Data Processing Agreement (DPA) — Template
Versión 1.0 · 2026-05-28
Este Data Processing Agreement ("DPA") complementa los Términos de Servicio entre Eviav S.A. ("Procesador") y la organización cliente ("Controlador") en su uso del servicio Eviav. Aplica cuando el Controlador procesa Datos Personales a través del Servicio.
Para firmar este DPA, descargalo, completá los datos del Controlador (sección 12), firmalo y enviálo a [email protected]. Te devolveremos copia contrafirmada en <5 días hábiles.
1. Definiciones
Los términos "Datos Personales", "Procesamiento", "Controlador", "Procesador", "Sub-procesador", "Brecha de Datos Personales" tienen el significado del GDPR (Reglamento UE 2016/679) y/o LGPD (Lei nº 13.709/2018 brasileña) cuando aplique.
2. Roles
- Controlador: el cliente. Determina los fines y medios del procesamiento de Datos Personales de sus usuarios finales.
- Procesador: Eviav. Procesa Datos Personales en nombre y según instrucciones documentadas del Controlador.
3. Objeto del procesamiento
Eviav procesa los siguientes Datos Personales del Controlador y/o de sus usuarios finales únicamente para entregar el Servicio:
| Categoría | Propósito | Retención |
|---|---|---|
| Email, nombre, teléfono del Controlador | Operar la cuenta business, comunicación transaccional | Hasta cierre de cuenta + 30d |
| Datos de tarjeta del Controlador (vía Stripe) | Procesar facturación | Hasta cierre de cuenta |
| Queries de geocoding/routing (que pueden contener direcciones, coords) | Ejecutar el request y devolver el resultado | Solo durante el request; logs operacionales 30d |
| IP del usuario final + user-agent | Rate-limit, audit, fraud detection | 12 meses |
| Imágenes en AI Vision | Procesar la respuesta del modelo | Solo durante el request, sin retención |
Eviav NO usa Datos Personales del Controlador para fines propios, marketing, entrenamiento de modelos propios, o cualquier otro propósito que no sea ejecutar el Servicio.
4. Sub-procesadores autorizados
El Controlador autoriza a Eviav a usar los Sub-procesadores listados en la lista de sub-procesadores. Eviav notificará al Controlador al menos 30 días antes de incorporar nuevos Sub-procesadores. El Controlador puede objetar fundadamente; en tal caso podrá rescindir el Servicio sin penalidad.
Eviav garantiza que sus Sub-procesadores cumplen con cláusulas de protección equivalentes a este DPA.
5. Transferencias internacionales
Cuando Datos Personales del Controlador o sus usuarios finales se transfieran fuera de la jurisdicción de origen, Eviav se basa en:
- SCCs (Standard Contractual Clauses) Módulo 2/3 de la Comisión Europea (2021/914/EU).
- Adequacy decisions cuando aplique (UK, países adecuados).
- UK Addendum de SCCs cuando aplique para datos del Reino Unido.
6. Seguridad
Eviav implementa medidas técnicas y organizacionales apropiadas para proteger los Datos Personales contra acceso no autorizado, alteración, divulgación o destrucción. Estas medidas incluyen, sin limitarse a:
- Encryption in transit (TLS 1.3) y at rest (LUKS, restic AES-256).
- Aislamiento multi-tenant por
org_iden toda la stack. - Audit logs append-only de eventos sensibles.
- Hardening operacional (firewall, fail2ban, SSH key-only, etc.).
- Vulnerability scanning continuo (Dependabot, Snyk).
- Pen test anual por terceros (post-SOC 2).
- Política de incident response con notificación al Controlador en <72h tras detección.
Detalle completo en nuestra política de seguridad.
7. Derechos del titular
Eviav asiste razonablemente al Controlador en responder a solicitudes de titulares de Datos Personales (acceso, rectificación, eliminación, portabilidad, oposición), proveyendo herramientas técnicas en el dashboard y APIs cuando sea aplicable.
8. Notificación de brechas
Eviav notificará al Controlador en <72h tras detectar una Brecha de Datos Personales que afecte al Controlador, incluyendo:
- Naturaleza de la brecha.
- Categorías y volumen aproximado de Datos Personales afectados.
- Medidas tomadas o propuestas para mitigar.
- Punto de contacto en Eviav para mayor información.
9. Auditoría
El Controlador tiene derecho a auditar el cumplimiento de Eviav con este DPA una vez por año, con 30 días de aviso, durante horario laboral, y con costos a cargo del Controlador. Eviav puede satisfacer este derecho proveyendo:
- Reports de auditoría SOC 2 Type II (cuando estén disponibles).
- Certificación ISO 27001 (cuando esté disponible).
- Respuestas a cuestionarios de seguridad (CAIQ, SIG, custom).
10. Retención y devolución de datos
Al cierre de la cuenta del Controlador, Eviav:
- Elimina o devuelve los Datos Personales según instrucción del Controlador, en <30 días.
- Conserva backups offsite hasta 30 días adicionales (rotación normal); después se sobreescriben.
- Algunos datos de facturación se retienen por obligaciones fiscales (en Ecuador: 7 años), anonimizados del resto.
11. Duración y terminación
Este DPA está en vigor mientras Eviav procese Datos Personales en nombre del Controlador. Termina automáticamente con la terminación de los Términos de Servicio principales.
12. Datos del Controlador
Completar al firmar:
Nombre legal de la organización: _______________________________
Domicilio: ______________________________________________________
Email de contacto privacy: ______________________________________
Email de contacto DPO (si aplica): ______________________________
Jurisdicciones donde el Controlador opera: ______________________
13. Firmas
Por el Controlador:
Nombre: _____________________________
Cargo: ______________________________
Fecha: ______________________________
Firma: ______________________________
Por Eviav S.A.:
Nombre: _____________________________
Cargo: ______________________________
Fecha: ______________________________
Firma: ______________________________
Contacto legal/privacy de Eviav: [email protected] · [email protected]