BROKLY — ADENDA DE TRATAMIENTO DE DATOS (DPA)
Última actualización: 6 de julio de 2026
Esta Adenda de Tratamiento de Datos ("DPA") forma parte de los Términos del Servicio u otro acuerdo entre Brokly Inc., una sociedad de Delaware ("Brokly" o "Encargado"), y el cliente identificado en la Orden o cuenta aplicable ("Cliente" o "Responsable") que rige el uso por parte del Cliente de la plataforma Brokly (el "Acuerdo"). Esta DPA aplica en la medida en que Brokly trate Datos Personales por cuenta del Cliente al prestar el Servicio.
En caso de conflicto entre esta DPA y el Acuerdo respecto al tratamiento de Datos Personales, prevalece esta DPA.
1. Definiciones
- "Datos Personales" significa cualquier información relativa a una persona natural identificada o identificable que Brokly trate por cuenta del Cliente en relación con el Servicio — principalmente Datos de Leads: información personal de los prospectos y clientes del Cliente (nombres, números de teléfono, contenido de conversaciones, preferencias, presupuestos, detalles de citas) y, en las cuentas Enterprise, datos de los agentes autorizados del Cliente tratados bajo las instrucciones del Cliente.
- "Leyes de Protección de Datos" significa todas las leyes aplicables al tratamiento de Datos Personales bajo esta DPA, que pueden incluir, según el mercado del Cliente: la Ley 1581 de 2012 y el Decreto 1377 de 2013 de Colombia; la LGPD de Brasil (Ley 13.709/2018); la LFPDPPP de México; las leyes estatales de privacidad aplicables de EE. UU. (p. ej., la CCPA/CPRA de California); la PIPEDA de Canadá; y cualquier otra legislación aplicable de protección de datos o privacidad.
- "Tratamiento", "Responsable", "Encargado", "Titular", "Violación de Datos Personales" y términos similares tienen los significados dados por las Leyes de Protección de Datos aplicables (incluyendo equivalentes locales como "responsable", "encargado" y "titular").
- "Subencargado" significa un tercero contratado por Brokly para tratar Datos Personales por cuenta del Cliente.
2. Roles y Alcance
2.1 Roles. Para los Datos Personales cubiertos por esta DPA, el Cliente es el Responsable (o un encargado que actúa por cuenta de un responsable tercero, en cuyo caso el Cliente garantiza que cuenta con la autoridad necesaria) y Brokly es el Encargado. La materia, duración, naturaleza y finalidad del tratamiento, las categorías de Datos Personales y las categorías de Titulares se describen en el Anexo 1.
2.2 Datos de la cuenta del Cliente excluidos. Los datos personales respecto de los cuales Brokly es el responsable (la propia cuenta, facturación y datos de uso del Cliente) se rigen por la Política de Privacidad de Brokly, no por esta DPA.
2.3 Responsabilidades del Cliente. El Cliente es responsable de (a) la exactitud, calidad y licitud de los Datos Personales y de los medios por los cuales se obtuvieron; (b) proporcionar todos los avisos legalmente exigidos a los Titulares (incluyendo sus Leads), y obtener todos los consentimientos y autorizaciones requeridos de ellos, para el tratamiento descrito en el Anexo 1, incluyendo el tratamiento mediante conversaciones automatizadas/asistidas por IA; (c) emitir instrucciones de tratamiento lícitas; y (d) cumplir con cualquier obligación de registro o documentación que le sea aplicable como Responsable (p. ej., el registro de bases de datos ante el RNBD de Colombia cuando corresponda).
3. Instrucciones de Tratamiento
3.1 Brokly tratará los Datos Personales únicamente (a) para prestar, mantener, asegurar y dar soporte al Servicio de conformidad con el Acuerdo; (b) según se documenta en esta DPA y sus Anexos; y (c) conforme a las demás instrucciones lícitas documentadas del Cliente, incluyendo las instrucciones dadas a través de las herramientas de configuración del Servicio. El Acuerdo, esta DPA y el uso por parte del Cliente de las funcionalidades del Servicio constituyen las instrucciones completas del Cliente.
3.2 Brokly informará al Cliente si, en su opinión, una instrucción infringe las Leyes de Protección de Datos aplicables, y podrá suspender la ejecución de esa instrucción hasta que sea aclarada.
