Este Acuerdo de Procesamiento de Datos (el "DPA") se celebra entre AICSUITE, LLC, una sociedad de responsabilidad limitada constituida en el Estado de Delaware ("Encargado" o "AICSUITE"), y el cliente identificado en la orden u cuenta aplicable ("Responsable" o "Cliente"). Este DPA forma parte y se incorpora por referencia a los Términos del Servicio entre las partes.
Este DPA aplica al tratamiento por parte de AICSUITE de Datos Personales por cuenta del Cliente en relación con los Servicios y busca cumplir con el Artículo 28 del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679, el "RGPD"), el UK GDPR, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México ("LFPDPPP"), la CCPA/CPRA de California y otras leyes comparables de protección de datos.
1. Definiciones
Los términos en mayúscula no definidos aquí tienen el significado que les da el RGPD o la Ley de Protección de Datos aplicable. Para efectos de este DPA:
- "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable que AICSUITE procese por cuenta del Cliente en relación con los Servicios.
- "Titular" significa la persona física a la que se refieren los Datos Personales (por ejemplo, empleados, contratistas o clientes del Cliente).
- "Ley de Protección de Datos" significa todas las leyes aplicables de protección de datos y privacidad, incluidos el RGPD, el UK GDPR, la LFPDPPP, la CCPA/CPRA y leyes similares.
- "Tratamiento" tiene el significado dado en el RGPD.
- "Subencargado" significa cualquier tercero contratado por AICSUITE para procesar Datos Personales por cuenta de AICSUITE.
- "Brecha de Datos Personales" significa una violación de la seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales.
2. Alcance y Propósito del Tratamiento
AICSUITE tratará los Datos Personales únicamente por cuenta de y conforme a las instrucciones documentadas del Cliente (que incluyen este DPA, los Términos del Servicio y la configuración y uso de los Servicios por el Cliente), salvo que la ley aplicable lo requiera de otro modo. El objeto, la naturaleza, el propósito, la duración, los tipos de Datos Personales y las categorías de Titulares se describen en el Anexo 1.
El Cliente es el responsable de los Datos Personales enviados a los Servicios y es responsable de la licitud de la recopilación, la base legal para el tratamiento y de obtener todos los avisos y consentimientos necesarios de los Titulares.
3. Obligaciones del Encargado
AICSUITE:
- Tratará Datos Personales sólo conforme a las instrucciones documentadas del Cliente;
- Asegurará que el personal autorizado para tratar Datos Personales esté sujeto a obligaciones escritas de confidencialidad y reciba la capacitación apropiada;
- Implementará y mantendrá las medidas técnicas y organizativas descritas en el Anexo 2;
- Brindará asistencia razonable al Cliente para: (a) responder a solicitudes de Titulares; (b) garantizar la seguridad del tratamiento; (c) notificar Brechas de Datos Personales; (d) llevar a cabo evaluaciones de impacto en protección de datos; y (e) consultar con autoridades de control, considerando la naturaleza del tratamiento y la información disponible para AICSUITE;
- Pondrá a disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y del Artículo 28 del RGPD;
- Informará prontamente al Cliente si, a juicio de AICSUITE, una instrucción infringe la Ley de Protección de Datos aplicable.
4. Sub-encargo
El Cliente otorga a AICSUITE autorización general escrita para contratar Subencargados que procesen Datos Personales, sujeto a lo siguiente:
- AICSUITE mantendrá una lista actualizada de Subencargados en aicsuite.com/es/legal/subprocessors;
- AICSUITE impondrá obligaciones contractuales a cada Subencargado no menos protectoras que las de este DPA;
- AICSUITE dará aviso anticipado razonable de nuevos Subencargados (no menos de treinta (30) días cuando sea factible), y el Cliente podrá objetar por motivos razonables de protección de datos. Si las partes no resuelven la objeción, el Cliente podrá terminar la parte afectada de los Servicios;
- AICSUITE seguirá siendo responsable ante el Cliente por los actos y omisiones de sus Subencargados.
5. Derechos del Titular
AICSUITE, considerando la naturaleza del tratamiento, proporcionará asistencia razonable al Cliente (mediante medidas técnicas y organizativas apropiadas) para que cumpla con su obligación de responder a las solicitudes de Titulares en ejercicio de sus derechos bajo la Ley de Protección de Datos (incluidos los derechos ARCO bajo la LFPDPPP). Si AICSUITE recibe una solicitud directamente de un Titular, la remitirá al Cliente sin demora indebida y no responderá salvo que lo exija la ley o lo instruya el Cliente.
6. Medidas de Seguridad (Técnicas y Organizativas)
AICSUITE ha implementado y mantiene las medidas de seguridad descritas en el Anexo 2, diseñadas para garantizar un nivel de seguridad adecuado al riesgo, considerando el estado de la técnica, el costo de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de los Titulares.
7. Notificación de Brechas de Datos Personales
AICSUITE notificará al Cliente sin demora indebida, y en todo caso dentro de setenta y dos (72) horas después de tener conocimiento de una Brecha de Datos Personales que afecte a los Datos Personales del Cliente. Cada notificación incluirá, en la medida en que se conozca en ese momento:
- La naturaleza de la Brecha;
- Categorías y número aproximado de Titulares y registros afectados;
- Las probables consecuencias de la Brecha;
- Las medidas tomadas o propuestas para atender la Brecha y mitigar posibles efectos adversos;
- El punto de contacto para más información.
AICSUITE cooperará con las actividades razonables de investigación y remediación del Cliente. El Cliente sigue siendo responsable de notificar a las autoridades de control y a los Titulares según lo exija la ley aplicable.
