Ir al contenido

BORRADOR — requiere revisión legal

Este documento es un borrador placeholder y no constituye asesoramiento legal. Debe ser revisado y aprobado por un profesional legal antes de su uso en producción.

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: Marzo 2026

1. Objeto

El presente Acuerdo de Procesamiento de Datos ("DPA") establece las obligaciones y responsabilidades entre el Responsable del Tratamiento (en adelante, "el Cliente") y el Encargado del Tratamiento (en adelante, "el Proveedor") respecto al tratamiento de datos personales en el marco del uso del Sistema de Gestión.

2. Definiciones

  • Datos Personales: toda información referida a personas físicas o de existencia ideal, determinadas o determinables, conforme la Ley 25.326.
  • Tratamiento: operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenamiento, almacenamiento, modificación, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales.
  • Responsable del Tratamiento: el Cliente que determina los fines y medios del tratamiento.
  • Encargado del Tratamiento: el Proveedor que trata datos personales por cuenta del Responsable.

3. Alcance del Tratamiento

El Proveedor procesará los siguientes tipos de datos personales en nombre del Cliente:

  • Datos de identificación: nombre, CUIT/DNI
  • Datos de contacto: teléfono, email, dirección
  • Datos transaccionales: historial de compras, ventas, pagos y saldos
  • Datos de facturación: comprobantes fiscales emitidos

Los datos se procesan exclusivamente para la prestación del servicio de gestión descrito en los Términos y Condiciones.

4. Obligaciones del Encargado

El Proveedor se compromete a:

  • Tratar los datos personales únicamente según las instrucciones documentadas del Cliente.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad.
  • Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento, incluyendo:
    • Cifrado AES-256-GCM para datos sensibles en reposo
    • Conexiones TLS para datos en tránsito
    • Control de acceso basado en roles (RBAC)
    • Registro de auditoría de todas las operaciones
    • Copias de seguridad automáticas cifradas
  • No recurrir a otro encargado sin autorización previa por escrito del Cliente.
  • Asistir al Cliente en el cumplimiento de sus obligaciones relativas a los derechos de los titulares de datos (acceso, rectificación, supresión).
  • A elección del Cliente, suprimir o devolver todos los datos personales al finalizar la prestación del servicio.

5. Obligaciones del Responsable

El Cliente se compromete a:

  • Garantizar que la recopilación de datos personales se realiza de forma lícita y con el consentimiento correspondiente.
  • Proporcionar instrucciones documentadas para el tratamiento de datos.
  • Notificar al Proveedor cualquier cambio en las instrucciones de tratamiento.

6. Notificación de Incidentes

El Proveedor notificará al Cliente sin dilación indebida cualquier violación de seguridad que afecte datos personales, incluyendo:

  • La naturaleza de la violación
  • Las categorías y número aproximado de titulares afectados
  • Las posibles consecuencias
  • Las medidas adoptadas o propuestas para remediar la violación

7. Retención de Datos

Los datos personales se conservarán durante la vigencia del contrato y por los períodos adicionales requeridos por la legislación aplicable:

  • Registros financieros y de facturación: 10 años (requisito fiscal argentino)
  • Datos operativos: según configuración del Cliente
  • Mensajes de chat: configurable, por defecto 12 meses

8. Transferencias Internacionales

El Proveedor no transferirá datos personales fuera de la República Argentina sin el consentimiento previo del Cliente y sin asegurar un nivel adecuado de protección conforme la normativa vigente.

9. Auditoría

El Cliente podrá verificar el cumplimiento de este DPA mediante auditorías o inspecciones, previa notificación razonable al Proveedor. El Proveedor facilitará el acceso a toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas.

10. Vigencia y Terminación

Este DPA entrará en vigor junto con los Términos y Condiciones del servicio y permanecerá vigente mientras el Proveedor procese datos personales en nombre del Cliente. Al término de la relación contractual, el Proveedor:

  • Proporcionará al Cliente una exportación completa de sus datos (formato CSV/ZIP).
  • Eliminará los datos personales dentro de los 30 días posteriores a la solicitud, salvo obligación legal de conservación.

11. Legislación Aplicable

Este acuerdo se rige por las leyes de la República Argentina, en particular:

  • Ley 25.326 de Protección de Datos Personales
  • Decreto Reglamentario 1558/2001
  • Disposiciones de la Agencia de Acceso a la Información Pública (AAIP)