Última actualización: 1 de enero de 2026
Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA)
1. Definiciones
- "Responsable del Tratamiento" (Data Controller): El Cliente (comercio) que utiliza VENDAQ para comunicarse con sus clientes finales y que determina los fines y medios del tratamiento de datos personales.
- "Encargado del Tratamiento" (Data Processor): VENDAQ SpA, que procesa datos personales en nombre y por instrucción del Responsable del Tratamiento.
- "Sub-procesador": Tercero contratado por VENDAQ que procesa datos personales como parte de la prestación del Servicio.
- "Datos Personales": Cualquier información relativa a una persona natural identificada o identificable.
- "Interesado" (Data Subject): La persona natural cuyos datos personales son procesados (clientes finales del Comercio).
- "Brecha de Seguridad": Incidente de seguridad que resulte en la destrucción, pérdida, alteración o divulgación no autorizada de datos personales.
2. Roles y Responsabilidades
El Cliente (Responsable del Tratamiento):
- Determina los fines y medios del procesamiento de datos personales de sus clientes finales
- Es responsable de tener base legal para la recopilación y procesamiento de datos (consentimiento, interés legítimo, relación contractual, etc.)
- Debe informar a sus clientes finales sobre el uso de IA en la atención al cliente y sobre el procesamiento de sus datos
- Proporciona instrucciones documentadas a VENDAQ sobre el procesamiento de datos
VENDAQ (Encargado del Tratamiento):
- Procesa datos personales únicamente según las instrucciones documentadas del Cliente
- No procesa datos para fines propios (excepto lo requerido por ley)
- Garantiza que el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad
- Implementa medidas técnicas y organizativas apropiadas para proteger los datos
- Asiste al Cliente en el cumplimiento de sus obligaciones respecto a derechos de los interesados
- Notifica al Cliente sin demora injustificada sobre cualquier brecha de seguridad
3. Propósito del Procesamiento
VENDAQ procesa datos personales exclusivamente para:
- Prestar el servicio de atención al cliente con inteligencia artificial
- Procesar y responder conversaciones de clientes finales
- Mantener el historial de conversaciones y contexto del cliente
- Integrar con sistemas de e-commerce para consultar información de pedidos
- Generar analíticas y reportes agregados para el panel del Cliente
- Gestionar la facturación y administración de la cuenta del Cliente
4. Tipos de Datos Procesados
| Categoría | Tipos de datos | Interesados |
|---|---|---|
| Datos de identificación | Nombre, número de teléfono, foto de perfil (de plataforma de mensajería) | Clientes finales |
| Datos de conversación | Contenido de mensajes de texto, audio transcrito, archivos compartidos, timestamps | Clientes finales |
| Datos comerciales | Historial de compras, pedidos, preferencias de productos, dirección de envío | Clientes finales |
| Datos de cuenta | Nombre, email, empresa, información de facturación | Cliente (comercio) |
| Metadatos | Canal de comunicación, hora de interacción, tipo de dispositivo, dirección IP | Clientes finales y Cliente |
Datos sensibles: VENDAQ no está diseñado para procesar categorías especiales de datos (datos de salud, datos biométricos, datos sobre orientación sexual, creencias religiosas o afiliación política). El Cliente no debe configurar el servicio para recopilar intencionalmente este tipo de datos.
5. Sub-procesadores
VENDAQ utiliza los siguientes sub-procesadores para prestar el Servicio. El Cliente autoriza el uso de estos sub-procesadores al aceptar este DPA:
| Sub-procesador | Propósito | Ubicación de datos |
|---|---|---|
| Google (Gemini) | Procesamiento de lenguaje natural — generación de respuestas de IA | Estados Unidos |
| Anthropic (Claude) | Procesamiento de lenguaje natural — generación de respuestas de IA | Estados Unidos |
| Groq | Procesamiento de lenguaje natural — inferencia rápida | Estados Unidos |
| Deepgram | Transcripción de voz a texto (speech-to-text) | Estados Unidos |
| Fly.io | Hosting de aplicación — servidores de la plataforma | São Paulo, Brasil |
| Neon | Base de datos PostgreSQL gestionada | São Paulo, Brasil |
| Upstash | Cache Redis y colas de mensajes | São Paulo, Brasil |
| Stripe | Procesamiento de pagos y facturación | Estados Unidos |
Cambios en sub-procesadores: VENDAQ notificará al Cliente con al menos 30 días de anticipación antes de agregar o cambiar un sub-procesador. El Cliente puede objetar por escrito dentro de los 15 días siguientes a la notificación. Si la objeción no puede resolverse, el Cliente puede terminar el servicio.
