Acuerdo de Procesamiento de Datos (DPA)

1. Partes del acuerdo

Este Acuerdo de Procesamiento de Datos (en adelante, "DPA") se celebra entre el titular de la cuenta de negocio (en adelante, el "Responsable del Tratamiento" o "Controlador") y la plataforma (en adelante, el "Encargado del Tratamiento" o "Procesador"), en cumplimiento del Articulo 28 del Reglamento General de Proteccion de Datos (RGPD) y la Ley 25.326 de Proteccion de Datos Personales de Argentina.

El Controlador es quien determina los fines y medios del tratamiento de datos personales de sus clientes. El Procesador actua unicamente en nombre del Controlador, proporcionando la infraestructura tecnica para la gestion de pedidos en linea.

2. Objeto del tratamiento

El Procesador trata datos personales en nombre del Controlador con el fin de operar la plataforma de pedidos. Los datos procesados incluyen:

Datos de identificacion: CUIT/CUIL, nombre completo, empresa.
Datos de contacto: email, numero de telefono, direccion.
Datos transaccionales: historial de pedidos, productos, cantidades, precios.
Datos de autenticacion: sesiones de acceso (gestionadas mediante OTP, sin almacenamiento de contrasenas).
Registros de auditoria: acciones realizadas en la plataforma con fines de seguridad y trazabilidad.

La finalidad del tratamiento es exclusivamente la prestacion del servicio de gestion de pedidos en linea, autenticacion de usuarios y mantenimiento de registros de auditoria.

3. Obligaciones del Procesador

El Procesador se compromete a:

Tratar los datos personales unicamente conforme a las instrucciones documentadas del Controlador y para los fines descritos en este acuerdo.
Garantizar que el personal autorizado para tratar datos personales se haya comprometido a respetar la confidencialidad.
Implementar las medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (detalladas en la seccion 5).
No contratar a otro encargado del tratamiento sin la autorizacion previa y por escrito del Controlador (ver seccion 4).
Asistir al Controlador en el cumplimiento de su obligacion de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificacion, supresion, portabilidad y oposicion).
Asistir al Controlador en el cumplimiento de las obligaciones de seguridad, notificacion de brechas, evaluaciones de impacto y consultas previas.
A eleccion del Controlador, suprimir o devolver todos los datos personales una vez finalice la prestacion de servicios, y eliminar las copias existentes salvo que la legislacion aplicable exija su conservacion.
Poner a disposicion del Controlador toda la informacion necesaria para demostrar el cumplimiento de estas obligaciones, asi como permitir y contribuir a la realizacion de auditorias.

4. Sub-procesadores

El Procesador utiliza los siguientes sub-procesadores autorizados para la prestacion del servicio. Todos ellos son proveedores de Estados Unidos; las transferencias internacionales se realizan al amparo de las Clausulas Contractuales Tipo (CCT) aprobadas por la Comision Europea (Art. 46.2.c RGPD), que constituyen la garantia adecuada para dichas transferencias.

Supabase Inc. (EE. UU.)

Servicios: base de datos (PostgreSQL), autenticacion (Auth con OTP), almacenamiento de archivos (Storage).

Categorias de datos: todos los datos personales listados en la seccion 2 (identificacion, contacto, transaccionales, autenticacion, auditoria).

Transferencia: CCT; SOC 2 Type II; cifrado AES-256 en reposo, TLS 1.2+ en transito.

Resend Inc. (EE. UU.)

Servicios: envio de emails transaccionales (confirmaciones de pedido, codigos OTP, notificaciones de estado).

Categorias de datos: direccion de email, nombre, detalles del pedido (numero, estado, importe estimado).

Transferencia: CCT.

Meta Platforms Ireland Limited — Canal WhatsApp (Irlanda / EE. UU.)

Servicios: WhatsApp Business Cloud API (codigo OTP de inicio de sesion, conversaciones entrantes y notificaciones de pedido) cuando el usuario opta por este canal de comunicacion.

Categorias de datos: numero de telefono, nombre de perfil de WhatsApp, contenido del mensaje (codigo OTP, referencia/estado del pedido).

Transferencia: CCT + WhatsApp Business Data Processing Terms.

Vercel Inc. (EE. UU.)

