Adendum de Tratamiento de Datos

Los términos en mayúscula no definidos aquí tienen el significado del RGPD o, donde el RGPD no aplique, el término equivalente en la ley aplicable (LOPDGDD, LFPDPPP, Ley 25.326, Ley 1581, LGPD, PIPL).

• «Datos Personales» — cualquier información relativa a una persona física identificada o identificable tratada por Anvil por cuenta del Responsable.
• «Datos del Responsable» — Datos Personales cargados o generados en el tenant de Anvil por el Responsable y sus usuarios.
• «Subencargado» — un tercero contratado por Anvil para tratar Datos del Responsable.
• «Autoridad de Control» — una autoridad con jurisdicción bajo la ley aplicable (AEPD, INAI, AAIP, SIC, ANPD, ICO, PCPD, EDPB, etc.).
• «Cláusulas Contractuales Tipo» / «SCCs» — las cláusulas de la Decisión 2021/914 de la Comisión Europea (Módulo Dos: Responsable-a-Encargado) y el Adendum de Transferencia Internacional del Reino Unido.

• El Responsable determina los fines y los medios del tratamiento de sus datos y es responsable de la base legal de dicho tratamiento.
• Anvil actúa como Encargado al operar el Servicio y solo trata los Datos del Responsable bajo instrucciones documentadas del Responsable.
• Anvil actúa como Responsable independiente al tratar datos de administración de cuenta (facturación, inicio de sesión, tickets de soporte) según se describe en la Política de Privacidad.
• Este DPA aplica durante el plazo de la suscripción subyacente y cualquier período de cierre.

Las instrucciones del Responsable a Anvil consisten en (a) el Acuerdo, (b) este DPA, (c) el uso de la interfaz y API del Servicio, y (d) instrucciones escritas a support@anvilhk.com.

Anvil informará al Responsable si cree que una instrucción infringe la ley aplicable de protección de datos, y podrá pausar el tratamiento mientras se resuelve el punto.

Anvil no (a) venderá los Datos del Responsable, (b) los compartirá para publicidad conductual de contexto cruzado, (c) los conservará o usará fuera de la relación comercial directa, ni (d) los combinará con datos de otras fuentes salvo para prestar el Servicio.

Ver el Anexo I para el desglose completo. En resumen:

• Interesados: usuarios del Responsable, sus clientes finales y prospectos B2B que el Responsable carga en la plataforma.
• Categorías de datos: datos de contacto empresarial (nombre, correo de trabajo, cargo, empresa), datos de actividad CRM, contenido de comunicación (correos, chat, transcripciones de llamadas), logs de plataforma y entradas/salidas de funciones IA.
• Categorías especiales (Art. 9 RGPD): no se tratan salvo que el Responsable suba tales datos en violación de este DPA; en tal caso, el Responsable indemniza a Anvil.

El Responsable concede a Anvil autorización general para contratar Subencargados con el fin de prestar el Servicio. La lista actual se publica en /es/legal/subprocessors y forma parte de este DPA.

Anvil:

• Impone obligaciones de protección de datos a cada Subencargado no menos protectoras que este DPA.
• Permanece plenamente responsable ante el Responsable por el desempeño de sus Subencargados.
• Da al menos 30 días de preaviso en la página de Subencargados (con opción por correo a solicitud) antes de añadir o reemplazar un Subencargado que trate Datos Personales.
• Durante ese período de preaviso, el Responsable podrá oponerse por motivos razonables de protección de datos escribiendo a 738888@proton.me. Si no podemos acomodar razonablemente la objeción, el Responsable podrá terminar la porción del Servicio afectada con un reembolso prorrateado.

Los Datos del Responsable se alojan por defecto en Hong Kong SAR, con caché de borde en la red global de Cloudflare. Ciertos Subencargados (p. ej., OpenAI, Stripe) tratan datos en Estados Unidos o la UE.

