Acuerdo de Tratamiento de Datos
Data Processing Agreement (DPA) — Plantilla Enterprise
Ultima actualizacion: 29 de marzo de 2026
Este documento es una plantilla base. Para solicitar un DPA firmado, contactar a privacidad@cepaos.com.
1. Partes y Definiciones
El presente Acuerdo de Tratamiento de Datos ("DPA", "Acuerdo") se celebra entre:
- Encargado del Tratamiento (Processor): cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, con domicilio en 1021 E Lincolnway, Suite 10026, Cheyenne, WY 82001 ("cepaos").
- Responsable del Tratamiento (Controller): la persona juridica o fisica que contrata el Servicio de cepaos ("el Cliente"), segun los datos consignados en el proceso de registro de la Plataforma.
Este DPA forma parte integrante de los Terminos y Condiciones y de cualquier acuerdo de servicio vigente entre las partes. En caso de conflicto entre este DPA y los Terminos y Condiciones en materia de proteccion de datos, prevalecera este DPA.
1.1 Definiciones
- "Datos Personales": toda informacion que identifique o permita identificar a una persona fisica, conforme a la Ley 25.326 y al RGPD (Reglamento UE 2016/679).
- "Tratamiento": cualquier operacion efectuada sobre datos personales.
- "Sub-encargado": tercero que cepaos autoriza para tratar Datos Personales en nombre del Cliente.
- "Brecha de seguridad": violacion de la seguridad que cause destruccion, perdida, modificacion, comunicacion o acceso no autorizados a Datos Personales.
- "Clausulas Contractuales Tipo" (SCCs): clausulas modelo aprobadas por la Comision Europea para transferencias internacionales de datos a terceros paises.
2. Categorias de Datos Personales Tratados
cepaos trata los siguientes Datos Personales en nombre del Cliente:
| Categoria | Tipos de datos | Titulares afectados |
|---|---|---|
| Datos de identificacion | Nombre completo, correo electronico, rol | Empleados y usuarios del Cliente |
| Datos de acceso | Direccion IP, timestamps de sesion, logs | Usuarios de la Plataforma |
| Datos operativos | Registros de produccion, inventarios, lotes, cosechas | Organizacion del Cliente |
| Datos de facturacion | CUIT, razon social, domicilio fiscal, referencia de pago | Responsable de facturacion del Cliente |
| Datos de contacto comercial | Nombre, correo, telefono del interlocutor | Personal administrativo del Cliente |
cepaos no trata categorias especiales de datos (datos de salud, origen etnico, afiliacion politica, religion, biometria, etc.) salvo instruccion expresa y escrita del Cliente.
3. Finalidades del Tratamiento
cepaos trata los Datos Personales unicamente para las siguientes finalidades:
- Prestacion del Servicio: operacion de la Plataforma SaaS de gestion vitivinicola.
- Soporte tecnico: diagnostico y resolucion de incidencias.
- Facturacion: gestion de cobros y suscripciones.
- Seguridad: prevencion del acceso no autorizado, deteccion de anomalias y auditoria.
- Cumplimiento legal: respuesta a requerimientos de autoridades competentes.
cepaos no utilizara los Datos Personales del Cliente para fines propios, incluyendo publicidad, analisis de mercado o entrenamiento de modelos de inteligencia artificial.
4. Instrucciones del Cliente
cepaos trata los Datos Personales unicamente segun las instrucciones documentadas del Cliente. Si cepaos considera que una instruccion infringe la normativa aplicable, lo notificara inmediatamente al Cliente por escrito.
5. Sub-encargados Autorizados
El Cliente autoriza a cepaos a utilizar los siguientes Sub-encargados:
| Sub-encargado | Funcion | Pais | Base de transferencia |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticacion, almacenamiento | Estados Unidos (AWS us-east-1) | SCCs |
| Resend, Inc. | Envio de correos transaccionales | Estados Unidos | SCCs |
| DLOCAL LIMITED (dLocalGo) | Procesamiento de pagos con tarjeta (LATAM) | Uruguay / Global | Nivel adecuado (Uruguay) |
| Cloudflare, Inc. | CDN, seguridad de red | Estados Unidos / Global | SCCs |
| Sentry | Monitoreo de errores (con PII scrubbing) | Estados Unidos | SCCs |
| Upstash, Inc. | Cache de sesion y rate limiting | Estados Unidos | SCCs |
cepaos notificara al Cliente con al menos 30 dias de anticipacion antes de incorporar un nuevo Sub-encargado.
6. Medidas Tecnicas y Organizativas (TOM)
6.1 Medidas Tecnicas
- Cifrado en transito: HTTPS/TLS 1.2+ en todas las comunicaciones.
- Cifrado en reposo: AES-256 para datos almacenados en Supabase.
- Aislamiento de tenants: Row Level Security (RLS) en PostgreSQL.
- Autenticacion: tokens JWT de corta duracion (Supabase Auth), soporte MFA.
- Control de acceso: principio de minimo privilegio.
- Respaldos: copias automaticas cada 24 horas, retencion 30 dias.
- Monitoreo: alertas de seguridad en tiempo real (Sentry + logs).
- Pseudonimizacion: PII scrubbing activo en Sentry.
6.2 Medidas Organizativas
- Politica de seguridad interna: procedimientos documentados.
- Formacion del personal: concientizacion en proteccion de datos.
- Confidencialidad: todo el personal sujeto a obligaciones de confidencialidad.
- Gestion de incidentes: protocolo documentado con plazos definidos.
- Evaluaciones periodicas: revision anual de medidas de seguridad.
7. Derechos de los Interesados
cepaos colaborara con el Cliente para facilitar el ejercicio de los derechos de los titulares de datos (derechos ARCO bajo Ley 25.326; derechos ampliados bajo RGPD).
Plazo maximo de respuesta: 30 dias corridos (Acceso), 5 dias habiles (Rectificacion/Cancelacion). Contacto: privacidad@cepaos.com.
8. Transferencias Internacionales de Datos
- Supabase (Estados Unidos): cubierta por SCCs aprobadas por la Comision Europea.
- Uruguay (DLOCAL LIMITED / dLocalGo): nivel adecuado de proteccion reconocido por la AAIP.
- Demas Sub-encargados en Estados Unidos: transferencias bajo SCCs estandar.
9. Retencion y Eliminacion de Datos
| Tipo de datos | Periodo de retencion | Accion al vencimiento |
|---|---|---|
| Datos operativos activos | Durante la vigencia del contrato | Exportacion disponible en CSV/JSON |
| Datos post-cancelacion | 30 dias | Eliminacion permanente |
| Registros de facturacion | 10 anos | Conservacion con acceso restringido |
| Logs de seguridad | 12 meses | Eliminacion automatica |
| Respaldos | 30 dias rotacion | Sobreescritura automatica |
10. Notificacion de Brechas de Seguridad
En caso de brecha de seguridad, cepaos notificara al Cliente dentro de las 72 horas. Contacto: seguridad@cepaos.com.
11. Auditorias
cepaos facilitara auditorias con 30 dias de anticipacion, frecuencia maxima anual, en horario habil. Costos a cargo del Cliente salvo incumplimiento de cepaos.
12. Responsabilidades y Limitacion
Las responsabilidades estan sujetas a las limitaciones de los Terminos y Condiciones vigentes.
13. Contacto — Responsable de Privacidad
- Correo: privacidad@cepaos.com
- Entidad: cepaos LLC — Wyoming, Estados Unidos
- Domicilio: 1021 E Lincolnway, Suite 10026, Cheyenne, WY 82001
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.