DPA EGGlogU
1. Partes y objeto
El presente Acuerdo de Procesamiento de Datos (el "DPA" o "Acuerdo") forma parte integrante de los Términos de Servicio suscritos entre JADS Inversiones SpA, sociedad por acciones chilena con domicilio en [EMPRESA_DIRECCION], RUT [EMPRESA_RUT], representada legalmente por [EMPRESA_REPRESENTANTE_LEGAL] (en adelante el "Encargado" o "Procesador"), y el Cliente identificado en la cuenta contratante (en adelante el "Responsable" o "Controlador").
Este DPA regula el tratamiento de datos personales que el Encargado realice por cuenta del Responsable con ocasión de la prestación del Servicio EGGlogU, y se incorpora por referencia a los Términos de Servicio. En caso de discrepancia entre este DPA y los Términos de Servicio respecto de cuestiones de protección de datos personales, prevalecerá este DPA.
2. Definiciones
Los términos "Datos Personales", "Titular", "Tratamiento", "Responsable del Tratamiento", "Encargado del Tratamiento", "Violación de Seguridad de los Datos Personales", "Autoridad de Control" y "Subcontratista" tendrán el significado asignado en el Reglamento (UE) 2016/679 (GDPR), y equivalentes en la Ley 19.628 de Chile, la LGPD brasileña, la LFPDPPP mexicana y la Ley 1581 colombiana. Los términos "Información Personal" y "Consumidor" tendrán el significado asignado en CCPA/CPRA.
3. Asignación de roles
3.1 Respecto de los Datos Personales cargados o ingresados por el Responsable (o por sus Usuarios Autorizados) en la Plataforma EGGlogU —incluyendo, cuando aplique, datos de empleados, contactos comerciales u otros terceros—, el Responsable actúa como Responsable del Tratamiento (Controller) y el Encargado actúa como Encargado del Tratamiento (Processor).
3.2 Respecto de los datos de cuenta del propio Responsable (administrador titular, facturación, soporte) y respecto de los datos de uso y telemetría necesarios para operar y mejorar la Plataforma, el Encargado actúa como Responsable del Tratamiento, sujeto a la Política de Privacidad.
3.3 Para efectos de CCPA/CPRA, cuando el Encargado trate Información Personal por cuenta del Responsable, actuará como "service provider" y no como "third party", por lo que no "venderá" ni "compartirá" Información Personal fuera de lo estrictamente necesario para prestar el Servicio.
4. Instrucciones del Responsable
4.1 El Encargado tratará los Datos Personales exclusivamente siguiendo las instrucciones documentadas del Responsable, que comprenden: (a) los Términos de Servicio, (b) este DPA, (c) la Política de Privacidad, y (d) las configuraciones, comandos y operaciones que el Responsable ejecute a través de la Plataforma.
4.2 Cualquier instrucción adicional deberá documentarse por escrito y aceptarse por ambas partes. El Encargado informará al Responsable si, a su juicio, una instrucción infringe la normativa aplicable.
4.3 Las finalidades del tratamiento comprenden: alojamiento y procesamiento del Contenido del Cliente, entrega del Servicio, soporte, facturación, seguridad, cumplimiento legal y generación de métricas anonimizadas conforme a los Términos de Servicio.
4.4 Las categorías de Titulares comprenden: administradores y Usuarios Autorizados del Responsable, empleados del Responsable (si usa módulo de personal), contactos comerciales y cualquier tercero cuyos datos el Responsable decida cargar.
4.5 Las categorías de Datos Personales comprenden: identificación, contacto, laborales, sanitarios cuando aplique por el uso de la Plataforma, y cualquier otra categoría que el Responsable cargue. El Responsable se abstendrá de cargar categorías especiales de datos que no sean requeridas para el Servicio.
5. Subcontratación y lista de subencargados
5.1 El Responsable autoriza al Encargado a contratar Subencargados necesarios para prestar el Servicio. La lista actualizada de Subencargados se mantiene en la Política de Privacidad (sección 5) y abarca, entre otros: Stripe, Resend, Cloudflare, Hanko, Anthropic, BetterStack, Axiom, Sentry, PostHog, Microsoft Clarity y Hetzner.
