Acuerdo de Procesamiento de Datos (DPA)
Documento de adhesión a contratos de servicios B2B donde el cliente carga, procesa o almacena datos personales en plataformas de Lawra. Lawra actúa como Encargado del Tratamiento (Processor); el cliente es Responsable del Tratamiento (Controller).
Marco legal: Ley No. 172-13 de R.D., GDPR Art. 28 (UE), LGPD Art. 39 (Brasil), CCPA-CPRA service-provider rules (California).
ANEXO DE PROCESAMIENTO DE DATOS
Anexo a: [Identificar el contrato principal — ej. “Contrato de Suscripción al AI Suite de fecha [__]”]
ENTRE:
LAWRA, S.R.L., RNC [], domicilio en [], representada por [__] (en lo sucesivo, “Lawra” o el “Encargado”).
Y:
[NOMBRE DEL CLIENTE], [identificación], domicilio en [], representado por [] (en lo sucesivo, el “Cliente” o el “Responsable”).
1. Objeto
1.1. Este Anexo regula el tratamiento de Datos Personales que Lawra realice por cuenta del Cliente en el marco del Contrato Principal, conforme a las leyes de protección de datos aplicables.
1.2. En lo no previsto en este Anexo, regirán las disposiciones del Contrato Principal y, en caso de conflicto exclusivamente sobre tratamiento de Datos Personales, prevalecerá este Anexo.
2. Definiciones
Los términos “Datos Personales”, “Tratamiento”, “Responsable” (Controller), “Encargado” (Processor), “Sub-encargado”, “Titular”, “Brecha de Seguridad” y “Autoridad de Control” tendrán el significado que les atribuye la Ley No. 172-13 de la República Dominicana, el Reglamento General de Protección de Datos (UE) 2016/679 (GDPR) y la Ley General de Protección de Datos del Brasil (LGPD), según corresponda.
3. Detalles del Tratamiento
| Campo | Descripción |
|---|---|
| Naturaleza y finalidad | Provisión de los servicios contratados (AI Suite / consultoría / formación / implementación) conforme al Contrato Principal |
| Categorías de Titulares | Empleados, clientes finales, contrapartes, contratistas y otros terceros del Cliente cuyos datos sean cargados a la plataforma |
| Categorías de Datos Personales | Identificación (nombre, cédula, ID, correo, teléfono); datos profesionales; datos contenidos en documentos legales subidos por el Cliente; metadatos de uso |
| Datos Personales sensibles | Solo en la medida en que el Cliente, como Responsable, los cargue voluntariamente; el Cliente confirma que cuenta con base legal y consentimiento adecuados |
| Duración del Tratamiento | Plazo del Contrato Principal + 30 días para devolución/eliminación |
| Sub-encargados autorizados | Ver Anexo 1 (Lista de Sub-encargados) |
4. Obligaciones del Encargado
Lawra, en su calidad de Encargado:
4.1. Tratará los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las contenidas en el Contrato Principal, este Anexo y cualquier instrucción adicional posterior por escrito (incluyendo correo electrónico).
4.2. No utilizará los Datos Personales para fines propios distintos de la prestación del servicio. Específicamente: no entrenará modelos de IA con datos personales del Cliente, salvo autorización expresa del Cliente.
4.3. Asegurará que las personas autorizadas para tratar los Datos Personales se hayan comprometido a mantener confidencialidad o estén sujetas a obligación legal equivalente.
4.4. Implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 o equivalente);
- Control de acceso basado en el principio de mínimo privilegio + autenticación multifactor para personal interno;
- Logs de auditoría de accesos a Datos Personales con retención mínima de 12 meses;
- Backups cifrados con verificación periódica;
- Aislamiento entre clientes y entre entornos (desarrollo / staging / producción);
- Capacitación del personal en protección de datos;
- Plan de respuesta a incidentes documentado.
4.5. — Sub-encargados. Lawra mantiene una lista actualizada de Sub-encargados (Anexo 1). El Cliente autoriza a Lawra a contratar Sub-encargados adicionales sujeto a:
- (a) Notificación previa al Cliente con al menos 30 días de antelación;
- (b) Imposición al Sub-encargado de obligaciones de protección de datos al menos equivalentes a las de este Anexo;
- (c) Derecho del Cliente a objetar la incorporación dentro del plazo de notificación; en caso de objeción razonable no resuelta, el Cliente podrá terminar el Contrato sin penalidad respecto del servicio afectado.
