Data Processing Addendum (DPA)
Effective date: July 1, 2026 Last updated: July 1, 2026
This Data Processing Addendum ("DPA") forms part of the Terms and Conditions (the "Agreement") between Wippit Systems LLC ("Wippit", "Processor") and the customer identified in the Agreement ("Customer", "Controller", or "Tenant"), and governs Wippit's processing of Personal Data on the Customer's behalf in connection with the wipp.it platform and related services (the "Service").
In the event of a conflict between this DPA and the Agreement with respect to the processing of Personal Data, this DPA prevails.
1. Scope and Roles
1.1 This DPA applies where Wippit processes Personal Data on the Customer's behalf as a processor — that is, personal data that the Customer or its end users submit to, create in, or store through the Service ("Customer Personal Data").
1.2 As between the parties, the Customer is the controller (or processor acting for a third-party controller) and Wippit is the processor of Customer Personal Data.
1.3 Out of scope. This DPA does not cover data for which Wippit is itself a controller — in particular, Wippit account, billing, and Wippit Network / WAS identity data (such as a user's email or phone used to provide a single Wippit identity). Wippit's handling of that data is described in the Wippit Privacy Policy. The Customer remains responsible, as controller, for the personal data its own services collect from its users.
2. Definitions
"Applicable Data Protection Law" means all privacy and data-protection laws applicable to the processing, including, as applicable, the California Consumer Privacy Act as amended by the CPRA ("CCPA") and other U.S. state privacy laws, the EU and UK General Data Protection Regulation ("GDPR"), and Mexico's Federal Law on Protection of Personal Data Held by Private Parties ("LFPDPPP").
"Personal Data," "controller," "processor," "data subject," "processing," and "personal data breach" have the meanings given in Applicable Data Protection Law. "Subprocessor" means any third party engaged by Wippit to process Customer Personal Data. "Standard Contractual Clauses" or "SCCs" means the clauses approved by the European Commission for transfers of personal data to third countries.
3. Processing of Customer Personal Data
3.1 Instructions. Wippit will process Customer Personal Data only on the Customer's documented instructions, including as set out in the Agreement, this DPA, and the Customer's use and configuration of the Service, unless required by law (in which case Wippit will, where permitted, inform the Customer first).
3.2 Purpose limitation. Wippit will not process Customer Personal Data for its own purposes, will not sell it, and will not "share" it for cross-context behavioral advertising. Wippit certifies that it understands and will comply with these CCPA restrictions.
3.3 Details of processing. The subject matter, duration, nature, purpose, types of Personal Data, and categories of data subjects are described in Annex I.
4. Confidentiality
Wippit will ensure that personnel authorized to process Customer Personal Data are bound by appropriate confidentiality obligations and process the data only as necessary to provide the Service.
5. Security
5.1 Wippit will implement and maintain appropriate technical and organizational measures to protect Customer Personal Data against unauthorized or unlawful processing and against accidental loss, destruction, or damage, as described in Annex II.
5.2 Wippit maintains such measures "as secure as current technology reasonably allows"; no method of protection can be guaranteed absolutely or indefinitely.
6. Subprocessors
6.1 The Customer provides general authorization for Wippit to engage Subprocessors to process Customer Personal Data. Current Subprocessors are listed in Annex III and include, at minimum, the infrastructure and communications providers necessary to operate the Service (for example, Amazon Web Services for hosting and storage, Stripe for payment processing, and email-delivery providers).
6.2 Wippit will impose data-protection obligations on each Subprocessor that are no less protective than those in this DPA, and remains responsible for its Subprocessors' performance.
6.3 Wippit will give the Customer reasonable prior notice of the addition or replacement of a Subprocessor. If the Customer reasonably objects on data-protection grounds, the parties will work in good faith to resolve the concern; if they cannot, the Customer may terminate the affected part of the Service.
7. Data Subject Requests
7.1 Taking into account the nature of the processing, Wippit will provide reasonable assistance (including appropriate technical and organizational measures) to help the Customer respond to requests from data subjects to exercise their rights under Applicable Data Protection Law.
7.2 If Wippit receives a request directly from a data subject regarding Customer Personal Data, it will, unless legally prohibited, promptly forward the request to the Customer and will not respond except on the Customer's instructions.
8. Personal Data Breach
Wippit will notify the Customer without undue delay after becoming aware of a personal data breach affecting Customer Personal Data, and will provide information reasonably available to it to help the Customer meet its own notification obligations.
9. Assistance and Compliance
Taking into account the nature of processing and information available to Wippit, Wippit will provide reasonable assistance to the Customer with data protection impact assessments and prior consultations with supervisory authorities, where required by Applicable Data Protection Law.
