Acuerdo de procesamiento de datos (DPA)

Aplican las definiciones de la Ley N° 21.719 y, supletoriamente, las definiciones equivalentes del RGPD/UE para tratamientos transfronterizos. Adicionalmente:

• Cliente o Responsable: persona jurídica que ha contratado la Plataforma OPTANC.
• OPTANC o Encargado: OPTANC SpA, con domicilio en Santiago, Chile.
• Datos del Cliente: cualquier dato personal cargado o generado por el Cliente en la Plataforma.
• Subprocesador: cualquier tercero contratado por OPTANC para procesar Datos del Cliente en su nombre.

OPTANC tratará Datos del Cliente exclusivamente para prestar la Plataforma conforme a las instrucciones documentadas del Cliente. La duración del tratamiento coincide con la vigencia del contrato principal.

OPTANC sólo procesa Datos siguiendo instrucciones del Cliente. Las instrucciones por defecto son las contenidas en los Términos del servicio y en la configuración del producto. El Cliente puede emitir instrucciones adicionales por escrito a [email protected].

OPTANC notificará al Cliente si considera que una instrucción infringe la normativa aplicable.

El Cliente autoriza con carácter general la subcontratación de los proveedores listados en /legal/subprocesadoresOPTANC notificará por correo electrónico cualquier alta o cambio con al menos 30 días de antelación. El Cliente puede oponerse motivadamente; si las partes no llegan a un acuerdo, podrá rescindir la parte afectada del contrato sin penalidad.

OPTANC impone a sus subprocesadores obligaciones de protección de datos sustancialmente equivalentes a las contenidas en este DPA.

OPTANC mantiene las siguientes medidas técnicas y organizativas:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
• Control de acceso basado en roles (RBAC) con principio de menor privilegio.
• Autenticación multifactor obligatoria para accesos administrativos.
• Separación de entornos (producción / pre-producción / desarrollo).
• Registro de auditoría de accesos a datos personales.
• Pruebas de penetración anuales por terceros independientes.
• Procedimientos formales de gestión de incidentes con notificación al Cliente en 72h.
• Política de retención y eliminación segura de datos.
• Formación obligatoria al personal con acceso a datos.
• Certificaciones SOC 2 Type II e ISO 27001.

Cuando los Datos del Cliente sean transferidos fuera del EEE o desde Chile a un país sin decisión de adecuación, OPTANC aplicará las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, las cláusulas equivalentes que apruebe la futura Agencia de Protección de Datos Personales chilena, o el mecanismo equivalente reconocido en la jurisdicción del Cliente, junto con medidas suplementarias cuando sean necesarias.

OPTANC proporcionará al Cliente herramientas razonables para facilitar la atención de los derechos de los titulares (acceso, rectificación, supresión, portabilidad). Cuando un titular contacte directamente a OPTANC, redirigirá la solicitud al Cliente sin demora indebida.

Ante una violación de la seguridad que afecte Datos del Cliente, OPTANC notificará al Cliente sin demora indebida y en cualquier caso dentro de las 72 horas siguientes a tener conocimiento del hecho. La notificación incluirá:

• Descripción de la naturaleza del incidente.
• Categorías y volumen aproximado de datos afectados.
• Posibles consecuencias.
• Medidas adoptadas para mitigar el impacto.
• Punto de contacto para más información.

OPTANC pondrá a disposición del Cliente, una vez al año, los informes de auditoría externa (SOC 2 Type II, ISO 27001) y certificados vigentes. El Cliente puede solicitar auditorías adicionales cuando exista justificación razonable, con preaviso de 30 días, durante horario laboral, y bajo deber de confidencialidad.

A la terminación del contrato, OPTANC suprimirá o devolverá al Cliente, según éste indique, todos los Datos del Cliente en un plazo de 30 días, salvo obligación legal de conservación. Las copias de seguridad se eliminarán según el ciclo de rotación habitual (máximo 90 días).

La responsabilidad de OPTANC bajo este DPA estará sujeta a las limitaciones establecidas en los Términos del servicio. Cada parte responde de los daños causados por su propio incumplimiento.