3.3 Sin venta. Brokly no venderá los Datos Personales, ni los conservará, usará o divulgará fuera de la relación comercial directa con el Cliente o para cualquier finalidad distinta de prestar el Servicio (salvo lo permitido para datos desidentificados bajo la Sección 9 y lo exigido por la ley). Cuando aplique la CCPA/CPRA, Brokly actúa como "proveedor de servicios" (service provider) y certifica que comprende y cumplirá con estas restricciones.
4. Confidencialidad
Brokly garantiza que el personal autorizado para tratar Datos Personales está sujeto a obligaciones de confidencialidad (contractuales o legales) y accede a los Datos Personales solo sobre la base de la necesidad de conocer para las finalidades del Acuerdo.
5. Seguridad
5.1 Brokly implementa y mantiene medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidentales o ilícitos, según se describe en el Anexo 2. Estas medidas toman en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento.
5.2 Brokly podrá actualizar las medidas del Anexo 2 de tiempo en tiempo, siempre que las actualizaciones no reduzcan materialmente el nivel general de protección.
5.3 El Cliente es responsable de asegurar sus propias credenciales, dispositivos, gestión de accesos de usuarios y decisiones de configuración.
6. Subencargados
6.1 Autorización general. El Cliente autoriza a Brokly a contratar Subencargados para prestar el Servicio. Los Subencargados actuales de Brokly se enumeran en el Anexo 3 (incluyendo AWS, PlanetScale, Cloudflare, Stripe, Kapso/Meta, OpenAI y Google).
6.2 Requisitos. Brokly (a) impondrá a cada Subencargado obligaciones de protección de datos materialmente no menos protectoras que las de esta DPA, en la medida aplicable a los servicios prestados; y (b) seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones de sus Subencargados.
6.3 Cambios. Brokly notificará al Cliente (p. ej., por correo electrónico o actualizando la página de Subencargados con un mecanismo de notificación) al menos 15 días antes de autorizar a un nuevo Subencargado a tratar Datos Personales. El Cliente podrá objetar por motivos razonables de protección de datos dentro de ese plazo; las partes trabajarán de buena fe para resolver la objeción (p. ej., una configuración alternativa), y si no hay una solución razonablemente disponible, el Cliente podrá terminar la suscripción afectada y recibir un reembolso prorrateado de las tarifas prepagadas no utilizadas como su recurso exclusivo.
7. Asistencia al Cliente
7.1 Solicitudes de los Titulares. Teniendo en cuenta la naturaleza del tratamiento, Brokly asistirá al Cliente, a través de la funcionalidad del Servicio (herramientas de exportación, corrección, eliminación) y, cuando sea necesario, con asistencia adicional razonable, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Titulares (acceso, corrección, eliminación, oposición, portabilidad y equivalentes locales como "consultas y reclamos"). Si un Titular contacta directamente a Brokly respecto a datos tratados bajo esta DPA, Brokly, cuando el Titular identifique al Cliente, reenviará la solicitud al Cliente sin demora indebida y no responderá sobre el fondo salvo según lo instruya el Cliente o lo exija la ley.
7.2 Asistencia en cumplimiento. Teniendo en cuenta la naturaleza del tratamiento y la información disponible para ella, Brokly proporcionará asistencia razonable con las obligaciones del Cliente respecto a la seguridad, la notificación de violaciones y las evaluaciones de impacto en la protección de datos, cuando lo exijan las Leyes de Protección de Datos aplicables.
8. Violación de Datos Personales
Brokly notificará al Cliente sin demora indebida después de tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales tratados bajo esta DPA, y en todo caso dentro del plazo requerido por la ley aplicable. La notificación describirá, en la medida en que se conozca: la naturaleza de la violación, las categorías y el número aproximado de Titulares y registros afectados, las probables consecuencias, las medidas tomadas o propuestas y un punto de contacto. Brokly tomará medidas razonables para contener y remediar la violación. La notificación de Brokly no constituye un reconocimiento de culpa o responsabilidad. El Cliente es responsable de cualquier notificación a las autoridades o a los Titulares que le corresponda como Responsable.
9. Datos Desidentificados; Mejora del Servicio
El Cliente reconoce e instruye que Brokly podrá crear datos desidentificados y/o agregados a partir de los Datos Personales — tales como patrones de interacción, estructuras de conversación, flujos de calificación y métricas de resultados — y usarlos para mejorar los modelos, prompts y el Servicio de Brokly, siempre que (a) dichos datos no identifiquen, ni puedan razonablemente usarse para identificar, al Cliente o a cualquier Titular; (b) Brokly mantenga y no intente revertir la desidentificación; y (c) se excluya la información personal sensible de los conjuntos de datos de mejora. Los datos desidentificados no son Datos Personales bajo esta DPA.