10. Audits
Wippit will make available to the Customer information reasonably necessary to demonstrate compliance with this DPA and will allow for and contribute to audits, including inspections, conducted by the Customer or an auditor it mandates, subject to reasonable notice, confidentiality, and frequency limits, and at the Customer's expense. Wippit may satisfy this obligation by providing third-party certifications or reports where available.
11. International Transfers
11.1 Where Customer Personal Data originating in the European Economic Area, the United Kingdom, or Switzerland is transferred to Wippit in a country not recognized as providing an adequate level of protection, the Standard Contractual Clauses are incorporated into this DPA by reference and apply to that transfer, with the Customer as data exporter and Wippit as data importer, completed as set out in Annex IV. The UK International Data Transfer Addendum applies to UK transfers.
11.2 The parties will reasonably cooperate to implement any additional transfer mechanism required by Applicable Data Protection Law.
12. Deletion and Return
Upon termination or expiry of the Agreement, Wippit will, at the Customer's choice, delete or return Customer Personal Data, and delete existing copies, except to the extent retention is required by law. Aggregated or de-identified data that no longer identifies any individual is not subject to this Section.
13. Liability
Each party's liability under this DPA is subject to the limitations and exclusions of liability set out in the Agreement.
14. Term
This DPA takes effect on the effective date above and remains in force for as long as Wippit processes Customer Personal Data under the Agreement.
Annex I — Details of Processing
- Subject matter: Wippit's provision of the Service to the Customer.
- Duration: the term of the Agreement, plus any legally required retention period.
- Nature and purpose: hosting, storage, transmission, and processing of Customer Personal Data as necessary to provide the Service and as instructed by the Customer.
- Types of Personal Data: as determined by the Customer through its use of the Service; may include names, contact details, account identifiers, content submitted by the Customer's users, and other data the Customer chooses to process.
- Categories of data subjects: the Customer's own users, customers, employees, contacts, and other individuals whose data the Customer processes through the Service.
Annex II — Technical and Organizational Security Measures
- Encryption of data in transit; encryption at rest for sensitive identity data (envelope encryption with managed keys).
- Logical tenant isolation and access controls; least-privilege access for personnel.
- Authentication controls and credential protection.
- Network protection, monitoring, and logging.
- Backup and recovery processes.
- Vendor/subprocessor due diligence and contractual safeguards.
- Personnel confidentiality obligations.
Annex III — Subprocessors (current)
| Subprocessor |
Purpose |
Location |
| Amazon Web Services, Inc. |
Hosting, storage, infrastructure |
United States |
| Stripe, Inc. |
Payment processing |
United States |
| Email-delivery provider(s) |
Transactional and notification email |
United States |
A current list is available on request; Wippit will provide notice of changes as set out in Section 6.
Annex IV — Standard Contractual Clauses (completion)
- Module: Module Two (controller to processor) applies where the Customer is a controller; Module Three (processor to processor) applies where the Customer is itself a processor.
- Data exporter: the Customer. Data importer: Wippit Systems LLC.
- Governing law / forum (Clause 17–18): as specified by the applicable SCCs and, absent a required designation, the law of Ireland for EU transfers.
- Annexes to the SCCs: the details of processing (Annex I above), technical and organizational measures (Annex II above), and subprocessors (Annex III above) complete the corresponding SCC annexes.
Contact: Wippit Systems LLC — 17350 State Hwy 249, Ste 220 #30606, Houston, Texas 77064, USA — support@wippit.systems
Adenda de Tratamiento de Datos (DPA)
Fecha de entrada en vigor: 1 de julio de 2026 Última actualización: 1 de julio de 2026
Esta Adenda de Tratamiento de Datos ("DPA") forma parte de los Términos y Condiciones (el "Acuerdo") entre Wippit Systems LLC ("Wippit", el "Encargado") y el cliente identificado en el Acuerdo (el "Cliente", el "Responsable" o el "Tenant"), y rige el tratamiento por parte de Wippit de Datos Personales por cuenta del Cliente en relación con la plataforma wipp.it y los servicios relacionados (el "Servicio").
En caso de conflicto entre esta DPA y el Acuerdo respecto del tratamiento de Datos Personales, prevalece esta DPA.
1. Alcance y Roles
1.1 Esta DPA aplica cuando Wippit trata Datos Personales por cuenta del Cliente como encargado —es decir, datos personales que el Cliente o sus usuarios finales envían, crean o almacenan a través del Servicio (los "Datos Personales del Cliente")—.
