Acuerdo de Procesamiento de Datos (DPA)

1. Partes

Este Acuerdo de Tratamiento de Datos (el “DPA” o “Acuerdo”) se celebra entre:

• El Cliente, identificado en el alta del Servicio Closer Agent, en su carácter de Responsable del Tratamiento de los datos personales de sus End-customers (en adelante, el “Responsable” o el “Cliente”); y
• Tomás Zanlungo, CUIT 20-44929370-4, con domicilio en Chivilcoy, Provincia de Buenos Aires, Argentina, en su carácter de prestador del servicio Closer Agent y Encargado del Tratamiento (en adelante, el “Encargado” o “Closer Agent”).

El presente DPA forma parte integrante e inescindible de los Términos y Condiciones del Servicio (los “Términos”) y de la Política de Privacidad publicada por Closer Agent. En caso de conflicto entre estos documentos respecto del tratamiento de datos personales de End-customers, prevalece este DPA.

2. Definiciones

A los fines de este DPA, aplican las definiciones de los Términos y, adicionalmente:

• Datos Personales: cualquier información referente a personas humanas determinadas o determinables, conforme al art. 2 de la Ley 25.326.
• Tratamiento: las operaciones y procedimientos previstos en el art. 2 de la Ley 25.326, aplicados sobre Datos Personales.
• Responsable: el Cliente, quien define la finalidad y los medios del Tratamiento (art. 2 inc. “responsable de archivo” Ley 25.326).
• Encargado: Closer Agent, quien trata los Datos Personales por cuenta del Responsable.
• Subencargado: tercero contratado por el Encargado para tratar Datos Personales en el marco del Servicio.
• End-customer: persona humana cuyos Datos Personales son tratados por encargo del Cliente.
• Incidente de Seguridad: cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, divulgación o acceso no autorizado a Datos Personales.
• AAIP: Agencia de Acceso a la Información Pública.

3. Objeto y alcance

3.1. Este DPA regula el Tratamiento de Datos Personales de los End-customers que el Encargado realiza por cuenta del Responsable, en el marco de la prestación del Servicio Closer Agent.

3.2. El Encargado tratará Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, conforme al art. 25 de la Ley 25.326 y al art. 25 del Decreto 1558/2001. Las instrucciones generales documentadas son: (i) los Términos; (ii) esta DPA; (iii) la configuración seleccionada por el Cliente en el Dashboard; (iv) las instrucciones específicas razonables que el Cliente comunique por escrito.

3.3. El Encargado no tratará Datos Personales para finalidades propias distintas de la prestación del Servicio, salvo cuando sea estrictamente necesario para cumplir obligaciones legales aplicables a Closer Agent y siempre informando al Responsable cuando ello sea legalmente posible.

4. Naturaleza y finalidad del Tratamiento

El Tratamiento tiene por objeto:

• Identificar y procesar carritos abandonados y, en planes Pro, pagos pendientes en la tienda online del Responsable.
• Operar un bot conversacional con IA que envíe y reciba mensajes vía WhatsApp Business Platform a/de los End-customers en nombre del Responsable, con el objetivo de recuperar la venta.
• Registrar el resultado de las conversaciones a los fines operativos y de medición.
• Proveer al Responsable información y métricas del desempeño operativo a través del Dashboard.

5. Tipo de Datos Personales tratados

El Tratamiento incluye los siguientes tipos de Datos Personales de los End-customers:

• Datos identificativos: nombre y apellido (cuando estén disponibles).
• Datos de contacto: número de WhatsApp, correo electrónico (cuando esté disponible).
• Datos comerciales y transaccionales: productos visualizados/abandonados, valor del carrito u orden, moneda, identificadores técnicos (carrito ID, checkout ID, orden ID), fecha y origen del carrito o pago pendiente.
• Datos conversacionales: mensajes enviados y recibidos del bot, marcas temporales, estado de entrega/lectura, etiquetas operativas.

No se tratan datos sensibles en los términos del art. 2 de la Ley 25.326. Si el End-customer aporta espontáneamente datos sensibles en la conversación, no se solicitan, no se solicita ni infiere por defecto su tratamiento automatizado y se considerarán incidentales.

