Acuerdo de Procesamiento de Datos

Data Processing Agreement (DPA) — Última actualización: 1 de marzo de 2026

Documento para clientes corporativos

Este DPA es aplicable a los clientes del plan Corporativo de Invitaciones Modernas Digitales. Para solicitar una copia firmada, contacta a legal@invitacionesmodernas.com

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del contrato de servicio entre Invitaciones Modernas Digitales, S.A.P.I. de C.V. ("Encargado" o "Procesador") y el cliente corporativo ("Responsable" o "Controlador") que contrata el plan Corporativo de Invitaciones Modernas Digitales.

Este DPA establece las obligaciones de ambas partes en relación con el tratamiento de datos personales, en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y el Reglamento General de Protección de Datos (GDPR), según aplique.

1. Definiciones

  • "Datos Personales": Cualquier información relativa a una persona física identificada o identificable.
  • "Tratamiento": Cualquier operación realizada sobre Datos Personales, incluyendo recopilación, almacenamiento, uso, transmisión y eliminación.
  • "Sub-procesador": Un tercero contratado por el Procesador para llevar a cabo actividades de tratamiento en nombre del Controlador.
  • "Violación de Datos": Una brecha de seguridad que resulte en la destrucción, pérdida, alteración o divulgación no autorizada de Datos Personales.

2. Alcance del procesamiento

2.1 Finalidad

El Procesador tratará los Datos Personales exclusivamente con el propósito de proveer los servicios de invitaciones digitales contratados por el Controlador, incluyendo:

  • Generación de invitaciones digitales con tokens únicos encriptados
  • Envío de invitaciones por enlace y/o SMS
  • Gestión de confirmaciones (RSVP)
  • Generación de reportes y estadísticas para el Controlador

2.2 Categorías de datos

  • Nombres de invitados
  • Números de teléfono (para envío de SMS)
  • Respuestas de confirmación de asistencia (RSVP)
  • Datos de acceso a las invitaciones (tokens, timestamps)

2.3 Categorías de titulares

  • Invitados designados por el Controlador
  • Empleados del Controlador que gestionan los eventos

3. Obligaciones del Procesador

Invitaciones Modernas Digitales, como Procesador, se compromete a:

  1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Controlador.
  2. Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
  3. Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  4. No contratar a un Sub-procesador sin autorización previa por escrito del Controlador.
  5. Asistir al Controlador en el cumplimiento de sus obligaciones respecto a solicitudes de derechos ARCO de los titulares.
  6. Eliminar o devolver los Datos Personales al término del contrato, según lo solicite el Controlador.
  7. Poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de este DPA.

4. Medidas de seguridad

El Procesador implementa las siguientes medidas de seguridad:

4.1 Medidas técnicas

  • Cifrado en tránsito mediante TLS 1.3
  • Cifrado en reposo mediante AES-256
  • Tokens criptográficos únicos para cada invitación
  • Autenticación multifactor para acceso a sistemas
  • Monitoreo continuo de seguridad y detección de intrusiones
  • Respaldos automáticos cifrados con verificación de integridad
  • Segregación de datos por cliente

4.2 Medidas organizativas

  • Política de acceso basado en el principio de menor privilegio
  • Capacitación periódica en protección de datos para todo el personal
  • Evaluaciones de impacto en la protección de datos (DPIA)
  • Plan de respuesta a incidentes documentado y probado
  • Auditorías de seguridad semestrales

5. Sub-procesadores

5.1 Sub-procesadores actuales

El Controlador autoriza el uso de los siguientes Sub-procesadores:

Sub-procesador Servicio Ubicación
TwilioEnvío de SMSEstados Unidos
StripeProcesamiento de pagosEstados Unidos
Amazon Web ServicesInfraestructura y alojamientoEE.UU. (us-east-1)
Google AnalyticsAnálisis de uso (anonimizado)Estados Unidos

5.2 Cambios en Sub-procesadores

El Procesador notificará al Controlador con al menos 30 días de anticipación antes de añadir o cambiar un Sub-procesador. El Controlador puede oponerse por motivos razonables dentro de los 14 días siguientes a la notificación.

6. Transferencias internacionales

Cuando los Datos Personales se transfieran a países fuera de México o del Espacio Económico Europeo, el Procesador garantiza que se aplican salvaguardas adecuadas, incluyendo:

  • Cláusulas contractuales tipo aprobadas por la Comisión Europea
  • Evaluaciones de impacto de transferencia cuando sea necesario
  • Medidas suplementarias de cifrado y seudonimización

7. Notificación de violaciones de datos

  1. El Procesador notificará al Controlador sobre cualquier Violación de Datos sin demora injustificada y en un máximo de 48 horas desde su detección.
  2. La notificación incluirá:
    • Naturaleza de la violación
    • Categorías y número aproximado de titulares afectados
    • Consecuencias probables
    • Medidas adoptadas o propuestas para mitigar los efectos
  3. El Procesador cooperará plenamente con el Controlador en la gestión del incidente.

8. Derechos de los titulares

El Procesador asistirá al Controlador para responder a solicitudes de ejercicio de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) o derechos bajo el GDPR (acceso, rectificación, supresión, portabilidad, limitación y oposición).

Las solicitudes recibidas directamente por el Procesador serán redirigidas al Controlador en un plazo máximo de 5 días hábiles.

9. Auditorías

  • El Controlador tiene derecho a realizar auditorías o inspecciones para verificar el cumplimiento de este DPA, con un preaviso de 30 días.
  • El Procesador proporcionará informes de auditoría de seguridad independiente (SOC 2 Tipo II o equivalente) cuando estén disponibles.
  • Se permite una auditoría por año, salvo que exista un incidente que justifique una auditoría adicional.

10. Retención y eliminación

  • Los datos de invitados se eliminan automáticamente 90 días después de la fecha del evento.
  • Al término del contrato, el Procesador eliminará todos los Datos Personales en un plazo de 30 días, a menos que la legislación aplicable requiera su conservación.
  • A solicitud del Controlador, el Procesador proporcionará un certificado de destrucción de datos.

11. Vigencia

Este DPA permanecerá vigente mientras exista un contrato de servicios activo entre las partes. Las obligaciones de confidencialidad y seguridad sobrevivirán a la terminación del contrato por un período de 3 años.

12. Contacto

Para preguntas sobre este DPA o para solicitar una copia firmada:

  • Legal: legal@invitacionesmodernas.com
  • DPO: dpo@invitacionesmodernas.com

¿Necesitas una copia firmada?

Si eres cliente corporativo y necesitas una copia firmada de este DPA para tus registros de cumplimiento, nuestro equipo legal te la enviará en menos de 48 horas.

Solicitar DPA firmado