4.6. — Asistencia al Responsable. Lawra asistirá al Cliente, en la medida razonable y mediante medidas técnicas y organizativas apropiadas, para que el Responsable pueda:
- (a) Responder a solicitudes de derechos de los Titulares (acceso, rectificación, supresión, portabilidad, oposición, limitación);
- (b) Cumplir con sus obligaciones de notificación de brechas ante la Autoridad de Control y los Titulares;
- (c) Realizar evaluaciones de impacto en protección de datos (DPIA / RIPD) cuando sea necesario;
- (d) Consultar con la Autoridad de Control cuando proceda.
4.7. — Brechas de Seguridad. En caso de Brecha de Seguridad que afecte Datos Personales del Cliente, Lawra notificará al Cliente sin demora indebida y, en cualquier caso, dentro de las 48 horas siguientes al conocimiento del hecho, con la información que esté disponible.
4.8. — Auditorías. Lawra pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones de este Anexo. El Cliente podrá realizar auditorías (directamente o a través de un auditor designado) con un preaviso razonable de al menos 30 días, a costo del Cliente, en horario laboral y sin afectar la operación normal de Lawra. Como alternativa preferente, Lawra podrá entregar informes de auditoría de terceros (SOC 2, ISO 27001, equivalentes) cuando estén disponibles.
4.9. — Transferencias internacionales. Cuando los Datos Personales se transfieran fuera de la República Dominicana o de la jurisdicción del Titular, Lawra implementará garantías adecuadas, incluyendo Cláusulas Contractuales Tipo (SCC) de la UE, cláusulas equivalentes para Brasil bajo LGPD, o mecanismos de adecuación reconocidos por la Autoridad de Control aplicable.
4.10. — Devolución / Eliminación. Al término del Contrato, Lawra, a elección del Cliente:
- (a) Devolverá los Datos Personales en formato estructurado y de uso común; o
- (b) Eliminará los Datos Personales y certificará la eliminación por escrito, ambos dentro de los treinta (30) días siguientes a la solicitud, salvo que la legislación exija conservación adicional.
5. Obligaciones del Responsable
El Cliente, en su calidad de Responsable:
5.1. Garantiza que dispone de base legal suficiente para el tratamiento de los Datos Personales que carga en la plataforma de Lawra (consentimiento, ejecución de contrato, interés legítimo, obligación legal, etc.), incluyendo el consentimiento de los Titulares cuando sea exigible.
5.2. Garantiza haber informado a los Titulares sobre el tratamiento, incluyendo la participación de Lawra como Encargado y la lista de Sub-encargados.
5.3. Mantendrá indemne a Lawra frente a reclamaciones de Titulares o autoridades derivadas del incumplimiento de las obligaciones del presente apartado por parte del Cliente.
5.4. No cargará en la plataforma datos sensibles o de categorías especiales (datos de salud, biométricos, de menores) salvo que cuente con base legal reforzada y haya notificado a Lawra para la implementación de medidas de protección adicionales.
6. Responsabilidad
6.1. La responsabilidad de cada Parte por incumplimiento de este Anexo se rige por el régimen de responsabilidad y las limitaciones del Contrato Principal, excepto cuando la legislación aplicable prohíba dichas limitaciones (ej. responsabilidad frente a Titulares conforme a GDPR Art. 82).
7. Vigencia y Terminación
7.1. Este Anexo entra en vigor en la fecha del Contrato Principal y permanece vigente mientras Lawra trate Datos Personales por cuenta del Cliente. Las obligaciones de devolución/eliminación, asistencia post-incidente y confidencialidad subsistirán tras la terminación.
ANEXO 1 — Sub-encargados
| Sub-encargado | Función | Jurisdicción | Mecanismo de transferencia |
|---|---|---|---|
| Google LLC (Firebase Auth, Firestore, Firebase AI / Gemini) | Autenticación, base de datos, inferencia de IA | EE.UU. | SCC; Privacy Framework |
| Anthropic, PBC (cuando se integre) | Inferencia de IA | EE.UU. | DPA con SCC; tier de retención cero |
| GitHub, Inc. (Microsoft) | Hosting estático del sitio | EE.UU. | SCC; Privacy Framework |
| Cloudflare, Inc. (cuando aplique) | CDN y protección | Global | SCC |
| Resend / SendGrid (cuando aplique para email transaccional) | Email transaccional | EE.UU. | SCC |
Lista actualizable. Toda modificación se notificará al Cliente conforme al artículo 4.5.
EN PRUEBA DE CONFORMIDAD, las Partes firman este Anexo de Procesamiento de Datos en [ciudad], a los [] días del mes de [] del año [__], en dos (2) ejemplares originales del mismo tenor.
LAWRA, S.R.L. (Encargado) Por: [Gerente]
[CLIENTE] (Responsable) Por: [Representante]
Comments
Loading comments...