1.2 Entre las partes, el Cliente es el responsable (o un encargado que actúa para un responsable tercero) y Wippit es el encargado de los Datos Personales del Cliente.
1.3 Fuera de alcance. Esta DPA no cubre los datos respecto de los cuales Wippit es responsable —en particular, los datos de cuenta y facturación de Wippit y los datos de identidad de la Red Wippit / WAS (como el correo o teléfono de un usuario usados para proporcionar una única identidad Wippit)—. El tratamiento de esos datos se describe en el Aviso de Privacidad de Wippit. El Cliente sigue siendo responsable, en calidad de responsable, de los datos personales que sus propios servicios recaben de sus usuarios.
2. Definiciones
"Ley de Protección de Datos Aplicable" significa todas las leyes de privacidad y protección de datos aplicables al tratamiento, incluyendo, según corresponda, la Ley de Privacidad del Consumidor de California según su modificación por la CPRA ("CCPA") y otras leyes estatales de privacidad de EE. UU., el Reglamento General de Protección de Datos de la UE y del Reino Unido ("GDPR"), y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México ("LFPDPPP").
"Datos Personales", "responsable", "encargado", "titular", "tratamiento" y "violación de datos personales" tienen el significado que les otorga la Ley de Protección de Datos Aplicable. "Subencargado" significa cualquier tercero contratado por Wippit para tratar Datos Personales del Cliente. "Cláusulas Contractuales Tipo" o "SCCs" significa las cláusulas aprobadas por la Comisión Europea para transferencias de datos personales a terceros países.
3. Tratamiento de los Datos Personales del Cliente
3.1 Instrucciones. Wippit tratará los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluidas las establecidas en el Acuerdo, esta DPA y el uso y configuración del Servicio por parte del Cliente, salvo que la ley lo exija (en cuyo caso Wippit informará antes al Cliente cuando esté permitido).
3.2 Limitación de finalidad. Wippit no tratará los Datos Personales del Cliente para sus propios fines, no los venderá y no los "compartirá" para publicidad conductual entre contextos. Wippit certifica que comprende y cumplirá estas restricciones de la CCPA.
3.3 Detalles del tratamiento. El objeto, la duración, la naturaleza, la finalidad, los tipos de Datos Personales y las categorías de titulares se describen en el Anexo I.
4. Confidencialidad
Wippit asegurará que el personal autorizado para tratar Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad adecuadas y trate los datos solo en la medida necesaria para prestar el Servicio.
5. Seguridad
5.1 Wippit implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente frente a tratamiento no autorizado o ilícito y frente a pérdida, destrucción o daño accidentales, según se describe en el Anexo II.
5.2 Wippit mantiene dichas medidas "tan seguras como la tecnología actual razonablemente lo permita"; ningún método de protección puede garantizarse de forma absoluta ni indefinida.
6. Subencargados
6.1 El Cliente otorga autorización general para que Wippit contrate Subencargados para tratar Datos Personales del Cliente. Los Subencargados actuales se enumeran en el Anexo III e incluyen, como mínimo, los proveedores de infraestructura y comunicaciones necesarios para operar el Servicio (por ejemplo, Amazon Web Services para alojamiento y almacenamiento, Stripe para procesamiento de pagos y proveedores de entrega de correo).
6.2 Wippit impondrá a cada Subencargado obligaciones de protección de datos no menos protectoras que las de esta DPA, y sigue siendo responsable del desempeño de sus Subencargados.
6.3 Wippit dará al Cliente aviso previo razonable de la incorporación o sustitución de un Subencargado. Si el Cliente se opone razonablemente por motivos de protección de datos, las partes trabajarán de buena fe para resolver la inquietud; si no lo logran, el Cliente podrá terminar la parte afectada del Servicio.
7. Solicitudes de los Titulares
7.1 Teniendo en cuenta la naturaleza del tratamiento, Wippit prestará asistencia razonable (incluidas medidas técnicas y organizativas apropiadas) para ayudar al Cliente a responder a las solicitudes de los titulares para ejercer sus derechos bajo la Ley de Protección de Datos Aplicable.
7.2 Si Wippit recibe una solicitud directamente de un titular respecto de Datos Personales del Cliente, salvo prohibición legal, la remitirá con prontitud al Cliente y no responderá salvo conforme a las instrucciones del Cliente.
8. Violación de Datos Personales
Wippit notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de datos personales que afecte a los Datos Personales del Cliente, y proporcionará la información razonablemente disponible para ayudar al Cliente a cumplir sus propias obligaciones de notificación.
