Acuerdo de Procesamiento de Datos (DPA)

Cliente: la organización que contrata el Servicio. Actúa como responsable del tratamiento (controller) de los datos personales que pone a disposición de la Plataforma o que la Plataforma procesa en su nombre.

B1 Bridge: FRT Latam. Actúa como encargado del tratamiento (processor), procesando los datos personales únicamente bajo instrucciones documentadas del Cliente.

Anexo I de este DPA describe el alcance del tratamiento (categorías de datos, finalidades, duración, tipo de tratamiento).

Datos personales procesados: nombres, direcciones de correo electrónico, identificadores de usuario, idioma preferido, metadatos de sesión, y otros datos que el Cliente decide ingresar al Servicio.

Datos NO procesados por la Plataforma: los datos del ERP SAP Business One del Cliente. Por diseño, esos datos permanecen dentro de la red del Cliente y el Software Desktop solo retorna a la Plataforma metadatos operativos agregados (heartbeats, conteo y duración de queries, errores anonimizados).

Finalidad: prestar el Servicio descrito en los Términos de Servicio. Duración: el plazo de la suscripción más los períodos de retención aplicables.

B1 Bridge procesa datos personales únicamente conforme a las instrucciones documentadas del Cliente, incluyendo las funcionalidades habilitadas en la consola y los términos del contrato vigente. Si una instrucción del Cliente entra en conflicto con la ley aplicable, notificaremos al Cliente antes de actuar (salvo que la ley nos prohíba notificar).

Las personas con acceso a datos personales del Cliente firman compromisos de confidencialidad. El acceso se restringe al personal estrictamente necesario y se registra en el audit log.

Aplicamos medidas técnicas y organizativas razonables y proporcionales al riesgo:

• Cifrado en tránsito (TLS 1.2 mínimo) y en reposo.
• Control de acceso basado en roles, con principio de mínimo privilegio.
• Autenticación multifactor obligatoria para operadores con acceso a producción.
• Audit log inmutable con retención mínima de 24 meses.
• Rotación periódica de claves de cifrado y secretos.
• Revisión continua de los subprocesadores listados en /legal/subprocessors.
• Backups con punto-en-el-tiempo (PITR) y prueba periódica de restauración.

El listado completo y actualizado de controles está en /legal/trust.

El Cliente autoriza el uso de los subprocesadores listados en /legal/subprocessors al momento de aceptación de este DPA. Notificaremos por correo electrónico a la dirección de cuenta del Cliente con al menos 30 días de anticipación a la adición o reemplazo de cualquier subprocesador. El Cliente podrá oponerse a un nuevo subprocesador por motivos razonables relacionados con la protección de datos; si la objeción no se puede resolver, cualquiera de las partes podrá terminar el Servicio sin penalidad.

Notificaremos al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 horas tras tomar conocimiento de un incidente de seguridad que afecte datos personales del Cliente. La notificación incluirá la naturaleza del incidente, categorías y volumen aproximado de datos afectados, consecuencias probables, y medidas tomadas o propuestas.

Cuando se requieran transferencias internacionales de datos personales (por ejemplo, hacia subprocesadores en Estados Unidos), aplicaremos Cláusulas Contractuales Tipo (SCC) de la Comisión Europea u otros mecanismos equivalentes admitidos por la regulación aplicable.

El Cliente tiene derecho a verificar el cumplimiento de B1 Bridge con este DPA mediante: (a) revisión de las certificaciones de seguridad y reportes de auditoría que pongamos a disposición; (b) cuestionarios de seguridad razonables; y (c) auditoría in situ, con preaviso razonable y bajo NDA, no más de una vez por año (excepto en caso de incidente material).

Asistiremos razonablemente al Cliente en la respuesta a solicitudes de titulares de datos (acceso, rectificación, eliminación, portabilidad, oposición). El Cliente es responsable de gestionar la relación con sus usuarios finales; nosotros proporcionamos las herramientas operativas para ejecutar la solicitud (export, delete) desde la consola.

Al término del Servicio, y sujeto a la elección del Cliente, devolveremos o eliminaremos los datos personales del Cliente dentro de los 90 días siguientes, salvo que la ley nos exija conservarlos por más tiempo (por ejemplo, retención fiscal o regulatoria).

La responsabilidad bajo este DPA se rige por las limitaciones establecidas en los Términos de Servicio, salvo en cuestiones en las que la ley aplicable no permita limitar la responsabilidad.

[Pendiente de definición por el equipo legal] — la ley aplicable a este DPA será consistente con la ley aplicable a los Términos de Servicio.