NomadReplyAI

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: Julio 9, 2026

1. Partes

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre NomadReplyAI ("el Encargado", "nosotros"), operador de la plataforma descrita en los Términos de Servicio, y cualquier negocio que cree una cuenta y use el Servicio ("el Cliente", "el Responsable").

Este DPA queda incorporado por referencia a los Términos de Servicio. Al crear una cuenta y usar el Servicio, el Cliente acepta los términos de este DPA.

2. Objeto y Alcance

El Cliente usa el Servicio para gestionar comunicaciones y transacciones con sus propios clientes finales ("Titulares de los Datos") a través de canales como Instagram, WhatsApp Business, Google Business Profile y, cuando aplica, Shopify. En el curso de prestar el Servicio, NomadReplyAI trata datos personales de esos Titulares de los Datos en nombre del Cliente y únicamente para los fines descritos en este documento y en la Política de Privacidad.

Categorías de datos tratados: mensajes de chat (Instagram, WhatsApp), reseñas y respuestas (Google Business), y — para negocios con la integración de Shopify activa — el identificador interno de conversación y el monto total de un pedido pagado, leídos una sola vez desde el webhook de Shopify. NomadReplyAI no solicita el alcance read_customers de Shopify y por lo tanto nunca recibe ni almacena nombre, correo, teléfono o dirección de los clientes finales de una tienda Shopify (ver detalle en la Política de Privacidad, sección 5).

3. Instrucciones del Cliente

NomadReplyAI solo trata los datos de los Titulares de los Datos conforme a las instrucciones documentadas del Cliente, expresadas a través del uso normal de la plataforma (configuración de canales, prompts, catálogo e integraciones). NomadReplyAI no usa estos datos para ningún fin propio ajeno a la prestación del Servicio, ni los vende ni los comparte con terceros con fines publicitarios.

4. Confidencialidad

El acceso a datos de Titulares de los Datos está limitado a lo necesario para operar y dar soporte a la plataforma. Cualquier persona con dicho acceso está sujeta a obligaciones de confidencialidad.

5. Medidas de Seguridad

NomadReplyAI aplica medidas técnicas y organizativas descritas en la Política de Privacidad, sección 6: cifrado en tránsito (TLS), cifrado en reposo en la base de datos, tokens OAuth cifrados con AES-256, y contraseñas almacenadas con hash bcrypt.

6. Subencargados (Sub-processors)

El Cliente autoriza a NomadReplyAI a utilizar los siguientes subencargados para prestar el Servicio, cada uno tratando datos únicamente en la medida necesaria para su función:

  • Supabase — base de datos (almacenamiento cifrado en reposo).
  • Upstash — cola de procesamiento asíncrono (Redis).
  • Vercel — hosting e infraestructura de ejecución.
  • Anthropic (Claude AI) — generación de borradores de respuesta.
  • Meta, Google, Shopify — APIs oficiales de los canales/integraciones que el Cliente conecta explícitamente.

Si se incorpora un nuevo subencargado con acceso material a datos de Titulares de los Datos, se notificará a los Clientes mediante el mismo mecanismo usado para cambios a la Política de Privacidad.

7. Retención y Eliminación

Los datos se conservan según lo descrito en la Política de Privacidad, sección 5: mientras la cuenta esté activa, con eliminación dentro de un plazo máximo de 30 días tras la cancelación de la cuenta o la desconexión de una integración específica. Los datos de pedidos de Shopify no se almacenan (ver sección 2 arriba) más allá del procesamiento puntual del evento webhook.

8. Asistencia con Derechos de los Titulares

Si un Titular de los Datos ejerce un derecho de acceso, corrección o eliminación ante el Cliente, NomadReplyAI asistirá al Cliente para cumplir esa solicitud dentro de los datos tratados en la plataforma, en un plazo razonable no mayor a 30 días.

9. Notificación de Incidentes de Seguridad

En caso de una brecha de seguridad que afecte datos de Titulares de los Datos tratados por NomadReplyAI, se notificará al Cliente sin demora indebida y, en la medida de lo posible, dentro de las 72 horas siguientes a tener conocimiento del incidente, con la información disponible para que el Cliente pueda cumplir sus propias obligaciones de notificación.

10. Ubicación y Transferencia de Datos

Los datos se almacenan y procesan a través de la infraestructura de los subencargados listados en la sección 6, sujeta a las medidas de protección contractuales de cada proveedor.

11. Vigencia

Este DPA permanece vigente mientras el Cliente use el Servicio y se rige por la misma ley aplicable indicada en los Términos de Servicio. Para preguntas sobre este DPA, contáctanos en vz.carlos@gmail.com.