eviav
Iniciar sesiónCrear cuenta

Data Processing Agreement (DPA) — Template

Versión 1.0 · 2026-05-28

Este Data Processing Agreement ("DPA") complementa los Términos de Servicio entre Eviav S.A. ("Procesador") y la organización cliente ("Controlador") en su uso del servicio Eviav. Aplica cuando el Controlador procesa Datos Personales a través del Servicio.

Para firmar este DPA, descargalo, completá los datos del Controlador (sección 12), firmalo y enviálo a [email protected]. Te devolveremos copia contrafirmada en <5 días hábiles.


1. Definiciones

Los términos "Datos Personales", "Procesamiento", "Controlador", "Procesador", "Sub-procesador", "Brecha de Datos Personales" tienen el significado del GDPR (Reglamento UE 2016/679) y/o LGPD (Lei nº 13.709/2018 brasileña) cuando aplique.

2. Roles

  • Controlador: el cliente. Determina los fines y medios del procesamiento de Datos Personales de sus usuarios finales.
  • Procesador: Eviav. Procesa Datos Personales en nombre y según instrucciones documentadas del Controlador.

3. Objeto del procesamiento

Eviav procesa los siguientes Datos Personales del Controlador y/o de sus usuarios finales únicamente para entregar el Servicio:

CategoríaPropósitoRetención
Email, nombre, teléfono del ControladorOperar la cuenta business, comunicación transaccionalHasta cierre de cuenta + 30d
Datos de tarjeta del Controlador (vía Stripe)Procesar facturaciónHasta cierre de cuenta
Queries de geocoding/routing (que pueden contener direcciones, coords)Ejecutar el request y devolver el resultadoSolo durante el request; logs operacionales 30d
IP del usuario final + user-agentRate-limit, audit, fraud detection12 meses
Imágenes en AI VisionProcesar la respuesta del modeloSolo durante el request, sin retención

Eviav NO usa Datos Personales del Controlador para fines propios, marketing, entrenamiento de modelos propios, o cualquier otro propósito que no sea ejecutar el Servicio.

4. Sub-procesadores autorizados

El Controlador autoriza a Eviav a usar los Sub-procesadores listados en la lista de sub-procesadores. Eviav notificará al Controlador al menos 30 días antes de incorporar nuevos Sub-procesadores. El Controlador puede objetar fundadamente; en tal caso podrá rescindir el Servicio sin penalidad.

Eviav garantiza que sus Sub-procesadores cumplen con cláusulas de protección equivalentes a este DPA.

5. Transferencias internacionales

Cuando Datos Personales del Controlador o sus usuarios finales se transfieran fuera de la jurisdicción de origen, Eviav se basa en:

  • SCCs (Standard Contractual Clauses) Módulo 2/3 de la Comisión Europea (2021/914/EU).
  • Adequacy decisions cuando aplique (UK, países adecuados).
  • UK Addendum de SCCs cuando aplique para datos del Reino Unido.

6. Seguridad

Eviav implementa medidas técnicas y organizacionales apropiadas para proteger los Datos Personales contra acceso no autorizado, alteración, divulgación o destrucción. Estas medidas incluyen, sin limitarse a:

  • Encryption in transit (TLS 1.3) y at rest (LUKS, restic AES-256).
  • Aislamiento multi-tenant por org_id en toda la stack.
  • Audit logs append-only de eventos sensibles.
  • Hardening operacional (firewall, fail2ban, SSH key-only, etc.).
  • Vulnerability scanning continuo (Dependabot, Snyk).
  • Pen test anual por terceros (post-SOC 2).
  • Política de incident response con notificación al Controlador en <72h tras detección.

Detalle completo en nuestra política de seguridad.

7. Derechos del titular

Eviav asiste razonablemente al Controlador en responder a solicitudes de titulares de Datos Personales (acceso, rectificación, eliminación, portabilidad, oposición), proveyendo herramientas técnicas en el dashboard y APIs cuando sea aplicable.

8. Notificación de brechas

Eviav notificará al Controlador en <72h tras detectar una Brecha de Datos Personales que afecte al Controlador, incluyendo:

  • Naturaleza de la brecha.
  • Categorías y volumen aproximado de Datos Personales afectados.
  • Medidas tomadas o propuestas para mitigar.
  • Punto de contacto en Eviav para mayor información.

9. Auditoría

El Controlador tiene derecho a auditar el cumplimiento de Eviav con este DPA una vez por año, con 30 días de aviso, durante horario laboral, y con costos a cargo del Controlador. Eviav puede satisfacer este derecho proveyendo:

  • Reports de auditoría SOC 2 Type II (cuando estén disponibles).
  • Certificación ISO 27001 (cuando esté disponible).
  • Respuestas a cuestionarios de seguridad (CAIQ, SIG, custom).

10. Retención y devolución de datos

Al cierre de la cuenta del Controlador, Eviav:

  • Elimina o devuelve los Datos Personales según instrucción del Controlador, en <30 días.
  • Conserva backups offsite hasta 30 días adicionales (rotación normal); después se sobreescriben.
  • Algunos datos de facturación se retienen por obligaciones fiscales (en Ecuador: 7 años), anonimizados del resto.

11. Duración y terminación

Este DPA está en vigor mientras Eviav procese Datos Personales en nombre del Controlador. Termina automáticamente con la terminación de los Términos de Servicio principales.

12. Datos del Controlador

Completar al firmar:

Nombre legal de la organización: _______________________________
Domicilio: ______________________________________________________
Email de contacto privacy: ______________________________________
Email de contacto DPO (si aplica): ______________________________
Jurisdicciones donde el Controlador opera: ______________________

13. Firmas

Por el Controlador:

Nombre: _____________________________
Cargo: ______________________________
Fecha: ______________________________
Firma: ______________________________

Por Eviav S.A.:

Nombre: _____________________________
Cargo: ______________________________
Fecha: ______________________________
Firma: ______________________________

Contacto legal/privacy de Eviav: [email protected] · [email protected]