5.2 El Encargado notificará al Responsable cualquier cambio material en la lista de Subencargados con antelación razonable, mediante actualización pública de la Política de Privacidad y, cuando sea técnicamente viable, por correo al administrador de la cuenta.
5.3 El Responsable podrá objetar razonablemente la incorporación de un nuevo Subencargado por motivos de protección de datos mediante comunicación escrita a [email protected]. Si las partes no alcanzan solución satisfactoria en un plazo razonable, el Responsable podrá dar por terminado el Servicio conforme a los Términos, sin penalidades, con reembolso proporcional del periodo prepagado no utilizado.
5.4 El Encargado impondrá a cada Subencargado obligaciones contractuales de protección de datos equivalentes o superiores a las contenidas en este DPA, y responderá ante el Responsable por los incumplimientos de sus Subencargados.
6. Medidas de seguridad (Art. 32 GDPR y equivalentes)
El Encargado implementa y mantiene medidas técnicas y organizativas adecuadas, considerando el estado de la técnica, la naturaleza de los datos y los riesgos, incluyendo:
6.1 Cifrado:
- Cifrado en reposo de bases de datos y respaldos mediante AES-256, incluyendo LUKS a nivel de disco donde aplique.
- Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones externas y entre servicios.
- Gestión segura de credenciales y secretos mediante vault centralizado.
6.2 Control de acceso:
- Control de acceso basado en roles (RBAC) a nivel de aplicación y base de datos.
- Autenticación de doble factor obligatoria para todo el personal interno con acceso a sistemas productivos.
- Principio de menor privilegio; revisión periódica de accesos.
6.3 Registro y monitoreo:
- Registro de auditoría de operaciones sensibles con retención conforme a obligaciones legales.
- Monitoreo de disponibilidad e integridad mediante BetterStack, detección de anomalías mediante Sentry, centralización de logs en Axiom.
- Segregación de ambientes productivo, staging y desarrollo.
6.4 Gestión de vulnerabilidades:
- Actualización regular de dependencias y parches de seguridad.
- Escaneo de código y dependencias para vulnerabilidades conocidas.
6.5 Gestión de incidentes:
- Procedimiento formal de respuesta a incidentes, roles definidos y canales de notificación.
- Plan de continuidad de negocio y recuperación ante desastres con respaldos cifrados.
6.6 Personal:
- Obligación contractual de confidencialidad para todo el personal con acceso a Datos Personales.
- Capacitación periódica en privacidad y seguridad.
6.7 Minimización:
- Políticas de retención documentadas, seudonimización cuando corresponda y anonimización irreversible (k≥20) para datos que pasen al corpus histórico.
7. Notificación de Violaciones
7.1 El Encargado notificará al Responsable sin dilación indebida tras tomar conocimiento de una Violación de Seguridad que afecte Datos Personales del Responsable, proporcionando, en la medida de lo conocido:
a) naturaleza y categorías de datos afectados;
b) categorías y número aproximado de Titulares impactados;
c) consecuencias probables;
d) medidas adoptadas o propuestas para mitigar efectos adversos;
e) punto de contacto técnico y legal.
7.2 La notificación podrá realizarse en fases conforme se disponga de mayor información. El Encargado cooperará razonablemente con el Responsable para que éste cumpla sus obligaciones de notificación frente a las autoridades y Titulares conforme a la normativa aplicable.
8. Solicitudes de Titulares
8.1 El Encargado asistirá razonablemente al Responsable en la atención de solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación, revocación del consentimiento), proveyendo herramientas self-service dentro de la Plataforma (exportación CSV/JSON, eliminación de cuenta, edición de datos) y colaboración técnica adicional cuando sea solicitada.
8.2 Si el Encargado recibe una solicitud directa de un Titular, la redirigirá al Responsable sin atenderla directamente, salvo que la ley lo exija. Informará al Titular que la solicitud debe canalizarse ante el Responsable.
