Legal

Acuerdo de Tratamiento de Datos (DPA)

Versión: 2026-04-26

Firmar electrónicamente desde el panel →

1. Partes

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte de los Términos de Servicio de Silvion ("Acuerdo Principal") suscrito entre:

  • John Sandoval Meza, NIF 50747503G, con nombre comercial Tane Solutions y domicilio en Avenida San Diego 104, 1-1, 28053 Madrid, España ("Encargado del Tratamiento" o "Procesador").
  • El cliente firmante ("Responsable del Tratamiento" o "Controlador"), identificado en el panel de Silvion.

Este DPA refleja las obligaciones de las partes conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

2. Objeto y duración

El Encargado tratará datos personales por cuenta del Responsable durante toda la vigencia del Acuerdo Principal, exclusivamente para prestar los servicios contratados (gestión de conversaciones de WhatsApp e Instagram, agente IA, agenda, CRM, pagos, marketing y demás funcionalidades de la plataforma Silvion).

3. Naturaleza y finalidad del tratamiento

  • Almacenamiento, organización, consulta, modificación y eliminación de datos personales.
  • Generación automática de respuestas mediante inteligencia artificial.
  • Envío y recepción de mensajes a través de WhatsApp Business API e Instagram Messaging API.
  • Gestión de citas, recordatorios automáticos y notificaciones.
  • Cobro de pagos a través de Stripe.
  • Generación de reportes y estadísticas agregadas.

4. Categorías de datos e interesados

Categorías de interesados: clientes y leads del Responsable que interactúan con su agente IA por WhatsApp, Instagram, Telegram o widget web.

Categorías de datos:

  • Datos identificativos: nombre, identificador de canal (número de WhatsApp, ID de Instagram/Telegram), email (si lo proporcionan).
  • Datos de contacto y citas.
  • Contenido de los mensajes intercambiados con el agente.
  • Metadatos de uso (IPs, timestamps) por motivos de seguridad y diagnóstico.
  • Datos de pago (tokenizados por Stripe; Silvion no almacena PAN).
  • Memoria comercial generada por la IA (preferencias, intereses, contexto).

5. Obligaciones del Encargado

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales.
  2. Garantizar que las personas autorizadas para tratar los datos se comprometen a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
  3. Adoptar todas las medidas técnicas y organizativas apropiadas requeridas en virtud del artículo 32 del RGPD (cifrado en tránsito y reposo, controles de acceso, registros de auditoría, RLS multi-tenant, copias de seguridad).
  4. Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas, a responder a las solicitudes de ejercicio de derechos de los interesados.
  5. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento, y permitir auditorías razonables (con preaviso de 30 días, máximo 1 vez al año salvo brecha confirmada).
  6. A elección del Responsable, suprimir o devolver todos los datos personales tras la finalización del servicio, salvo obligación legal de conservación.
  7. Notificar al Responsable cualquier brecha de seguridad sin demora indebida y, en cualquier caso, en un plazo máximo de 72 horas desde su detección.

6. Sub-encargados

El Responsable autoriza al Encargado a contratar a los sub-procesadores listados públicamente en silvion.tanesolutions.com/legal/sub-procesadores. El Encargado notificará al Responsable cualquier alta o baja de sub-procesador con al menos 30 días de antelación. El Responsable podrá oponerse por motivos razonables, en cuyo caso tendrá derecho a rescindir el contrato sin penalización.

El Encargado garantiza que todos los sub-procesadores cuentan con contratos que ofrecen garantías equivalentes a este DPA y, cuando corresponda, han suscrito Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

7. Transferencias internacionales

El Encargado puede transferir datos personales fuera del Espacio Económico Europeo únicamente si: (i) el país de destino cuenta con decisión de adecuación, (ii) se aplican las Cláusulas Contractuales Tipo de la Comisión Europea, o (iii) el destinatario está certificado bajo el EU-US Data Privacy Framework. La lista completa de transferencias está disponible en la página de sub-procesadores.

8. Derechos de los interesados

El Responsable es el único punto de contacto para los interesados respecto al ejercicio de sus derechos. El Encargado proporciona herramientas técnicas en la plataforma (export, borrado, modificación) y un formulario público (silvion.tanesolutions.com/legal/solicitar-mis-datos) que canaliza las solicitudes al Responsable correspondiente.

9. Política de retención

  • Mensajes y conversaciones: durante toda la vigencia del Acuerdo + 3 años, salvo borrado solicitado antes.
  • Citas: indefinido mientras el contacto exista; canceladas se purgan a los 2 años.
  • Logs de auditoría: 12 meses (rolling).
  • Sesiones de widget web inactivas: 90 días.
  • Solicitudes de derechos resueltas: 3 años (evidencia legal).
  • Datos de facturación: según obligación fiscal (mínimo 6 años en España).

10. Responsabilidad y limitación

La responsabilidad de cada parte se rige por los términos del Acuerdo Principal. Las indemnizaciones por incumplimiento del presente DPA quedan sujetas a los mismos límites de responsabilidad establecidos en dicho Acuerdo.

11. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y el Derecho de la Unión Europea. Cualquier controversia se someterá a los Juzgados y Tribunales que correspondan según el Acuerdo Principal.

12. Contacto del responsable de protección de datos

Para cualquier cuestión relativa a este DPA o al tratamiento de datos personales: dpo@tanesolutions.com

Política de privacidad·Sub-procesadores·Términos