Acuerdo de Tratamiento de Datos (DPA)

Growly CRM / Sales · entre el Responsable (la empresa Cliente) y el Encargado (Growly)

Última actualización: 2026-06-17 · Documento modelo, sujeto a revisión legal antes de firma.

Este Acuerdo de Tratamiento de Datos (el "DPA") forma parte de los Términos de Servicio y se incorpora a ellos por referencia. Regula el tratamiento de datos personales que In Growth Solutions ("Growly") realiza al prestar el producto CRM y de ventas (el "Servicio") por cuenta del Cliente. Si existiera conflicto entre este DPA y los Términos en materia de protección de datos, prevalece este DPA. Para Growly Hire existe un DPA específico en /legal/hire-dpa.

1. Roles de las partes

La empresa Cliente que usa el Servicio es el Responsable del tratamiento (controller bajo GDPR, controlador bajo LGPD, responsable bajo LFPDPPP) de los datos personales que carga o genera en el Servicio. Growly actúa como Encargado del tratamiento (processor / operador / encargado): trata esos datos únicamente para prestar el Servicio y conforme a las instrucciones documentadas del Responsable, incluidas las recogidas en los Términos, en la configuración del producto y en cualquier instrucción escrita posterior. Si Growly considera que una instrucción infringe la normativa aplicable, lo notificará al Responsable.

2. Objeto, naturaleza y duración del tratamiento

El objeto es la prestación del Servicio: prospección, gestión de leads y cuentas, cadencias de outreach (correo y mensajería), enriquecimiento de contactos bajo invocación del Cliente, inteligencia comercial y análisis. La naturaleza del tratamiento incluye recolección, estructuración, almacenamiento, consulta, uso, comunicación a subencargados y supresión. El tratamiento dura mientras esté vigente la suscripción del Cliente. A su término rige la cláusula de devolución y eliminación (Sección 11).

3. Categorías de datos y de titulares

Categorías de titulares: contactos profesionales de terceros (leads y prospectos B2B), empleados y usuarios autorizados del Responsable, y otras personas cuyos datos el Responsable decida cargar.

Categorías de datos: datos identificativos y de contacto profesional (nombre, cargo, empresa, correo, teléfono, perfiles públicos), historial de interacciones y mensajes, notas comerciales, metadatos de actividad, e inferencias derivadas generadas por el Servicio (por ejemplo estimaciones de estilo de comunicación tipo DISC, descritas en la Sección 7).

El Servicio no está diseñado para tratar categorías especiales de datos (salud, ideología, datos biométricos). El Responsable se compromete a no cargar datos sensibles salvo que exista una base legal válida y lo haya acordado por escrito con Growly.

4. Obligaciones del Encargado

Conforme al Art. 28 del GDPR y obligaciones equivalentes de la LGPD (Art. 39) y la LFPDPPP, Growly se obliga a:

• Tratar los datos personales solo según las instrucciones documentadas del Responsable, salvo obligación legal que exija lo contrario (en cuyo caso lo notificará, si la ley lo permite).
• Garantizar que el personal con acceso a los datos esté sujeto a deber de confidencialidad.
• Aplicar medidas técnicas y organizativas adecuadas (Sección 6).
• Respetar las condiciones para recurrir a subencargados (Sección 5).
• Asistir al Responsable, en la medida de lo posible, en la atención de solicitudes de los titulares (Sección 9).
• Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad.
• Eliminar o devolver los datos al término del Servicio (Sección 11).
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías conforme a los Términos.

5. Subencargados

El Responsable autoriza de forma general a Growly a recurrir a subencargados para prestar el Servicio. Cada subencargado queda obligado contractualmente a obligaciones de protección de datos equivalentes a las de este DPA. La lista vigente de subencargados, su finalidad, región y marco de transferencia se publica en /legal/subprocessors (no se reproduce aquí para mantener una única fuente actualizada).

Growly notificará el alta o sustitución de subencargados con al menos 30 días de antelación a que el nuevo subencargado comience a tratar datos, según el procedimiento descrito en esa misma página. El Responsable con plan empresarial puede objetar razonablemente una incorporación dentro de ese plazo.