6. Categorías de interesados

Los interesados son los End-customers del Responsable: compradores o potenciales compradores de la tienda online del Responsable, mayores de 18 años, que ingresaron datos en el checkout u otra interacción que generó un carrito abandonado o un pago pendiente.

7. Duración del Tratamiento

7.1. El Tratamiento se desarrolla durante toda la vigencia de la relación contractual entre Responsable y Encargado y por el período de conservación posterior previsto en este DPA.

7.2. Al cese del contrato, aplica la Cláusula 14 (Devolución / Destrucción).

8. Obligaciones y derechos del Responsable

8.1. El Responsable:

• (a) determina la finalidad, contenido y uso del Tratamiento y conserva las decisiones esenciales sobre los Datos Personales;
• (b) declara y garantiza contar con base legítima para tratar los Datos Personales de los End-customers y para encargar al Encargado el Tratamiento, incluyendo los consentimientos, opt-ins u otra base jurídica que la legislación aplicable requiera (Ley 25.326, Ley 24.240, normativa anti-spam y políticas de WhatsApp Business Platform);
• (c) suministrará al Encargado únicamente los Datos Personales necesarios para la prestación del Servicio;
• (d) atenderá en primera instancia los derechos ARCO ejercidos por sus End-customers, recibiendo la cooperación del Encargado conforme a la Cláusula 12;
• (e) informará a los End-customers, en la documentación que corresponda (políticas de privacidad de su tienda, condiciones de checkout, etc.), del Tratamiento que realiza Closer Agent por su encargo;
• (f) instruirá al Encargado por escrito sobre cualquier requerimiento específico que se aparte de los parámetros estándar del Servicio;
• (g) configurará y supervisará razonablemente el uso del Servicio, incluyendo el respeto de los opt-outs comunicados por sus canales.

9. Obligaciones del Encargado

El Encargado se obliga a:

• (a) Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal en contrario que afecte directamente al Encargado.
• (b) Garantizar la confidencialidad y el deber de secreto (art. 10 Ley 25.326) sobre los Datos Personales, incluyendo a su personal y subencargados, obligación que subsiste tras el fin de la relación contractual.
• (c) Implementar medidas técnicas y organizativas apropiadas y razonables conforme a la Resolución AAIP 47/2018, descriptas en el Anexo II de este DPA.
• (d) No utilizar los Datos Personales para finalidades propias ni cederlos a terceros, salvo a Subencargados autorizados (Cláusula 10), a autoridades competentes en cumplimiento de requerimientos legales, o por instrucción del Responsable.
• (e) Asistir al Responsable en la atención de los derechos ARCO ejercidos por los End-customers (Cláusula 12).
• (f) Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad y de notificación de incidentes (Cláusula 11).
• (g) Notificar al Responsable, sin demora indebida, cualquier incidente de seguridad que afecte a sus Datos Personales (Cláusula 11).
• (h) Mantener registros del Tratamiento realizado por cuenta del Responsable en la medida exigida por la normativa aplicable.
• (i) Permitir y contribuir a las auditorías razonables del Responsable conforme a la Cláusula 13.
• (j) Devolver y/o destruir los Datos Personales al fin del Tratamiento conforme a la Cláusula 14.
• (k) No transferir Datos Personales a países sin nivel adecuado de protección, salvo cuando la transferencia se ampare en alguna excepción prevista en el art. 12 de la Ley 25.326 o en las Cláusulas Contractuales Modelo de la Disposición 60-E/2016 o la Resolución AAIP 198/2023, conforme a la Cláusula 10.4.
• (l) Informar al Responsable cuando una instrucción suya, a juicio razonable del Encargado, infrinja la Ley 25.326 u otra normativa aplicable.

10. Subencargados autorizados

10.1. El Responsable autoriza con carácter general al Encargado a contratar Subencargados para la prestación del Servicio, bajo las siguientes condiciones:

• (a) El Encargado garantiza que cada Subencargado se obliga, por contrato o instrumento equivalente, a niveles de protección no inferiores a los pactados en este DPA respecto del Tratamiento que le corresponda.
• (b) El Encargado mantiene actualizada la lista de Subencargados (publicada en closeragentai.com/subprocessors o equivalente) y notifica al Responsable los cambios materiales con anticipación razonable, otorgando al Responsable la posibilidad de objetar fundadamente la incorporación de un nuevo Subencargado. Si la objeción fundada no puede resolverse, el Responsable podrá rescindir la relación con el Encargado conforme a los Términos.
• (c) El Encargado responde frente al Responsable por el actuar de sus Subencargados como si fuera propio, sin perjuicio de la responsabilidad propia de cada Subencargado.

