Omyo

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 30 de abril de 2026

1. Partes y propósito

Este Acuerdo de Procesamiento de Datos (en adelante, el "DPA") se celebra entre:

  • Empresa Carrito Digital S.R.L. (CUIT 30-71782740-2), responsable del servicio Omyo (en adelante, "Omyo" o el "Encargado"); y
  • El Cliente que contrata el Servicio (en adelante, el "Responsable"),

y forma parte integrante de los Términos y Condiciones de Servicio de Omyo.

El presente DPA regula el tratamiento por parte de Omyo de los datos personales que el Responsable nos confía respecto de sus Usuarios Finales en el marco del uso del Servicio.

2. Definiciones

Los términos en mayúscula no definidos en este DPA tienen el significado asignado en los Términos y Condiciones o en la Política de Privacidad de Omyo.

  • "Datos Personales": cualquier información referida a personas humanas identificadas o identificables, conforme la Ley 25.326 y normativas equivalentes.
  • "Tratamiento": cualquier operación efectuada sobre Datos Personales (recolección, almacenamiento, modificación, consulta, transmisión, supresión, etc.).
  • "Responsable": la persona física o jurídica que determina los fines y medios del tratamiento; en este DPA, el Cliente.
  • "Encargado": la persona física o jurídica que trata Datos Personales por cuenta del Responsable; en este DPA, Omyo.
  • "Usuarios Finales": las personas que interactúan con los agentes conversacionales del Cliente.

3. Objeto y alcance

El Responsable encarga a Omyo el Tratamiento de Datos Personales de Usuarios Finales con el único fin de:

  • Recibir, almacenar y procesar mensajes de Usuarios Finales hacia los agentes del Cliente.
  • Generar respuestas mediante modelos de inteligencia artificial.
  • Proveer al Cliente acceso a transcripciones, métricas y configuración.
  • Mantener la seguridad y disponibilidad del Servicio (rate limiting, prevención de fraude, etc.).

Omyo no Tratará los Datos Personales para ninguna finalidad propia distinta de las anteriores, salvo que medie obligación legal.

4. Tipos de datos y categorías de interesados

4.1 Categorías de interesados

  • Usuarios Finales del Cliente (clientes, prospectos, contactos del Cliente que interactúan con los agentes desplegados).

4.2 Categorías de Datos Personales

  • Identificadores: nombre, alias, número de teléfono, email (cuando el Usuario Final los provee).
  • Contenido conversacional: mensajes enviados por el Usuario Final al agente.
  • Datos técnicos: IP (parcialmente hasheada con sal rotativa), user agent, timestamps.
  • Cualquier otro Dato Personal que el Usuario Final voluntariamente proporcione durante la conversación.

4.3 Datos sensibles

El Responsable se compromete a no permitir que se procesen datos sensibles a través del Servicio sin haber implementado las salvaguardas adicionales requeridas por la legislación aplicable. Omyo no es responsable por el ingreso de datos sensibles por parte de Usuarios Finales fuera del control razonable de las partes.

5. Obligaciones de Omyo como Encargado

Omyo se compromete a:

(a) Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal.

(b) Garantizar que su personal autorizado a tratar los Datos Personales esté sujeto a obligaciones de confidencialidad.

(c) Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo (sin limitación) las descritas en el Anexo I.

(d) Asistir razonablemente al Responsable, mediante medidas técnicas y organizativas, en el cumplimiento de las solicitudes de ejercicio de derechos por parte de los Usuarios Finales.

(e) Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas a las autoridades de control, cuando resulten aplicables.

(f) A elección del Responsable, suprimir o devolver todos los Datos Personales tras la terminación del contrato, salvo que la legislación aplicable exija su conservación.

(g) Poner a disposición del Responsable toda la información razonable necesaria para demostrar el cumplimiento de las obligaciones del presente DPA.

6. Sub-encargados

El Responsable autoriza a Omyo a contratar Sub-encargados para la prestación del Servicio. La lista actual de Sub-encargados se encuentra publicada en la Política de Privacidad e incluye, sin limitación:

  • Anthropic, PBC (Estados Unidos)
  • OpenAI, L.L.C. (Estados Unidos)
  • Supabase, Inc. (Estados Unidos)
  • Vercel Inc. (Estados Unidos / global)
  • Inngest, Inc. (Estados Unidos)
  • Resend, Inc. (Estados Unidos)

Omyo notificará al Responsable cualquier cambio relativo a la incorporación o sustitución de Sub-encargados con razonable antelación. El Responsable podrá objetar dichos cambios cuando existan motivos razonables vinculados a la protección de Datos Personales; en cuyo caso, las partes negociarán de buena fe una solución, pudiendo incluir la terminación del Servicio.

