Acuerdo de Procesamiento de Datos
Última actualización: 2026-06-13
Este Anexo de Tratamiento de Datos ("DPA") forma parte del acuerdo entre Mailmundo LLC ("Mailmundo", "Encargado") y el Cliente ("Responsable") y rige el tratamiento, por parte de Mailmundo, de datos personales en nombre del Cliente cuando este utiliza el Servicio para enviar correo electrónico a sus propios contactos. Está diseñado para apoyar el cumplimiento de las leyes de protección de datos aplicables, incluidos el GDPR de la UE/Reino Unido, la LGPD y las leyes estatales de privacidad de EE. UU. (como CCPA/CPRA, VCDPA, CPA, CTDPA, UCPA y TDPSA). Esta página es informativa y no constituye asesoramiento jurídico; consulte a su asesor respecto de sus obligaciones específicas. En caso de conflicto entre este DPA y los Términos en relación con el tratamiento de los Datos Personales del Cliente, prevalece este DPA.
1. Roles de las Partes
Respecto de los datos de destinatarios y contactos que el Cliente carga, importa o de otro modo proporciona a través del Servicio ("Datos Personales del Cliente"), el Cliente es el responsable (o "empresa"/"responsable" según la legislación estatal de EE. UU.) y determina las finalidades y los medios del tratamiento, y Mailmundo es el encargado (o "proveedor de servicios"/"encargado") que trata dichos datos únicamente conforme a las instrucciones documentadas del Cliente. Cuando Mailmundo trata datos sobre la propia cuenta y facturación del Cliente, Mailmundo actúa como responsable, regida por su Política de Privacidad. Mailmundo no venderá ni compartirá los Datos Personales del Cliente, no los conservará, utilizará ni divulgará para ninguna finalidad distinta de la ejecución del Servicio o según lo permitido por la ley, y no los combinará con datos de otras fuentes salvo según lo permitido por la ley aplicable.
2. Alcance, Naturaleza y Finalidad del Tratamiento
Mailmundo trata los Datos Personales del Cliente para proporcionar el Servicio: almacenando listas de contactos; enviando campañas de correo electrónico vía AWS SES; gestionando rebotes, aperturas, clics, bajas y quejas; manteniendo listas de supresión; generando análisis; y brindando soporte y seguridad relacionados. Las categorías de interesados son los destinatarios y contactos del Cliente; las categorías de datos personales normalmente incluyen direcciones de correo electrónico, nombres y cualquier campo personalizado y metadato de interacción que el Cliente decida cargar. El tratamiento continúa durante la vigencia del acuerdo. El Cliente instruye a Mailmundo a tratar los Datos Personales del Cliente según sea necesario para proporcionar el Servicio y según lo documentado de otro modo en el acuerdo; Mailmundo notificará al Cliente si considera que una instrucción viola la ley aplicable.
3. Obligaciones del Encargado
Mailmundo: (a) tratará los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluido para transferencias internacionales, salvo que lo exija la ley (en cuyo caso lo notificará al Cliente, salvo prohibición legal); (b) asegurará que las personas autorizadas a tratar los datos estén vinculadas por confidencialidad; (c) implementará medidas técnicas y organizativas de seguridad apropiadas (Sección 5); (d) asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, con las solicitudes de los interesados, la seguridad, la notificación de violaciones, las evaluaciones de impacto en la protección de datos y las consultas con las autoridades; y (e) pondrá a disposición la información necesaria para demostrar el cumplimiento de este DPA. El Cliente es responsable de la licitud de los datos que carga, de la obtención de todos los consentimientos necesarios y del contenido y los destinatarios de sus campañas.
4. Subencargados
El Cliente otorga una autorización general para que Mailmundo contrate subencargados para proporcionar el Servicio, incluidos Amazon Web Services (alojamiento y entrega de correo AWS SES), Supabase/PostgreSQL (alojamiento de base de datos) y Stripe (facturación). Mailmundo impone a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA y sigue siendo responsable del desempeño de sus subencargados. Mailmundo mantendrá una lista actualizada de subencargados y proporcionará un aviso previo razonable de las adiciones o reemplazos; el Cliente puede oponerse por motivos razonables de protección de datos, y las partes trabajarán de buena fe para resolver la objeción, en cuyo defecto el Cliente podrá rescindir el Servicio afectado.
