Legal · DPA

Acuerdo de Procesamiento de Datos

Última actualización: 2026-04-24

1. Partes y rol

Este Acuerdo de Procesamiento de Datos ("DPA") complementa los Términos de uso de FleetCore. El Cliente actúa como Responsable de los datos personales que carga en la plataforma (operadores, contactos de cliente, usuarios). Wave Design S. de R.L. de C.V. ("Wave Design") actúa como Encargado del tratamiento, conforme al Artículo 50 LFPDPPP (México) y al Artículo 28 GDPR (UE).

2. Objeto del tratamiento

Wave Design tratará los datos personales únicamente para:

  • Prestar el Servicio FleetCore (alojamiento, ejecución, soporte).
  • Generar respaldos cifrados y aplicar medidas de seguridad.
  • Cumplir con obligaciones legales aplicables.
  • Generar métricas agregadas y anonimizadas para mejorar el Servicio.

Wave Design no venderá, alquilará ni compartirá los datos del Cliente con terceros distintos a los Subprocesadores listados en Subprocesadores.

3. Categorías de datos y titulares

Categorías de titulares: usuarios del Cliente, operadores de grúa, contactos comerciales del Cliente.

Categorías de datos: identificación (nombre, RFC, CURP, NSS), contacto (email, teléfono, domicilio), laboral (puesto, salario, fechas), documentación normativa (licencia, DC-3, apto médico) y telemetría operativa (geolocalización en horario laboral).

4. Medidas técnicas y organizativas

  • Aislamiento físico por base de datos por tenant (DB-per-tenant).
  • Cifrado en tránsito TLS 1.3 obligatorio en todos los endpoints.
  • Autenticación con contraseña + 2FA obligatorio para roles administrativos.
  • Control de acceso basado en roles (RBAC) auditado.
  • Bitácora inmutable de cierre de servicios con hash SHA-256.
  • Respaldos diarios cifrados con verificación semanal de restauración.
  • Acceso a producción restringido por SSH con clave + IP allowlist.
  • Política de mínimo privilegio para personal Wave Design.

5. Subprocesadores

Wave Design podrá contratar Subprocesadores para proveer infraestructura (hosting, correo, telemetría, pagos). La lista actualizada se publica en fleetcore.cloud/subprocesadores y se notifica al Cliente con 30 días de anticipación antes de incorporar nuevos.

6. Derechos ARCO y solicitudes del titular

Wave Design asistirá al Cliente para responder a solicitudes de Acceso, Rectificación, Cancelación u Oposición (ARCO) de los titulares, en un plazo no mayor a 20 días hábiles desde la recepción.

7. Notificación de incidentes

En caso de vulneración de seguridad que afecte a datos personales, Wave Design notificará al Cliente sin demora injustificada y dentro de las 72 horas posteriores a su detección, con la información disponible (naturaleza, alcance, medidas adoptadas).

8. Devolución y eliminación

Al término del Servicio, el Cliente podrá exportar íntegramente sus datos durante 30 días naturales. Al vencer ese plazo, Wave Design eliminará la base de datos del tenant, los respaldos asociados y emitirá constancia de borrado al correo del administrador (cron tenants:purge-expired).

9. Auditoría

El Cliente podrá solicitar, una vez al año y con previo aviso de 30 días, evidencias documentales sobre las medidas de seguridad implementadas (políticas, reportes de health-check, registros de acceso).

10. Transferencias internacionales

Los datos del Cliente se almacenan en servidores ubicados en territorio de la Unión Europea (Hostinger — Frankfurt). Los Subprocesadores que tratan datos fuera de la UE (p. ej. Stripe — EE. UU.) operan bajo Cláusulas Contractuales Tipo (SCC) o equivalentes legales aprobados.

11. Vigencia y ley aplicable

Este DPA está vigente mientras Wave Design preste el Servicio al Cliente. Se rige por las leyes de los Estados Unidos Mexicanos. Las partes someten cualquier controversia a los tribunales del Estado de México.

12. Contacto del Encargado

Para asuntos relacionados con este DPA contacta al Oficial de Privacidad en privacidad@fleetcore.cloud o vía wavedesign.com.mx.