4.6 Atender en primera instancia las solicitudes de derechos de sus propios Interesados (los Compradores son sus clientes finales).
4.7 No usar datos para finalidades no informadas al Interesado.
4.8 No ceder los datos a terceros fuera de los Subencargados aprobados por InboMarket.
4.9 Notificar al InboMarket cualquier brecha que ocurra en sus sistemas propios cuando afecte datos provenientes de la Plataforma.
5. Subencargados
5.1 El Responsable autoriza con carácter general a InboMarket a contratar Subencargados (Art. 28.2 GDPR) para los servicios necesarios al sostenimiento de la Plataforma.
5.2 Lista de Subencargados vigentes: Anexo I. También publicada en inbomarket.com/legal/subprocesadores.
5.3 Notificación de cambios: InboMarket notificará con ≥30 días de antelación la incorporación o sustitución de un Subencargado. El Responsable podrá objetar por motivos razonables. Si la objeción es válida, InboMarket buscará una alternativa; si no es viable, el Responsable podrá terminar el servicio sin penalidad por el período no usado.
5.4 InboMarket garantiza que los Subencargados están sujetos a obligaciones equivalentes (contratos con cláusulas Art. 28 GDPR / Art. 24 Ley 172-13).
5.5 InboMarket responde ante el Responsable por el cumplimiento del Subencargado.
6. Derechos de los Interesados
6.1 InboMarket facilitará al Responsable las herramientas técnicas necesarias para:
- Acceso a los datos del Interesado (export CSV/JSON)
- Rectificación (edición desde dashboard)
- Supresión (botón "eliminar contacto" + propagación a backups según retención)
- Limitación (etiqueta "no contactar")
- Portabilidad (export estructurado)
- Oposición (opt-out marketing global)
- Revocación de consentimiento (UI clara)
6.2 Cuando un Interesado contacte directamente a InboMarket, InboMarket transferirá la solicitud al Responsable competente sin demora y sin perjuicio de las obligaciones propias.
6.3 Plazos legales aplicables: 15 días hábiles (RD), 30 días (GDPR), 45 días (CCPA, +45 extensión).
7. Notificación de Brechas
7.1 InboMarket notificará al Responsable cualquier brecha de seguridad que afecte Datos Personales del Responsable.
7.2 Objetivo: ≤24 horas desde toma de conocimiento (a Tenants); facilitar al Responsable el cumplimiento del plazo de 72h GDPR ante autoridad.
7.3 Notificación incluirá información disponible: alcance, datos afectados, medidas adoptadas, puntos de contacto.
7.4 Cooperación en investigación y comunicaciones a autoridades / Interesados afectados.
8. Transferencias internacionales
8.1 InboMarket podrá tratar datos en jurisdicciones distintas a la del Responsable, siempre que existan salvaguardas:
- Decisión de adecuación (UE-USA cuando aplique)
- Cláusulas Contractuales Estándar (SCC UE 2021/914)
- Normas Corporativas Vinculantes
- Mecanismos previstos por Ley 172-13 Art. 80 (RD)
8.2 Países habituales donde se trata o respalda información: RD (principal), USA (cloud), Frankfurt (réplica fría), conforme Anexo I.
9. Responsabilidad
9.1 La responsabilidad del Encargado por incumplimiento de obligaciones de este DPA se sujeta a las limitaciones de la cláusula 12 del MSA.
9.2 La responsabilidad ante autoridades de control por incumplimientos del Responsable (base legal inválida, información engañosa al Interesado, uso para finalidades no autorizadas) corresponde exclusivamente al Responsable, quien indemniza a InboMarket conforme cláusula 13 del MSA.
10. Duración y Terminación
10.1 Este DPA está vigente mientras el MSA esté vigente y mientras InboMarket conserve Datos Personales del Responsable.
10.2 Tras terminación del MSA, InboMarket conservará los datos durante el período GRACE (30 días) para exportación, luego procederá a la eliminación o anonimización conforme política post-cancelación.