• Para transferencias fuera del EEE / Reino Unido / Suiza, Anvil se basa en las Cláusulas Contractuales Tipo (Módulo Dos) y, cuando corresponda, en el IDTA del Reino Unido y el adendum suizo. Las SCCs se incorporan por referencia a este DPA.
• Para transferencias desde España bajo LOPDGDD, se aplican las SCCs aprobadas por la Comisión Europea. La AEPD es la autoridad competente.
• Para transferencias desde México bajo LFPDPPP, Anvil y el Responsable suscriben cláusulas contractuales conforme al Art. 36 de la LFPDPPP, garantizando el mismo nivel de protección; el INAI es la autoridad competente.
• Para transferencias desde Argentina bajo Ley 25.326, aplicamos cláusulas tipo aprobadas por la Disposición 60-E/2016 de la AAIP.
• Para transferencias desde Colombia bajo Ley 1581 de 2012, se siguen los criterios del Decreto 1377 de 2013 y, cuando se requiera, se obtiene autorización previa de la SIC.
• Para transferencias desde Brasil bajo LGPD, se aplican cláusulas contractuales conforme a los Arts. 33-36.
• Para transferencias desde China continental (PIPL), Anvil y el Responsable cooperarán en el contrato estándar aprobado por la CAC, la evaluación de seguridad o la ruta de certificación según el volumen.
• Anvil realiza una evaluación de impacto de transferencia para cada Subencargado y aplica medidas complementarias (cifrado en tránsito y reposo, segregación de claves, controles de acceso) según lo exige Schrems II.
• El Responsable puede solicitar una copia de las SCCs ejecutadas escribiéndonos.

Anvil implementa las medidas técnicas y organizativas establecidas en el Anexo II, que se ajustan al Art. 32 del RGPD, al Art. 19 de la LFPDPPP (México), al Art. 9 de la Ley 25.326 (Argentina) y al Art. 17 de la Ley 1581 (Colombia). Las medidas se revisan anualmente y pueden actualizarse siempre que no reduzcan materialmente la postura global de seguridad.

Anvil proporciona herramientas de autoservicio en la consola de administración para ayudar al Responsable a honrar solicitudes de acceso, rectificación, supresión, exportación o limitación (derechos ARCO + portabilidad) de Datos Personales. Cuando una solicitud no pueda completarse a través del producto, Anvil asistirá dentro de cinco días hábiles tras una solicitud escrita enviada a 738888@proton.me.

Anvil reenviará cualquier solicitud de titular que reciba directamente al Responsable correspondiente sin responder en nombre del Responsable (salvo para acusar recibo y dirigir al titular al Responsable).

• Anvil notifica al Responsable sin demora indebida y, en cualquier caso, dentro de las 48 horas tras confirmar una brecha de Datos Personales que afecte a Datos del Responsable.
• Las notificaciones incluyen, en la medida en que se conozcan: naturaleza de la brecha, categorías y números aproximados de interesados y registros afectados, consecuencias probables, medidas adoptadas o propuestas y un punto de contacto.
• Las notificaciones se envían al contacto de seguridad que el Responsable haya registrado en la consola de administración (o, en su defecto, al correo de facturación). Es responsabilidad del Responsable mantener esta dirección actualizada.
• Una brecha en los propios sistemas de Anvil (rol de Responsable) se divulga conforme a nuestra Política de Privacidad y a la ley aplicable de los interesados afectados. Cuando corresponda, notificamos a la AEPD, al INAI, a la AAIP, a la SIC, a la ANPD o a otra autoridad competente en los plazos legales.

Anvil pone a disposición del Responsable la información necesaria para demostrar cumplimiento del Art. 28 del RGPD:

• Informe SOC 2 Type II (previsto Q4 2026) bajo NDA a solicitud.
• Resumen de pentest anual bajo solicitud.
• Cuestionarios CAIQ / SIG-Lite completados bajo solicitud.

Cuando la información anterior sea insuficiente, el Responsable podrá realizar una auditoría no más de una vez cada 12 meses con 30 días de preaviso por escrito, a su coste, en horario laboral y sujeta a obligaciones de confidencialidad. Las auditorías no podrán interferir injustificadamente con las operaciones de Anvil o los datos de otros clientes. Los derechos de auditoría de una Autoridad de Control no se limitan por esta cláusula.

• Al terminar, el Responsable tiene 30 días para exportar los Datos del Responsable a través del producto o la API.
• Transcurridos los 30 días, Anvil eliminará o anonimizará los Datos del Responsable en un plazo adicional de 60 días, salvo datos que Anvil esté obligado a conservar por ley (p. ej., registros fiscales, procedimientos legales en curso).
• Las copias de seguridad que contengan Datos del Responsable se sobrescriben en la rotación estándar (≤ 35 días).
• Un certificado de eliminación está disponible a solicitud.

• El límite de responsabilidad del Acuerdo aplica a las reclamaciones derivadas de este DPA.
• Si existe conflicto entre el Acuerdo y este DPA en relación con la protección de datos, prevalece este DPA. Si existe conflicto entre este DPA y las SCCs, prevalecen las SCCs.
• Este DPA entra en vigor cuando lo hace el Acuerdo y termina cuando este finaliza, con sujeción a la cláusula 11.