5. Medidas de Seguridad
Mailmundo mantiene salvaguardas administrativas, técnicas y físicas apropiadas al riesgo, incluidas: el cifrado de datos en tránsito; la seguridad a nivel de fila (RLS) de PostgreSQL para aislar los datos de cada tenant; el almacenamiento de contraseñas y claves de API como hashes unidireccionales; controles de acceso basados en roles (role-based) y acceso de mínimo privilegio; registro en log de auditoría de eventos relevantes para la seguridad; y el uso de proveedores de infraestructura de prestigio (AWS, Supabase, Stripe). Mailmundo no cuenta actualmente con certificación SOC 2 (la certificación figura en su roadmap) y no afirma contar con ninguna certificación que no haya obtenido. El Cliente es responsable de configurar su uso del Servicio de forma segura y de resguardar sus credenciales y claves de API.
6. Solicitudes de los Interesados
Teniendo en cuenta la naturaleza del tratamiento, Mailmundo asistirá al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para responder a las solicitudes de los interesados que ejerzan derechos bajo la ley aplicable (acceso, supresión, corrección, portabilidad, oposición, exclusión (opt-out) y similares). Si Mailmundo recibe una solicitud directamente de un interesado relativa a los Datos Personales del Cliente, cuando esté permitido, dirigirá a la persona al Cliente y no responderá, salvo conforme a las instrucciones del Cliente o según lo exija la ley. El Servicio proporciona herramientas de autoservicio (como supresión, baja y exportación) que permiten al Cliente atender directamente muchas de dichas solicitudes.
7. Transferencias Internacionales de Datos
Mailmundo tiene su sede en los Estados Unidos y trata datos allí y potencialmente en otras jurisdicciones. Cuando los Datos Personales del Cliente originados en el EEE, el Reino Unido o Suiza se transfieren a un país sin una decisión de adecuación, las partes acuerdan que las Standard Contractual Clauses aplicables (y el UK International Data Transfer Addendum, cuando corresponda) quedan incorporadas por referencia y se aplican a dichas transferencias, con Mailmundo como importador de datos. El Cliente es responsable de asegurar que cuenta con una base jurídica y con cualquier mecanismo de transferencia requerido para los datos que enruta a través del Servicio. Mailmundo prestará una cooperación razonable para apoyar las obligaciones de mecanismo de transferencia del Cliente.
8. Notificación de Violaciones
Mailmundo notificará al Cliente sin demora indebida tras tomar conocimiento de una violación de datos personales que afecte los Datos Personales del Cliente, y proporcionará la información razonablemente disponible para ella a fin de ayudar al Cliente a cumplir sus propias obligaciones de notificación a las autoridades y a los interesados. Dicha notificación no constituye un reconocimiento de culpa ni de responsabilidad. Mailmundo tomará medidas razonables para investigar, mitigar y remediar la violación. El Cliente es responsable de determinar si el incidente requiere notificación a los reguladores o a las personas bajo la ley aplicable y de realizar dichas notificaciones.
9. Eliminación y Devolución de Datos
Tras la terminación o expiración del acuerdo, y a elección del Cliente, Mailmundo eliminará o devolverá los Datos Personales del Cliente y eliminará las copias existentes, salvo en la medida en que la conservación sea exigida por la ley aplicable o para fines de respaldo, auditoría, supresión o cumplimiento antispam, en cuyo caso los datos permanecen sujetos a los términos de confidencialidad y seguridad de este DPA hasta su eliminación. El Cliente es responsable de exportar sus datos antes de la terminación utilizando las herramientas proporcionadas. Los registros de supresión y baja pueden conservarse según sea necesario para honrar las exclusiones y demostrar el cumplimiento.
10. Auditoría
Mailmundo pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA. A solicitud escrita razonable del Cliente, no más de una vez al año (salvo que lo exija una autoridad de control o tras una violación), y sujeto a confidencialidad, Mailmundo responderá a las consultas de auditoría razonables o proporcionará los informes o resúmenes disponibles de sus prácticas de seguridad. Cualquier auditoría in situ será a cargo del Cliente, programada con un aviso previo razonable, realizada durante el horario laboral y diseñada para minimizar la perturbación y proteger los datos de otros clientes y la seguridad del Servicio.
11. Vigencia, Responsabilidad y Contacto
Este DPA está vigente mientras Mailmundo trate los Datos Personales del Cliente en nombre del Cliente y subsiste a la terminación del acuerdo hasta que todos esos datos sean eliminados o devueltos. La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Servicio. Este DPA no exime a ninguna de las partes de las obligaciones que le impongan directamente las leyes de protección de datos aplicables. Para asuntos de protección de datos o para ejercer derechos bajo este DPA, contacte privacy@mailmundo.com o la dirección publicada en nuestro sitio web.