Acuerdo de procesamiento de datos (DPA)

Última actualización: 20 de marzo de 2026
Fecha de vigencia: Inmediata
Se aplica a:

• https://www.sendarix.com
• https://app.sendarix.com (panel de cliente)
• Todos los servicios SMTP y API

Este DPA refleja términos comunes de encargado estilo RGPD para infraestructura de correo. Complementa los Términos del servicio cuando procesamos datos personales en su nombre.

---

1. Introducción

Este Acuerdo de procesamiento de datos (« DPA ») forma parte del acuerdo entre Sendarix (« Encargado ») y el Cliente (« Responsable ») y aplica cuando Sendarix trata Datos personales en nombre del Cliente en relación con el Servicio.

Al usar el Servicio para transmitir o tratar datos personales sobre interesados, el Cliente entra en este DPA. En caso de conflicto entre los Términos y este DPA respecto del tratamiento cubierto aquí, prevalece el DPA.

---

2. Definiciones

• « Datos personales », « Tratamiento », « Responsable », « Encargado », « Interesado », « Violación de datos personales » — según se definen en la ley aplicable de protección de datos (incluido el RGPD cuando aplique).
• « Subencargado » — un tercero contratado por Sendarix para tratar Datos personales sujeto a este DPA.
• « Instrucciones del Cliente » — instrucciones documentadas del Cliente sobre el Tratamiento, incluida configuración y uso del panel de cliente, APIs, envío SMTP, tickets de soporte que dirijan el Tratamiento, y uso legítimo del Servicio dentro de los Términos y la AUP.

---

3. Alcance y roles

El Cliente es Responsable de los Datos personales que proporciona en relación con el Servicio. Sendarix es Encargado y solo tratará esos Datos personales según Instrucciones del Cliente salvo que la ley aplicable exija lo contrario (en cuyo caso Sendarix informará al Cliente salvo prohibición).

La naturaleza, finalidad y categorías del tratamiento se describen en la Sección 5 y el Anexo A (resumen a continuación).

---

4. Instrucciones del Cliente

El Cliente instruye a Sendarix a tratar Datos personales para proporcionar, asegurar y mejorar el Servicio de entrega de correo de conformidad con los Términos, este DPA, la Documentación y la configuración del Cliente en el Servicio. Instrucciones fuera de este alcance requieren acuerdo escrito previo.

Si Sendarix cree que una instrucción infringe la ley aplicable, podemos rechazar o suspender la instrucción y notificar al Cliente cuando se permita.

---

5. Naturaleza y finalidad del tratamiento (resumen Anexo A)

Sendarix trata Datos personales para:

• Transmitir y relevar correo vía SMTP y API
• Manejar rebotes, quejas y supresiones
• Proporcionar analítica de entrega, webhooks y paneles
• Autenticar cuentas, aplicar límites de velocidad y detectar abusos
• Proporcionar facturación y soporte a través de app.sendarix.com

El tratamiento se limita a lo razonablemente necesario para estos fines.

---

6. Tipos de Datos personales

Según el uso, esto puede incluir direcciones de correo, metadatos de mensajes (incluidos asuntos), identificadores de remitente/destinatario, direcciones IP, eventos de entrega y participación, contenido de tickets de soporte que contenga datos personales y datos de contacto de facturación.

El contenido del correo se trata de forma transitoria para enrutamiento y entrega; Sendarix no usa cuerpos de mensajes para marketing no relacionado o perfilado no relacionado.

---

7. Obligaciones del encargado

• Tratar Datos personales solo según Instrucciones del Cliente como se describe en la Sección 4
• Asegurar que las personas autorizadas a tratar Datos personales estén sujetas a confidencialidad
• Implementar medidas técnicas y organizativas apropiadas teniendo en cuenta el estado de la técnica, costo y riesgo
• Asistir al Cliente con medidas técnicas y organizativas razonables para solicitudes de interesados, EIPD y consultas previas cuando corresponda
• Notificar al Cliente sin demora indebida tras tener conocimiento de una Violación de datos personales que afecte Datos personales del Cliente, y proporcionar información razonablemente necesaria para las notificaciones regulatorias del Cliente
• Al finalizar el Servicio (o bajo solicitud), eliminar o devolver Datos personales según la Sección 11, sujeto a retención legal

---

8. Subencargados

El Cliente autoriza a Sendarix a contratar subencargados (por ejemplo hospedaje, DNS, pago, transporte, detección de abuso, herramientas de soporte) sujeto a acuerdos escritos que impongan obligaciones de protección de datos sustancialmente equivalentes a este DPA.

Sendarix sigue siendo responsable del cumplimiento por parte de los subencargados. Una lista actual está disponible bajo solicitud y puede publicarse en <strong>sendarix.com</strong>. Sendarix dará aviso razonable de cambios en subencargados cuando sea factible; el Cliente puede objeción por motivos razonables de protección de datos.

---

9. Transferencias internacionales

Cuando los Datos personales originarios del EEE, Reino Unido o Suiza se transfieren a países no reconocidos como adecuados, Sendarix implementará salvaguardas apropiadas como las Cláusulas Contractuales Tipo de la Comisión UE (2021), el Addendum de transferencia internacional de datos del Reino Unido (IDTA) o Addendum a las CC UE, requisitos suizos cuando corresponda, u otras herramientas legales de transferencia.

Bajo solicitud, Sendarix proporcionará información sobre los mecanismos en los que se basa para transferencias específicas relevantes al uso del Cliente.

---

10. Derechos de los interesados

Sendarix ayudará al Cliente a responder solicitudes de interesados respecto de Datos personales tratados en nombre del Cliente. Salvo obligación legal, Sendarix no responderá directamente a interesados; el Cliente debe enviar solicitudes a través de su cuenta o a privacy@sendarix.com con suficiente detalle para enrutar la solicitud.

---

11. Conservación y eliminación

Al terminar el Servicio o expirar la relación con el Cliente, Sendarix eliminará o devolverá Datos personales de acuerdo con la Política de privacidad y capacidades operativas, salvo cuando la retención más larga sea requerida por la ley o para archivos legítimos de seguridad y prevención de abusos indicados en nuestra documentación.

Conservación operativa típica (sujeta a cambio con aviso): registros SMTP/API 30–90 días; datos de rebote/queja hasta 6 meses; registros de facturación 5–10 años cuando la ley lo exija.

---

12. Auditorías

El Cliente puede solicitar información razonablemente necesaria para confirmar el cumplimiento de este DPA (por ejemplo resúmenes de prácticas de seguridad y listas de subencargados). Auditorías in situ o intrusivas que afecten la seguridad o disponibilidad del Servicio requieren acuerdo escrito previo sobre alcance, tiempo y confidencialidad. Los costos de auditorías más allá de asistencia razonable pueden cobrarse.

---

13. Notificación de violación de datos

Las notificaciones describirán, en la medida conocida, la naturaleza de la violación, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas tomadas o propuestas.

---

14. Responsabilidad

La responsabilidad por el tratamiento bajo este DPA está sujeta a las limitaciones de los Términos, salvo cuando la ley obligatoria prohíba tales limitaciones para violaciones de protección de datos.

---

15. Plazo

Este DPA permanece en vigor durante la duración del Tratamiento y hasta que los Datos personales hayan sido devueltos o eliminados según la Sección 11.

---

16. Términos rectores

Cuando el RGPD aplica, las partes reconocen que este DPA incluye la sustancia requerida del Artículo 28. Para otras leyes, aplican obligaciones análogas en la medida requerida.

---

17. Contacto

privacy@sendarix.com · legal@sendarix.com