6. Medidas de seguridad

Growly mantiene medidas técnicas y organizativas proporcionadas al riesgo, entre ellas:

• Cifrado de datos en tránsito (TLS) y cifrado en reposo de la base de datos.
• Cifrado reforzado de secretos y credenciales del Cliente (por ejemplo, AES-256-GCM).
• Aislamiento lógico por organización (multi-tenant) y control de acceso por tenant y por usuario.
• Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
• Registro y auditoría de accesos a sistemas críticos.
• Copias de seguridad cifradas con rotación y procedimientos de restauración.
• Programa de respuesta a incidentes.

Las certificaciones formales (por ejemplo SOC 2 o ISO 27001) están planeadas y no deben asumirse vigentes hasta su publicación. El detalle operativo de seguridad se mantiene en /legal/security.

7. Inferencias DISC y decisiones automatizadas

El Servicio puede generar estimaciones de estilo de comunicación (perfiles tipo DISC y rasgos asociados) a partir de texto público del contacto mediante modelos de lenguaje. Estas estimaciones son inferencias derivadas (profiling), no el resultado de un instrumento psicométrico validado. Asisten a la persona usuaria, que conserva el control editorial sobre cualquier mensaje.

Growly no toma decisiones automatizadas con efecto legal o similarmente significativo sobre los titulares (criterio del Art. 22 GDPR aplicado de forma transversal). El uso de estas inferencias para decisiones de empleo (contratación, promoción o evaluación de personal) está prohibido por los Términos de Servicio. El análisis de impacto de esta funcionalidad se describe en /legal/dpia-disc.

8. Transferencias internacionales

Algunos subencargados operan fuera del país del Responsable o de los titulares. Para transferencias de datos personales fuera del EEE, Reino Unido, Suiza, Brasil o México, Growly se apoya en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, el UK International Data Transfer Addendum, las cláusulas tipo del régimen de la ANPD para Brasil y, cuando corresponde, evaluaciones de impacto de transferencia (TIA). El Responsable, como tal, debe reflejar estas transferencias en su propio aviso de privacidad a los titulares.

9. Asistencia en derechos de los titulares (DSR / RTBF)

Growly asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en la atención de solicitudes de los titulares: acceso, rectificación, cancelación o supresión, oposición, portabilidad y derecho al olvido (RTBF), conforme al GDPR, la LGPD y los derechos ARCO de la LFPDPPP. Si Growly recibe una solicitud directa de un titular relativa a datos del Responsable, la remitirá al Responsable salvo obligación legal de actuar. Existe además un canal público de supresión en /legal/erasure-request. Growly procesa y verifica estas solicitudes dentro del plazo legal aplicable (objetivo 7 días, máximo 30 días naturales bajo GDPR; 15 días bajo LGPD).

10. Notificación de brechas

Growly notificará al Responsable, sin demora indebida tras tener conocimiento, cualquier violación de seguridad que afecte a los datos personales tratados por cuenta del Responsable. La notificación incluirá, en la medida disponible, la naturaleza del incidente, las categorías y el volumen aproximado de datos y titulares afectados, las consecuencias probables y las medidas adoptadas o propuestas. Esto permite al Responsable cumplir sus propios plazos de notificación a la autoridad (por ejemplo 72 horas bajo GDPR).

11. Devolución y eliminación al terminar

Al término del Servicio, el Responsable puede exportar sus datos durante el período definido en la cláusula de offboarding de los Términos de Servicio (ver Sección de salida y portabilidad). Concluido ese período, Growly elimina o anonimiza los datos personales tratados por cuenta del Responsable dentro de los 30 días siguientes, salvo obligación legal de conservación. Quién decide sobre los datos al salir (la organización para los datos de la empresa, la persona para sus datos personales) se detalla en esa misma cláusula de los Términos.

12. Marco legal

Este DPA se interpreta conforme al GDPR (Unión Europea), la LGPD (Brasil), la LFPDPPP (México) y los regímenes de habeas data y protección de datos aplicables en LATAM, según el domicilio del Responsable y la ubicación de los titulares. En lo no previsto aquí, rigen los Términos de Servicio.

13. Firma

Para firmar la versión vinculante de este DPA, escríbenos a legal@ingrowthsolutions.com. Disponemos de firma electrónica (PDF / DocuSign) y de anexos personalizados para planes Enterprise.

Este documento es un modelo en español. Debe ser revisado por un abogado en la jurisdicción aplicable antes de tratarse como vinculante. En caso de discrepancia entre versiones, prevalece la versión registrada con el equipo legal de In Growth Solutions.