Omyo se asegurará de que los Sub-encargados estén sujetos a obligaciones equivalentes a las del presente DPA.

7. Transferencias internacionales

Algunos Sub-encargados están ubicados fuera de Argentina. Las transferencias internacionales se basan en:

  • Decisiones de adecuación de la autoridad de control, cuando existan.
  • Cláusulas contractuales tipo o instrumentos equivalentes.
  • Otras salvaguardas reconocidas por la normativa aplicable.

8. Notificación de incidentes de seguridad

En caso de detectar un incidente de seguridad que afecte Datos Personales del Responsable, Omyo se compromete a:

  • Notificar al Responsable sin demora indebida y, en todo caso, dentro de las setenta y dos (72) horas de tomar conocimiento.
  • Proporcionar información razonable sobre la naturaleza del incidente, las categorías y volumen aproximado de datos afectados, las medidas adoptadas o propuestas, y los puntos de contacto pertinentes.
  • Cooperar razonablemente con el Responsable en la respuesta al incidente, incluyendo la notificación a las autoridades y a los interesados cuando corresponda.

9. Auditoría

El Responsable tiene derecho, a su costo y previo aviso razonable, a verificar el cumplimiento por parte de Omyo de las obligaciones del presente DPA, mediante:

  • Solicitud de información documental.
  • Auditoría conducida por el Responsable o por un tercero independiente, sujeta a obligaciones de confidencialidad.

Omyo podrá satisfacer este derecho proporcionando informes de auditoría de terceros (SOC 2, ISO 27001 u otros) generados por sus Sub-encargados o por sí misma, cuando estén disponibles.

Las auditorías no podrán realizarse más de una vez al año salvo que existan motivos razonables, y deberán llevarse a cabo durante horario hábil minimizando el impacto operativo.

10. Devolución y eliminación de datos

Tras la terminación del contrato, Omyo procederá a la eliminación o devolución de los Datos Personales del Responsable conforme a lo establecido en los Términos y Condiciones (típicamente, ventana de noventa días para exportación, posterior eliminación). Las copias de respaldo serán eliminadas en los ciclos de rotación habituales.

Omyo podrá conservar Datos Personales únicamente cuando exista una obligación legal de conservación, y por el plazo mínimo necesario.

11. Responsabilidad

La responsabilidad de cada parte bajo el presente DPA está sujeta a las limitaciones establecidas en los Términos y Condiciones de Servicio.

12. Vigencia

Este DPA tiene la misma vigencia que el contrato principal con el Cliente, y las obligaciones de confidencialidad y devolución/eliminación subsistirán tras su terminación según corresponda.

13. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República Argentina y se somete a la jurisdicción exclusiva de los Tribunales Ordinarios de la Ciudad Autónoma de Buenos Aires, conforme lo establecido en los Términos y Condiciones.

Anexo I — Medidas técnicas y organizativas de seguridad

Omyo implementa, sin carácter exhaustivo, las siguientes medidas:

Medidas técnicas

  • Cifrado: HTTPS/TLS para todas las comunicaciones; cifrado en reposo cuando los Sub-encargados lo proveen.
  • Control de accesos: autenticación con contraseñas hasheadas, control basado en roles, Row Level Security (RLS) en la base de datos.
  • Segmentación: aislamiento lógico entre cuentas de Clientes en la base de datos.
  • Hash de IP de Usuarios Finales: con sal rotativa para minimizar la trazabilidad.
  • Rate limiting: en múltiples capas para prevenir abuso.
  • Backups y recuperación: gestionados por los Sub-encargados de infraestructura.
  • Eliminación programada: jobs automáticos para purgar datos vencidos.

Medidas organizativas

  • Acceso al menor privilegio: solo personal autorizado accede a los datos en producción.
  • Confidencialidad: el personal está sujeto a obligaciones de confidencialidad.
  • Sub-encargados verificados: selección de proveedores con certificaciones de seguridad reconocidas (SOC 2, ISO 27001, etc.).
  • Revisión periódica: revisión de configuraciones de seguridad y dependencias.

Estas medidas pueden ser actualizadas y mejoradas conforme evolucione la Plataforma y el estado del arte tecnológico.