9. Asistencia y Cumplimiento
Teniendo en cuenta la naturaleza del tratamiento y la información disponible para Wippit, Wippit prestará asistencia razonable al Cliente con las evaluaciones de impacto en la protección de datos y las consultas previas a las autoridades de control, cuando lo exija la Ley de Protección de Datos Aplicable.
10. Auditorías
Wippit pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de esta DPA y permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente o un auditor designado por él, sujeto a aviso razonable, confidencialidad y límites de frecuencia, y a costa del Cliente. Wippit podrá satisfacer esta obligación proporcionando certificaciones o informes de terceros cuando estén disponibles.
11. Transferencias Internacionales
11.1 Cuando Datos Personales del Cliente originados en el Espacio Económico Europeo, el Reino Unido o Suiza se transfieran a Wippit en un país no reconocido como adecuado, las Cláusulas Contractuales Tipo se incorporan a esta DPA por referencia y aplican a dicha transferencia, con el Cliente como exportador y Wippit como importador, completadas según el Anexo IV. La Adenda de Transferencia Internacional de Datos del Reino Unido aplica a las transferencias del Reino Unido.
11.2 Las partes cooperarán razonablemente para implementar cualquier mecanismo de transferencia adicional que exija la Ley de Protección de Datos Aplicable.
12. Eliminación y Devolución
Al terminar o expirar el Acuerdo, Wippit, a elección del Cliente, eliminará o devolverá los Datos Personales del Cliente y eliminará las copias existentes, salvo en la medida en que la ley exija su conservación. Los datos agregados o anonimizados que ya no identifiquen a ninguna persona no están sujetos a esta Sección.
13. Responsabilidad
La responsabilidad de cada parte bajo esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo.
14. Vigencia
Esta DPA entra en vigor en la fecha indicada arriba y permanece vigente mientras Wippit trate Datos Personales del Cliente conforme al Acuerdo.
Anexo I — Detalles del Tratamiento
- Objeto: la prestación del Servicio por parte de Wippit al Cliente.
- Duración: la vigencia del Acuerdo, más cualquier periodo de conservación exigido por ley.
- Naturaleza y finalidad: alojamiento, almacenamiento, transmisión y tratamiento de los Datos Personales del Cliente según sea necesario para prestar el Servicio y conforme a las instrucciones del Cliente.
- Tipos de Datos Personales: los que determine el Cliente mediante su uso del Servicio; pueden incluir nombres, datos de contacto, identificadores de cuenta, contenido enviado por los usuarios del Cliente y otros datos que el Cliente decida tratar.
- Categorías de titulares: los propios usuarios, clientes, empleados, contactos y demás personas cuyos datos el Cliente trate a través del Servicio.
Anexo II — Medidas Técnicas y Organizativas de Seguridad
- Cifrado de datos en tránsito; cifrado en reposo de los datos de identidad sensibles (cifrado por sobre con claves gestionadas).
- Aislamiento lógico entre tenants y controles de acceso; acceso de mínimo privilegio para el personal.
- Controles de autenticación y protección de credenciales.
- Protección de red, monitoreo y registro (logging).
- Procesos de respaldo y recuperación.
- Diligencia debida y salvaguardas contractuales sobre proveedores/subencargados.
- Obligaciones de confidencialidad del personal.
Anexo III — Subencargados (actuales)
| Subencargado |
Finalidad |
Ubicación |
| Amazon Web Services, Inc. |
Alojamiento, almacenamiento, infraestructura |
Estados Unidos |
| Stripe, Inc. |
Procesamiento de pagos |
Estados Unidos |
| Proveedor(es) de entrega de correo |
Correo transaccional y de notificaciones |
Estados Unidos |
Una lista actualizada está disponible a solicitud; Wippit dará aviso de los cambios según la Sección 6.
Anexo IV — Cláusulas Contractuales Tipo (cumplimentación)
- Módulo: el Módulo Dos (responsable a encargado) aplica cuando el Cliente es responsable; el Módulo Tres (encargado a encargado) aplica cuando el Cliente es a su vez encargado.
- Exportador de datos: el Cliente. Importador de datos: Wippit Systems LLC.
- Ley y foro (Cláusulas 17–18): según lo indiquen las SCCs aplicables y, a falta de designación requerida, la ley de Irlanda para transferencias de la UE.
- Anexos de las SCCs: los detalles del tratamiento (Anexo I anterior), las medidas técnicas y organizativas (Anexo II anterior) y los subencargados (Anexo III anterior) completan los anexos correspondientes de las SCCs.
Contacto: Wippit Systems LLC — 17350 State Hwy 249, Ste 220 #30606, Houston, Texas 77064, EE. UU. — support@wippit.systems