Legal

Adendum de Tratamiento de Datos

Adendum suscrito entre el Cliente (Responsable) y LEADWAY CRM SOFTWARE BY LEVA, S.A. de C.V. (Encargado) para el tratamiento de datos personales de los Contactos del Cliente, conforme a la LFPDPPP, su Reglamento y, donde aplique, al RGPD (Art. 28).

Última actualización: 18 de mayo de 2026

1. Preámbulo y partes

El presente Adendum de Tratamiento de Datos (en adelante, el "DPA") se incorpora a los Términos del Servicio celebrados entre LEADWAY CRM SOFTWARE BY LEVA, S.A. de C.V. ("Leadway") y el Cliente que contrata los Servicios de la Plataforma (en conjunto, las "Partes"), y regula el tratamiento de datos personales que Leadway lleva a cabo por cuenta del Cliente.

Este DPA se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la "Ley" o "LFPDPPP"), su Reglamento y los Lineamientos del Aviso de Privacidad, y —cuando aplique al Cliente o a sus Contactos— por el Reglamento (UE) 2016/679 ("RGPD") en lo relativo al artículo 28 (Encargado del tratamiento).

En caso de conflicto entre los Términos del Servicio y el presente DPA respecto del tratamiento de datos personales, prevalecerá el DPA.

2. Definiciones

Para efectos del presente DPA, los términos en mayúscula tendrán el significado señalado en los Términos del Servicio y, adicionalmente:

  • Datos Personales: cualquier información concerniente a una persona física identificada o identificable (Titular) que el Cliente cargue, ingrese, transmita o procese a través de la Plataforma. Para efectos del RGPD, se entenderá equivalente a personal data.
  • Titular: la persona física a quien corresponden los Datos Personales (los Contactos del Cliente: prospectos, leads, clientes finales, empleados, etc.).
  • Responsable: la persona moral o física que decide sobre el tratamiento de los Datos Personales. Para efectos del presente DPA, el Cliente actúa como Responsable respecto de los Datos Personales de sus Contactos. Equivalente a controller bajo el RGPD.
  • Encargado: la persona moral o física que trata Datos Personales por cuenta del Responsable, conforme a sus instrucciones. Para efectos del presente DPA, Leadway actúa como Encargado. Equivalente a processor bajo el RGPD.
  • Sub-encargado: cualquier tercero contratado por Leadway para llevar a cabo, parcialmente, el tratamiento de Datos Personales del Cliente.
  • Brecha de Seguridad: cualquier vulneración, pérdida, alteración, destrucción, uso, acceso o divulgación no autorizada de Datos Personales tratados por Leadway o sus Sub-encargados.
  • Tratamiento: la obtención, uso, divulgación, almacenamiento, comunicación, transferencia, conservación o supresión de Datos Personales por cualquier medio.
  • Derechos ARCO: los derechos de Acceso, Rectificación, Cancelación y Oposición reconocidos por la Ley.

3. Objeto y alcance

El objeto del presente DPA es establecer las obligaciones y condiciones bajo las cuales Leadway, en su carácter de Encargado, tratará los Datos Personales que el Cliente, en su carácter de Responsable, ponga a disposición de la Plataforma para la prestación de los Servicios.

Este DPA aplica al tratamiento de Datos Personales de los Contactos del Cliente y no aplica a los datos personales del propio Cliente o de sus sub-usuarios, los cuales se rigen por el Aviso de Privacidad de Leadway.

4. Roles: Responsable y Encargado

Las Partes acuerdan expresamente que:

  • El Cliente es el Responsable de los Datos Personales de sus Contactos y conserva la facultad de decidir sobre las finalidades, medios y condiciones del tratamiento.
  • Leadway es el Encargado y trata los Datos Personales únicamente por cuenta del Cliente y conforme a sus instrucciones documentadas (incluyendo las instrucciones implícitas derivadas de la configuración que el Cliente realice dentro de la Plataforma).