10.3 Sobreviven las obligaciones de confidencialidad, conservación legal obligatoria, defensa en reclamos.
11. Ley aplicable y disputas
Las reglas del MSA aplican también a este DPA (Ley RD + arbitraje CRC + jurisdicción Santo Domingo / sub-jurisdicción USA-Florida si aplica).
ANEXOS
Anexo I — Lista de Subencargados (actualizada [FECHA])
| # | Subencargado | Servicio | País | Datos accedidos | Salvaguarda |
|---|---|---|---|---|---|
| 1 | AWS | Hosting + S3 | USA + Frankfurt | Todos | DPA + SCC |
| 2 | Google Cloud | Backups + GA4 | USA | Limitados | DPA + SCC |
| 3 | Stripe | Payments | USA + Irlanda | Facturación | DPA + SCC |
| 4 | Azul / BHD / CardNet | Payments RD | RD | Facturación | DPA local |
| 5 | Sendgrid / Postmark | Email transaccional | USA | Email + nombre | DPA + SCC |
| 6 | Twilio | SMS / WhatsApp | USA | Teléfono + nombre | DPA + SCC |
| 7 | OpenAI (vía capa proxy) | IA asistencial | USA | Texto sin PII | DPA + SCC + proxy despersonalización |
| 8 | Sentry | Error monitoring | USA | Logs sin PII | DPA + SCC |
| 9 | Cloudflare | CDN + WAF | Global | IP + headers | DPA + SCC |
| 10 | DGII / Alanube | e-CF Tx2 RD | RD | Fiscales obligatorios | Marco fiscal RD |
Anexo IV — Relación Buyer↔Tenant (Modelo C Híbrido)
Vigente desde 2026-06-07 — decisión PO Gabriel Brens, issue #781 Aplica a flujos de registro de Compradores (Buyers) iniciados desde sitios del Tenant o desde el Marketplace público InboMarket.
IV.1 Naturaleza dual del Buyer
El Comprador (en adelante "Buyer") mantiene una cuenta única global con Idecus S.R.L. operando InboMarket. Esta cuenta:
- Existe independientemente de cualquier Tenant
- Permite contactar a múltiples Tenants de la red InboMarket sin re-registro
- Es portátil entre Tenants (el Buyer mantiene su identidad y preferencias globales)
Cuando un Buyer interactúa con un Tenant específico (visualiza listings, contacta agentes, envía formularios), se establece automáticamente una vinculación explícita registrada en la tabla tenant_buyer_link con los siguientes campos relevantes para Privacidad:
consent_data_processing_at— momento del consentimiento de procesamientoconsent_marketing(boolean) +consent_marketing_at— opt-in granular por Tenantconsent_revoked_at— si el Buyer revoca consentimiento posteriormentestatus— estado activo / unsubscribed / blocked_by_tenant / blocked_by_buyer / tenant_offboarded
IV.2 Roles RGPD/Ley 172-13 en el Modelo C Híbrido
| Dato | Idecus (InboMarket) | Tenant (ej: Watley Real Estate) |
|---|---|---|
| Identidad básica del Buyer (email, password hash, nombre) | Responsable | NO accede al password hash |
| Preferencias globales del Buyer (idioma, currency) | Responsable | NO accede |
| Interacciones del Buyer con el Tenant (mensajes, leads, conversaciones) | Encargado del Tratamiento | Responsable (vía Lead/CRM del workspace) |
| Histórico cross-tenant del Buyer | Responsable exclusivo | Tenant NO ve interacciones con otros Tenants |
| Consents marketing específicos del Tenant | Encargado del Tratamiento | Responsable |
IV.3 Aislamiento cross-tenant (Privacy by Design)
Por defecto y de manera técnicamente forzada:
- El Tenant NO ve Buyers que no se hayan vinculado expresamente con él (no hay
tenant_buyer_linkactivo) - El Tenant NO ve qué otros Tenants tienen vínculos con un mismo Buyer
- Cualquier intento de un Tenant de obtener masivamente cuentas Buyers ("fishing" de competencia, scraping de la base global) constituye violación material del DPA y AUP — habilita terminación inmediata + reporte a autoridades
IV.4 Portabilidad de leads del Tenant
Si el Tenant termina su relación con InboMarket:
