Acuerdo de Procesamiento de Datos

Onflay LLC
Última actualización: 19 de junio de 2026

Este Acuerdo de Procesamiento de Datos es un documento independiente para creadores que actúan como responsables del tratamiento de datos. Complementa la Política de Privacidad y los Términos de Servicio de Onflay. Si eres un creador sujeto al GDPR, UK GDPR, LGPD o LPDP y procesas datos personales de compradores en tu propia capacidad como responsable del tratamiento, este DPA regula las obligaciones de Onflay como tu encargado del tratamiento de datos.


1. Propósito y Alcance

Este Acuerdo de Procesamiento de Datos ("DPA") regula el procesamiento de datos personales por parte de Onflay LLC ("Onflay", "Encargado") en nombre de los Creadores ("Responsable") que usan la Plataforma de Onflay.

Este DPA aplica cuando Onflay procesa datos personales —incluidos datos personales de los Clientes de los Creadores— como encargado del tratamiento actuando en nombre de Creadores que son responsables del tratamiento. Se celebra como parte de la aceptación por parte del Creador de los Términos y Condiciones de Onflay.

Ley aplicable. Este DPA está redactado para abordar obligaciones bajo:

  • GDPR — Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), cuando aplique.
  • UK GDPR — UK GDPR según se define en la Ley de Protección de Datos de 2018 del Reino Unido, cuando aplique.
  • LGPD — Lei Geral de Proteção de Dados (Lei No. 13.709/2018, Brasil), cuando aplique.
  • LPDP — Ley No. 172-13 sobre Protección de Datos de Carácter Personal (República Dominicana), cuando aplique.

Cuando un término se defina de forma diferente en estos regímenes, la definición más protectora se aplicará a los usuarios correspondientes.


2. Definiciones

  • "Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable, según se defina bajo la ley de protección de datos aplicable en la jurisdicción correspondiente.
  • "Responsable" significa el Creador, quien determina los fines y medios del procesamiento de Datos Personales de sus Clientes y otros titulares de datos.
  • "Encargado" significa Onflay LLC, que procesa Datos Personales en nombre del Responsable.
  • "Subencargado" significa cualquier tercero contratado por Onflay para procesar Datos Personales en relación con la Plataforma.
  • "Titular de los Datos" significa la persona física cuyos Datos Personales son procesados (normalmente un Cliente o empleado/asociado del Creador).
  • "Procesamiento" tiene el significado otorgado bajo la ley de protección de datos aplicable.
  • "Ley de Protección de Datos Aplicable" significa GDPR, UK GDPR, LGPD, LPDP y cualquier otra ley nacional o regional de protección de datos aplicable a las actividades de procesamiento bajo este DPA.

3. Objeto, Duración y Naturaleza del Procesamiento

3.1 Objeto

Onflay procesa Datos Personales de Clientes y titulares de datos relacionados con Creadores en el curso de la prestación de la Plataforma, incluyendo procesamiento de pagos, checkout, facturación de suscripciones, desembolso de payouts, gestión de fraude y riesgo, comunicaciones con clientes y analítica.

3.2 Duración

El procesamiento continúa durante el período en que el Creador use activamente la Plataforma y durante el período posterior que sea necesario para cumplir obligaciones legales de conservación, resolver disputas pendientes, cumplir requisitos regulatorios o según se requiera de otro modo bajo este DPA o la ley aplicable.

3.3 Naturaleza del Procesamiento

Las actividades de procesamiento incluyen: recopilación en el checkout, almacenamiento en la base de datos de Onflay, transmisión a Subencargados autorizados por categoría de proveedor de servicios, analítica, evaluación de fraude y riesgo, integraciones de calendario y reuniones cuando estén habilitadas por el Creador, y conservación en cumplimiento de obligaciones legales.

3.4 Categorías de Datos Personales Procesados

Categoría Elementos de Datos Titulares de los Datos
Información de cuenta del Cliente Correo electrónico, nombre, país, preferencia de idioma Clientes
Información de checkout Correo electrónico, nombre, país, monto de la transacción, detalles de citas Clientes
Datos de eventos de pago Identificadores de transacción, estado del pago, estado de disputa Clientes
Información de perfil del Creador Nombre visible, país, respuestas de evaluación, referencia de cuenta de procesador de pago Creadores
Información de método de payout Referencias de cuenta de procesador de pago, detalles de destinatario de transferencia bancaria, detalles de cuenta externa, detalles bancarios locales/SWIFT, nombre del titular, país, moneda, identificadores de payout Creadores
Información de integraciones conectadas Identificadores de cuenta de calendario o reuniones, tokens OAuth, permisos autorizados, identificadores de calendario, metadatos de eventos, configuraciones de disponibilidad, metadatos de reuniones Creadores

Onflay nunca conserva datos de tarjetas de pago. Stripe procesa y conserva directamente los datos de tarjeta.

