Acuerdo de Tratamiento de Datos (DPA)

Resumen ejecutivo

DPA enterprise-ready

Este DPA está diseñado para que Yaripo opere, por regla general, como Encargado del tratamiento por cuenta del Cliente, incluyendo escenarios de consultoría, revisión de cumplimiento, protección de datos, IA, academy, soporte y productos digitales.

Enfoque contractual. Este documento organiza la capa de protección de datos aplicable a la relación entre Yaripo y sus clientes cuando Yaripo trata datos personales por cuenta de estos.

Base legal del diseño

Chile + GDPR

La lógica contractual sigue la estructura mínima que suele exigirse al tratamiento por cuenta de un responsable: objeto, duración, finalidad, tipo de datos, categorías de titulares, confidencialidad, seguridad, subencargados, asistencia, auditoría y fin del servicio.

Importante. Cuando un cliente requiera anexos específicos de transferencias internacionales, cláusulas contractuales adicionales o listados cerrados de subencargados, estos pueden documentarse separadamente.

Objeto y relación con el contrato principal

Anexo de protección de datos

El DPA regula el tratamiento de datos personales que Yaripo realice por cuenta del Cliente en la prestación de servicios. Debe operar como anexo o parte integrante del contrato principal, con prevalencia en materia de tratamiento de datos personales cuando exista conflicto específico.

Roles de las partes

Cliente responsable, Yaripo encargado

La estructura base contempla al Cliente como Responsable del tratamiento y a Yaripo como Encargado, por regla general, respecto de los datos tratados en nombre del Cliente.

Tratamientos propios de Yaripo. Esto no impide que Yaripo sea responsable independiente para datos propios de facturación, seguridad corporativa, cumplimiento legal, comercial o defensa de derechos.

Alcance del tratamiento

Finalidad, duración y categorías

El DPA debe describir, al menos, el objeto del tratamiento, su duración, la naturaleza y finalidad, los tipos de datos personales y las categorías de titulares. En Yaripo, esto se proyecta sobre consultoría, academy, SaaS, IA, soporte, PoC, automatización, hosting e integración.

Las categorías pueden incluir datos de contacto profesionales, usuarios finales, datasets empresariales, logs técnicos, prompts, inputs, outputs y, excepcionalmente, datos sensibles o financieros si el Cliente los incorpora o instruye tratar válidamente.

Tratamiento bajo instrucciones del Cliente

Límites y licitud del tratamiento

Yaripo debe tratar los datos personales únicamente siguiendo instrucciones documentadas del Cliente, salvo obligación legal aplicable.

El Cliente debe garantizar que cuenta con base jurídica suficiente, finalidades legítimas y habilitación para entregar a Yaripo los datos objeto del servicio.

Seguridad y confidencialidad

Medidas técnicas y organizativas

El encargado debe ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

En la práctica, Yaripo puede aplicar controles de acceso, cifrado, MFA, gestión de secretos, monitoreo, segregación de ambientes, respaldos, gestión de vulnerabilidades y medidas razonables de respuesta ante incidentes.

Subencargados

Autorización general enterprise

Para entorno enterprise, el modelo más práctico suele ser autorización general para subencargados, con obligación de imponerles obligaciones equivalentes y de informar cambios relevantes.

Diseño recomendado. Yaripo puede usar autorización general con derecho del Cliente a objeción razonable y fundada frente a un subencargado material.

Transferencias internacionales

Mecanismos adecuados por jurisdicción

Cuando el tratamiento implique transferencias internacionales, el DPA puede dejar abierto el uso de mecanismos adecuados según la jurisdicción aplicable, incluyendo adecuación, cláusulas contractuales tipo y salvaguardas contractuales, técnicas u organizativas equivalentes.

En Chile, la Ley N° 21.719 regula de forma integral el tratamiento de datos personales y sirve de base para estructurar estas salvaguardas en contratos locales e internacionales.

Incidentes de seguridad

Notificación razonablemente rápida

La redacción prudente que mejor conviene es: notificación al Cliente tan pronto como sea razonablemente posible, una vez confirmado un incidente con impacto relevante en datos personales tratados bajo el DPA.

Notificación. Los plazos regulatorios específicos o exigencias contractuales particulares pueden seguir rigiendo cuando resulten aplicables al caso concreto.

Auditoría y evidencia de cumplimiento

Mínimo razonable y controlado

Yaripo podrá poner a disposición del Cliente información razonablemente necesaria para demostrar cumplimiento mediante documentación, políticas, respuestas a cuestionarios, resúmenes de control u otras evidencias apropiadas.

Las auditorías in situ o pruebas intrusivas solo deberían proceder de manera excepcional, con alcance acotado, previo aviso y bajo obligaciones estrictas de confidencialidad.

Fin del servicio: devolución o eliminación

Cierre del tratamiento

Al término de los servicios, Yaripo podrá devolver o eliminar los datos personales a elección del Cliente, salvo obligación legal de retención o necesidad residual de respaldo, defensa o cumplimiento.

Datos sensibles y datos financieros

Casos reforzados y restricciones

Como Yaripo puede prestar servicios de levantamiento y revisión de protección de datos en empresas, el DPA debe contemplar que el Cliente podría instruir tratamiento de datos sensibles o financieros.

En ese caso, el Cliente debe garantizar base jurídica válida, necesidad y habilitación suficiente, y Yaripo debe limitar el tratamiento al alcance estrictamente necesario.

Anexo operativo mínimo

Ficha rápida del tratamiento

Todo DPA debe cerrarse con un anexo operativo que resuma:

servicio contratado;
duración del tratamiento;
categorías de titulares;
tipos de datos;
finalidades;
subencargados relevantes;
transferencias internacionales, si aplica.

Documentos relacionados

Declaración de Seguridad Política de Privacidad Política de Gobernanza de IA Trust Center