Acuerdo de procesamiento de datos (DPA)
Última actualización: 2026-04-22 · v2026-04-22
Partes
Este acuerdo es entre el Cliente (Controller) y GuestOS, operado por Pintado.AI LLC (Processor). Aplica a cuentas Business y Enterprise que procesan datos de terceros (invitados, asistentes) a través de GuestOS.
Alcance
GuestOS procesa datos personales de invitados en nombre del Cliente solo para ejecutar los eventos que el Cliente crea: listas RSVP, seating, check-in, comunicaciones event-related y reportes post-evento.
Categorías de datos
Nombre, email, teléfono (opcional), dietary restrictions (opcional), mesa asignada, estado de RSVP, check-in timestamp, fotos subidas al Memory Wall (si el host lo activa).
Sub-procesadores
Supabase (base de datos), Vercel (hosting), Resend (email), Upstash (rate-limiting), Anthropic (AI features — solo con consentimiento del Cliente), Stripe (payments).
Seguridad
TLS 1.2+ en tránsito, bcrypt para passwords, audit log inmutable, Row-Level Security en tablas sensibles, 2FA opcional para cuentas Business+.
Derechos de los interesados
El Cliente es responsable de atender solicitudes GDPR (acceso, borrado, portabilidad) de sus invitados. GuestOS asiste proporcionando endpoints de export y delete por evento.
Notificación de breach
GuestOS notificará al Cliente dentro de 72 horas de detectar un breach que afecte datos procesados en su nombre, conforme a GDPR Art. 33.
Terminación
Al cancelar la suscripción, el Cliente tiene 30 días para exportar sus datos. Después, los datos se eliminan automáticamente excepto aquellos requeridos por ley.
Contacto DPO
Consultas sobre este acuerdo: hola@guestos.app. Dirección postal: Bayamón, Puerto Rico.