Servicios: alojamiento y ejecucion de la aplicacion web (hosting, edge network, funciones serverless).

Categorias de datos: metadatos de solicitudes HTTP (direccion IP, user-agent, URLs visitadas, headers). Los logs de acceso pueden contener datos personales incluidos en las URLs o headers de forma incidental.

Transferencia: CCT; SOC 2 Type II.

Functional Software Inc. d/b/a Sentry (EE. UU.)

Servicios: monitoreo de errores y excepciones de la aplicacion en produccion.

Categorias de datos: eventos de error (stack traces, contexto de ejecucion). La opcion sendDefaultPii: false esta activa; no se transmiten datos personales identificables por configuracion, salvo presencia incidental en parametros de URL.

Transferencia: CCT; SOC 2 Type II.

El Procesador informara al Controlador sobre cualquier cambio previsto en la incorporacion o sustitucion de sub-procesadores, otorgandole la oportunidad de oponerse a dichos cambios. El registro canonico y actualizado se mantiene en docs/security/subprocessors.md.

5. Medidas de seguridad

El Procesador implementa las siguientes medidas tecnicas y organizativas para proteger los datos personales:

Cifrado en transito: todas las comunicaciones se realizan mediante HTTPS/TLS, garantizando la proteccion de datos durante la transmision.
Cifrado en reposo: los datos almacenados en la infraestructura de Supabase estan cifrados con AES-256.
Control de acceso basado en roles (RBAC): sistema de permisos granular que limita el acceso a datos y funciones segun el rol asignado a cada usuario.
Seguridad a nivel de fila (RLS): politicas de base de datos que garantizan que cada tenant solo pueda acceder a sus propios datos, con aislamiento completo entre tenants.
Registros de auditoria: registro automatico de todas las acciones relevantes en la plataforma, con anonimizacion automatica despues de 365 dias.
Limitacion de tasa: proteccion contra ataques de fuerza bruta y abuso mediante limites de solicitudes por ventana temporal.
Autenticacion sin contrasenas: acceso mediante codigos OTP enviados por email, eliminando el riesgo de almacenamiento y filtracion de contrasenas.
Cabeceras de seguridad: configuracion de headers HTTP de seguridad (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, entre otros).

6. Transferencias internacionales

Los datos personales son transferidos y procesados fuera de la Republica Argentina a traves de los sub-procesadores listados en la seccion 4, todos ellos con sede en Estados Unidos. Estas transferencias se realizan al amparo de las Clausulas Contractuales Tipo (CCT) aprobadas por la Comision Europea (Decision de Ejecucion UE 2021/914), que constituyen la garantia adecuada segun el RGPD Art. 46. Asimismo, dichos proveedores cuentan con certificaciones de seguridad adicionales (SOC 2, ISO 27001) segun se detalla en la seccion 4.

7. Notificacion de brechas de seguridad

El Procesador notificara al Controlador sin demora indebida, y en cualquier caso dentro de las 72 horas siguientes a haber tenido conocimiento de una brecha de seguridad que afecte a datos personales. La notificacion incluira: (a) la naturaleza de la brecha; (b) las categorias y numero aproximado de interesados afectados; (c) las posibles consecuencias; (d) las medidas adoptadas o propuestas para mitigar los efectos.

8. Duracion y terminacion

Este acuerdo es valido mientras el Controlador mantenga una cuenta activa en la plataforma. Al finalizar la relacion contractual, el Procesador eliminara todos los datos personales en un plazo de 30 dias, salvo que la legislacion aplicable exija su conservacion por un periodo mayor. El Controlador puede solicitar una copia de sus datos antes de la terminacion.

9. Contacto

Para consultas relacionadas con este acuerdo de procesamiento de datos, contacta al administrador de la tienda a la que estas registrado. El administrador, como Controlador, es el punto de contacto principal para todas las cuestiones relativas al tratamiento de datos personales.

1. Partes del acuerdo

2. Objeto del tratamiento

El Procesador trata datos personales en nombre del Controlador con el fin de operar la plataforma de pedidos. Los datos procesados incluyen:

Datos de identificacion: CUIT/CUIL, nombre completo, empresa.
Datos de contacto: email, numero de telefono, direccion.
Datos transaccionales: historial de pedidos, productos, cantidades, precios.
Datos de autenticacion: sesiones de acceso (gestionadas mediante OTP, sin almacenamiento de contrasenas).
Registros de auditoria: acciones realizadas en la plataforma con fines de seguridad y trazabilidad.