A. Lista de partes

• Responsable del tratamiento: el cliente identificado en la suscripción de Anvil.
• Encargado del tratamiento: Hong Kong Anvil Ltd., Hong Kong SAR. Contacto: 738888@proton.me.

B. Descripción del tratamiento

• Objeto: prestación del SaaS de generación de leads, CRM, comunicación y analítica de Anvil.
• Duración: mientras el Responsable tenga una suscripción activa, más la ventana de exportación de 30 días y la ventana de eliminación de 60 días.
• Naturaleza y finalidad: alojamiento, almacenamiento, transmisión, análisis, enriquecimiento, inferencia IA, entrega de correo y mensajería, y analítica de los datos de lead y CRM del Responsable.
• Categorías de interesados: usuarios del Responsable, sus clientes finales y prospectos B2B.
• Categorías de datos personales: nombre, correo de trabajo, teléfono de trabajo, cargo, empleador, URL de perfil LinkedIn/social, tamaño y sector de la empresa; logs de actividad CRM; contenido de correo y mensajes; grabaciones y transcripciones de llamadas (si se usan funciones de voz); entradas y salidas de IA; logs de auditoría de plataforma.
• Frecuencia: continua.
• Conservación: según la Política de Privacidad y la cláusula 11.

C. Autoridad de Control competente

Cuando el Responsable esté establecido en el EEE, su autoridad líder (AEPD para España); en el Reino Unido, la ICO; en Hong Kong, la PCPD; en México, el INAI; en Argentina, la AAIP; en Colombia, la SIC; en Brasil, la ANPD.

• Cifrado: TLS 1.3 en tránsito; AES-256-GCM en reposo para base de datos y almacenamiento de objetos; cifrado envolvente para secretos con KMS respaldado por hardware.
• Identidad y acceso: SSO (SAML/OIDC) para Enterprise; MFA obligatorio para administración; RBAC con mínimo privilegio por defecto; acceso a producción con credenciales de corta duración y aprobaciones.
• Red: Cloudflare WAF, protección DDoS, rate-limiting, gestión de bots; fronteras de red privada entre servicios; acceso zero-trust a producción.
• Seguridad de aplicación: SAST, escaneo de dependencias, de secretos y de contenedores en CI; pentest anual por tercero; programa coordinado de divulgación de vulnerabilidades.
• Monitorización: logging centralizado con retención a prueba de manipulación; detección de anomalías e intrusiones; reporte de errores con Sentry; alertas 24/7 en señales críticas de seguridad.
• Gestión de cambios: revisión de código por pares requerida para cambios de producción; despliegue automatizado con rollback; separación de entornos de producción y desarrollo.
• Copia de seguridad y recuperación: copias completas diarias cifradas, incrementales horarias; almacenamiento geográficamente separado; procedimientos de restauración probados al menos trimestralmente; RPO ≤ 1h, RTO ≤ 4h para la base de datos primaria.
• Personas: verificaciones de antecedentes donde lo permita la ley; compromisos de confidencialidad; formación anual de concienciación; proceso documentado de altas/movimientos/bajas.
• Físico: la seguridad de los centros de datos se delega en proveedores de alojamiento (ver Anexo III) y se apoya en sus certificaciones SOC 2 / ISO 27001.
• Respuesta a incidentes: runbook documentado; niveles de severidad definidos; revisión post-incidente con análisis de causa raíz publicable para incidentes materiales.
• Seudonimización: se usan identificadores de cliente en lugar de correo de producción en logs y analítica cuando es factible.
• Segregación de datos: aislamiento estricto de tenants en las capas de row-security y autorización de aplicación; pruebas entre tenants en cada despliegue.

Una descripción más detallada se publica en nuestra página de Seguridad y se actualiza conforme evolucionan los controles.

La lista actual de Subencargados se mantiene en /es/legal/subprocessors. Forma parte de este DPA y se actualiza con al menos 30 días de preaviso ante cambios materiales.

La aceptación de este DPA se efectúa con la ejecución por parte del Responsable de la suscripción subyacente de Anvil. Una versión firmada manualmente está disponible a solicitud — escribe a 738888@proton.me con el nombre de tu entidad legal, dirección, firmante e identificadores DUNS/VAT.

Encargado del tratamiento: Hong Kong Anvil Ltd.
Domicilio social: Hong Kong SAR
Firmante autorizado: Director
Contacto: 738888@proton.me · +852 4748 1911