10.2. Lista actual de Subencargados (Anexo III).

10.3. Los Subencargados podrán acceder a Datos Personales únicamente en la medida estrictamente necesaria para la prestación del servicio subencargado.

10.4. Transferencias internacionales: cuando un Subencargado trate Datos Personales fuera de la Argentina (en particular en Estados Unidos), el Encargado se ampara, según corresponda, en (i) la necesidad para la ejecución del contrato entre el Responsable y el Encargado y/o entre el Responsable y el End-customer (art. 12 inc. 2 Ley 25.326); (ii) Cláusulas Contractuales Modelo aprobadas por la AAIP (Disposición 60-E/2016 y/o SCC RIPD aprobadas por Resolución AAIP 198/2023); o (iii) consentimiento del titular cuando resulte exigible. El Responsable, en virtud de su rol primario, presta su conformidad a estas bases en relación con el Servicio.

11. Medidas de seguridad y notificación de Incidentes

11.1. Medidas de seguridad: el Encargado implementa las medidas detalladas en el Anexo II, alineadas con la Resolución AAIP 47/2018.

11.2. Notificación de Incidentes:

• (a) Ante un Incidente de Seguridad que afecte Datos Personales del Responsable, el Encargado notificará al Responsable sin demora indebida tras tomar conocimiento, mediante correo electrónico a la dirección registrada por el Responsable. El plazo objetivo es notificar dentro de las 72 horas posteriores a tomar conocimiento del Incidente, salvo causa justificada.
• (b) La notificación incluirá, en la medida en que esté disponible: (i) descripción de la naturaleza del Incidente; (ii) categorías y cantidad aproximada de titulares afectados; (iii) categorías y cantidad aproximada de Datos Personales afectados; (iv) consecuencias probables; (v) medidas adoptadas o propuestas; (vi) datos del punto de contacto del Encargado.
• (c) El Encargado asistirá razonablemente al Responsable en sus eventuales obligaciones de notificación a la AAIP y/o a los titulares afectados.

12. Asistencia en derechos ARCO

12.1. El Encargado dispone de mecanismos técnicos y operativos para asistir al Responsable en la atención de solicitudes de acceso, rectificación, actualización, supresión y oposición (arts. 14 a 16 y 27 Ley 25.326) ejercidas por los End-customers respecto de Datos Personales tratados por encargo del Responsable.

12.2. Vía estándar: el End-customer se dirige al Responsable; el Responsable solicita la acción al Encargado mediante el Dashboard o por correo a privacy@closeragentai.com; el Encargado ejecuta dentro de los plazos legales aplicables.

12.3. Si el End-customer se dirige directamente al Encargado, éste:

• (a) acusa recibo;
• (b) deriva la solicitud al Responsable junto con la información disponible para que el Responsable pueda evaluar y atender la solicitud;
• (c) ejecuta la acción solicitada cuando ello sea técnicamente factible y la solicitud sea legítima, particularmente los opt-outs (Cláusula 10.1 Política de Privacidad), que se atienden de inmediato.

13. Auditoría

13.1. El Responsable tiene derecho a verificar el cumplimiento de este DPA por parte del Encargado, mediante:

• (a) la revisión de la documentación de seguridad y los reportes que el Encargado ponga a disposición; y/o
• (b) la realización, con preaviso razonable y a costo del Responsable, de una auditoría anual, en horario hábil, sin afectar la operación, sin acceso a datos de otros clientes ni a infraestructura de Subencargados (estos últimos auditables únicamente conforme a sus propios términos).

13.2. Las partes acuerdan que las certificaciones, reportes de auditoría de terceros (SOC, ISO) o autoevaluaciones documentadas razonables del Encargado satisfacen el derecho de auditoría del Responsable, salvo causa justificada que requiera revisión adicional.