El Cliente, como Responsable, es el encargado de cumplir con sus propias obligaciones bajo la Ley, incluyendo: (i) contar con un aviso de privacidad propio que cumpla con los artículos 15 a 18 de la Ley; (ii) obtener el consentimiento necesario del Titular; (iii) atender los Derechos ARCO de sus Titulares; (iv) cumplir con las obligaciones de seguridad y notificación de brechas que le correspondan como Responsable.

5. Datos y categorías de Titulares

5.1 Categorías de Datos Personales tratados

Las categorías de Datos Personales objeto del tratamiento incluyen de manera enunciativa y no limitativa:

  • Datos de identificación y contacto: nombre, apellido, dirección de correo electrónico, número telefónico, identificadores en redes sociales o canales de mensajería, dirección postal.
  • Datos transaccionales: historial de compras, facturación, pagos, monto, fecha, método de pago tokenizado.
  • Datos de comunicación: contenido de mensajes (SMS, WhatsApp, correo electrónico), grabaciones de voz, transcripciones, metadatos asociados.
  • Datos de comportamiento: interacciones del Titular con campañas, formularios, embudos y agentes de IA del Cliente; eventos de navegación dentro de las propiedades del Cliente operadas a través de la Plataforma.
  • Datos de calificación y atributos: etiquetas, puntajes (lead scoring), notas, segmentaciones y campos personalizados que el Cliente configure.

Leadway no recaba a sabiendas datos personales sensibles en términos del artículo 3, fracción VI, de la Ley. El Cliente se obliga a no cargar este tipo de datos a la Plataforma salvo que cuente con el consentimiento expreso por escrito del Titular y notifique a Leadway con razonable antelación.

5.2 Categorías de Titulares

Los Datos Personales tratados corresponden a las siguientes categorías de Titulares: prospectos, leads, clientes y clientes finales del Cliente, contactos comerciales, empleados, proveedores y cualquier otra persona física cuya información el Cliente legítimamente almacene o procese a través de la Plataforma.

6. Finalidades del tratamiento

Leadway tratará los Datos Personales exclusivamente para las siguientes finalidades, todas ellas necesarias para la prestación de los Servicios al Cliente:

  1. Almacenar, organizar, segmentar y mostrar al Cliente los Datos Personales que el propio Cliente cargue o capture a través de la Plataforma.
  2. Enviar comunicaciones (correo electrónico, SMS, WhatsApp, voz y otros canales) a los Titulares por instrucción del Cliente.
  3. Operar los agentes conversacionales de IA, automatizaciones, workflows y reglas configurados por el Cliente.
  4. Procesar pagos y reservaciones cuando el Cliente utilice las funcionalidades correspondientes (Stripe, calendarios).
  5. Generar reportes y análisis para uso exclusivo del Cliente.
  6. Brindar soporte técnico al Cliente cuando éste lo solicite y cuando ello requiera acceso a Datos Personales.
  7. Cumplir con obligaciones legales y atender requerimientos de autoridad competente.

Leadway no utilizará los Datos Personales para finalidades propias, ni para entrenar modelos de inteligencia artificial generalizados o públicos, ni los venderá, alquilará o compartirá con terceros para fines distintos a los aquí establecidos.

7. Duración del tratamiento

El tratamiento de Datos Personales por Leadway tendrá lugar durante la vigencia de los Términos del Servicio, y se extenderá únicamente el plazo necesario posterior a la terminación para cumplir con las obligaciones de devolución y supresión señaladas en la sección 16 del presente DPA.

8. Instrucciones del Responsable

Leadway tratará los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, incluyendo:

  • Las instrucciones expresadas en los Términos del Servicio y en el presente DPA.
  • Las configuraciones, campañas, workflows, plantillas y demás acciones que el Cliente lleve a cabo dentro de la Plataforma.
  • Las instrucciones adicionales por escrito (incluyendo correo electrónico) que el Cliente envíe a Leadway.