10. Transferencias Internacionales
El Cliente reconoce que los Datos Personales serán tratados en los Estados Unidos y en otros países donde operan los Subencargados de Brokly. Brokly (a) transferirá Datos Personales únicamente a Subencargados sujetos a protecciones contractuales consistentes con la Sección 6.2; y (b) cuando las Leyes de Protección de Datos aplicables exijan un mecanismo de transferencia específico o salvaguardas adicionales para las transferencias internacionales, cooperará con el Cliente para implementarlos (incluyendo la celebración de cláusulas contractuales estándar o equivalentes locales cuando se requiera). El Cliente, como Responsable, es responsable de confirmar que la transferencia es permisible bajo su ley local y de obtener cualquier autorización requerida de los Titulares o de las autoridades.
11. Auditorías e Información
11.1 A solicitud escrita del Cliente (no más de una vez por período de 12 meses, salvo una Violación de Datos Personales o evidencia de incumplimiento material), Brokly pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de esta DPA, que podrá incluir documentación de seguridad, certificaciones o resúmenes de auditorías de terceros cuando estén disponibles.
11.2 Si la información proporcionada es insuficiente y las Leyes de Protección de Datos aplicables otorgan al Cliente un derecho de auditoría, el Cliente (o un auditor independiente sujeto a confidencialidad, que no sea competidor de Brokly) podrá realizar una auditoría a expensas del Cliente, durante el horario laboral, con al menos 30 días de aviso, de una manera que no interrumpa las operaciones de Brokly ni comprometa los datos de otros clientes.
12. Devolución y Eliminación
Tras la terminación o expiración del Acuerdo, o tras la eliminación por parte del Cliente de Datos Personales específicos o de su cuenta, Brokly eliminará los Datos Personales de sus bases de datos de producción dentro de los 15 días hábiles, excepto (a) los datos que Brokly deba conservar conforme a la ley aplicable (conservados solo por el tiempo requerido y luego eliminados), y (b) las copias residuales en respaldos cifrados, eliminadas en el ciclo ordinario de rotación de respaldos y no restauradas a producción salvo para recuperación ante desastres. Durante la vigencia activa (incluido cualquier período de acceso posterior a la cancelación), el Cliente podrá exportar sus Datos Personales usando las herramientas del Servicio o mediante solicitud. A solicitud escrita del Cliente, Brokly confirmará la eliminación por escrito.
13. Cuentas Enterprise
En las cuentas Enterprise, el Responsable es la entidad contratante (agencia, firma o desarrolladora), y los Datos Personales tratados bajo la cuenta — incluidos los datos relativos a los agentes individuales de la entidad que actúan como Usuarios — se tratan bajo las instrucciones de la entidad. La entidad es responsable de sus autorizaciones internas, la gestión de roles y la base legal para el tratamiento de los datos de sus agentes y Leads.
14. Responsabilidad; Vigencia; Generales
14.1 La responsabilidad de cada parte bajo esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo, que aplican de forma agregada en el conjunto del Acuerdo y de esta DPA, salvo en la medida en que las Leyes de Protección de Datos aplicables prohíban dicha limitación.
14.2 Esta DPA entra en vigor con la aceptación del Acuerdo (o la firma de esta DPA, si se firma por separado) y permanece vigente mientras Brokly trate Datos Personales por cuenta del Cliente.
14.3 Si alguna disposición de esta DPA es inválida bajo las Leyes de Protección de Datos aplicables, las partes la reemplazarán por una disposición válida que refleje de la manera más cercana posible su intención; el resto permanece vigente. Esta DPA se rige por la ley que rige el Acuerdo, salvo cuando las Leyes de Protección de Datos aplicables dispongan otra cosa de forma imperativa.
ANEXO 1 — DETALLES DEL TRATAMIENTO
Materia: Provisión de la plataforma Brokly: un servicio de operaciones potenciado por IA para profesionales inmobiliarios que responde, califica y agenda los leads del Cliente vía WhatsApp y gestiona el pipeline, el inventario y el calendario del Cliente.
Duración: La vigencia del Acuerdo más el período de eliminación de la Sección 12.
Naturaleza y finalidad del tratamiento: Recepción, almacenamiento, análisis y generación de mensajes conversacionales; calificación y puntuación de leads; emparejamiento de propiedades contra el inventario del Cliente; agendamiento de citas y recordatorios; creación y actualización de registros de CRM/pipeline; reportes al Cliente; seguridad y soporte.
