Volver
EN | ES

Acuerdo de Tratamiento de Datos

Última revisión:

Vigencia: desde que el Cliente lo acepta por escrito o haciendo clic en "Acepto" en la configuración de cuenta de la plataforma.

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte del Acuerdo Maestro de Suscripción o cualquier otro acuerdo escrito o electrónico entre Zendrhax ("Encargado", "nosotros") y el Cliente ("Responsable", "vos") que rige el uso del Servicio.

Este DPA refleja el acuerdo de las partes sobre el tratamiento de datos personales realizado por el Encargado en nombre del Responsable en relación con el Servicio. Está redactado para satisfacer el Artículo 28 del Reglamento (UE) 2016/679 ("GDPR") y el UK GDPR. Cuando el Cliente o sus usuarios finales estén fuera del Espacio Económico Europeo, el DPA igual aplica como base contractual — la ley local puede agregar requisitos que prevalezcan sobre las cláusulas GDPR de abajo.

Un ejemplar contrafirmado de este DPA está disponible a solicitud en legal@zendrhax.com. Cuando el proceso de procurement del Responsable requiera firma bilateral, la versión ejecutada ahí prevalece sobre esta versión online.

1. Definiciones

Los términos en mayúscula no definidos abajo tienen el significado del GDPR.

  • "Datos Personales del Cliente" — datos personales procesados por el Encargado en nombre del Responsable en relación con el Servicio, descritos en el Anexo A.
  • "Leyes de Protección de Datos" — el GDPR, el UK GDPR, y cualquier otra ley aplicable de protección de datos personales.
  • "Sub-encargado" — cualquier tercero contratado por el Encargado para procesar Datos Personales del Cliente en nombre del Responsable.
  • "Incidente de Seguridad" — cualquier violación de seguridad que lleve a la destrucción, pérdida, alteración accidental o ilegal, o divulgación no autorizada o acceso a Datos Personales del Cliente.
  • "Cláusulas Contractuales Estándar" (SCC) — las cláusulas contractuales estándar de la Comisión Europea para transferencia de datos personales a terceros países (Decisión de Implementación (UE) 2021/914).

2. Roles y alcance

2.1 Las partes reconocen que a los fines de las Leyes de Protección de Datos y respecto de los Datos Personales del Cliente, el Cliente es el Responsable y Zendrhax es el Encargado.

2.2 Este DPA aplica mientras el Encargado procese Datos Personales del Cliente en nombre del Responsable.

2.3 La materia, duración, naturaleza, propósito, categorías de datos y categorías de titulares de datos del tratamiento están descritas en el Anexo A.

3. Obligaciones del Encargado (Art. 28(3))

El Encargado debe:

(a) procesar Datos Personales del Cliente solo bajo instrucciones documentadas del Responsable, incluyendo transferencias a terceros países, salvo que lo requiera la ley UE o de Estado Miembro a la que el Encargado esté sujeto. Las instrucciones del Responsable son las dadas a través del Servicio (configuración, requests API, solicitudes de eliminación, tickets de soporte) y cualquier instrucción escrita expresamente identificada como tal. Si el Encargado no puede cumplir una instrucción, lo notificará al Responsable sin demora indebida;

(b) asegurar que las personas autorizadas a procesar Datos Personales del Cliente se hayan comprometido a confidencialidad o estén bajo una obligación estatutaria apropiada de confidencialidad;

(c) implementar las medidas técnicas y organizativas del Anexo B y revisarlas al menos anualmente;

(d) respetar las condiciones de las cláusulas 4 y 5 abajo para contratar sub-encargados;

(e) asistir al Responsable, considerando la naturaleza del tratamiento y la información disponible, en cumplir las obligaciones del Responsable de responder a solicitudes de titulares de datos ejerciendo sus derechos bajo el Capítulo III del GDPR. El Servicio provee endpoints de autoservicio — GET /me/data-export (Art. 15) y POST /me/data-deletion-request (Art. 17) — que el Responsable puede dirigir a sus usuarios finales. Para solicitudes que no se puedan cumplir por esos endpoints, el Encargado responderá a un pedido escrito del Responsable dentro de treinta (30) días;

(f) asistir al Responsable en asegurar el cumplimiento de las obligaciones de los Arts. 32 a 36 del GDPR considerando la naturaleza del tratamiento y la información disponible;

(g) a elección del Responsable, eliminar o devolver todos los Datos Personales del Cliente al Responsable tras el fin de la provisión de servicios de tratamiento, y eliminar copias existentes salvo que la ley UE o de Estado Miembro requiera almacenamiento. La eliminación rutinaria ocurre dentro de treinta (30) días de la terminación; los backups salen de retención según el cronograma del Anexo B;

(h) poner a disposición del Responsable toda la información necesaria para demostrar cumplimiento de las obligaciones del Art. 28 y permitir y contribuir a auditorías, incluyendo inspecciones, conducidas por el Responsable u otro auditor mandatado por el Responsable, sujeto a la cláusula 7 abajo.

