Legal
Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 13 de mayo de 2026
Objeto y ámbito
Este Acuerdo de Procesamiento de Datos ("DPA") regula el tratamiento de datos personales que Orkasa Technologies ("Procesador") realiza en nombre de sus clientes ("Responsable") en el contexto de la prestación del servicio de CRM inmobiliario. Este DPA forma parte integrante de los Términos de Servicio de Orkasa.
Categorías de datos
En el contexto del servicio, Orkasa procesa las siguientes categorías de datos personales:
- Datos de contacto de leads y clientes: nombre, email, teléfono, dirección.
- Documentos de identidad y KYC: cédula, pasaporte, documentación de origen de fondos.
- Datos de uso del servicio: interacciones con el CRM, historial de actividad.
- Datos financieros limitados: rango de presupuesto, información de pre-aprobación bancaria (no datos de tarjeta).
Obligaciones del procesador
Orkasa, en su calidad de procesador, se compromete a:
- Procesar los datos únicamente según las instrucciones documentadas del responsable.
- Garantizar la confidencialidad de los datos mediante acuerdos de confidencialidad con el personal.
- Notificar al responsable en un plazo de 72 horas ante cualquier violación de seguridad que afecte datos personales.
- Asistir al responsable en el cumplimiento de los derechos de los titulares.
- Eliminar o devolver todos los datos personales al término de la prestación del servicio, según elección del responsable.
Medidas de seguridad
Orkasa implementa las siguientes medidas técnicas y organizativas:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Autenticación multifactor para acceso a sistemas de producción.
- Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Auditorías de seguridad y pruebas de penetración anuales.
- Backups cifrados con retención de 30 días y pruebas de restauración mensuales.
- Monitoreo de anomalías y plan de respuesta a incidentes documentado.
Subprocesadores
Orkasa utiliza los siguientes subprocesadores autorizados. El responsable acepta esta lista al aceptar los Términos de Servicio. Cambios a la lista serán notificados con 30 días de anticipación.
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Vercel | Hosting y CDN | US |
| Supabase | Base de datos | US / EU |
| Resend | US | |
| Stripe | Pagos | US |
Transferencias internacionales
Los subprocesadores listados operan en Estados Unidos. Las transferencias de datos a estos proveedores se realizan bajo las siguientes salvaguardas:
- Cláusulas Contractuales Tipo (CCT) de la Unión Europea, incorporadas en los contratos con cada subprocesador.
- Cumplimiento con la Ley 81 de 2019 de la República de Panamá (Protección de Datos Personales) y sus disposiciones sobre transferencias internacionales.
- Evaluaciones de impacto de transferencia realizadas para cada subprocesador con sede en EE.UU.
Derechos del titular
Los titulares de datos pueden ejercer los siguientes derechos dirigiéndose directamente al responsable (el cliente de Orkasa) o, cuando corresponda, a Orkasa:
- Acceso: solicitar una copia de los datos personales procesados.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación de datos en los supuestos legalmente previstos.
- Portabilidad: recibir los datos en formato estructurado y legible por máquina.
- Oposición: oponerse al procesamiento en ciertas circunstancias.
Las solicitudes de derechos se atienden en un plazo máximo de 30 días hábiles desde la recepción.
Contacto
Para consultas relacionadas con este DPA o con el tratamiento de datos personales:
Orkasa Technologies — Responsable de Protección de Datos
legal@orkasa.io