Si Leadway considera, de buena fe, que una instrucción del Cliente infringe la Ley, su Reglamento o el RGPD aplicable, lo informará al Cliente sin demora y podrá suspender el cumplimiento de dicha instrucción hasta que sea modificada o confirmada por escrito por el Cliente.

9. Obligaciones del Encargado

Conforme al artículo 50 del Reglamento de la Ley y, donde aplique, al artículo 28 del RGPD, Leadway se obliga a:

  1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente.
  2. Abstenerse de tratar los Datos Personales para finalidades distintas a las instruidas por el Cliente.
  3. Implementar las medidas de seguridad administrativas, técnicas y físicas conforme a la sección 10 del presente DPA.
  4. Guardar confidencialidad respecto de los Datos Personales tratados, obligación que subsistirá aún después de finalizada la relación con el Cliente. Asegurar que las personas autorizadas para tratar los Datos Personales se encuentren obligadas a la confidencialidad correspondiente.
  5. No transferir los Datos Personales salvo en los términos previstos en la sección 11 (Sub-encargados) y 12 (Transferencias internacionales).
  6. Permitir al Cliente, previa solicitud razonable, ejercer los derechos de auditoría conforme a la sección 15.
  7. Asistir al Cliente en la atención de los Derechos ARCO de los Titulares (sección 13).
  8. Notificar al Cliente de cualquier Brecha de Seguridad conforme a la sección 14.
  9. Devolver o suprimir los Datos Personales al final de la prestación de los Servicios conforme a la sección 16.

10. Medidas de seguridad

Leadway ha implementado y mantendrá medidas de seguridad administrativas, técnicas y físicas razonables y proporcionales al riesgo, conforme a los artículos 19 y 20 de la Ley, los artículos 57 a 65 del Reglamento, las Recomendaciones en materia de seguridad de datos personales emitidas por la autoridad de protección de datos, y el artículo 32 del RGPD. Estas medidas incluyen, de manera enunciativa y no limitativa:

  • Cifrado de Datos Personales en tránsito (TLS 1.2 o superior) y en reposo cuando sea técnicamente aplicable.
  • Controles de acceso basados en roles y mínimo privilegio, con autenticación multifactor obligatoria para el personal con acceso a sistemas que procesan Datos Personales.
  • Segregación de ambientes de desarrollo, prueba y producción.
  • Bitácoras de auditoría, monitoreo de eventos de seguridad y mecanismos de detección y respuesta ante incidentes.
  • Respaldos periódicos cifrados, con pruebas de restauración.
  • Procedimientos de gestión de vulnerabilidades, parcheo y endurecimiento de sistemas.
  • Acuerdos de confidencialidad con todo el personal, contratistas y Sub-encargados, y obligación de capacitación periódica en protección de datos.
  • Revisión y actualización periódica de las medidas de seguridad con base en evaluaciones de riesgo y mejores prácticas vigentes.

11. Sub-encargados

11.1 Autorización general

El Cliente autoriza expresamente a Leadway a contratar Sub-encargados para llevar a cabo, parcialmente, el tratamiento de Datos Personales necesarios para la prestación de los Servicios.

11.2 Lista actual de Sub-encargados

A la fecha del presente DPA, los principales Sub-encargados son:

Sub-encargadoFinalidadUbicación
Amazon Web Services (AWS)Infraestructura de cómputo, almacenamiento y bases de datos que aloja la Plataforma y los Datos Personales que en ella se procesan.EE. UU. (con regiones adicionales según corresponda)
Stripe, Inc.Procesamiento de pagos.EE. UU.
Meta Platforms, Inc. — WhatsApp Business APIMensajería WhatsApp.EE. UU. / Irlanda
Twilio Inc.SMS y telefonía/voz.EE. UU.
ElevenLabs Inc.Síntesis y transcripción de voz, agentes de IA.EE. UU. / Reino Unido
OpenAI, LLCModelos de lenguaje para generación y resumen de contenido.EE. UU.
Resend, Inc. / Amazon SESEntrega de correo electrónico.EE. UU.
Vercel, Inc.Alojamiento del sitio web público de marketing (leadwaycrm.com) y analítica de rendimiento del mismo. No procesa Datos Personales de los Contactos del Cliente cargados en la Plataforma.EE. UU. (regiones globales)
Google LLC — Google Analytics 4Analítica anonimizada del sitio web público (con anonimización de IP).EE. UU.