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción del Responsable infringe las Leyes de Protección de Datos.

4. Sub-encargados (Art. 28(2), 28(4))

4.1 El Responsable otorga al Encargado autorización general escrita para contratar Sub-encargados. La lista actual de Sub-encargados (nombre, ubicación, actividad de tratamiento) se mantiene en /legal/sub-processors y se actualiza ante cambios.

4.2 El Encargado notificará al Responsable de cualquier cambio previsto sobre adición o reemplazo de Sub-encargados al menos catorce (14) días antes de que el cambio entre en vigor, dando al Responsable la oportunidad de objetar. Las notificaciones se envían al email registrado en la cuenta del Responsable.

4.3 Si el Responsable objeta por escrito dentro del período de aviso y las partes no pueden acordar una resolución, el Responsable puede terminar la porción afectada del Servicio mediante aviso escrito y recibir un reembolso prorrateado de cuotas prepagadas.

4.4 El Encargado impondrá a cada Sub-encargado, mediante contrato escrito, obligaciones de protección de datos no menos protectoras que las de este DPA.

5. Transferencias internacionales (Capítulo V)

5.1 El Encargado no transferirá Datos Personales del Cliente fuera del Espacio Económico Europeo, el Reino Unido, u otro país considerado adecuado por la Comisión Europea salvo que esté implementada una salvaguarda apropiada del Capítulo V GDPR.

5.2 Cuando el Encargado se base en las SCC, se incorpora por referencia el Módulo Dos (Responsable a Encargado). Los Anexos I, II y III de las SCC se completan con los Anexos A y B de este DPA.

5.3 Si la base del Encargado en las SCC es invalidada, las partes harán esfuerzos razonables para poner en marcha un mecanismo legal alternativo de transferencia sin demora indebida.

6. Seguridad e incidentes (Art. 32, 33)

6.1 El Encargado implementará y mantendrá las medidas técnicas y organizativas del Anexo B, diseñadas para asegurar un nivel de seguridad apropiado al riesgo.

6.2 El Encargado notificará al Responsable de un Incidente de Seguridad que afecte Datos Personales del Cliente sin demora indebida y en cualquier caso dentro de setenta y dos (72) horas de haber tomado conocimiento. La notificación incluirá, en la medida conocida: la naturaleza del incidente, las categorías y número aproximado de titulares de datos y registros afectados, las consecuencias probables, y las medidas tomadas o propuestas.

6.3 El Encargado cooperará razonablemente con la investigación del Responsable y sus obligaciones de notificación bajo los Arts. 33 y 34 del GDPR. El Encargado no notificará a titulares de datos directamente en nombre del Responsable salvo que esté legalmente obligado o sea expresamente instruido por el Responsable.

7. Auditorías (Art. 28(3)(h))

7.1 El Encargado pondrá a disposición del Responsable, ante solicitud escrita razonable, los reportes de auditoría de terceros más recientes (por ej. SOC 2 Type II, declaraciones de aplicabilidad ISO 27001) y un resumen de las medidas técnicas y organizativas del Encargado.

7.2 Cuando lo anterior sea insuficiente para demostrar cumplimiento, el Responsable puede, no más de una vez cada doce (12) meses y con al menos treinta (30) días de aviso escrito previo, auditar el cumplimiento del Encargado con este DPA, sujeto a:

  • que las auditorías se conduzcan durante horas hábiles y de manera que no interfiera con las operaciones del Encargado;
  • que el auditor esté sujeto a obligaciones de confidencialidad apropiadas;
  • que el Responsable cubra sus propios costos y los costos razonables del Encargado por la auditoría, salvo que la auditoría revele incumplimiento material, en cuyo caso el Encargado cubre sus propios costos razonables.

7.3 Nada en esta cláusula requiere al Encargado dar acceso a datos de otros clientes, a su código fuente, o a información que comprometa la seguridad del Servicio.

8. Plazo y terminación

8.1 Este DPA entra en vigor en la Fecha de Vigencia y permanece en vigor mientras el Encargado procese Datos Personales del Cliente en nombre del Responsable.

8.2 Las obligaciones del Encargado sobre confidencialidad, seguridad y devolución o eliminación de Datos Personales del Cliente sobreviven a la terminación.

9. Responsabilidad y ley aplicable

9.1 La responsabilidad de cada parte bajo o en conexión con este DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo Maestro de Suscripción.

9.2 Este DPA se rige por la ley especificada en el Acuerdo Maestro de Suscripción. Si no se especifica, este DPA se rige por la ley del Estado de Florida, EE.UU., y los tribunales del Condado de Miami-Dade tienen jurisdicción exclusiva.

Anexo A — Detalles del tratamiento

Categorías de titulares de datos:

  • Usuarios finales autorizados del Responsable (empleados, contratistas, colaboradores) que tienen cuentas en el Servicio.
  • Clientes, contactos comerciales y otros terceros del Responsable cuyos datos personales el Responsable elija subir o procesar a través del Servicio (por ej. contactos de facturación en facturas gestionadas vía la app Invoices).

