Saltar al contenido / Skip to content
Legal · DPA

Acuerdo de Tratamiento de Datos

Plantilla de Data Processing Agreement (DPA) entre Sovprompt y el Cliente. Versión vigente al 29 de abril de 2026. Para firmarlo, descarga la versión PDF al final de esta página y envíala a tu account executive.

Plantilla orientativa

Esta versión web del DPA refleja los términos contractuales aplicables. Para clientes Enterprise se entrega un PDF firmable que puede modificarse mediante acuerdo escrito entre las partes. Si necesitas modificaciones, escribe a info@gruporadical.com.

1. Definiciones

A los efectos de este Acuerdo, los términos en mayúscula tendrán los siguientes significados, en línea con el Reglamento (UE) 2016/679 (GDPR), la Ley 13.709/2018 (LGPD) brasileña y la Ley Orgánica de Protección de Datos Personales (LOPDP) ecuatoriana:

  • Datos Personales: cualquier información referida a una persona física identificada o identificable.
  • Tratamiento: cualquier operación realizada sobre Datos Personales, automatizada o no.
  • Controlador / Responsable: el Cliente, que determina los fines y medios del Tratamiento.
  • Encargado: Sovprompt (GRD Radical Corporation), que trata Datos Personales por cuenta del Controlador.
  • Sub-Encargado: tercero contratado por el Encargado para tratar Datos Personales en el marco del Servicio.
  • Brecha de Seguridad: incidente que conlleve destrucción, pérdida, alteración, divulgación o acceso no autorizado a Datos Personales.
  • Servicio: los productos Sovprompt regulados por los Términos de Servicio.

2. Objeto y duración del DPA

Este DPA regula el Tratamiento de Datos Personales que el Encargado realiza por cuenta del Controlador en el marco de la prestación del Servicio. Su vigencia coincide con la de los Términos de Servicio aceptados por las partes y se extiende hasta la devolución o eliminación efectiva de los Datos Personales tratados.

3. Datos Personales tratados

3.1 Categorías de titulares

Empleados, contratistas y usuarios autorizados del Controlador que utilizan la extensión, el panel o las APIs del Servicio.

3.2 Categorías de datos

  • Datos de identificación y contacto: nombre, email corporativo, organización, rol.
  • Datos de autenticación: identificadores SSO, hashes de contraseñas, tokens.
  • Metadata operativa: timestamps, versión del cliente, navegador, sistema operativo.
  • Metadata categórica de detecciones (no incluye el contenido textual del prompt).
  • Datos de facturación y administración del contrato (a través del sub-encargado de pagos).

Importante: el contenido literal de los prompts del usuario no es tratado por el Encargado en la configuración por default. El motor de detección se ejecuta localmente en el dispositivo del usuario. Las funciones server-side de inferencia, cuando se activan opcionalmente en el plan Enterprise, procesan el texto en memoria sin persistencia.

3.3 Naturaleza y finalidad

El Tratamiento se realiza con la finalidad de operar, mantener, asegurar y mejorar el Servicio según las instrucciones del Controlador formalizadas en su contrato y configuración de tenant.

4. Instrucciones del Controlador

El Encargado tratará los Datos Personales únicamente: (a) según las instrucciones documentadas del Controlador, incluidas las contenidas en los Términos de Servicio, este DPA y las configuraciones del panel; (b) cuando lo exija una norma de la Unión Europea o de un Estado miembro al que esté sujeto, en cuyo caso lo notificará al Controlador salvo prohibición legal. Si una instrucción del Controlador infringe normativa aplicable, el Encargado lo notificará sin demora.

5. Confidencialidad del personal

El Encargado garantiza que las personas autorizadas para tratar Datos Personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal equivalente, y reciben formación adecuada en protección de datos y seguridad de la información.

6. Sub-Encargados

El Controlador autoriza con carácter general la contratación de Sub-Encargados para la prestación del Servicio. La lista actualizada de Sub-Encargados está publicada en la Política de Privacidad. El Encargado notificará por email con al menos 30 días de antelación cualquier alta o cambio sustancial. Si el Controlador objeta razonablemente, las partes negociarán de buena fe una solución; en su defecto, el Controlador podrá rescindir la parte afectada del Servicio.

El Encargado celebrará con cada Sub-Encargado un contrato escrito que imponga obligaciones de protección de datos sustancialmente equivalentes a las de este DPA y será responsable solidariamente del cumplimiento por parte de sus Sub-Encargados.

