Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 25 de abril de 2026.

1. Partes

Este Acuerdo de Procesamiento de Datos (el “DPA”) se celebra entre Repliar SRL, sociedad constituida en la República Argentina (en adelante, el “Procesador” o “Repliar”), y el Cliente Suscriptor del servicio Repliar (en adelante, el “Responsable” o “Cliente”). El DPA forma parte integral de los Términos y Condiciones aceptados por el Cliente al registrarse.

2. Definiciones

• Datos personales: cualquier información referida a una persona física identificada o identificable que sea procesada por Repliar en nombre del Cliente.
• Procesamiento: cualquier operación realizada sobre datos personales (recolección, almacenamiento, consulta, transmisión, eliminación, etc.).
• Responsable del tratamiento: el Cliente, quien determina las finalidades y medios del procesamiento.
• Procesador: Repliar, que procesa datos personales por cuenta del Responsable.
• Sub-procesador: cualquier tercero contratado por Repliar para procesar datos por cuenta del Cliente.
• DSAR (Data Subject Access Request): solicitud de un titular de datos para ejercer sus derechos ARCO.
• Brecha de seguridad: incidente que comprometa la confidencialidad, integridad o disponibilidad de los datos personales.

3. Objeto

El objeto de este DPA es regular las condiciones en las que Repliar procesa datos personales en nombre del Cliente, en el marco de la prestación del servicio SaaS de asistente WhatsApp IA, conforme a la legislación argentina (Ley 25.326) y, cuando resulte aplicable, al Reglamento General de Protección de Datos (GDPR) europeo.

4. Alcance del procesamiento

• Tipos de datos: número de teléfono en formato E.164, nombre de perfil de WhatsApp, contenido de mensajes (texto, audio transcrito, imágenes, documentos), metadatos de conversación, datos de contactos cargados por el Cliente.
• Categorías de titulares: clientes finales del Cliente que interactúan con su número de WhatsApp Business.
• Finalidad: prestar el servicio de asistente automatizado, generar respuestas de IA, gestionar conversaciones, ejecutar campañas, producir analíticas agregadas.
• Duración: mientras esté vigente el contrato principal entre las partes, más los plazos de retención legal aplicables.

5. Obligaciones del Procesador (Repliar)

• Confidencialidad: mantener la confidencialidad de los datos personales y asegurar que su personal esté sujeto a obligaciones equivalentes.
• Medidas de seguridad: implementar las medidas técnicas y organizativas descritas en /security (cifrado AES-256-GCM, TLS, 2FA, auditoría, aislamiento multi-tenant, etc.).
• Asistencia con DSAR: colaborar razonablemente con el Cliente para responder solicitudes de acceso, rectificación, cancelación y oposición de los titulares en los plazos legales.
• Notificación de brechas: notificar al Cliente dentro de las 72 horas de tomar conocimiento de una brecha de seguridad que afecte a sus datos, indicando naturaleza, alcance, datos involucrados y medidas correctivas adoptadas.
• Procesar solo conforme a instrucciones: no procesar los datos para fines distintos a los pactados sin autorización documentada del Cliente.

6. Sub-procesadores autorizados

El Cliente autoriza expresamente a Repliar a recurrir a los sub-procesadores listados en /security sección 10. Repliar exigirá a cada sub-procesador obligaciones de protección de datos equivalentes a las de este DPA. Cualquier nuevo sub-procesador será notificado al Cliente con al menos 14 días de anticipación; el Cliente podrá objetar fundadamente y, de no resolverse, rescindir el contrato sin penalidad.

7. Retención y borrado

Al finalizar el contrato principal, Repliar borrará o devolverá los datos personales procesados por cuenta del Cliente dentro de los 30 días, salvo que una obligación legal exija conservarlos (por ejemplo, datos de facturación bajo normativa AFIP). Los plazos generales de retención están detallados en la Política de Privacidad.

8. Auditoría

El Cliente tiene derecho a auditar el cumplimiento de este DPA una (1) vez por año calendario, previa notificación por escrito con 30 días de anticipación, en horario hábil y sin afectar la operación normal del servicio. Los costos de la auditoría corren por cuenta del Cliente, salvo que se constate un incumplimiento material atribuible a Repliar.

9. Transferencia internacional

El Cliente reconoce que parte de la infraestructura (Railway en Estados Unidos) implica transferencia internacional de datos. Repliar adhiere a las Cláusulas Contractuales Tipo (SCC)aprobadas por la Comisión Europea cuando el Cliente sea un sujeto alcanzado por GDPR, y aplica las garantías adicionales requeridas por la AAIP argentina.

10. Responsabilidad

La responsabilidad de Repliar bajo este DPA queda limitada al monto efectivamente abonado por el Cliente durante los doce (12) meses anteriores al hecho generador del reclamo (la “cuota anual pagada”), con excepción de los supuestos en que la ley imperativa no admita limitación.

11. Vigencia

Este DPA entra en vigor en el momento en que el Cliente acepta los Términos y Condiciones y permanece vigente mientras dure el contrato principal de servicio. Las obligaciones de confidencialidad y de borrado seguro sobreviven a la terminación.

12. Ley aplicable

Este DPA se rige por las leyes de la República Argentina, en particular la Ley 25.326de Protección de Datos Personales y sus normas complementarias. Para sujetos alcanzados por GDPR, las disposiciones de dicho Reglamento aplicarán de manera complementaria.

13. Aceptación

El Cliente acepta este DPA al usar el servicio Repliar. Para una versión firmada del DPA o para incorporar cláusulas particulares (anexos sectoriales, requisitos del cliente final, etc.), solicitala a juanalejofarana@gmail.com.

Ver también: Política de Privacidad · Términos · Seguridad.