1. Partes
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integral del MSA/ToS entre mparadas.com (mparadas.com) como Procesador y el Cliente como Responsable del tratamiento (controller) de los Datos Personales.
2. Objeto y duracion
El procesamiento se realiza por la duracion del contrato principal. Tipo: hosting + procesamiento aplicativo + IA inferencial + envio de comunicaciones segun instrucciones del Responsable.
3. Naturaleza y finalidad
Almacenamiento, consulta, modificacion, transmision, copia de respaldo y eliminacion de datos cargados por el Cliente para operar su negocio digital (sitio web, tienda, agente IA, automatizaciones, BI, integraciones).
4. Categorias de datos y de titulares
- Titulares: visitantes web del Cliente, leads, clientes finales del Cliente, empleados del Cliente
- Datos: identificacion (nombre/email/telefono), comunicaciones (chat/email/WhatsApp), pedidos/compras, ubicacion de envio, metricas de comportamiento, datos de facturacion (sin numero de tarjeta completo)
- NO procesamos categorias especiales (salud, religion, politica, biometria) salvo que el Cliente explicitamente las cargue, en cuyo caso es su responsabilidad cumplir requisitos adicionales
5. Obligaciones del Procesador
- Procesar solo bajo instrucciones documentadas del Responsable (incluido este DPA y configuracion en panel)
- Garantizar confidencialidad de personal con acceso (NDAs, capacitacion)
- Implementar medidas tecnicas y organizativas (Anexo II)
- Asistir al Responsable para responder solicitudes de titulares (Art. 12-22 GDPR)
- Asistir en evaluaciones de impacto (DPIA) y consultas previas a autoridades
- Notificar brechas de datos en max 72 horas tras conocimiento
- Eliminar o devolver los datos al fin del contrato (30 dias para export, luego eliminacion irreversible)
- Permitir auditorias del Responsable (con 30 dias de aviso, max 1/ano, costo del auditor)
6. Sub-procesadores
El Responsable autoriza a los sub-procesadores listados en /legal/subprocessors. Cambios materiales se notifican con 30 dias de anticipacion; el Responsable puede objetar por escrito y, si la objecion es razonable, podra terminar el contrato sin penalidad.
Sub-procesadores actuales: 17 entidades, ver la lista completa con el documento de cada proveedor.
7. Transferencias internacionales
Cuando los datos se transfieran fuera del EEE/UK/CH, las partes ejecutan las Clausulas Contractuales Tipo (SCCs) Modulo 2 (Controller a Procesador) aprobadas por la Decision (UE) 2021/914. Para Reino Unido aplica el International Data Transfer Addendum (IDTA).
8. Brechas de seguridad
Notificacion via email al contacto tecnico + DPO del Responsable en max 72 horas con: (a) naturaleza, (b) volumen aproximado, (c) consecuencias probables, (d) medidas adoptadas. mparadas.com mantiene plan de respuesta ante incidentes documentado.
9. Garantias y responsabilidad
mparadas.com garantiza cumplir esta DPA. Las partes acuerdan que su responsabilidad bajo este DPA esta sujeta a los limites del MSA/ToS principal salvo que la ley aplicable disponga otra cosa.
10. Anexo I - Detalles del tratamiento
Duracion: mientras dure el contrato principal + 30 dias para export.
Naturaleza: SaaS multi-tenant con aislamiento fisico de BD por cliente.
Frecuencia: continua, automatica, instruida por configuracion del Cliente.
11. Anexo II - Medidas tecnicas y organizativas
- Cifrado AES-256-GCM en reposo para credenciales sensibles
- TLS 1.3 minimo en transito
- Aislamiento fisico de BD por cliente (BD/dir/subdominio/puerto separados)
- JWT firmado en cookie HttpOnly + Secure + SameSite=Lax
- RBAC con 15 modulos x 4 niveles + audit log de acciones admin
- agentShield de 6 capas para agentes IA: preflight + rate limit + roles + guardrails + postflight + audit
- Backups diarios + verificacion de restore (
backupVerifier) - Snapshots pre-deploy con auto-rollback (
deployManager) - HMAC sha256 en webhooks outbound
- WAF Cloudflare + rate limiting por IP
- Logs inmutables 365 dias (730 enterprise) en
audit_log - Plan de respuesta ante incidentes documentado
- NDAs y capacitacion anual del personal con acceso