Acuerdo de Procesamiento de Datos (DPA)
EnglishÚltima actualización: 6 de mayo de 2026
Este Acuerdo de Procesamiento de Datos (“DPA”) forma parte de los Términos de Servicio entre SPEUX EIRL (RUC 20607072168, “Zentro”, Encargado del Tratamiento) y el Cliente (Responsable del Tratamiento), y aplica cuando el tratamiento de datos personales por Zentro en nombre del Cliente esté sujeto a normativas como GDPR (UE), UK GDPR, CCPA/CPRA (California), LGPD (Brasil), o equivalentes.
1. Definiciones
- Datos Personales: cualquier información relativa a una persona física identificada o identificable que el Cliente nos confíe a través del Servicio.
- Tratamiento: cualquier operación realizada sobre Datos Personales.
- Responsable: el Cliente, que determina los fines y medios del Tratamiento.
- Encargado: Zentro, que trata datos por cuenta del Cliente.
- Sub-encargado: tercero contratado por Zentro para tratar Datos.
2. Objeto y duración
Zentro tratará Datos Personales únicamente en la medida necesaria para prestar el Servicio descrito en los Términos. Este DPA aplica mientras dure la relación comercial y hasta la eliminación de los datos.
3. Naturaleza y finalidad del tratamiento
- Importación y gestión de pedidos COD del Cliente.
- Sincronización con couriers e integraciones autorizadas.
- Generación de reportes operativos para el Cliente.
- Soporte técnico cuando el Cliente lo solicite.
4. Categorías de Datos Personales y titulares
- Usuarios del Cliente: nombre, email, rol, logs de acceso.
- Clientes finales del Cliente: nombre, teléfono, DNI, dirección, historial de pedidos.
No tratamos categorías especiales de datos (salud, biométricos, ideología, etc.). Si el Cliente carga este tipo de datos, lo hace bajo su propia responsabilidad y debe contar con las bases legales correspondientes.
5. Obligaciones de Zentro como Encargado
- Tratar los Datos solo conforme a las instrucciones documentadas del Cliente.
- Garantizar que el personal autorizado se compromete a la confidencialidad o esté sujeto a obligación legal de confidencialidad.
- Implementar medidas técnicas y organizativas apropiadas: encriptación AES-256-GCM, TLS 1.2+, control de accesos por roles (RBAC), aislamiento multi-tenant, registros de auditoría.
- Asistir al Cliente en el cumplimiento de sus obligaciones (responder a derechos de titulares, evaluaciones de impacto, notificaciones de brecha).
- Notificar al Cliente sin demoras indebidas (objetivo: 72 horas) ante una brecha de seguridad que afecte sus Datos.
- A elección del Cliente, eliminar o devolver los Datos al finalizar la prestación, salvo obligación legal de conservación.
6. Sub-encargados (Sub-procesadores)
El Cliente autoriza a Zentro a contratar a los siguientes Sub-encargados. Zentro mantiene contratos que imponen obligaciones equivalentes a las de este DPA con cada Sub-encargado:
| Sub-encargado | Función | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting y CDN | EE.UU. / Global edge |
| Neon (PostgreSQL) | Base de datos administrada | EE.UU. |
| Vercel Blob | Almacenamiento de comprobantes de pago e imágenes | EE.UU. |
| Sentry | Monitoreo de errores y rendimiento | EE.UU. |
| Browserbase | Automatización segura de navegador (integración Zeus) | EE.UU. |
| Resend | Envío de notificaciones por email | EE.UU. |
Zentro notificará al Cliente con al menos 30 días de antelación cualquier incorporación o reemplazo de Sub-encargados. El Cliente puede objetar por escrito a privacy@zentro.one.
7. Transferencias internacionales
Cuando los Datos se transfieran fuera del país del Cliente, Zentro se basa en mecanismos válidos de transferencia: Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea para clientes UE/UK, equivalentes para LGPD, y proveedores con certificaciones SOC 2 / ISO 27001.
8. Derechos de los titulares
Zentro provee mecanismos en la plataforma para que el Cliente atienda solicitudes de los titulares (acceso, rectificación, eliminación, portabilidad). Si un titular contacta directamente a Zentro, lo redirigiremos al Cliente y prestaremos la asistencia razonable.
9. Auditoría
El Cliente puede solicitar, una vez al año y con 30 días de aviso previo, evidencia de cumplimiento de las medidas de seguridad: reportes SOC 2 de Sub-encargados, descripción de controles, resultados de pentests sintetizados. Auditorías presenciales requieren acuerdo previo y son a costo del Cliente.
10. Limitación de responsabilidad
La responsabilidad bajo este DPA está sujeta a las limitaciones de los Términos de Servicio. La responsabilidad agregada no excederá lo pagado por el Cliente en los 12 meses anteriores al hecho generador.
11. Aceptación
Para activar este DPA, el Cliente puede:
- Solicitarlo firmado escribiendo a privacy@zentro.one con asunto “DPA Request”.
- Aceptarlo electrónicamente desde Configuración → Cumplimiento (próximamente).
12. Contacto
Encargado del Tratamiento: SPEUX EIRL · RUC 20607072168 · privacy@zentro.one