14. Devolución o destrucción de Datos al fin del Tratamiento

14.1. Cesada la relación contractual y dentro de un plazo razonable que no excederá los 90 (noventa) días corridos, el Encargado, a opción del Responsable:

• (a) devolverá al Responsable los Datos Personales tratados por su encargo en un formato estructurado, de uso común y lectura mecánica razonable; y/o
• (b) destruirá los Datos Personales y certificará por escrito su destrucción.

14.2. Excepciones: el Encargado podrá conservar:

• (i) los Datos estrictamente necesarios para cumplir obligaciones legales propias o para la defensa de eventuales reclamos, por el plazo legalmente exigible (en particular, documentación contable y fiscal por 10 años conforme normativa AR);
• (ii) Datos de carácter operativo agregados o anonimizados sin posibilidad razonable de re-identificación; y/o
• (iii) cuando exista presunción razonable de ulteriores encargos del mismo Responsable, hasta 2 (dos) años con las debidas condiciones de seguridad, conforme al art. 25 del Decreto 1558/2001.

15. Responsabilidad e indemnización

15.1. Cada parte responde frente a la otra por los daños directos efectivamente ocasionados por incumplimientos imputables a sí misma o a las personas o subencargados de los que se valga.

15.2. Limitación de responsabilidad: aplica el régimen de limitación previsto en los Términos (Cláusula 17), salvo en lo que se refiera a (i) infracciones dolosas o con culpa grave; (ii) deberes de confidencialidad; (iii) sanciones impuestas directamente por la AAIP a una de las partes por incumplimientos imputables a la otra.

15.3. Indemnidad cruzada: cada parte mantiene indemne a la otra frente a reclamos de terceros y/o sanciones de autoridades resultantes de incumplimientos propios de las obligaciones de este DPA y/o de la Ley 25.326.

16. Disposiciones finales

16.1. Ley aplicable y jurisdicción: este DPA se rige por las leyes de la República Argentina. Las controversias se someten a la jurisdicción de los tribunales ordinarios con asiento en la ciudad de Chivilcoy, Provincia de Buenos Aires.

16.2. Modificaciones: las modificaciones a este DPA seguirán el régimen de notificación previsto en los Términos (Cláusula 18).

16.3. Independencia de cláusulas: la nulidad de una cláusula no afecta la vigencia de las restantes.

16.4. Vigencia: este DPA es la versión 1.0, vigente desde el 25 de mayo de 2026, y se considera celebrado en forma electrónica entre las partes en el momento del alta del Cliente al Servicio.

Anexo II — Medidas técnicas y organizativas de seguridad

Closer Agent adopta las siguientes medidas, alineadas con la Resolución AAIP 47/2018:

1. Control de accesos
   • Autenticación de usuarios con credenciales individuales.
   • Roles y permisos por mínimo privilegio.
   • Doble factor para acceso administrativo (cuando esté disponible en la herramienta).
2. Cifrado
   • Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones públicas.
   • Cifrado en reposo cuando lo provea el Subencargado correspondiente (Supabase, Vercel, etc.).
3. Segregación lógica
   • Aislamiento de los datos por Cliente mediante identificadores y políticas de acceso, en una arquitectura multi-tenant.
4. Gestión de cambios y vulnerabilidades
   • Versionado y revisión de cambios en código.
   • Aplicación periódica de parches en componentes administrados por terceros.
5. Backup y recuperación
   • Backups regulares automatizados por el proveedor de base de datos.
   • Procedimientos básicos de recuperación documentados.
6. Logs y auditoría
   • Registros de actividad de los usuarios autorizados y de los servicios.
   • Conservación razonable de logs para auditoría.
7. Destrucción
   • Procedimientos para la eliminación lógica de datos cuando corresponda, conforme a la Cláusula 14.
8. Personal
   • Acuerdos de confidencialidad con las personas con acceso a datos.
   • Acceso restringido y revisado periódicamente.
9. Gestión de incidentes
   • Procedimiento de detección, contención, comunicación y registro de Incidentes.
10. Subencargados
    • Selección con criterios razonables de seguridad.
    • Lista pública y actualizada.

Anexo III — Subencargados autorizados (al 25/05/2026)

Cualquier alta o cambio se notificará conforme a la Cláusula 10.