Acuerdo de Procesamiento de Datos

Última actualización: Marzo de 2026
1

Objeto del Acuerdo

El presente Acuerdo de Procesamiento de Datos (en adelante, el «Acuerdo») establece los términos y condiciones bajo los cuales Caprolis, en su calidad de Encargado del Tratamiento, procesará datos personales por cuenta del negocio que utiliza la plataforma (en adelante, el «Responsable del Tratamiento» o el «Negocio»).

Este Acuerdo forma parte integral de los Términos y Condiciones de uso de la plataforma Caprolis y se suscribe automáticamente al momento en que el Negocio registra una cuenta y comienza a utilizar los servicios de la Plataforma para gestionar datos de sus clientes, empleados y transacciones comerciales.

El objetivo del presente Acuerdo es garantizar que el tratamiento de datos personales se realice conforme a la legislación vigente en la República de Honduras, incluyendo la Constitución de la República (artículos 76, 100 y 182), la Ley de Transparencia y Acceso a la Información Pública (Decreto No. 170-2006) y los principios internacionalmente reconocidos de protección de datos personales, adoptando como referencia de mejores prácticas el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Ambas partes reconocen la importancia de proteger los derechos fundamentales de los titulares de los datos y se comprometen a actuar con diligencia, transparencia y buena fe en el cumplimiento de las obligaciones aquí establecidas.

2

Definiciones

Para efectos del presente Acuerdo, se entenderá por:

«Datos Personales»
Toda información relativa a una persona natural identificada o identificable, incluyendo nombre, número de identidad, teléfono, correo electrónico, dirección y cualquier otro dato que permita su identificación directa o indirecta.
«Responsable del Tratamiento»
El Negocio registrado en la Plataforma que determina los fines y medios del tratamiento de datos personales de sus clientes y empleados. Es quien recopila los datos y decide cómo utilizarlos.
«Encargado del Tratamiento»
Caprolis, quien procesa datos personales por cuenta y bajo instrucciones del Responsable del Tratamiento, proporcionando la infraestructura tecnológica y los servicios de la Plataforma.
«Titulares»
Las personas naturales cuyos datos personales son objeto de tratamiento. Incluye clientes del Negocio, empleados registrados en la Plataforma y cualquier otra persona cuyos datos sean ingresados por el Responsable.
«Tratamiento»
Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, incluyendo la recopilación, registro, organización, almacenamiento, modificación, consulta, uso, transmisión, eliminación o destrucción.
«Incidente de Seguridad»
Cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de los datos personales, incluyendo accesos no autorizados, pérdida, alteración, destrucción o divulgación indebida de datos.
3

Obligaciones de Caprolis como Encargado

Caprolis, en su calidad de Encargado del Tratamiento, se compromete a cumplir las siguientes obligaciones respecto al tratamiento de datos personales del Negocio:

  • Tratamiento conforme a instrucciones: Procesar los datos personales únicamente de acuerdo con las instrucciones documentadas del Negocio y exclusivamente para los fines establecidos en la prestación de los servicios contratados. No se utilizarán los datos para finalidades propias ni de terceros no autorizados.
  • Medidas de seguridad: Implementar y mantener medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, incluyendo cifrado de datos en tránsito y en reposo, controles de acceso basados en roles, copias de seguridad automatizadas y aislamiento de datos entre negocios (multi-tenancy).
  • Confidencialidad y no divulgación: No compartir, transferir ni divulgar datos personales a terceros sin la autorización previa y por escrito del Negocio, salvo cuando sea requerido por ley o por autoridad competente, en cuyo caso Caprolis notificará al Negocio previamente cuando sea legalmente posible.
  • Notificación de incidentes: Notificar al Negocio sobre cualquier incidente de seguridad que afecte los datos personales dentro de un plazo máximo de setenta y dos (72) horas desde que tenga conocimiento del mismo, proporcionando la información disponible sobre la naturaleza del incidente, los datos afectados y las medidas adoptadas o propuestas para mitigar sus efectos.
  • Asistencia en derechos de los titulares: Asistir al Negocio, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de su obligación de atender las solicitudes de los titulares para ejercer sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) respecto a sus datos personales.
  • Devolución o eliminación de datos: Al terminar la relación contractual, y a elección del Negocio, devolver todos los datos personales mediante exportación en formato estándar o eliminarlos de manera segura, salvo que exista una obligación legal de conservarlos. Se emitirá un certificado de eliminación cuando sea solicitado.
  • Registro de actividades de tratamiento: Mantener un registro actualizado de las actividades de tratamiento realizadas por cuenta del Negocio, incluyendo las categorías de datos procesados, los fines del tratamiento, los accesos realizados y las medidas de seguridad aplicadas. Dichos registros estarán disponibles para el Negocio y para las autoridades competentes cuando sean requeridos.
4