- SÍ exporta: lista de leads + interacciones + histórico CRM dentro de su workspace (data portability del Responsable)
- NO exporta: cuentas Buyer globales (passwords, preferencias cross-tenant, sesiones — propiedad de InboMarket como Responsable de la cuenta única)
- Los Buyers conservan acceso a su cuenta InboMarket; sus vínculos con el Tenant terminado se marcan
status='tenant_offboarded'
IV.5 Derechos del Buyer en el modelo Modelo C
A través de la página "Mis agencias" en el dashboard del Buyer, este puede:
- Ver qué Tenants tienen un
tenant_buyer_linkactivo con su cuenta - Revocar consentimiento de marketing por Tenant individualmente (switch)
- Bloquear un Tenant específico (
status='blocked_by_buyer') — el Tenant deja de poder enviar comunicaciones - Solicitar eliminación completa de su histórico con un Tenant — Tenant cumple en plazos legales aplicables
IV.6 Mecanismo técnico de consentimiento
En el flujo de registro desde un sitio Tenant (ej. modal en watleyrealestate.com), se presentan al Buyer tres consentimientos jurídicamente separados:
- ☑ Aceptación T&C + Política de Privacidad InboMarket (base contractual — obligatorio)
- ☑ Procesamiento de datos por el Tenant para atender el contacto específico (base contractual — obligatorio para enviar lead)
- ☐ Recepción de comunicaciones comerciales del Tenant (consentimiento — opt-in)
Los tres consentimientos se almacenan con timestamp + IP + versión del documento aceptada (auditoría).
Anexo II — Medidas Técnicas y Organizativas (TOMs)
Técnicas:
- TLS 1.2+ tránsito
- AES-256 reposo
- Hashing bcrypt para credenciales
- MFA obligatorio para roles admin
- WAF + DDoS protection
- Aislamiento workspace + RLS PostgreSQL
- Backups diarios cifrados + 30d retención
- DR cross-region (V1.1+)
- Pen-test anual independiente (V1.1+)
Organizativas:
- DPO designado
- Capacitación anual al personal
- Política interna acceso least privilege
- NDA + confidencialidad contractual
- Procedimiento incidentes con runbook
- Política de gestión de proveedores
- Política de retención y eliminación
- Política BYOD / acceso remoto
- Auditoría anual de accesos privilegiados
Anexo III — Conservación post-terminación
| Tipo de dato | Plazo tras terminación |
|---|---|
| Datos exportables vía dashboard | 30 días (período GRACE) |
| Backups históricos | 60 días post-grace → eliminación |
| Logs de seguridad | 12 meses (interés legítimo) |
| Datos fiscales | Plazo aplicable según Código Tributario RD (Ley 11-92) + Norma General DGII vigente (a confirmar con asesoría contable, típicamente 5-10 años para libros y soportes) |
| Logs de auditoría críticos | 5 años |
| Resto | Eliminación / anonimización |
Firma
Aceptado por el Responsable al suscribir un plan o al aceptar los Términos.
Por InboMarket / Idecus S.R.L. Firma electrónica registrada en plataforma. Fecha: [TIMESTAMP_ACEPTACION]
Por el Responsable (Tenant) Firma electrónica vía acceptance flow. Fecha: [TIMESTAMP_ACEPTACION]
⚠️ Avisos para revisión legal
Pendientes:
- Confirmar denominación legal y RNC Idecus
- Confirmar si se ofrecerá DPA firmado individualmente para Enterprise (>USD 500/mes) o solo aceptación click-wrap para los demás
- Validar Anexo I subencargados actualizado a la fecha real de launch
- Validar SCC UE 2021/914 vs nueva propuesta
- Para Tenants USA: validar si requieren MSA + DPA + BAA (Business Associate Agreement) si tratan datos de salud (NO aplica InboMarket directamente)
- Para Tenants UE >250 empleados o tratamiento masivo: ofrecer ayuda con DPIA
- Definir proceso de notificación de cambios de subencargados (email + dashboard)