8. Transferencias Internacionales de Datos
En la medida en que se transfieran Datos Personales de Titulares en el EEE, Reino Unido o Suiza fuera de esas jurisdicciones a un país sin una decisión de adecuación, las partes acuerdan que las Cláusulas Contractuales Tipo de la UE (Módulo 2: Responsable a Encargado, y Módulo 3: Encargado a Encargado, cuando aplique), junto con el Addendum de Transferencia Internacional del Reino Unido o el UK IDTA cuando aplique, se incorporan por referencia y aplican a dichas transferencias. AICSUITE proporcionará las cláusulas firmadas previa solicitud por escrito.
9. Auditorías
AICSUITE, no más de una vez por período de doce (12) meses (salvo tras una Brecha de Datos Personales material o por requerimiento de una autoridad de control), pondrá a disposición del Cliente copias de informes de auditoría de terceros, certificaciones de seguridad (cuando se obtengan) y políticas relevantes, suficientes para que el Cliente verifique el cumplimiento de este DPA. El Cliente puede solicitar una auditoría in situ a su costa, sujeta a aviso anticipado razonable, alcance acotado, protecciones de confidencialidad y sin interferir indebidamente con las operaciones de AICSUITE.
10. Plazo y Terminación
Este DPA entra en vigor en la Fecha de Vigencia y permanece en vigor mientras AICSUITE trate Datos Personales por cuenta del Cliente bajo los Términos del Servicio. Las disposiciones que por su naturaleza deban subsistir a la terminación subsistirán.
11. Devolución o Eliminación de Datos Personales
Al terminar los Servicios, el Cliente podrá exportar los Datos Personales durante treinta (30) días. Después, AICSUITE eliminará o anonimizará todos los Datos Personales dentro de los sesenta (60) días, salvo en la medida en que la ley aplicable o los respaldos requieran retención, en cuyo caso los datos permanecerán cifrados, aislados y sujetos a eliminación dentro de los noventa (90) días siguientes al próximo ciclo de rotación de respaldos.
12. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones de responsabilidad establecidas en los Términos del Servicio.
Anexo 1 — Descripción del Tratamiento
A. Objeto y Duración
AICSUITE trata Datos Personales para prestar los Servicios durante la suscripción del Cliente, más un período limitado de cierre tras la terminación descrito en este DPA.
B. Naturaleza y Propósito del Tratamiento
Recolección, registro, organización, estructuración, almacenamiento, recuperación, consulta, uso, divulgación por transmisión, limitación, supresión y destrucción de Datos Personales con el fin de prestar los Servicios (gestión de fuerza laboral, cálculo de nómina, programación, facturación y funciones operativas relacionadas).
C. Categorías de Titulares
- Usuarios autorizados del Cliente (Administradores, Gerentes, Personal);
- Miembros de la fuerza laboral del Cliente (Empleados y Contratistas gestionados en los Servicios);
- Clientes y contactos cuyos datos se ingresan en los Servicios;
- Otras personas físicas cuyos datos se incluyan en los Datos del Cliente enviados a los Servicios.
D. Categorías de Datos Personales
- Datos de identificación y contacto (nombre, correo, teléfono, domicilio);
- Identificadores sensibles: Números de Seguridad Social y otros identificadores gubernamentales (cifrados en reposo con AES-256);
- Datos laborales y de contratación (clasificación, rol, fecha de ingreso, estatus);
- Datos de compensación y nómina (tarifas, horas, deducciones, datos bancarios para depósito directo, cuando aplique);
- Datos de programación, asignaciones y trabajos;
- Datos de comunicaciones y registros de auditoría;
- Datos de autenticación y credenciales (contraseñas almacenadas únicamente como hash con sal).
E. Frecuencia
Continuo, durante el plazo de los Servicios.
Anexo 2 — Medidas Técnicas y Organizativas
A. Confidencialidad
- Control de acceso basado en roles con modelo de cinco niveles (Administrador, Gerente, Personal, Contratista, Usuario) y mínimo privilegio;
- Seguridad a Nivel de Fila (RLS) en la capa PostgreSQL para aislamiento de inquilinos;
- Cifrado en reposo con AES-256 para identificadores sensibles (SSNs) y datos bancarios;
- Cifrado en tránsito con TLS 1.2 o superior;
- Personal sujeto a obligaciones escritas de confidencialidad y acceso sólo según necesidad de conocer.
B. Integridad
- Validación de entradas y consultas parametrizadas;
- Registros de auditoría de acciones administrativas y de modificación;
- Gestión de cambios y revisión de código para cambios en producción.
C. Disponibilidad y Resiliencia
- Infraestructura en la nube gestionada (AWS, Cloudflare, Supabase);
- Respaldos automatizados regulares con procedimientos de restauración monitoreados;
- Monitoreo y alertas sobre disponibilidad y tasas de error.
D. Autenticación
- Almacenamiento de contraseñas con hash y sal;
- Tokens de sesión basados en JWT;
- Autenticación multifactor disponible para cuentas (recomendada para Administradores y Gerentes).
E. Gestión de Proveedores
Acuerdos escritos con cada Subencargado que imponen obligaciones de protección de datos no menos protectoras que este DPA.
F. Respuesta a Incidentes
Proceso documentado de respuesta a incidentes con roles definidos, rutas de escalamiento y compromiso de notificación de brechas dentro de 72 horas a los Clientes.
G. Hoja de Ruta de Cumplimiento
AICSUITE busca activamente la atestación SOC 2 Tipo II. Consulte el Resumen de Seguridad para el estatus actual.
Contacto
Para la firma del DPA, correspondencia con autoridades de control o consultas relacionadas, contáctenos:
- Privacidad: privacy@aicsuite.com
- Legal: legal@aicsuite.com
¿Tienes preguntas sobre este documento?
Escríbenos a legal@aicsuite.com
AICSUITE, LLC · Sociedad de responsabilidad limitada de Delaware