7. Transferencias internacionales

Cuando el Tratamiento implique la transferencia de Datos Personales fuera del Espacio Económico Europeo, del Reino Unido o de la jurisdicción del Controlador, dicha transferencia se realizará amparada por: (i) decisión de adecuación de la Comisión Europea o autoridad competente; (ii) Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCCs) en su versión vigente, que se entienden incorporadas por referencia y firmadas por ambas partes; (iii) garantías equivalentes en el marco LATAM aplicables al titular. Los clientes con requisitos estrictos de residencia regional pueden contratar el Servicio en su modalidad de procesamiento LATAM dedicada.

8. Medidas técnicas y organizativas

El Encargado mantiene un Sistema de Gestión de la Seguridad de la Información (SGSI) certificado bajo ISO/IEC 27001, complementado por ISO 27701 (privacidad), ISO 20000-1 (gestión de servicios de TI), ISO 9001 (calidad) e ISO 37001 (antisoborno). Las medidas implementadas incluyen, sin carácter exhaustivo:

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256) para todos los datos persistidos.
  • Segmentación lógica por tenant con Row-Level Security en la base de datos.
  • Gestión de identidades con MFA obligatorio para todo el personal con acceso a datos.
  • Principio de mínimo privilegio y revisiones de acceso trimestrales.
  • Registros de auditoría centralizados y monitoreo continuo por el SOC 24/7 de Radical.
  • Procesos de gestión de cambios, parches y vulnerabilidades documentados.
  • Pruebas de penetración anuales y revisiones de código previas a cada release mayor.
  • Plan de continuidad de negocio y recuperación ante desastres con RTO/RPO definidos.
  • Programa de concienciación y formación en seguridad para el personal del Encargado.

9. Asistencia al Controlador

El Encargado prestará asistencia razonable al Controlador, mediante medidas técnicas y organizativas apropiadas, para que éste pueda: (a) responder a las solicitudes de ejercicio de derechos por parte de los titulares (acceso, rectificación, cancelación, oposición, portabilidad); (b) cumplir con sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto (DPIA); (c) cooperar con las autoridades de control competentes.

10. Notificación de brechas de seguridad

El Encargado notificará al Controlador cualquier Brecha de Seguridad confirmada que afecte a sus Datos Personales sin demora indebida y dentro de las 72 horas desde su conocimiento. La notificación incluirá, en la medida en que la información esté disponible: descripción del incidente y datos afectados, categorías y número aproximado de titulares e registros afectados, consecuencias probables, medidas adoptadas o propuestas, y datos de contacto del DPO. Si la información no está disponible en su totalidad, se proveerá por etapas a medida que avance la investigación.

11. Auditoría

El Encargado pondrá a disposición del Controlador toda la información razonable que demuestre el cumplimiento de las obligaciones de este DPA. Para satisfacer requerimientos de auditoría, el Encargado proveerá: (a) certificaciones independientes vigentes (ISO 27001, ISO 27701, etc.); (b) reportes resumidos de pruebas de penetración; (c) respuestas a cuestionarios estándar (CAIQ, SIG Lite). En casos justificados y con preaviso razonable, el Controlador podrá realizar auditorías adicionales, a su costo, con un auditor independiente sujeto a deber de confidencialidad y siempre que no comprometa la seguridad de otros clientes ni infraestructura compartida.

12. Devolución y eliminación de datos

A la terminación del Servicio, a elección del Controlador, el Encargado: (a) devolverá los Datos Personales en un formato estructurado de uso común y lectura mecánica; o (b) los eliminará de manera segura, salvo que la legislación aplicable exija su conservación. La eliminación se completará dentro de los 90 días siguientes a la terminación, incluyendo backups conforme al ciclo de rotación. El Encargado emitirá un certificado de eliminación a solicitud del Controlador.

13. Responsabilidad

La responsabilidad de las partes bajo este DPA se rige por la limitación de responsabilidad establecida en los Términos de Servicio, sin perjuicio de las responsabilidades indelegables que la normativa de protección de datos imponga a cada parte directamente frente a los titulares y a las autoridades de control.

14. Disposiciones finales

Este DPA forma parte integral del contrato entre las partes y prevalece, en lo relativo al Tratamiento de Datos Personales, sobre cualquier disposición contradictoria de los Términos de Servicio. Cualquier modificación material será notificada al Controlador con al menos 30 días de antelación. Para asuntos relativos a este DPA, contacta al Delegado de Protección de Datos en DPO@gruporadical.com o al equipo legal en legal@gruporadical.com.

¿Necesitas firmar el DPA?

Descarga la versión PDF firmable, complétala con los datos de tu organización y reenvíala al equipo legal de Sovprompt. La devolveremos firmada electrónicamente dentro de los 5 días hábiles.

Descargar DPA firmableEscribir al equipo legal