Acuerdo de Procesamiento de Datos (DPA)

1. Partes del acuerdo

Este Acuerdo de Procesamiento de Datos (en adelante, "DPA") se celebra entre el titular de la cuenta de negocio (en adelante, el "Responsable del Tratamiento" o "Controlador") y la plataforma (en adelante, el "Encargado del Tratamiento" o "Procesador"), en cumplimiento del Articulo 28 del Reglamento General de Proteccion de Datos (RGPD) y la Ley 25.326 de Proteccion de Datos Personales de Argentina.

El Controlador es quien determina los fines y medios del tratamiento de datos personales de sus clientes. El Procesador actua unicamente en nombre del Controlador, proporcionando la infraestructura tecnica para la gestion de pedidos en linea.

2. Objeto del tratamiento

El Procesador trata datos personales en nombre del Controlador con el fin de operar la plataforma de pedidos. Los datos procesados incluyen:

• Datos de identificacion: CUIT/CUIL, nombre completo, empresa.
• Datos de contacto: email, direccion.
• Datos transaccionales: historial de pedidos, productos, cantidades, precios.
• Datos de autenticacion: sesiones de acceso (gestionadas mediante OTP, sin almacenamiento de contrasenas).
• Registros de auditoria: acciones realizadas en la plataforma con fines de seguridad y trazabilidad.

La finalidad del tratamiento es exclusivamente la prestacion del servicio de gestion de pedidos en linea, autenticacion de usuarios y mantenimiento de registros de auditoria.

3. Obligaciones del Procesador

El Procesador se compromete a:

• Tratar los datos personales unicamente conforme a las instrucciones documentadas del Controlador y para los fines descritos en este acuerdo.
• Garantizar que el personal autorizado para tratar datos personales se haya comprometido a respetar la confidencialidad.
• Implementar las medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (detalladas en la seccion 5).
• No contratar a otro encargado del tratamiento sin la autorizacion previa y por escrito del Controlador (ver seccion 4).
• Asistir al Controlador en el cumplimiento de su obligacion de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificacion, supresion, portabilidad y oposicion).
• Asistir al Controlador en el cumplimiento de las obligaciones de seguridad, notificacion de brechas, evaluaciones de impacto y consultas previas.
• A eleccion del Controlador, suprimir o devolver todos los datos personales una vez finalice la prestacion de servicios, y eliminar las copias existentes salvo que la legislacion aplicable exija su conservacion.
• Poner a disposicion del Controlador toda la informacion necesaria para demostrar el cumplimiento de estas obligaciones, asi como permitir y contribuir a la realizacion de auditorias.

4. Sub-procesadores

El Procesador utiliza los siguientes sub-procesadores autorizados para la prestacion del servicio:

El Procesador informara al Controlador sobre cualquier cambio previsto en la incorporacion o sustitucion de sub-procesadores, otorgandole la oportunidad de oponerse a dichos cambios.

5. Medidas de seguridad

El Procesador implementa las siguientes medidas tecnicas y organizativas para proteger los datos personales:

• Cifrado en transito: todas las comunicaciones se realizan mediante HTTPS/TLS, garantizando la proteccion de datos durante la transmision.
• Cifrado en reposo: los datos almacenados en la infraestructura de Supabase estan cifrados con AES-256.
• Control de acceso basado en roles (RBAC): sistema de permisos granular que limita el acceso a datos y funciones segun el rol asignado a cada usuario.
• Seguridad a nivel de fila (RLS): politicas de base de datos que garantizan que cada tenant solo pueda acceder a sus propios datos, con aislamiento completo entre tenants.
• Registros de auditoria: registro automatico de todas las acciones relevantes en la plataforma, con anonimizacion automatica despues de 365 dias.
• Limitacion de tasa: proteccion contra ataques de fuerza bruta y abuso mediante limites de solicitudes por ventana temporal.
• Autenticacion sin contrasenas: acceso mediante codigos OTP enviados por email, eliminando el riesgo de almacenamiento y filtracion de contrasenas.
• Cabeceras de seguridad: configuracion de headers HTTP de seguridad (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, entre otros).

6. Transferencias internacionales

Los datos personales pueden ser transferidos y procesados fuera de la Republica Argentina a traves de la infraestructura de Supabase (servidores en Estados Unidos). Estas transferencias se realizan con las garantias adecuadas conforme a la normativa aplicable, incluyendo clausulas contractuales tipo y las certificaciones de seguridad del sub-procesador.

7. Notificacion de brechas de seguridad

El Procesador notificara al Controlador sin demora indebida, y en cualquier caso dentro de las 72 horas siguientes a haber tenido conocimiento de una brecha de seguridad que afecte a datos personales. La notificacion incluira: (a) la naturaleza de la brecha; (b) las categorias y numero aproximado de interesados afectados; (c) las posibles consecuencias; (d) las medidas adoptadas o propuestas para mitigar los efectos.

8. Duracion y terminacion

Este acuerdo es valido mientras el Controlador mantenga una cuenta activa en la plataforma. Al finalizar la relacion contractual, el Procesador eliminara todos los datos personales en un plazo de 30 dias, salvo que la legislacion aplicable exija su conservacion por un periodo mayor. El Controlador puede solicitar una copia de sus datos antes de la terminacion.

9. Contacto

Para consultas relacionadas con este acuerdo de procesamiento de datos, contacta al administrador de la tienda a la que estas registrado. El administrador, como Controlador, es el punto de contacto principal para todas las cuestiones relativas al tratamiento de datos personales.