Esta Adenda de Procesamiento de Datos ("DPA") se incorpora al acuerdo entre el Cliente y Vilulia LLC ("Vilulia") que rige los Servicios. Esta DPA se aplica a los Datos Personales procesados por Vilulia en nombre del Cliente en relación con los Servicios. Si existe un conflicto entre esta DPA y los Términos de Servicio o un Formulario de Pedido, esta DPA prevalece en lo que respecta a asuntos de protección de datos.

1. Definiciones

"Datos Personales" significa información relacionada con una persona natural identificada o identificable. "Procesamiento" significa cualquier operación realizada sobre Datos Personales. "Responsable del Tratamiento" y "Encargado del Tratamiento" tienen los significados establecidos en la legislación aplicable de protección de datos (por ejemplo, GDPR).

2. Roles

El Cliente es el Responsable del Tratamiento de los Datos Personales y Vilulia es el Encargado del Tratamiento, en la medida en que Vilulia procese Datos Personales en nombre del Cliente. Vilulia puede actuar como Responsable del Tratamiento para la administración de cuentas, facturación, seguridad y comunicaciones de marketing dirigidas a contactos del Cliente.

3. Alcance del Procesamiento

3.1 Objeto y Duración

El objeto es la prestación de los Servicios. El procesamiento continúa durante la vigencia de los Servicios y según sea necesario para cumplir con los requisitos legales y operativos.

3.2 Naturaleza y Propósito

El procesamiento incluye alojar, almacenar, transmitir, analizar y procesar de otra manera los Datos Personales según sea necesario para proporcionar, asegurar y dar soporte a los Servicios, incluida la funcionalidad habilitada con IA solicitada por el Cliente.

3.3 Categorías de Datos y Titulares de los Datos

Titulares de los Datos: usuarios autorizados del Cliente; partes en disputas; reclamantes; testigos; y otras personas cuyos datos envíe el Cliente.
Datos Personales: identificadores, información de contacto, comunicaciones, documentos, datos de casos y metadatos relacionados según los envíe el Cliente.
Datos Sensibles: el Cliente controla si envía datos sensibles; cuando se envían, se procesan únicamente para proporcionar los Servicios.

4. Instrucciones del Cliente

Vilulia procesará los Datos Personales solo según las instrucciones documentadas del Cliente, incluyendo según sea necesario para proporcionar los Servicios. El Cliente instruye a Vilulia a procesar los Datos Personales según sea necesario para proporcionar los Servicios, mantener la seguridad y cumplir con la ley. El Cliente es responsable de asegurar que tiene una base legal para el procesamiento y la compartición de Datos Personales con Vilulia.

5. Confidencialidad

Vilulia se asegurará de que las personas autorizadas para procesar Datos Personales estén sujetas a obligaciones de confidencialidad. Los empleados y contratistas de Vilulia con acceso a Datos Personales están vinculados por obligaciones de confidencialidad y reciben capacitación sobre requisitos de protección de datos.

6. Medidas de Seguridad

Vilulia implementará medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales contra la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso.

6.1 Medidas Mínimas (Ilustrativas)

Cifrado en tránsito (TLS) y en reposo (AES-256 donde sea compatible y esté configurado).
Controles de acceso, autorización basada en roles y opciones de autenticación multifactor.
Registro y monitoreo (incluyendo registro de auditoría para flujos de trabajo sensibles).
Prácticas de desarrollo de software seguro y gestión de vulnerabilidades.
Prácticas de respaldo y recuperación ante desastres.
Revisión y prueba periódica de las medidas de seguridad.

7. Subencargados

El Cliente autoriza a Vilulia a utilizar los subencargados listados a continuación para procesar Datos Personales para los Servicios. Vilulia impondrá obligaciones de protección de datos a los subencargados que sean al menos tan protectoras como esta DPA.

Vilulia proporcionará al Cliente un aviso previo razonable de cualquier cambio material en esta lista de subencargados (como la adición de un nuevo subencargado que accederá a los Datos Personales), mediante aviso en el producto o correo electrónico. Cuando lo exija la ley aplicable, el Cliente puede objetar a un nuevo subencargado por motivos razonables relacionados con la protección de datos proporcionando aviso por escrito dentro de los treinta (30) días posteriores a la actualización; las partes trabajarán de buena fe para resolver la objeción.