3.5 Fines del Procesamiento

El procesamiento se realiza para los fines descritos en la Política de Privacidad y los Términos de Onflay, incluyendo: procesamiento de transacciones; facilitación de pagos; gestión de payouts; gestión de fraude y riesgo; cumplimiento legal y regulatorio; y comunicaciones con clientes.


4. Instrucciones del Responsable

4.1 Procesamiento bajo Instrucciones

Onflay procesa Datos Personales únicamente conforme a instrucciones documentadas del Responsable (Creador), según se reflejan en este DPA, los Términos y el Acuerdo de Servicios para Vendedores. Onflay no procesará Datos Personales para ningún otro propósito, excepto cuando lo exija la ley aplicable.

4.2 Notificación de Instrucciones en Conflicto

Si Onflay considera que una instrucción del Responsable infringe la ley de protección de datos aplicable, Onflay notificará prontamente al Responsable. Onflay no está obligado a seguir instrucciones que causen que viole la ley aplicable.

4.3 Responsabilidades del Responsable

El Responsable garantiza que tiene una base legal válida para instruir a Onflay a procesar Datos Personales bajo cada ley de protección de datos aplicable y que ha cumplido todas las obligaciones necesarias de transparencia y consentimiento frente a los Titulares de los Datos.


5. Obligaciones de Onflay como Encargado

5.1 Confidencialidad

Onflay garantiza que las personas autorizadas a procesar Datos Personales estén sujetas a obligaciones de confidencialidad adecuadas.

5.2 Seguridad

Onflay implementa y mantiene medidas técnicas y organizativas de seguridad adecuadas, incluyendo: transmisión cifrada de datos (TLS); almacenamiento de credenciales con hash; controles de acceso basados en roles; registro de auditoría de acciones administrativas; y verificación criptográfica de notificaciones de eventos de pago. Ninguna medida de seguridad es perfecta; Onflay no puede garantizar seguridad absoluta.

5.3 Asistencia con Derechos de los Titulares de los Datos

Onflay proporcionará asistencia razonable al Responsable para responder a solicitudes de derechos de los Titulares de los Datos bajo la ley aplicable, incluyendo:

  • GDPR/UK GDPR: Acceso, rectificación, supresión, restricción, portabilidad, oposición.
  • LGPD: Acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición, revocación del consentimiento, revisión de decisiones automatizadas.
  • LPDP: Derechos ARSO (acceso, rectificación, supresión, oposición).

La asistencia se proporcionará tomando en cuenta la naturaleza del procesamiento. Cuando un Titular de los Datos contacte directamente a Onflay con una solicitud de derechos, Onflay remitirá prontamente la solicitud al Responsable si el asunto cae dentro de las responsabilidades del Responsable.

5.4 Notificación de Brechas

Onflay notificará al Responsable sin demora indebida al tener conocimiento de una brecha de Datos Personales que afecte Datos Personales procesados bajo este DPA. La notificación incluirá, en la medida disponible: la naturaleza de la brecha; las categorías y el número aproximado de Titulares de los Datos y registros afectados; las consecuencias probables; y las medidas tomadas o propuestas. Onflay alineará la notificación de brechas con el plazo aplicable más estricto — 72 horas bajo GDPR, 72 horas bajo LPDP (estándar), y plazo razonable bajo LGPD según la guía de la ANPD.

5.5 Asistencia con Evaluación de Impacto en Protección de Datos

Cuando sea requerido bajo la ley aplicable (por ejemplo, DPIA bajo el Art. 35 del GDPR; Art. 38 de la LGPD), Onflay proporcionará asistencia razonable al Responsable para realizar evaluaciones de impacto en protección de datos, en la medida en que el procesamiento relevante esté bajo el control de Onflay.

5.6 Eliminación o Devolución de Datos

Tras la terminación de la cuenta del Creador y la finalización de cualquier período obligatorio de conservación, Onflay eliminará o dejará de poner a disposición los Datos Personales procesados bajo este DPA, excepto cuando lo exija la ley aplicable. Onflay puede conservar datos anonimizados o agregados que no sean atribuibles a Titulares de los Datos individuales.