Obligaciones del Negocio como Responsable

El Negocio, en su calidad de Responsable del Tratamiento, reconoce y acepta las siguientes obligaciones respecto a los datos personales que ingresa y gestiona a través de la Plataforma:

  • Base legal para la recopilación: Garantizar que la recopilación y el tratamiento de datos personales de sus clientes y empleados cuente con una base legal válida conforme a la legislación hondureña, ya sea por consentimiento del titular, por ejecución de un contrato, por obligación legal o por interés legítimo debidamente justificado.
  • Deber de información: Informar a los titulares de los datos, de manera clara y accesible, sobre la existencia del tratamiento, los fines para los cuales se recopilan sus datos, los derechos que les asisten y la identidad del Responsable, antes o al momento de la recopilación de sus datos personales.
  • Obtención de consentimiento: Obtener el consentimiento libre, informado, expreso e inequívoco de los titulares cuando este sea requerido como base legal para el tratamiento, y conservar evidencia de dicho consentimiento.
  • Prohibición de datos sensibles no autorizados: No cargar en la Plataforma datos especialmente protegidos (datos de salud, afiliación política, creencias religiosas, orientación sexual, origen étnico o datos biométricos) sin contar con el consentimiento explícito y por escrito del titular y sin haber implementado las medidas de protección reforzada que correspondan.
  • Exactitud de los datos: Mantener los datos personales registrados en la Plataforma exactos, completos y actualizados, adoptando las medidas razonables para que los datos inexactos sean rectificados o suprimidos sin dilación.
  • Atención a derechos de los titulares: Responder de manera oportuna y conforme a la ley a las solicitudes de los titulares para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición, utilizando las herramientas proporcionadas por la Plataforma cuando corresponda.
5

Datos Procesados y Finalidades

En el marco de la prestación de los servicios de la Plataforma, Caprolis procesará las siguientes categorías de datos personales por cuenta del Negocio:

5.1 Datos de Clientes del Negocio

Información de los clientes finales que el Negocio registra en la Plataforma:

  • Nombre completo y datos de identificación.
  • Número de teléfono y correo electrónico.
  • Dirección de entrega o ubicación de referencia.
  • Historial de pedidos y preferencias de compra.
  • Notas o comentarios asociados al cliente ingresados por el Negocio.

5.2 Datos de Empleados del Negocio

Información del personal que el Negocio registra como miembros de su equipo en la Plataforma:

  • Nombre completo y correo electrónico.
  • Rol asignado dentro de la Plataforma (cajero, mesero, cocina, gerente, entre otros).
  • Horario de trabajo y registro de sesiones de caja.
  • Actividad y registros de operaciones realizadas en la Plataforma.

5.3 Datos de Transacciones Comerciales

Información generada por las operaciones del Negocio en la Plataforma:

  • Registros de ventas, detalles de productos vendidos y montos.
  • Facturas fiscales emitidas conforme a la normativa del SAR (Servicio de Administración de Rentas).
  • Registros de pagos, métodos de pago utilizados y estados de las transacciones.
  • Cotizaciones y pedidos, incluyendo su estado y seguimiento.