La finalidad del tratamiento es exclusivamente la prestacion del servicio de gestion de pedidos en linea, autenticacion de usuarios y mantenimiento de registros de auditoria.

3. Obligaciones del Procesador

El Procesador se compromete a:

Tratar los datos personales unicamente conforme a las instrucciones documentadas del Controlador y para los fines descritos en este acuerdo.
Garantizar que el personal autorizado para tratar datos personales se haya comprometido a respetar la confidencialidad.
Implementar las medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (detalladas en la seccion 5).
No contratar a otro encargado del tratamiento sin la autorizacion previa y por escrito del Controlador (ver seccion 4).
Asistir al Controlador en el cumplimiento de su obligacion de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificacion, supresion, portabilidad y oposicion).
Asistir al Controlador en el cumplimiento de las obligaciones de seguridad, notificacion de brechas, evaluaciones de impacto y consultas previas.
A eleccion del Controlador, suprimir o devolver todos los datos personales una vez finalice la prestacion de servicios, y eliminar las copias existentes salvo que la legislacion aplicable exija su conservacion.
Poner a disposicion del Controlador toda la informacion necesaria para demostrar el cumplimiento de estas obligaciones, asi como permitir y contribuir a la realizacion de auditorias.

4. Sub-procesadores

Supabase Inc. (EE. UU.)

Servicios: base de datos (PostgreSQL), autenticacion (Auth con OTP), almacenamiento de archivos (Storage).

Categorias de datos: todos los datos personales listados en la seccion 2 (identificacion, contacto, transaccionales, autenticacion, auditoria).

Transferencia: CCT; SOC 2 Type II; cifrado AES-256 en reposo, TLS 1.2+ en transito.

Resend Inc. (EE. UU.)

Servicios: envio de emails transaccionales (confirmaciones de pedido, codigos OTP, notificaciones de estado).

Categorias de datos: direccion de email, nombre, detalles del pedido (numero, estado, importe estimado).

Transferencia: CCT.

Meta Platforms Ireland Limited — Canal WhatsApp (Irlanda / EE. UU.)

Servicios: WhatsApp Business Cloud API (codigo OTP de inicio de sesion, conversaciones entrantes y notificaciones de pedido) cuando el usuario opta por este canal de comunicacion.

Categorias de datos: numero de telefono, nombre de perfil de WhatsApp, contenido del mensaje (codigo OTP, referencia/estado del pedido).

Transferencia: CCT + WhatsApp Business Data Processing Terms.

Vercel Inc. (EE. UU.)

Servicios: alojamiento y ejecucion de la aplicacion web (hosting, edge network, funciones serverless).

Transferencia: CCT; SOC 2 Type II.

Functional Software Inc. d/b/a Sentry (EE. UU.)

Servicios: monitoreo de errores y excepciones de la aplicacion en produccion.

Transferencia: CCT; SOC 2 Type II.

5. Medidas de seguridad

El Procesador implementa las siguientes medidas tecnicas y organizativas para proteger los datos personales:

Cifrado en transito: todas las comunicaciones se realizan mediante HTTPS/TLS, garantizando la proteccion de datos durante la transmision.
Cifrado en reposo: los datos almacenados en la infraestructura de Supabase estan cifrados con AES-256.
Control de acceso basado en roles (RBAC): sistema de permisos granular que limita el acceso a datos y funciones segun el rol asignado a cada usuario.
Seguridad a nivel de fila (RLS): politicas de base de datos que garantizan que cada tenant solo pueda acceder a sus propios datos, con aislamiento completo entre tenants.
Registros de auditoria: registro automatico de todas las acciones relevantes en la plataforma, con anonimizacion automatica despues de 365 dias.
Limitacion de tasa: proteccion contra ataques de fuerza bruta y abuso mediante limites de solicitudes por ventana temporal.
Autenticacion sin contrasenas: acceso mediante codigos OTP enviados por email, eliminando el riesgo de almacenamiento y filtracion de contrasenas.
Cabeceras de seguridad: configuracion de headers HTTP de seguridad (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, entre otros).