Data Processing Agreement (DPA)
1. Roles
El Cliente es "Responsable del Tratamiento" (Controller). CALIXO actúa como "Encargado" (Processor) respecto de los datos personales que el Cliente ingresa al Servicio. Los subencargados de CALIXO actúan como "sub-processors".
2. Objeto y duración
CALIXO procesa datos personales exclusivamente para prestar el Servicio contratado, durante la vigencia del contrato principal y por los plazos de conservación legalmente exigibles.
3. Naturaleza del tratamiento
| Categoría | Datos típicos |
|---|---|
| Usuarios finales del Cliente | Números telefónicos E.164, CDRs, grabaciones (si el Cliente las activa), metadatos de SMS |
| Empleados del Cliente | Email, nombre, rol en portal, logs de acceso |
| Técnicos | IPs SIP, user-agents, logs de registro, fingerprints |
4. Obligaciones de CALIXO como Encargado
- Procesar únicamente bajo instrucciones documentadas del Cliente.
- Confidencialidad obligatoria del personal autorizado (cláusulas contractuales).
- Medidas técnicas y organizativas: TLS 1.2+, SRTP, AES-256 at-rest, hashes bcrypt, MFA, segregación de entornos, logs inmutables, pentests anuales.
- Asistir al Cliente en el cumplimiento de derechos de titulares (acceso, supresión, portabilidad) vía self-service en el panel o soporte directo.
- Notificar brechas de seguridad sin dilación indebida y en plazo ≤ 72h con los elementos del Art. 33 GDPR.
- A la terminación: devolver o eliminar los datos personales salvo obligación legal de conservación.
- Mantener registro de actividades de tratamiento conforme Art. 30 GDPR.
5. Subencargados (Sub-processors)
El Cliente autoriza a CALIXO a usar subencargados (hosting, email transaccional, procesador de pagos, operadores SIP upstream). La lista actualizada se mantiene en https://calixo.io/legal/subprocessors y se notifica con 30 días de antelación ante cambios. El Cliente puede objetar dentro de ese plazo; de persistir la objeción, puede terminar el contrato.
6. Transferencias internacionales
Las transferencias fuera del EEE se realizan bajo Cláusulas Contractuales Tipo (SCC) aprobadas por la Decisión 2021/914/UE y, para Reino Unido, el UK IDTA/Addendum. Se realizan Transfer Impact Assessments (TIA) cuando el país receptor no tenga decisión de adecuación.
7. Auditoría
El Cliente puede solicitar, con preaviso razonable (mín. 30 días), evidencia del cumplimiento mediante:
- Cuestionarios de seguridad (CAIQ, SIG).
- Reportes SOC 2 Type II / ISO 27001 cuando estén disponibles.
- Auditorías presenciales (coordinadas, a cargo del Cliente, max 1/año excepto incidente).
8. Responsabilidad
Sujeta a la limitación del contrato principal, cada parte asume las sanciones administrativas derivadas de su propio incumplimiento del GDPR (Art. 82).
9. Duración y terminación
Este DPA es parte integrante del contrato principal y rige mientras CALIXO procese datos personales por cuenta del Cliente. Las obligaciones de confidencialidad y seguridad sobreviven a la terminación.
10. Contacto
Data Protection Officer: dpo@calixo.io · Privacidad: privacy@calixo.io