SIVO
EN Probar gratis 14 días

Legal

Acuerdo de tratamiento de datos (DPA)

Última actualización:

1. Roles

  • Responsable del tratamiento: el Cliente. Determina los fines y medios del tratamiento de los datos personales que carga o genera al usar SIVO.
  • Encargado del tratamiento: Cloudtree Solutions, S.L. Trata los datos exclusivamente conforme a las instrucciones documentadas del Responsable.

2. Objeto y duración

  • Objeto: tratamiento de datos personales necesario para prestar el servicio SIVO (centralita virtual SaaS multi-tenant).
  • Duración: durante la vigencia del contrato principal + 30 días para la fase de devolución/eliminación.

3. Naturaleza y finalidad del tratamiento

  • Naturaleza: recopilación, almacenamiento, organización, recuperación, consulta, transmisión, supresión.
  • Finalidad: prestación del servicio de centralita (gestión de llamadas, IVR, ACD, grabación, transcripción, integración SF, telemetría).

4. Categorías de datos tratados

  • Usuarios autorizados del Cliente: nombre, email, teléfono opcional, rol, extensión SIP, password hasheado (bcrypt), tokens JWT cifrados (AES-256-GCM).
  • Llamantes terceros: número telefónico, audio de la llamada (si la política de grabación lo activa), transcripción (si la política de transcripción lo activa).
  • Metadatos de llamada: timestamp, duración, agente, cola, causa de cuelgue, IVR path, MOS score, hangup cause.
  • Datos derivados de integraciones activadas por el Cliente: identificadores Salesforce, payloads de webhooks salientes.

5. Categorías de interesados

  • Usuarios autorizados del Cliente.
  • Llamantes y receptores de llamadas tratadas por la centralita.
  • Cualquier persona cuyos datos el Cliente decida cargar en el sistema (campañas outbound, contact lists, etc.).

6. Obligaciones del Encargado (Cloudtree)

Cloudtree se obliga a:

  1. Tratar los datos solo conforme a las instrucciones documentadas del Cliente (incluido este DPA y la configuración del panel SIVO).
  2. Garantizar que el personal autorizado al tratamiento ha asumido un compromiso de confidencialidad.
  3. Aplicar medidas técnicas y organizativas adecuadas (sección 8).
  4. Asistir al Cliente en el cumplimiento de los derechos de los interesados.
  5. Asistir al Cliente en notificaciones de brechas, DPIA y consultas a la autoridad de control.
  6. Suprimir o devolver los datos al finalizar la prestación, salvo conservación legal.
  7. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento y permitir auditorías (sección 10).
  8. Notificar al Cliente sin dilación indebida cualquier brecha de seguridad (sección 9).

7. Subencargados autorizados

El Cliente autoriza con carácter general los siguientes subencargados:

SubencargadoServicioUbicación tratamientoSalvaguardas
Hetzner Online GmbHInfraestructura cloudUE (DE/FI)DPA, ISO 27001
Cloudflare, Inc.CDN, DNS, WAFGlobal (filtrado EU para UE)DPA, SCC
Google Ireland Ltd.Email (Workspace)UE/USADPA, SCC, Adequacy USA
Stripe Payments EuropeProcesador de pagosUE/USADPA, SCC
Resend / PostmarkEmail transaccionalUE/USADPA, SCC

Proveedores de IA opcionales (Deepgram, ElevenLabs, OpenAI, Groq, Cerebras, Together): solo se invocan cuando el Cliente los activa con sus propias API keys. En tal caso, el Cliente es responsable de firmar DPA directo con esos proveedores.

Integración Salesforce (opcional): cuando el Cliente la activa, Cloudtree actúa de intermediario técnico; la responsabilidad legal corresponde al Cliente y a su org de SF.

Cualquier cambio en la lista se notificará con 30 días de antelación. El Cliente puede oponerse motivadamente; si la objeción no es resoluble, podrá terminar el contrato sin penalización.

8. Medidas técnicas y organizativas

Cloudtree aplica (sin ánimo exhaustivo):

Cifrado

  • TLS 1.3 obligatorio en API y dashboard.
  • SRTP / DTLS-SRTP en audio (WebRTC + SIP).
  • AES-256-GCM para passwords SIP, JWT keys y secrets de proveedor en BD.
  • KMS-encrypted storage (S3 / GCS / Azure / MinIO) para grabaciones y transcripciones.

Control de acceso

  • RBAC granular con 5 roles base.
  • MFA obligatorio en accesos administrativos al backend.
  • JWT con expiración corta + blacklist tras logout.
  • Row-Level Security en PostgreSQL sobre 23+ tablas para aislamiento multi-tenant.

Disponibilidad y resiliencia

  • Backups cifrados con retención y restauración periódica.
  • Multi-AZ en infra Hetzner cuando aplica.
  • Failover de trunks SIP.
  • Status público en status.sivocenter.com.

Auditoría

  • audit_logs particionado mensual.
  • Logs centralizados retenidos según plan (30 d, 1 a, 7 a).
  • Trazabilidad de accesos cross-tenant del rol superadmin.

Personal

  • Compromisos de confidencialidad firmados.
  • Formación periódica en privacidad y seguridad.
  • Principio de mínimo privilegio.

Pruebas

  • Pentesting anual externo (planificado).
  • Roadmap ISO 27001 → 2027 Q1.
  • Roadmap SOC 2 Type II → 2027 Q3 para clientes US.

9. Notificación de brechas

Cloudtree notificará al Cliente sin dilación indebida (y en cualquier caso en menos de 72 horas) tras tener conocimiento de una brecha de seguridad que afecte a sus datos. La notificación incluirá:

  • Naturaleza y categorías de datos afectados.
  • Estimación del número de interesados.
  • Consecuencias probables.
  • Medidas adoptadas o propuestas.
  • Datos del DPO de Cloudtree.

10. Auditoría

  • El Cliente puede solicitar evidencias documentales del cumplimiento (políticas, certificaciones, informes de pentest cuando estén disponibles).
  • Auditorías in-situ: una vez al año máximo, con preaviso de 30 días y bajo NDA. Los costes corren a cargo del Cliente salvo que la auditoría revele incumplimiento material.
  • Cloudtree puede sustituir la auditoría in-situ por un informe de auditor independiente (SOC 2 Type II o ISO 27001) cuando esté disponible.

11. Transferencias internacionales

Cuando una transferencia fuera del EEE sea necesaria, Cloudtree aplicará:

  • Cláusulas Contractuales Tipo (SCC) actualizadas (Decisión 2021/914 UE).
  • Evaluación de garantías adicionales (TIA) cuando aplique.
  • Decisiones de adecuación cuando estén vigentes (ej. UK, Japón, etc.).

Para clientes con requisitos estrictos de residencia, Enterprise puede configurarse para procesar exclusivamente en infraestructura UE.

12. Devolución y supresión

Al terminar el contrato, el Cliente dispondrá de 30 días para descargar:

  • Datos de usuarios (export JSON).
  • CDR (CSV).
  • Grabaciones y transcripciones (formato original).
  • Audit logs (CSV).

Transcurrido el plazo, Cloudtree eliminará todas las copias en sistemas productivos y de backup en un plazo máximo adicional de 90 días, salvo obligación legal de conservación que se notificará expresamente.

13. Responsabilidad

Cada parte responderá frente a la otra y frente a la autoridad de control en la medida que le corresponda según el GDPR. La responsabilidad acumulada de Cloudtree por incumplimientos del DPA se sujeta al límite previsto en la cláusula de limitación de los Términos generales.

14. Contacto del DPO

dpo@sivocenter.com