Acuerdo de Encargo del Tratamiento de Datos Personales (DPA)
Este documento regula la relación entre el cliente empresarial de AdvisorERP (en adelante, 'Responsable') y ADVISOR & CONSULTANT SPA (en adelante, 'Encargado') cuando AdvisorERP trata datos personales por cuenta del Responsable, conforme a la Ley N° 21.719 sobre Protección de Datos Personales.
Para efectos de este acuerdo, los términos en mayúsculas tienen el significado siguiente.
Datos Personales: cualquier información sobre una persona natural identificada o identificable, conforme a la Ley 21.719.
Responsable del Tratamiento: el cliente que decide los fines y medios del tratamiento (la empresa contratante de AdvisorERP).
Encargado del Tratamiento: ADVISOR & CONSULTANT SPA, que trata datos personales por cuenta del Responsable.
Subencargado: tercero contratado por el Encargado para tratar datos en nombre del Responsable.
Titular: persona natural cuyos datos son tratados.
Brecha de Seguridad: incidente que afecta la confidencialidad, integridad o disponibilidad de los Datos Personales.
Servicio: la plataforma AdvisorERP y sus módulos.
2. Objeto y duración
El Encargado tratará los Datos Personales del Responsable únicamente para prestar el Servicio durante la vigencia del contrato principal y por los plazos legales de conservación posteriores.
Objeto: tratamiento de datos personales en el contexto de uso de AdvisorERP.
Duración: vigencia del contrato principal + plazos legales de conservación.
Naturaleza: prestación de servicio SaaS multi-tenant en infraestructura cloud.
3. Categorías de Titulares y datos tratados
Los datos personales tratados por cuenta del Responsable corresponden típicamente a las siguientes categorías. El Responsable es responsable de informar y obtener las bases jurídicas para tratarlos.
Titulares: usuarios autorizados del Responsable, clientes del Responsable, proveedores del Responsable, contactos comerciales del Responsable.
Categorías de datos: identificación (nombre, RUT, email), contacto, datos comerciales/operativos, documentos tributarios, conversaciones de WhatsApp Business, registros de cobranza.
No tratamos categorías especiales (salud, biométricos, etc.) salvo que el Responsable las cargue voluntariamente, asumiendo su responsabilidad.
4. Obligaciones del Encargado (AdvisorERP)
El Encargado se obliga a tratar los datos únicamente bajo instrucciones documentadas del Responsable y conforme a la legislación chilena.
Tratar los datos solo para prestar el Servicio.
Garantizar la confidencialidad mediante acuerdos con su personal.
Implementar medidas técnicas y organizativas apropiadas (descritas en /security).
Asistir al Responsable a responder solicitudes de titulares.
Notificar brechas de seguridad sin dilación indebida.
Eliminar o devolver los datos al término del contrato según elija el Responsable.
Poner a disposición la información necesaria para auditorías.
5. Obligaciones del Responsable (cliente)
El Responsable mantiene la titularidad de los datos y la responsabilidad principal sobre su tratamiento.
Contar con base jurídica para tratar cada categoría de datos.
Informar a los Titulares sobre el tratamiento.
Atender las solicitudes de derechos de los Titulares.
No cargar datos sensibles sin asegurar bases jurídicas reforzadas.
Mantener actualizada la información de usuarios autorizados.
Revocar accesos de personal que ya no debe acceder.
6. Subencargados
Para prestar el Servicio el Encargado utiliza Subencargados. El Responsable autoriza esta cadena con derecho a objetar nuevos Subencargados.
Lista pública y actualizada en /subprocesadores
Cada Subencargado está vinculado por un contrato con obligaciones equivalentes a las de este acuerdo.
Notificación al Responsable con al menos 15 días de anticipación ante incorporación de nuevos Subencargados.
El Responsable puede objetar fundadamente; si la objeción es procedente y no hay alternativa razonable, podrá terminar el contrato sin penalidad.
El Encargado responde por los Subencargados como si fueran actos propios.
7. Transferencias internacionales
Algunos Subencargados procesan datos fuera de Chile. El Encargado aplica garantías acordes a la Ley 21.719.
Cláusulas Contractuales Tipo o equivalentes.
Evaluación previa de los países destinatarios.
Documentación accesible para auditoría.
