Última actualización: 05 de junio de 2026

Acuerdo de Procesamiento de Datos (DPA)

Cómo procesamos los datos personales que cargas sobre tus clientes, bajo el Art. 28 del GDPR y leyes equivalentes. Forma parte de los Términos del Servicio cuando el cliente requiere un DPA.

Este Acuerdo de Procesamiento de Datos ("DPA") complementa los Términos del Servicio entre vos (el "Cliente" o "Controlador") y Frelanse LLC (Delaware, USA) ("frelanse", "Procesador") y aplica cada vez que frelanse procesa Datos Personales en tu nombre. En caso de conflicto con los Términos respecto del tratamiento de Datos Personales, prevalece este DPA.

Roles: respecto de los datos que TÚ cargas sobre TUS clientes (nombres, emails, teléfonos, briefings, archivos), TÚ eres el Controlador y frelanse es el Procesador. Respecto de los datos de tu propia cuenta (tu email, facturación), frelanse es Controlador y se rige por la Política de Privacidad.

1. Objeto, naturaleza y finalidad del tratamiento

frelanse trata los Datos Personales del Controlador con el único fin de prestar el Servicio: gestionar clientes, proyectos, presupuestos, cronogramas, cobros y comunicaciones, y operar las funciones de inteligencia artificial (agente, briefings, presupuestos) sobre los datos del workspace. El tratamiento dura mientras esté vigente la suscripción, más los plazos de retención técnica documentados.

2. Categorías de interesados y de datos

Interesados: los clientes, contactos y miembros de equipo que el Controlador carga en su workspace. Categorías de datos: datos de identificación y contacto (nombre, email, teléfono), contenido de proyectos/briefings/presupuestos, comprobantes y archivos adjuntos, y metadatos de actividad. El Controlador NO debe cargar categorías especiales de datos (Art. 9 GDPR: salud, biometría, etc.) salvo que tenga base legal y lo notifique a frelanse.

3. Obligaciones del Procesador

frelanse: (a) trata los Datos Personales únicamente bajo las instrucciones documentadas del Controlador (el uso del Servicio constituye dichas instrucciones), salvo obligación legal; (b) garantiza que las personas autorizadas a tratar los datos están sujetas a confidencialidad; (c) implementa las medidas técnicas y organizativas del Art. 32 (ver sección 5); (d) respeta las condiciones para subcontratar (sección 6); (e) asiste al Controlador con los derechos de los interesados (sección 7) y con los Arts. 32-36; (f) suprime o devuelve los datos al finalizar (sección 9); (g) pone a disposición la información necesaria para demostrar cumplimiento y permite auditorías (sección 10).

4. Instrucciones y uso de IA

frelanse NO usa el contenido del Controlador para entrenar modelos de IA propios ni de terceros. Las llamadas a sub-procesadores de IA (Anthropic) se rigen por sus términos, que excluyen el uso de datos de API para entrenamiento. frelanse no vende ni comparte Datos Personales para publicidad.

5. Seguridad (Art. 32)

Medidas técnicas y organizativas: cifrado en tránsito (TLS) y en reposo; aislamiento estricto por workspace mediante Row-Level Security en la base de datos; control de acceso por roles (owner/editor/viewer); registro de actividad y auditoría administrativa; backups gestionados por el sub-procesador de base de datos; revisión de seguridad continua y monitoreo de errores. El acceso del personal de frelanse a datos del workspace es mínimo, justificado y auditado.

6. Sub-procesadores

El Controlador autoriza de forma general el uso de sub-procesadores. frelanse mantiene la lista actualizada en la Política de Privacidad (sección de sub-procesadores) e impone a cada sub-procesador obligaciones de protección equivalentes a las de este DPA. Sub-procesadores actuales: Supabase (base de datos, auth, storage), Anthropic (modelos de IA), Vercel (hosting/CDN), Resend (email transaccional), Stripe (pagos), Google (OAuth/Calendar vía MCP), Sentry (monitoreo de errores). Si agregamos o cambiamos un sub-procesador que trate Datos Personales, lo notificaremos con anticipación razonable; puedes objetar por motivos razonables de protección de datos.

7. Derechos de los interesados

frelanse asiste al Controlador, en la medida de lo posible y considerando la naturaleza del tratamiento, para responder a solicitudes de los interesados (acceso, rectificación, supresión, portabilidad, oposición). Muchas de estas acciones las puede ejecutar el Controlador directamente desde el Servicio (editar/eliminar clientes, exportar, borrar el workspace). Para asistencia adicional: privacy@frelanse.com.

8. Notificación de violaciones de seguridad

Si frelanse toma conocimiento de una violación de seguridad que afecte Datos Personales del Controlador, lo notificará sin dilación indebida (y, en lo posible, dentro de las 72 horas de haber tomado conocimiento), describiendo la naturaleza de la violación, las categorías y volumen aproximado afectados, las consecuencias probables y las medidas adoptadas o propuestas. El Controlador es responsable de notificar a la autoridad de control y a los interesados cuando corresponda.

9. Devolución y supresión

Al finalizar la prestación, y a elección del Controlador, frelanse suprime o devuelve los Datos Personales y elimina las copias existentes, salvo obligación legal de conservación. El borrado del workspace dispara el borrado en cascada de los datos asociados; los backups y logs se purgan según los plazos de retención técnica documentados.

10. Auditoría

frelanse pone a disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA y, previa solicitud razonable y con confidencialidad, colabora con auditorías. Para evitar disrupciones, frelanse puede satisfacer estas obligaciones mediante documentación de seguridad, certificaciones o informes de terceros (ej. SOC 2 cuando esté disponible) en lugar de inspecciones in situ.

11. Transferencias internacionales

frelanse y sus sub-procesadores operan principalmente en Estados Unidos. Para transferencias de datos del EEE/Reino Unido/Suiza, las partes se basan en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y, cuando aplique, en el UK Addendum, junto con medidas suplementarias razonables. Al aceptar este DPA, las partes se consideran adheridas a las SCC con frelanse como importador (Procesador) y el Controlador como exportador.

12. Responsabilidad y orden de prelación

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones de los Términos del Servicio. Este DPA forma parte integral de los Términos.

13. Cómo solicitar un DPA firmado

Si tu organización necesita una copia firmada de este DPA (o una versión con tus datos de Controlador completados), escríbenos a privacy@frelanse.com con "DPA" en el asunto, indicando el nombre legal de tu organización y la persona de contacto. Este documento aplica aun sin firma física desde el momento en que usas el Servicio para procesar datos de tus clientes.