Mayora

Acuerdo de Encargado del Tratamiento (DPA)

Última actualización: 16 de abril de 2026

Este Acuerdo de Encargado del Tratamiento ("DPA") regula, en los términos del art. 28 del Reglamento (UE) 2016/679 (RGPD), las relaciones de tratamiento de datos personales entre:

  • Cliente: la entidad contratante del Servicio, que actúa como Responsable del Tratamiento respecto a los datos personales de los llamantes.
  • IC Mayora: Interco Software Development, S.L., CIF B24973133, con domicilio en Plaza de la Glorieta 9, 30520 Jumilla (Murcia), España, que actúa como Encargado del Tratamiento.

1. Objeto y duración

IC Mayora trata los datos personales proporcionados por los llamantes durante las llamadas gestionadas por el asistente virtual, exclusivamente para las siguientes operaciones:

  • Transcripción de la conversación.
  • Ejecución de funciones invocadas por el Cliente (agenda, email, CRM).
  • Registro de la conversación para su consulta por el Cliente.
  • Generación de resúmenes y métricas agregadas.

La duración coincide con la del contrato de servicio. Tras su terminación, IC Mayora devolverá o eliminará los datos conforme a la sección 7.

2. Naturaleza y finalidad

El tratamiento tiene por finalidad prestar el Servicio de recepción telefónica automatizada en nombre del Cliente, conforme a las instrucciones documentadas por éste a través del panel de control de IC Mayora.

3. Categorías de datos e interesados

Interesados: personas físicas que realizan llamadas telefónicas a los números asociados al Cliente.

Categorías de datos: número de teléfono del llamante, audio de la llamada (si el Cliente activa la grabación), transcripción literal, identificativos del llamante (nombre, email) y cualquier dato facilitado voluntariamente durante la conversación (p. ej. datos de reserva).

No se tratan categorías especiales de datos conforme al art. 9 RGPD. El Cliente se compromete a configurar el asistente de forma que no solicite ni almacene datos de salud, origen racial, creencias o similares.

4. Obligaciones de IC Mayora

  • Tratar los datos únicamente siguiendo instrucciones documentadas del Cliente.
  • Garantizar que el personal autorizado se compromete a respetar la confidencialidad.
  • Adoptar las medidas técnicas y organizativas apropiadas descritas en la sección 8.
  • Asistir al Cliente en el cumplimiento de las solicitudes de ejercicio de derechos de los interesados.
  • Notificar al Cliente cualquier violación de seguridad de los datos sin dilación indebida y en todo caso dentro de las 72 horas desde su detección.

5. Subencargados

El Cliente autoriza de forma general a IC Mayora a subcontratar el tratamiento a los siguientes subencargados, imponiéndoles obligaciones equivalentes a las de este DPA:

  • Vapi Inc. (EE.UU.) — orquestación de voz.
  • ElevenLabs Inc. (EE.UU.) — TTS.
  • Deepgram Inc. (EE.UU.) — STT.
  • Anthropic PBC (EE.UU.) — modelo de lenguaje.
  • Zadarma (Estonia / UE) — operador telefónico mayorista.
  • DigitalOcean LLC (UE — Frankfurt) — hosting.
  • Stripe Payments Europe Ltd. (Irlanda) — pagos.
  • Resend Inc. (EE.UU.) — email transaccional.
  • Google LLC (EE.UU.), Microsoft Corp (EE.UU.), HubSpot Inc. (EE.UU.), Zoho Corp (India) — cuando el Cliente conecte las integraciones correspondientes.

Cualquier cambio en la lista de subencargados se notificará al Cliente con al menos 30 días de antelación. El Cliente podrá oponerse mediante comunicación razonada; de no alcanzarse acuerdo, podrá rescindir el contrato sin penalización.

6. Transferencias internacionales

Las transferencias fuera del EEE (principalmente EE.UU.) se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, en el marco del Data Privacy Framework.

7. Devolución y supresión

Terminado el contrato, IC Mayora, a elección del Cliente, devolverá todos los datos personales o los eliminará de forma segura, salvo obligación legal de conservación (facturación, requerimientos judiciales). El Cliente dispone además de un endpoint de exportación/eliminación accesible en todo momento desde el panel de control.

8. Medidas técnicas y organizativas

  • Cifrado en tránsito (TLS 1.3).
  • Cifrado en reposo AES-256-GCM para tokens OAuth y datos sensibles.
  • Control de acceso basado en roles y autenticación multifactor opcional.
  • Registros de auditoría de eventos de seguridad.
  • Copias de seguridad cifradas con retención limitada.
  • Procedimientos documentados de gestión de incidentes y notificación de brechas.
  • Revisión periódica de accesos y revocación tras inactividad.

9. Auditoría

El Cliente podrá solicitar, con una antelación razonable y no más de una vez al año (salvo indicio fundado de incumplimiento), información documental sobre el cumplimiento de este DPA. Las auditorías en sede se limitan a casos justificados y tras acuerdo previo sobre alcance y coste.

10. Contacto

Para solicitudes DPA personalizadas o consultas sobre protección de datos: dpo@icmayora.com.