5.4 Finalidades del Tratamiento

Los datos personales son procesados exclusivamente para las siguientes finalidades:

  • Prestación del servicio: Permitir el funcionamiento de las herramientas de catálogo digital, punto de venta, gestión de pedidos, inventario y demás funcionalidades contratadas.
  • Gestión de pedidos: Procesamiento, seguimiento y entrega de pedidos realizados por los clientes del Negocio a través de la Plataforma.
  • Facturación fiscal: Emisión de comprobantes fiscales conforme a la normativa del SAR de Honduras, incluyendo el manejo de CAI, rangos autorizados y datos del contribuyente.
  • Análisis y reportes: Generación de estadísticas, reportes de ventas y análisis de rendimiento para el Negocio, utilizando datos agregados y anonimizados cuando sea posible.
  • Comunicaciones operativas: Envío de notificaciones relacionadas con pedidos, estados de cuenta y alertas operativas del Negocio.
6

Medidas de Seguridad

Caprolis implementa las siguientes medidas técnicas y organizativas para garantizar la protección de los datos personales procesados a través de la Plataforma:

  • Cifrado en tránsito y en reposo: Todas las comunicaciones entre el navegador del usuario y los servidores de Caprolis se realizan mediante protocolo TLS 1.2 o superior (HTTPS). Los datos almacenados en la base de datos se protegen mediante cifrado en reposo a nivel de infraestructura.
  • Controles de acceso basados en roles: La Plataforma implementa un sistema de permisos granular que incluye roles de plataforma (Usuario, Administrador, Superadministrador), roles de negocio (Propietario, Gerente, Cajero, Mesero, Cocina, Encargado de Bodega, Solo Lectura) y permisos específicos por módulo, garantizando que cada usuario acceda únicamente a la información necesaria para su función.
  • Copias de seguridad automatizadas: Se realizan copias de seguridad diarias de la base de datos de forma automatizada, con almacenamiento redundante en ubicaciones geográficamente separadas. Las copias de seguridad se cifran y se retienen conforme a la política de retención vigente.
  • Registro de auditoría: Toda operación de acceso, creación, modificación y eliminación de datos se registra en un log de auditoría que incluye la identidad del usuario, la fecha y hora de la operación, el tipo de acción realizada y los datos afectados. Estos registros se conservan de forma segura y están disponibles para consulta del Negocio.
  • Aislamiento multi-tenant: La arquitectura de la Plataforma garantiza el aislamiento completo de los datos entre negocios. Cada negocio accede exclusivamente a su propia información, y los mecanismos de autorización verifican la pertenencia del usuario al negocio en cada solicitud, impidiendo el acceso no autorizado a datos de otros negocios.
  • Autenticación segura: La Plataforma utiliza autenticación basada en tokens JWT con cookies HTTP-only y Secure, previniendo ataques de tipo XSS. Se implementan mecanismos de protección contra CSRF, limitación de intentos de inicio de sesión (rate limiting) y renovación proactiva de tokens para mantener la seguridad de las sesiones.
7

Subencargados

Para la prestación de los servicios, Caprolis utiliza los siguientes subencargados del tratamiento, quienes procesan datos personales bajo las instrucciones y la supervisión de Caprolis:

DigitalOcean, LLC
Proveedor de infraestructura en la nube y alojamiento de servidores. Los datos se almacenan en centros de datos ubicados en Estados Unidos. DigitalOcean cumple con los estándares de seguridad SOC 2 Tipo II e ISO 27001.
PostgreSQL (autoalojado)
Sistema de gestión de base de datos relacional utilizado para el almacenamiento de todos los datos de la Plataforma. La base de datos se aloja en la infraestructura propia de Caprolis, sin acceso de terceros.
Google OAuth (opcional)
Servicio de autenticación utilizado únicamente cuando el usuario elige iniciar sesión con su cuenta de Google. Solo se procesan los datos mínimos necesarios para la autenticación (nombre, correo electrónico y foto de perfil).
Proveedor de SMTP
Servicio de envío de correos electrónicos utilizado para notificaciones transaccionales, verificación de cuentas y comunicaciones operativas. Solo se transmiten la dirección de correo del destinatario y el contenido del mensaje.