Categorías de datos personales:

  • Datos de identificación y contacto: nombre, email, teléfono, dirección, preferencias de idioma.
  • Datos de cuenta: contraseñas hasheadas, secrets de 2FA, identificadores de sesión, dirección IP, user-agent, historial de login.
  • Datos de negocio subidos por el Responsable: facturas, clientes, estados de pago, descripciones de líneas, campos de texto libre.
  • Datos de auditoría: registros de acciones tomadas por los usuarios del Responsable dentro de su espacio (quién creó qué, cuándo, desde qué IP).

El Responsable es responsable exclusivo de la base legal sobre la cual cualquiera de lo anterior se sube y de no subir datos de categoría especial (Art. 9 GDPR) salvo que haya acordado por separado con el Encargado por escrito.

Frecuencia: continua, mientras dure la suscripción del Cliente al Servicio.

Naturaleza y propósito del tratamiento:

  • Hostear, almacenar y servir la data del espacio del Cliente.
  • Autenticar y autorizar usuarios del Cliente.
  • Generar facturas y otros artefactos del Cliente.
  • Enviar email transaccional en nombre del Cliente.
  • Mantener audit logs para uso de cumplimiento del Cliente.

Duración: mientras el Cliente mantenga una suscripción activa, más las ventanas de retención del Anexo B.

Anexo B — Medidas técnicas y organizativas (Art. 32)

El Encargado implementa las siguientes medidas. La lista refleja el estado del Servicio en la Fecha de Vigencia; los controles específicos evolucionan a medida que el Servicio evoluciona, pero el nivel de protección no se reducirá materialmente.

B.1 Pseudonimización y encripción

  • TLS 1.2+ para toda data en tránsito.
  • Encripción en reposo para almacenamiento de base de datos gestionada y para almacenamiento de objetos donde se guarden datos personales.
  • Contraseñas almacenadas con Argon2id; webhook signing secrets encriptados; secrets de 2FA encriptados en el registro de usuario.

B.2 Confidencialidad, integridad, disponibilidad, resiliencia

  • Control de acceso basado en roles (capabilities + roles) dentro de cada espacio; aislamiento de tenant aplicado en cada lectura/escritura.
  • Esquema de base de datos multi-tenant; acceso cross-tenant requiere una sesión de admin de plataforma y queda en audit log.
  • Backups diarios retenidos treinta (30) días; backups semanales retenidos noventa (90) días. El restore de backup se testea al menos mensualmente (mirá docs/operations.md).
  • Endpoints de health y metrics monitoreados por un uptime checker externo. Runbook de gestión de incidentes en docs de operaciones.

B.3 Restauración de disponibilidad y acceso

  • La plataforma expone el endpoint de autoservicio GET /me/data-export (Art. 15) devolviendo un archivo JSON con toda la data atada al usuario que pidió. Rate-limited a una solicitud por usuario por 24 horas.
  • Un cron programado verifica que el backup más reciente sea restorable contra una base sandbox; las alertas de fallo van a operaciones.

B.4 Borrado y eliminación (Art. 17)

  • La plataforma expone POST /me/data-deletion-request. Una solicitud exitosa abre una fila pendiente con ventana de gracia de 14 días durante la cual el usuario puede cancelar. Tras la ventana, el cron diario gdpr.finalise_data_deletions anonimiza el registro del usuario en el lugar: las columnas PII se scrub-ean (nombre, email, contraseña, secret de 2FA), anonymised_at se sella, y los artefactos de autenticación (sesiones, historial de login, API keys, password resets, códigos OTP, membresías de espacios) se hard-deletan.
  • Las foreign keys del audit log se retienen intencionalmente como tombstones para que el registro de cumplimiento del espacio quede intacto mientras los datos personales detrás de ellas se eliminan.
  • Los Propietarios de tenant deben transferir la propiedad de cada espacio que tengan antes de que pueda iniciar el countdown de eliminación.

B.5 Pruebas regulares

  • La suite de architecture-guard ratchet-ea cada PR contra regresiones en el límite Domain/Application/Infrastructure, SQL crudo en services, y presupuestos de largo de método de controllers.
  • Las suites de unit e integration corren en cada PR; los merges a main requieren CI verde.

B.6 Personal

  • El acceso a data de producción está limitado a personal con necesidad operativa documentada. Todo ese personal está sujeto a obligaciones escritas de confidencialidad.
  • Se realizan background checks cuando lo permite la ley local.
  • El entrenamiento de seguridad se provee al ingreso y se refresca anualmente.

B.7 Sub-encargados

La lista actual de Sub-encargados y su ubicación se publica en /legal/sub-processors. La lista incluye el proveedor de infraestructura del Encargado, el proveedor de email transaccional, el proveedor de tracking de errores, y el procesador de pagos.

Última revisión: 2026-05-30.