7.1 Subencargados Aprobados

Last updated: March 20, 2026

Subencargado	Propósito	Ubicación
Amazon Web Services (AWS)	Infraestructura en la nube, alojamiento, almacenamiento, base de datos, cómputo y servicios de seguridad (incluyendo RDS, ECS, S3, ElastiCache, Cognito, Bedrock, CloudFront, KMS, GuardDuty)	Estados Unidos (us-east-1)
Stripe	Procesamiento de pagos, facturación de suscripciones y Stripe Connect para pagos de liquidación	Estados Unidos
Postmark (ActiveCampaign)	Entrega de correo electrónico transaccional (notificaciones, comunicaciones de cuenta)	Estados Unidos
Twilio	Notificaciones SMS (complemento opcional)	Estados Unidos
Daily.co	Integración de videoconferencia (complemento opcional)	Estados Unidos
DocuSign	Servicios de firma electrónica para acuerdos y laudos	Estados Unidos
Sentry	Monitoreo de errores y diagnósticos	Estados Unidos
AWS Bedrock / OpenAI / Google / xAI	Inferencia de modelos de IA para funciones habilitadas con IA (utilizado solo para procesar solicitudes iniciadas por usuarios autorizados; el Contenido del Cliente no se utiliza para el entrenamiento de modelos)	Estados Unidos

Las integraciones listadas como complementos opcionales (Twilio, Daily.co, DocuSign) solo se activan cuando el Cliente habilita la función correspondiente. Las integraciones de terceros configuradas directamente por el Cliente (como Google Calendar, Outlook, Salesforce, Slack o QuickBooks) no son subencargados de Vilulia; el acuerdo del Cliente con esos proveedores rige su manejo de datos.

8. Asistencia al Cliente

Teniendo en cuenta la naturaleza del procesamiento, Vilulia proporcionará asistencia razonable al Cliente para responder a solicitudes de los titulares de los datos y para cumplir con las obligaciones bajo las leyes de protección de datos aplicables (incluyendo GDPR), en la medida en que sea requerido y razonablemente factible. Vilulia responderá a las solicitudes de asistencia razonables dentro de los treinta (30) días posteriores a su recepción.

9. Violación de Datos Personales

Vilulia notificará al Cliente sin demora indebida — y en ningún caso más de 72 horas después — de tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales procesados bajo esta DPA. La notificación incluirá, en la medida en que se conozca: la naturaleza de la violación, las categorías y el número aproximado de titulares de datos y registros afectados, las consecuencias probables y las medidas tomadas o propuestas para abordar la violación. Vilulia proporcionará información adicional razonablemente solicitada por el Cliente para respaldar el cumplimiento de las obligaciones de notificación de violaciones.

10. Devolución y Eliminación de Datos

Tras la terminación de los Servicios, Vilulia eliminará o devolverá los Datos Personales de acuerdo con las capacidades de los Servicios y los términos contractuales del Cliente, a menos que la ley exija su retención. La eliminación de copias de seguridad sigue los ciclos normales de retención. A solicitud, Vilulia confirmará por escrito que la eliminación se ha completado.

11. Transferencias Internacionales; CCE

Si los Datos Personales se transfieren desde el EEE/Reino Unido/Suiza a un país que no se reconoce como proveedor de protección adecuada, las partes se basarán en mecanismos de transferencia apropiados. Cuando corresponda, las partes incorporan por referencia las Cláusulas Contractuales Estándar de la UE (Decisión de Ejecución de la Comisión (UE) 2021/914) de la siguiente manera: Módulo Dos (Responsable a Encargado), con el Cliente como "exportador de datos" y Vilulia como "importador de datos." Para transferencias al Reino Unido, las partes utilizarán la Adenda del Reino Unido a las CCE de la UE u otro mecanismo de transferencia válido del Reino Unido según corresponda.

Si las CCE se aplican, las partes completarán los detalles relevantes (por ejemplo: información del Anexo I/II y la autoridad de supervisión competente) en un Formulario de Pedido u otra adenda escrita según sea necesario.

12. Auditoría

Vilulia pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de esta DPA y permitirá auditorías según lo exija la ley y sujeto a limitaciones razonables de confidencialidad, seguridad y programación. Vilulia puede satisfacer las solicitudes de auditoría mediante informes de terceros (por ejemplo, SOC 2) cuando sea apropiado. Las solicitudes de auditoría deben presentarse por escrito con aviso previo razonable, y cualquier auditoría se realizará a cargo del Cliente a menos que se confirme un incumplimiento material por parte de Vilulia.

13. Exclusiones de Entrenamiento de IA

Vilulia no utiliza el Contenido del Cliente para entrenar modelos de IA. El Contenido del Cliente es procesado por las funciones de IA únicamente para proporcionar dichas funciones al Cliente. Nunca se comparte con proveedores de IA para entrenamiento, ajuste fino o evaluación de modelos de propósito general.

Las métricas agregadas y desidentificadas (como latencia, tasas de error y estadísticas de uso de funciones que no pueden vincularse a un cliente o caso específico) pueden utilizarse para la mejora del rendimiento y la seguridad de la plataforma.

14. Ley Aplicable

Esta DPA se rige por las leyes del Estado Libre Asociado de Virginia, en la medida en que no sean sustituidas por la legislación de protección de datos aplicable.

Adenda de Procesamiento de Datos (DPA)