Categorías de Titulares:
- Los prospectos, leads y clientes del Cliente ("Leads");
- Los usuarios/agentes autorizados del Cliente (cuentas Enterprise);
- Otras personas cuyos datos el Cliente presenta a través del Servicio (p. ej., propietarios o arrendatarios referenciados en publicaciones o conversaciones).
Categorías de Datos Personales:
- Datos de identificación y contacto: nombre, número de teléfono, identificadores de WhatsApp, correo electrónico cuando se proporcione;
- Contenido y metadatos de conversaciones (marcas de tiempo, canal);
- Datos de preferencias comerciales: intereses de propiedad, presupuesto, zonas deseadas, uso previsto, composición del hogar según lo declarado voluntariamente por el Lead;
- Datos de citas y visitas: fechas, horas, ubicaciones, estado de asistencia;
- Datos de pipeline/CRM: etapa, notas, puntuaciones de calificación;
- Datos de propietarios/arrendatarios incluidos en publicaciones o registros de transacciones, según los presente el Cliente.
Datos sensibles: No se pretende tratarlos. El Cliente no debe presentar ni solicitar categorías sensibles de datos (salud, biométricos, origen racial o étnico, creencias religiosas o políticas, etc.) ni datos de menores como Leads. Los datos sensibles incidentales aportados voluntariamente por un Titular en mensajes de texto libre se almacenarán como parte de la conversación, pero se excluyen de los conjuntos de datos de mejora del Servicio conforme a la Sección 9.
ANEXO 2 — MEDIDAS TÉCNICAS Y ORGANIZATIVAS
- Cifrado: Datos Personales cifrados en tránsito (TLS) entre los clientes, la plataforma y los Subencargados; cifrado en reposo en infraestructura gestionada (AWS/PlanetScale).
- Control de acceso: Acceso basado en roles; acceso a los datos de producción limitado al personal autorizado sobre la base de la necesidad de conocer; requisitos de autenticación para el acceso del personal; registro del acceso administrativo.
- Seguridad de red e infraestructura: Infraestructura de nube gestionada (AWS, Cloudflare) con protecciones de red, mitigación de DDoS y segregación de entornos entre producción y no producción.
- Seguridad de aplicaciones: Prácticas de desarrollo seguro; gestión de dependencias y vulnerabilidades; aislamiento de inquilinos (tenant isolation) para que cada Cliente acceda solo a sus propios datos.
- Gestión de Subencargados: Requisitos contractuales de protección de datos; restricción de que los proveedores de modelos de IA usen los Datos Personales para su propio entrenamiento; exclusión de la información personal sensible de los datos enviados con fines de mejora.
- Respaldos y resiliencia: Respaldos cifrados con rotación definida; procedimientos de recuperación ante desastres.
- Respuesta a incidentes: Procedimientos para detectar, escalar, contener y notificar Violaciones de Datos Personales (Sección 8).
- Minimización y retención de datos: Recolección limitada a lo que el Servicio requiere; eliminación conforme a la Sección 12; desidentificación/agregación antes del uso para la mejora del Servicio.
- Personal: Compromisos de confidencialidad; expectativas de concientización en seguridad para el personal con acceso a datos.
ANEXO 3 — SUBENCARGADOS AUTORIZADOS (a 6 de julio de 2026)
| Subencargado | Finalidad | Ubicación del tratamiento |
|---|---|---|
| Amazon Web Services (AWS) | Alojamiento y almacenamiento en la nube | Estados Unidos [/other regions used] |
| PlanetScale | Base de datos gestionada | Estados Unidos [/other regions used] |
| Cloudflare | Infraestructura de red, CDN y seguridad | Global (red edge) |
| Stripe | Procesamiento de pagos (datos de facturación del Cliente) | Estados Unidos |
| Kapso | Proveedor de Soluciones de WhatsApp Business (transmisión de mensajes) | [Location] |
| Meta Platforms (WhatsApp Business Platform) | Infraestructura de entrega de mensajes | Estados Unidos / global |
| OpenAI | Inferencia de modelos de IA para respuestas conversacionales | Estados Unidos |
| Inferencia de modelos de IA para respuestas conversacionales | Estados Unidos / global | |
| [Open-source model hosting provider(s)] | Inferencia de modelos de IA | [Location] |
La lista actual se mantiene en [URL]. Brokly proporcionará aviso de los cambios conforme a la Sección 6.3.