6. Subencargados

6.1 Autorización General

El Responsable otorga por la presente a Onflay autorización general para contratar Subencargados para las actividades de procesamiento descritas en este DPA. Onflay mantiene un registro interno actualizado de Subencargados que incluye nombres de proveedores, roles de procesamiento, ubicaciones o regiones de procesamiento cuando estén disponibles, categorías de Datos Personales procesados y salvaguardas de transferencia aplicables. El Responsable puede solicitar el registro actual contactando a privacy@onflay.com o legal@onflay.com.

6.2 Requisitos para Subencargados

Onflay impone obligaciones de protección de datos a los Subencargados equivalentes a las de este DPA mediante acuerdos contractuales (incluidos acuerdos de procesamiento de datos a nivel de plataforma con Stripe). Onflay sigue siendo responsable ante el Responsable por el desempeño de los Subencargados.

6.3 Subencargados Nuevos o Modificados

Onflay informará al Responsable de cualquier incorporación o reemplazo previsto de Subencargados. El Responsable puede objetar un nuevo Subencargado por motivos razonables de protección de datos notificando a Onflay en legal@onflay.com dentro de los 14 días posteriores a la notificación. Si las partes no pueden resolver una objeción razonable, el Creador puede terminar su cuenta.


7. Transferencias Internacionales de Datos

7.1 Transferencias a los Estados Unidos

Los Datos Personales de Creadores y Clientes se transfieren y procesan en los Estados Unidos por Onflay y sus Subencargados autorizados. Los mecanismos de transferencia aplicables a cada jurisdicción de origen son:

Desde la UE/EEE: Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea, o decisiones de adecuación aplicables. Onflay confirmará y ejecutará SCCs con los Subencargados relevantes antes de procesar datos de usuarios de la UE a escala.

Desde el Reino Unido: Acuerdo Internacional de Transferencia de Datos del Reino Unido (UK IDTA) o SCCs con anexo del Reino Unido, a confirmar antes del lanzamiento en el Reino Unido.

Desde Brasil (LGPD): Salvaguardas contractuales consistentes con el Art. 33 de la LGPD. Onflay confirmará la base de transferencia aplicable con los Subencargados relevantes a medida que las operaciones en Brasil escalen.

Desde la República Dominicana (LPDP): Salvaguardas contractuales consistentes con la Ley 172-13 para datos transferidos a terceros países. Onflay confirmará el mecanismo de transferencia aplicable a medida que las operaciones en la RD lo requieran.

Desde otras jurisdicciones de LATAM: Salvaguardas contractuales aplicables según lo requiera la ley local, confirmadas por mercado a medida que la expansión LATAM avance.


8. Derechos de Auditoría

El Responsable puede, con aviso razonable (no menor a 30 días) y no más de una vez por año, solicitar una auditoría de las actividades de procesamiento de datos de Onflay bajo este DPA. Onflay puede satisfacer este derecho proporcionando un informe resumido, certificaciones relevantes o (cuando lo exija la ley aplicable) facilitando una auditoría in situ a cargo del Responsable. Los derechos de auditoría no pueden ejercerse de manera que interfieran con las operaciones de Onflay o expongan datos confidenciales de otros responsables.


9. Disposiciones Específicas por Jurisdicción

9.1 Específicas de GDPR / UK GDPR

Cuando aplique GDPR o UK GDPR, este DPA constituye un acuerdo de procesamiento de datos conforme al Artículo 28 / equivalente del Reino Unido. Onflay cooperará con la autoridad supervisora relevante según se requiera.

9.2 Específicas de LGPD (Brasil)

Cuando aplique LGPD, este DPA refleja los requisitos de los Arts. 37-39 de la LGPD que rigen la relación entre Responsable y Operador. Onflay, como Operador bajo LGPD, procesa datos siguiendo las instrucciones del Responsable y de acuerdo con este DPA. El Responsable es responsable de cumplir obligaciones propias del Responsable bajo LGPD, incluyendo mantener registros de actividades de procesamiento bajo el Art. 37.

9.3 Específicas de LPDP (República Dominicana)

Cuando aplique LPDP, este DPA refleja las obligaciones de manejo de datos impuestas a partes que procesan datos personales de residentes dominicanos. Onflay complementará esta sección con los requisitos contractuales específicos de la jurisdicción a medida que la orientación legal dominicana sea confirmada.


10. Contacto

Para consultas relacionadas con procesamiento de datos y DPA:

Onflay LLC — Privacidad
1021 E Lincolnway, Suite 10028
Cheyenne, Wyoming 82001
Estados Unidos
Email: privacy@onflay.com