Todos los sub-procesadores están sujetos a acuerdos contractuales que requieren el mismo nivel de protección de datos establecido en este DPA.
6. Medidas de Seguridad
VENDAQ implementa las siguientes medidas técnicas y organizativas:
Encriptación
- Encriptación en reposo: AES-256 para bases de datos y almacenamiento
- Encriptación en tránsito: TLS 1.2+ para todas las comunicaciones
- Encriptación de backups
Control de acceso
- Autenticación multifactor (MFA) para todo el equipo con acceso a producción
- Principio de mínimo privilegio para accesos internos
- Control de acceso basado en roles (RBAC)
- Revisión periódica de permisos de acceso
Monitoreo y auditoría
- Logging de todos los accesos a datos personales
- Monitoreo de seguridad en tiempo real
- Alertas automáticas ante actividades sospechosas
- Retención de logs de auditoría por 12 meses
Seguridad de la aplicación
- Aislamiento de datos por tenant (multi-tenancy seguro)
- Revisión de código y pruebas de seguridad
- Actualizaciones de seguridad aplicadas regularmente
Continuidad del negocio
- Backups automatizados diarios con retención de 30 días
- Plan de recuperación ante desastres documentado
- Infraestructura redundante
7. Notificación de Brechas de Seguridad
En caso de una brecha de seguridad que afecte datos personales:
- VENDAQ notificará al Cliente dentro de las 72 horas siguientes al descubrimiento de la brecha
- La notificación incluirá:
- Naturaleza de la brecha y datos afectados
- Medidas tomadas o propuestas para mitigar el impacto
- Número aproximado de interesados afectados
- Punto de contacto para más información
- VENDAQ cooperará con el Cliente en la investigación y mitigación de la brecha
- VENDAQ asistirá al Cliente en el cumplimiento de sus obligaciones de notificación a autoridades e interesados
8. Derechos de Auditoría
El Cliente tiene derecho a verificar el cumplimiento de este DPA por parte de VENDAQ:
- VENDAQ proporcionará documentación e informes sobre sus prácticas de seguridad y protección de datos previa solicitud razonable
- El Cliente puede realizar o encargar auditorías con un aviso previo de 30 días y durante horario laboral
- Las auditorías se limitarán a aspectos relevantes para este DPA y no interferirán con las operaciones normales
- Los costos de auditoría serán asumidos por el Cliente, salvo que la auditoría revele un incumplimiento material por parte de VENDAQ
- VENDAQ puede proporcionar informes de auditoría de terceros independientes como alternativa a auditorías presenciales
9. Transferencias Internacionales de Datos
Algunos sub-procesadores procesan datos fuera de Chile (principalmente en Estados Unidos y Brasil). Para estas transferencias:
- Todos los sub-procesadores cuentan con medidas de protección adecuadas
- Los proveedores de LLM (Google, Anthropic, Groq) procesan datos bajo APIs empresariales con compromisos contractuales de no usar datos para entrenamiento
- La infraestructura principal (base de datos, aplicación) está alojada en São Paulo, Brasil, para minimizar transferencias internacionales y reducir latencia en Latinoamérica
10. Eliminación de Datos
Al terminar la relación contractual:
- El Cliente tendrá 30 días para exportar sus datos a través de las herramientas proporcionadas por la plataforma o solicitando una exportación a nuestro equipo
- Tras el período de exportación, VENDAQ eliminará todos los datos personales procesados en nombre del Cliente en un plazo de 90 días
- Se eliminarán datos de:
- Base de datos principal
- Caches y colas de mensajes
- Backups (en el siguiente ciclo de rotación)
- VENDAQ proporcionará confirmación escrita de la eliminación previa solicitud
- Datos que deban retenerse por obligación legal serán protegidos y procesados solo para ese fin
11. Vigencia
Este DPA entra en vigor al momento en que el Cliente comienza a utilizar el Servicio y permanece vigente mientras VENDAQ procese datos personales en nombre del Cliente.
Las obligaciones de confidencialidad y protección de datos sobreviven a la terminación de este acuerdo.
Contacto
Para consultas sobre este DPA o sobre protección de datos:
- Email: [email protected]
- Responsable de protección de datos: [email protected]
Razón social: VENDAQ SpA · RUT: 78.368.957-K · Dirección: Pastor Fernández 17100A, Lo Barnechea, Chile