Información de país destino disponible en /subprocesadores
[⚖️ Requiere revisión legal: el modelo definitivo de cláusulas tipo lo definirá la Agencia de Protección de Datos Personales.]
8. Medidas de seguridad
El Encargado implementa medidas alineadas con el Marco de Ciberseguridad (Ley 21.663) y mejores prácticas internacionales.
Cifrado TLS 1.2+ en tránsito; cifrado en reposo para datos sensibles.
Control de acceso basado en roles (RBAC) y multi-factor opcional.
Aislamiento multi-tenant lógico por companyId.
Registros de auditoría de acciones sensibles.
Respaldos automatizados con retención mínima de 30 días.
Pruebas periódicas de continuidad y restauración.
[⚖️ Requiere revisión legal: documentar formalmente el listado de medidas según ISO 27001 / SOC 2 cuando se obtengan las certificaciones.]
9. Asistencia al Responsable
El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones bajo la Ley 21.719.
Atención de solicitudes de Titulares (acceso, rectificación, supresión, oposición, portabilidad).
Evaluación de Impacto en Protección de Datos (EIPD) cuando aplique.
Notificación y gestión de brechas de seguridad.
Consultas previas con la Agencia de Protección de Datos.
10. Notificación de brechas
Si el Encargado detecta una Brecha de Seguridad que afecte datos del Responsable, notificará sin dilación indebida.
Plazo de notificación al Responsable: a más tardar 48 horas desde la detección [⚖️ Requiere revisión legal: alinear con plazo definitivo de la Agencia].
Información incluida: naturaleza de la brecha, categorías y volumen aproximado de titulares y registros, consecuencias probables, medidas adoptadas o propuestas.
Asistencia al Responsable para notificar a la Agencia y a los Titulares cuando corresponda.
Registro interno de todas las brechas (relevantes o no).
11. Auditorías
El Responsable tiene derecho a auditar el cumplimiento del Encargado, en forma razonable y sin afectar la continuidad operativa.
Auditoría documental: el Encargado entrega reportes, certificaciones y resultados de auditorías de terceros (ej. SOC 2, ISO 27001) cuando estén disponibles.
Auditoría on-site: previa coordinación, máximo una vez por año salvo causa justificada.
Costos: a cargo del Responsable salvo que la auditoría revele incumplimiento material del Encargado.
Confidencialidad de la información obtenida durante la auditoría.
12. Terminación y destino de los datos
Al término de la prestación del Servicio, el Encargado eliminará o devolverá los datos según instrucción del Responsable.
Período de gracia para exportación: 30 días corridos desde la terminación, en formato estructurado y de uso común (JSON / CSV / SQL).
Eliminación: dentro de los 60 días siguientes al vencimiento del período de gracia, salvo obligación legal de conservación.
Excepción: datos sujetos a obligación de conservación (tributaria, contable) se mantienen bajo las mismas medidas de seguridad hasta su prescripción.
Certificado de eliminación disponible bajo solicitud.
13. Responsabilidad
Cada parte responde por el cumplimiento de sus obligaciones. La limitación de responsabilidad del contrato principal se extiende a este acuerdo.
El Encargado responde por daños derivados de su incumplimiento del DPA.
Indemnización mutua proporcional al grado de responsabilidad.
[⚖️ Requiere revisión legal: monto de cap de responsabilidad debe ser proporcional al riesgo y al valor del contrato — recomendación habitual: 12 meses de facturación.]
14. Vigencia, modificaciones e idioma
Este acuerdo está vigente mientras exista contrato principal entre las partes. Las modificaciones requieren notificación con al menos 30 días de anticipación.
Idioma: español (Chile). Una traducción al inglés puede entregarse a efectos referenciales.
Versión vigente publicada en /encargo-tratamiento.
En caso de conflicto entre este DPA y el contrato principal, prevalece este DPA en materia de protección de datos personales.
15. Ley aplicable y jurisdicción
Este acuerdo se rige por las leyes de la República de Chile, en particular la Ley 21.719. Cualquier controversia se someterá a los tribunales ordinarios de Santiago.
[⚖️ Requiere revisión legal: evaluar incorporar arbitraje CAM Santiago como mecanismo alternativo para clientes B2B grandes.]