11.3 Notificación de cambios

Leadway notificará al Cliente cualquier alta, baja o sustitución de Sub-encargado con al menos treinta (30) días naturales de antelación, mediante correo electrónico o publicación actualizada de la lista. El Cliente podrá objetar fundadamente por motivos razonables de protección de datos dentro de dicho plazo. Si el Cliente objeta, las Partes negociarán de buena fe una solución; a falta de acuerdo, el Cliente podrá terminar la suscripción conforme a los Términos del Servicio sin penalización.

11.4 Cadena de obligaciones

Leadway garantiza que cada Sub-encargado quedará obligado, mediante contrato escrito, a obligaciones de protección de datos no menos protectoras que las contenidas en el presente DPA. Leadway será responsable frente al Cliente por el cumplimiento de las obligaciones de sus Sub-encargados, conforme a la sección 17.

12. Transferencias internacionales

El Cliente reconoce y autoriza que, derivado de la naturaleza de la Plataforma y de los Sub-encargados listados, los Datos Personales podrán ser transferidos a terceros países, principalmente a Estados Unidos de América y a la Unión Europea, conforme a los siguientes mecanismos legales:

  • LFPDPPP — artículo 37: las transferencias a Sub-encargados son necesarias para la prestación del Servicio contratado y se realizan sin requerir consentimiento adicional del Titular, conforme a lo previsto en dicho artículo.
  • RGPD — Cláusulas Contractuales Tipo (SCC): para transferencias desde el Espacio Económico Europeo a destinatarios fuera del mismo, Leadway aplica las SCC aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) junto con medidas suplementarias cuando son requeridas tras la sentencia "Schrems II".

Una copia de las SCC vigentes y de las evaluaciones de impacto de transferencia (TIA) podrá ser solicitada a privacidad@leadwaycrm.com.

13. Asistencia en derechos ARCO

Leadway pondrá a disposición del Cliente, dentro de la Plataforma, las herramientas necesarias para que éste atienda directamente las solicitudes ARCO (y los derechos equivalentes bajo el RGPD) de sus Titulares, incluyendo: acceso a la información del Titular, edición de campos, exportación, supresión de registros y bloqueo de comunicaciones.

Cuando un Titular dirija su solicitud directamente a Leadway, Leadway lo redirigirá al Cliente como Responsable e informará al Titular que el Cliente es la parte facultada para responder. En la medida en que sea técnicamente necesario y razonable, Leadway asistirá al Cliente a atender dichas solicitudes dentro del plazo legal aplicable.

14. Brechas de seguridad y notificación

Leadway notificará al Cliente cualquier Brecha de Seguridad sin demora indebida y, en la medida en que ello sea razonablemente posible, dentro de las setenta y dos (72) horas posteriores a haber tenido conocimiento de la misma.

La notificación incluirá, en la medida de la información disponible:

  • La naturaleza de la Brecha, las categorías de datos y los Titulares potencialmente afectados.
  • Las consecuencias probables y las medidas adoptadas o propuestas para mitigar los efectos.
  • Los datos de contacto del responsable de la respuesta dentro de Leadway para coordinación.

Leadway cooperará razonablemente con el Cliente para que éste pueda cumplir con sus propias obligaciones de notificación a los Titulares y a la autoridad de control que corresponda (Secretaría Anticorrupción y Buen Gobierno en México; autoridad nacional de protección de datos correspondiente en la UE).

