SocialHook
Iniciar sesiónEmpezar gratis →
Documento legal · Artículo 28 del RGPD

Acuerdo de Tratamiento de Datos

Versión 1.0 · Abril de 2026Incorpora las Cláusulas Contractuales Tipo de la UE
Cómo formalizar este DPA: Este documento representa el Acuerdo de Tratamiento de Datos estándar de SocialHook para clientes de la UE/EEE. Para recibir una copia firmada por ambas partes, envíe un correo electrónico a privacy@socialhook.io con el asunto «Solicitud de DPA» e indique el nombre de su empresa, domicilio social registrado y datos de contacto. Le devolveremos una copia firmada en un plazo de 5 días hábiles.

Contenido

01Definiciones y ámbito02Objeto y duración03Naturaleza y finalidad del tratamiento04Obligaciones del encargado (SocialHook)05Obligaciones del responsable (Cliente)06Subencargados07Medidas de seguridad08Notificación de brechas de datos09Derechos de los interesados10Conservación y supresión11Transferencias internacionales12Auditorías e inspecciones13Finalización14Legislación aplicable y resolución de controversias15Anexo — Detalles del tratamiento

Partes del presente Acuerdo

El presente Acuerdo de Tratamiento de Datos (el «DPA») se celebra entre:

  • Responsable del tratamiento («Cliente»): La entidad jurídica que ha aceptado los Términos del Servicio de SocialHook y figura identificada en el registro de la cuenta de SocialHook.
  • Encargado del tratamiento («SocialHook»): Lead Lock Systems LLC, sociedad constituida en Wyoming, Estados Unidos, que opera SocialHook en socialhook.io.

Este DPA complementa y forma parte de los Términos del Servicio de SocialHook. En caso de conflicto entre este DPA y los Términos del Servicio en materia de protección de datos, prevalecerá este DPA.

1. Definiciones y ámbito

  • «RGPD» hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
  • «Datos Personales» tiene el significado previsto en el artículo 4(1) del RGPD.
  • «Interesado» hace referencia a la persona física cuyos Datos Personales se tratan — en este contexto, los clientes finales que envían mensajes a las cuentas conectadas del Responsable en las plataformas de Meta.
  • «Datos de Mensajería de Meta» hace referencia a los Datos Personales contenidos en los mensajes tratados por SocialHook para su entrega mediante webhook.
  • «Cláusulas Contractuales Tipo» o «SCC» hace referencia a las cláusulas contractuales tipo adoptadas por la Comisión Europea mediante la Decisión 2021/914.
  • «Subencargado» hace referencia a cualquier tercero contratado por SocialHook para tratar Datos Personales en el marco de este DPA.

2. Objeto y duración

SocialHook trata Datos Personales por cuenta del Cliente con el único fin de prestar el servicio de SocialHook — recibiendo mensajes desde las API de Meta en las cuentas conectadas del Cliente y entregándolos al endpoint de webhook designado por el Cliente.

Este DPA entra en vigor en la fecha en que el Cliente acepta los Términos del Servicio y continúa hasta la finalización de la suscripción del Cliente a SocialHook.

3. Naturaleza y finalidad del tratamiento

SocialHook actúa como un retransmisor automatizado — recibe datos de mensajes estructurados desde las API de Meta, los normaliza en una carga útil JSON coherente, la firma con HMAC-SHA256 y la entrega al endpoint de webhook del Cliente. SocialHook no realiza análisis independiente, elaboración de perfiles ni ningún otro tratamiento de Datos Personales más allá de lo necesario para la entrega.

4. Obligaciones del encargado (SocialHook)

  1. 1.Tratar solo conforme a instrucciones documentadas — SocialHook tratará Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, materializadas en la configuración de webhooks y eventos establecida por el Cliente.
  2. 2.Confidencialidad — SocialHook garantizará que las personas autorizadas a tratar Datos Personales estén sujetas a las correspondientes obligaciones de confidencialidad.
  3. 3.Seguridad — SocialHook aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  4. 4.Restricciones sobre subencargados — SocialHook no contratará subencargados sin la autorización previa, general o específica, por escrito del Cliente.
  5. 5.Asistencia con los derechos de los interesados — SocialHook asistirá al Cliente en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados, en la medida en que sea técnicamente viable.
  6. 6.Supresión tras la finalización — Tras la finalización, SocialHook suprimirá o devolverá al Cliente todos los Datos Personales.
  7. 7.Sin finalidades propias — SocialHook no utilizará Datos Personales con ninguna finalidad distinta a la de prestar el servicio de SocialHook. SocialHook no venderá, alquilará ni explotará comercialmente de cualquier otro modo los Datos Personales.

5. Obligaciones del responsable (Cliente)

  1. 1.Asegurarse de que dispone de una base jurídica válida conforme al artículo 6 del RGPD para tratar Datos Personales a través de SocialHook
  2. 2.Proporcionar a sus clientes finales avisos de privacidad adecuados sobre el tratamiento de los datos de sus mensajes
  3. 3.Asegurarse de que cualquier instrucción impartida a SocialHook cumple la legislación de protección de datos aplicable
  4. 4.Mantener la seguridad de su endpoint de webhook y de la clave secreta
  5. 5.Atender las solicitudes de ejercicio de derechos recibidas de sus clientes finales

6. Subencargados

El Cliente otorga por la presente a SocialHook autorización general para contratar a los siguientes subencargados:

SubencargadoUbicaciónFinalidadMecanismo de transferencia
Amazon Web Services (AWS)Estados UnidosAlojamiento en la nube, base de datos, infraestructuraCláusulas Contractuales Tipo
Stripe, Inc.Estados UnidosProcesamiento de pagosCláusulas Contractuales Tipo
Meta Platforms, Inc.Estados UnidosOrigen de los datos de mensajería (proveedor de API)Mecanismos propios de transferencia de datos de Meta

SocialHook notificará al Cliente cualquier cambio previsto en los subencargados con un preaviso por escrito de al menos 14 días.

