Acuerdo de Tratamiento de Datos (DPA)

1. Objeto y roles

Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") regula el tratamiento de datos personales que ADRENA GROUP SPA, RUT 78.426.696-6 (en adelante, "Pulso" o el "Encargado"), realiza por cuenta del cliente (en adelante, el "Responsable") en el marco del servicio Pulso.

a) Respecto de los datos de los clientes finales del Responsable y demás datos personales que el Responsable sincroniza o carga en Pulso a través de sus plataformas conectadas, el Responsable es el responsable del tratamiento y Pulso es su encargado (o subencargado, cuando el Responsable a su vez actúe como encargado de un tercero).

b) Respecto de los datos de la cuenta, facturación y telemetría de uso del propio Responsable, Pulso actúa como responsable independiente, conforme a su Política de Privacidad.

2. Tratamiento conforme a instrucciones

Pulso tratará los datos personales del Responsable únicamente conforme a las instrucciones documentadas de éste —incluidas las instrucciones implícitas en el uso normal de la plataforma y en los Términos de Servicio— y no los tratará para fines propios distintos de la prestación del servicio. Si Pulso considera que una instrucción infringe la normativa aplicable, lo informará al Responsable.

3. Finalidad y categorías de datos

El tratamiento tiene por única finalidad prestar el servicio Pulso: sincronizar, almacenar, organizar y presentar métricas de negocio, y permitir las consultas del asistente Andy. Las categorías de datos y de titulares dependen de las plataformas que el Responsable conecte, y pueden incluir datos de contacto e información transaccional de los clientes finales del Responsable.

4. Medidas de seguridad

Pulso aplica medidas técnicas y organizativas apropiadas, incluyendo cifrado en tránsito (HTTPS/TLS), control de acceso basado en roles, almacenamiento de credenciales y secretos de forma cifrada, y alojamiento en infraestructura con estándares de seguridad de la industria. Estas medidas se describen con mayor detalle en la sección 11 de la Política de Privacidad.

5. Confidencialidad

Pulso garantiza que las personas autorizadas para tratar los datos personales se han comprometido a la confidencialidad. Esta obligación de confidencialidad subsiste tras la terminación de la relación contractual y se extiende a su personal y a sus subencargados.

6. Subencargados

a) El Responsable autoriza a Pulso a recurrir a subencargados para la prestación del servicio. La lista vigente se publica en la página de Subprocesadores.

b) Pulso informará al Responsable con al menos 30 días de anticipación cualquier incorporación o reemplazo de un subencargado. El Responsable podrá oponerse por motivos razonables y fundados dentro de ese plazo. Si la objeción no puede resolverse de buena fe, Pulso no estará obligado a seguir prestando la funcionalidad que dependa de ese subencargado.

c) Pulso impondrá a cada subencargado obligaciones de protección de datos equivalentes a las de este DPA.

7. Asistencia al Responsable

En la medida en que corresponda, Pulso asistirá razonablemente al Responsable para: (a) atender las solicitudes de los titulares en el ejercicio de sus derechos (acceso, rectificación, cancelación, oposición, portabilidad u otros); (b) cumplir sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.

8. Notificación de brechas de seguridad

Pulso notificará al Responsable sin demora indebida y, a más tardar, dentro de las 24 a 48 horas siguientes a tener conocimiento de una brecha de seguridad que afecte datos personales tratados por cuenta del Responsable, entregando la información razonablemente disponible para que el Responsable cumpla sus propias obligaciones de notificación.

9. Derechos de los titulares

Cuando Pulso reciba directamente una solicitud de un titular relativa a datos que trata como encargado, la remitirá al Responsable y no responderá por sí mismo, salvo instrucción del Responsable o exigencia legal. El Responsable es quien debe obtener el consentimiento y entregar los avisos que la ley requiera a los titulares de los datos que carga o sincroniza en Pulso.

10. Transferencias y remisiones

Pulso podrá tratar y almacenar los datos a través de los subencargados indicados en la sección 6, incluyendo ubicaciones fuera del país del Responsable. Cuando el Responsable transfiere datos a Pulso para que éste los trate por su cuenta, dicho flujo constituye una remisión a un encargado. Pulso no realizará transferencias de los datos a terceros distintos de sus subencargados, salvo instrucción del Responsable, subcontratación lícita conforme a la sección 6, u orden de autoridad competente.

11. Devolución o eliminación al término

A la terminación del servicio, o cuando el Responsable lo instruya, Pulso devolverá o eliminará los datos personales tratados por cuenta del Responsable dentro de un plazo máximo de 30 días, salvo que la ley exija conservarlos por un período mayor. Durante ese período, los datos quedarán bloqueados para cualquier tratamiento distinto de su conservación.

12. Auditoría

Pulso pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este DPA y atenderá, dentro de límites razonables y con aviso previo, las verificaciones que el Responsable o un auditor mandatado realicen, protegiendo la confidencialidad y la seguridad de los demás clientes.

13. Ley aplicable

Este DPA se rige por la misma ley y jurisdicción que los Términos de Servicio. Para clientes en México, las cláusulas de este DPA deben interpretarse de forma consistente con las obligaciones del encargado bajo la LFPDPPP vigente; cualquier requisito adicional exigido por dicha ley se entenderá incorporado una vez revisado y acordado por escrito entre las partes.

14. Contacto

Para asuntos relativos a este DPA: hola@adrenalytics.com.