15. Auditoría y demostración de cumplimiento

Leadway pondrá a disposición del Cliente, previa solicitud razonable por escrito y bajo deber de confidencialidad, la información necesaria para acreditar el cumplimiento de las obligaciones aquí establecidas, incluyendo:

  • Reportes y certificaciones de seguridad (cuando estén disponibles) tales como SOC 2, ISO/IEC 27001 u otros equivalentes.
  • Resúmenes ejecutivos de pruebas de penetración y evaluaciones de vulnerabilidades.
  • Respuestas a cuestionarios de seguridad razonables del Cliente.

Las auditorías o inspecciones presenciales solo procederán cuando: (i) sean obligatorias por la legislación aplicable; (ii) lo requiera una autoridad de control con facultades; o (iii) se documente fundada y razonablemente la insuficiencia de la información proporcionada por Leadway. En tales casos, las Partes coordinarán la auditoría con un anticipo razonable, durante horario de oficina, y con un auditor independiente sujeto a obligaciones de confidencialidad, asumiendo el Cliente los costos razonables de la auditoría salvo que ésta evidencie incumplimiento sustancial de Leadway.

16. Devolución y supresión de datos

A la terminación de los Servicios, Leadway:

  1. Pondrá a disposición del Cliente, durante los noventa (90) días naturales siguientes a la terminación, las herramientas de exportación de los Datos Personales del Cliente.
  2. Transcurrido dicho plazo, procederá a la supresión definitiva de los Datos Personales de sus sistemas de producción dentro de un plazo razonable, adicional para respaldos cifrados (típicamente hasta treinta días adicionales conforme al ciclo de rotación de respaldos).
  3. Conservará únicamente la información necesaria para cumplir con obligaciones legales (por ejemplo, registros fiscales) o para ejercer y defender acciones legales pendientes, en cuyo caso esa información permanecerá bloqueada hasta su supresión definitiva.

A solicitud expresa del Cliente, Leadway emitirá una constancia de supresión.

17. Responsabilidad

La responsabilidad de las Partes derivada o relacionada con el presente DPA estará sujeta a las limitaciones, exclusiones y mecanismos de indemnización previstos en los Términos del Servicio, salvo en aquellos casos en los que la Ley aplicable, el RGPD o las disposiciones imperativas no permitan dicha limitación. En particular, ninguna de las cláusulas del presente DPA podrá interpretarse como una renuncia o exclusión de la responsabilidad por dolo, culpa grave o fraude.

18. Ley aplicable y jurisdicción

El presente DPA se rige por las leyes federales de los Estados Unidos Mexicanos y, en lo aplicable, por las leyes del Estado de Nuevo León. Para todo lo relativo a su interpretación, cumplimiento y ejecución, las Partes se someten expresa e irrevocablemente a la jurisdicción de los tribunales competentes del Primer Distrito Judicial del Estado de Nuevo León, con sede en Monterrey, renunciando a cualquier otro fuero que pudiera corresponderles.

Sin perjuicio de lo anterior, cuando el Cliente o el Titular se encuentren en el Espacio Económico Europeo o el Reino Unido y la controversia se rija imperativamente por el RGPD, se atenderán las competencias de las autoridades y tribunales correspondientes conforme a dicho Reglamento.

19. Vigencia y modificaciones

El presente DPA entrará en vigor en la fecha de aceptación de los Términos del Servicio por el Cliente y permanecerá vigente mientras Leadway trate Datos Personales por cuenta del Cliente. Las obligaciones que por su naturaleza deban subsistir (confidencialidad, supresión de datos, responsabilidad) continuarán vigentes posteriormente.

Leadway podrá actualizar el presente DPA para reflejar cambios en la legislación, en la lista de Sub-encargados o en las medidas de seguridad, notificando al Cliente con al menos quince (15) días naturales de antelación. Las modificaciones surtirán efectos mediante la continuación del uso de la Plataforma.

Cualquier consulta relativa al presente DPA puede dirigirse a privacidad@leadwaycrm.com.