7. Medidas de seguridad

  • Cifrado en tránsito — TLS 1.2 o superior para todos los datos en tránsito
  • Cifrado en reposo — Cifrado AES-256 para los datos almacenados, incluidas las cargas útiles bufferizadas de forma temporal
  • Controles de acceso — Control de acceso basado en roles con autenticación multifactor para todo acceso interno al sistema
  • TTL del búfer de cargas útiles — Los búferes de cargas útiles de entregas fallidas se eliminan automáticamente tras un máximo de 24 horas
  • Sin contenido de mensajes en los registros — Los registros de la aplicación están configurados para excluir el contenido del cuerpo de los mensajes
  • Firma de cargas útiles — Firma HMAC-SHA256 en cada entrega
  • Seguridad de la infraestructura — Infraestructura de AWS con certificaciones ISO 27001 y SOC 2

8. Notificación de brechas de datos

En caso de violación de la seguridad de los Datos Personales, SocialHook notificará al Cliente en un plazo de 48 horas desde que tenga conocimiento (para que el Cliente disponga de tiempo suficiente para cumplir con su propia obligación de notificación en 72 horas conforme al artículo 33 del RGPD). SocialHook proporcionará la naturaleza de la brecha, las categorías de Interesados afectados y las medidas adoptadas para hacerle frente.

9. Derechos de los interesados

El Cliente, en su condición de responsable del tratamiento, es el principal responsable de gestionar las solicitudes de ejercicio de derechos. SocialHook notificará sin demora al Cliente cualquier solicitud recibida directamente y asistirá al Cliente a responder en la medida en que sea técnicamente viable.

Dado que SocialHook no almacena de forma permanente el contenido de los mensajes, el alcance de la asistencia de SocialHook se limita a: (a) la eliminación de los datos de carga útil presentes en el búfer de reintentos de 24 horas y (b) la eliminación de los registros de metadatos de entrega relacionados con el Interesado correspondiente.

10. Conservación y supresión

Principio clave: El contenido de los mensajes nunca se conserva más de 24 horas. Los metadatos de entrega se conservan durante 30 días. Los datos de la cuenta se conservan durante la duración de la suscripción más 30 días.

Tras la finalización del servicio, SocialHook suprimirá todos los datos de la cuenta del Cliente y cualquier Dato Personal asociado en un plazo de 30 días desde la finalización, salvo que la legislación aplicable exija un período de conservación mayor. SocialHook facilitará confirmación por escrito de la supresión a petición del Cliente.

11. Transferencias internacionales

SocialHook tiene su sede en Estados Unidos. En la medida en que SocialHook trate Datos Personales procedentes de la UE/EEE, dichas transferencias se realizarán sobre la base de las Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea mediante la Decisión 2021/914. Las SCC se incorporan por referencia a este DPA y están disponibles en su versión íntegra a petición del Cliente.

12. Auditorías e inspecciones

SocialHook pondrá a disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones derivadas del artículo 28 del RGPD. Las auditorías podrán ser realizadas por el Cliente o por un auditor externo designado por el Cliente, sujetas a un preaviso por escrito de al menos 30 días, en horario laboral habitual y no más de una vez al año, salvo causa justificada.

13. Finalización

Este DPA finalizará automáticamente con la terminación de la suscripción del Cliente a SocialHook. Cualquiera de las partes podrá resolver el presente DPA de forma inmediata si la otra parte incumple de forma sustancial sus obligaciones en materia de protección de datos y no subsana el incumplimiento en un plazo de 30 días desde el aviso por escrito.

14. Legislación aplicable y resolución de controversias

Este DPA se rige por las leyes del Estado de Arizona, Estados Unidos, sin perjuicio de las disposiciones imperativas de la legislación de protección de datos de la UE que puedan resultar aplicables al Cliente en su condición de responsable del tratamiento establecido en la UE/EEE.

15. Anexo — Detalles del tratamiento

Categorías de Interesados

Clientes finales y contactos que envían mensajes a las páginas de Facebook, cuentas de Instagram Business o números de WhatsApp Business conectados del Responsable.

Categorías de Datos Personales

  • Identificadores: números de teléfono (WhatsApp), Page-Scoped IDs de Facebook (Facebook), IDs de usuario y nombres de usuario de Instagram (Instagram)
  • Contenido del mensaje: texto, indicadores de tipo de medio y URL de medios
  • Metadatos: marcas temporales, IDs de conversación, IDs de cuenta de plataforma

Naturaleza y finalidad del tratamiento

Normalización, firma y entrega automatizadas de mensajes entrantes de las plataformas de Meta al endpoint de webhook del Responsable. Sin revisión manual, elaboración de perfiles ni uso independiente de los Datos Personales.

Duración del tratamiento

Durante la vigencia de la suscripción del Cliente a SocialHook. El contenido de los mensajes se trata de forma transitoria — con una conservación máxima de 24 horas para las entregas fallidas. Los metadatos de entrega se conservan durante 30 días.

Solicitar un DPA firmado

Para recibir un DPA contrafirmado para sus archivos, envíenos un correo electrónico con el nombre de su empresa, el domicilio social registrado y los datos de contacto del firmante autorizado.

Solicitar DPA →