Caprolis se compromete a notificar al Negocio, con al menos quince (15) días de anticipación, cualquier incorporación o cambio de subencargados que implique el tratamiento de datos personales. La notificación se realizará a través de la Plataforma o por correo electrónico al titular de la cuenta del Negocio. El Negocio tendrá la posibilidad de oponerse al cambio dentro de dicho plazo; en caso de oposición fundamentada y si no se alcanza un acuerdo, el Negocio podrá resolver el contrato sin penalidad.

Caprolis exige a todos sus subencargados el cumplimiento de medidas de seguridad equivalentes a las establecidas en el presente Acuerdo y formaliza la relación mediante contratos que incluyen cláusulas de protección de datos personales.

8

Duración y Terminación

8.1 Vigencia

El presente Acuerdo entra en vigor a partir del momento en que el Negocio crea su cuenta en la Plataforma y permanecerá vigente mientras el Negocio mantenga una cuenta activa y utilice los servicios de Caprolis. El Acuerdo se renovará automáticamente junto con la relación contractual principal.

8.2 Terminación y Exportación de Datos

Al producirse la terminación de la relación contractual, por cualquier causa, se aplicará el siguiente procedimiento respecto a los datos personales:

  • Exportación de datos: El Negocio podrá solicitar la exportación completa de sus datos dentro de un plazo de treinta (30) días calendario contados a partir de la terminación. Caprolis proporcionará los datos en un formato estándar, estructurado y de uso común (CSV, JSON o similar).
  • Eliminación de datos: Transcurrido el período de exportación, Caprolis procederá a eliminar de forma segura e irreversible todos los datos personales del Negocio dentro de un plazo máximo de sesenta (60) días calendario, salvo que exista una obligación legal de conservarlos.
  • Exportación en cualquier momento: El Negocio podrá solicitar la exportación de sus datos en cualquier momento durante la vigencia del Acuerdo, sin necesidad de justificación, a través de las herramientas disponibles en la Plataforma o mediante solicitud al equipo de soporte.
  • Datos anonimizados: Caprolis podrá conservar datos estadísticos y analíticos que hayan sido previamente anonimizados de manera irreversible, de modo que no sea posible identificar al Negocio ni a los titulares de los datos. Estos datos anonimizados podrán utilizarse con fines de mejora del servicio y generación de estadísticas agregadas.
9

Ley Aplicable y Jurisdicción

El presente Acuerdo se rige e interpreta conforme a las siguientes disposiciones legales de la República de Honduras:

9.1 Marco Legal Nacional

  • Constitución de la República de Honduras: Artículos 76 (derecho a la intimidad), 100 (derecho a la inviolabilidad y secreto de las comunicaciones) y 182 (garantías constitucionales), que consagran el derecho fundamental a la protección de la vida privada y los datos personales.
  • Ley de Transparencia y Acceso a la Información Pública (Decreto No. 170-2006): Establece los principios generales de protección de datos personales en Honduras, incluyendo los derechos de acceso, rectificación y cancelación de datos en poder de entidades públicas y privadas.
  • Código de Comercio (Decreto No. 73-50): Regula las relaciones mercantiles y contractuales entre las partes, incluyendo las obligaciones derivadas de la prestación de servicios comerciales por medios electrónicos.

9.2 Referencia Internacional

Adicionalmente, Caprolis adopta como referencia de mejores prácticas los principios del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, en particular los principios de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. Estos principios se aplican como estándar complementario en la medida en que no contradigan la legislación hondureña vigente.

9.3 Jurisdicción

Cualquier controversia derivada de la interpretación, ejecución o incumplimiento del presente Acuerdo será sometida a la jurisdicción de los tribunales competentes de la ciudad de Tegucigalpa, Municipio del Distrito Central, departamento de Francisco Morazán, República de Honduras, renunciando las partes a cualquier otro fuero que pudiera corresponderles por razón de su domicilio presente o futuro.

10

Contacto

Para cualquier consulta, solicitud o reclamo relacionado con el tratamiento de datos personales o con el presente Acuerdo, el Negocio puede contactar a Caprolis a través de los siguientes canales:

Correo electrónicohola@caprolis.hn
WhatsAppSoporte Caprolis
PlataformaSección de ayuda