9. Transferencias internacionales
9.1 Las partes reconocen que la prestación del Servicio puede implicar transferencias de Datos Personales fuera del país de residencia del Titular, incluyendo a Estados Unidos y otros países.
9.2 Para transferencias desde el Espacio Económico Europeo, Reino Unido o Suiza a países sin decisión de adecuación, las partes adoptan por referencia las Cláusulas Contractuales Tipo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, con el Responsable como "data exporter" (Módulo 2: Controller-to-Processor) y el Encargado como "data importer". Los anexos I, II y III se consideran incorporados mediante la información contenida en este DPA y en la Política de Privacidad.
9.3 Para transferencias al Reino Unido se aplicará el "UK Addendum" emitido por la ICO. Para transferencias desde Suiza se aplicarán mutatis mutandis las SCC.
9.4 Para transferencias desde Chile, Brasil, Colombia o México a terceros países, el Encargado aplicará los mecanismos equivalentes exigidos por cada régimen local (contratos internacionales de transferencia, garantías adecuadas, consentimiento expreso cuando sea requerido).
10. Devolución o eliminación al término
10.1 Finalizada la prestación del Servicio, el Encargado, a elección del Responsable, devolverá o eliminará los Datos Personales identificables conforme al procedimiento de la sección 5 de los Términos de Servicio: acceso de sólo lectura por treinta (30) días para exportación self-service y posterior eliminación permanente de los sistemas productivos.
10.2 El Encargado purgará los respaldos cifrados conforme al ciclo de rotación hasta su remoción completa. Las métricas anonimizadas con umbral k≥20 podrán ser retenidas indefinidamente por no permitir reidentificación.
10.3 El Encargado certificará por escrito la eliminación previa solicitud del Responsable.
11. Derechos de auditoría
11.1 El Encargado pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA, incluyendo certificaciones aplicables y resúmenes de auditorías independientes cuando existan.
11.2 El Responsable tendrá derecho a realizar o a encomendar a un auditor independiente bajo deber de confidencialidad, auditorías al Encargado con el siguiente alcance y limitaciones:
a) previa notificación escrita con al menos treinta (30) días calendario de antelación, salvo en caso de incidente acreditado donde el plazo podrá ser menor;
b) no más de una auditoría por año calendario, salvo si media una Violación de Seguridad, una instrucción de Autoridad de Control, o una imposición legal;
c) durante horario hábil y sin interrumpir el funcionamiento normal del Servicio;
d) el auditor no podrá ser un competidor del Encargado;
e) los costos de la auditoría serán asumidos por el Responsable, salvo que la auditoría evidencie incumplimiento material imputable al Encargado;
f) los hallazgos estarán sujetos a estricta confidencialidad y se usarán únicamente para verificar cumplimiento.
11.3 Las partes reconocen que certificaciones, informes SOC y atestaciones de terceros independientes pueden satisfacer razonablemente las necesidades de auditoría del Responsable sin necesidad de inspección on-site.
12. Confidencialidad
12.1 Cada parte tratará como confidencial la información no pública que reciba de la otra con ocasión de este DPA. La confidencialidad se mantendrá durante la vigencia del contrato y por los cinco (5) años posteriores a su terminación, salvo obligaciones legales de mayor duración.
13. Responsabilidad
13.1 La responsabilidad de las partes bajo este DPA se regirá por la cláusula de limitación de responsabilidad contenida en los Términos de Servicio, sin perjuicio de las normas imperativas aplicables.
13.2 Cuando la normativa aplicable imponga responsabilidad solidaria frente a Titulares, las partes acuerdan que, internamente, la responsabilidad se distribuirá según la atribución de culpa y causalidad, correspondiendo a cada una asumir lo que le sea imputable.
14. Ley aplicable y resolución de controversias
14.1 Este DPA se rige por las mismas leyes y cláusula de resolución de controversias contempladas en los Términos de Servicio (República de Chile; negociación → mediación → arbitraje ICC en Santiago de Chile; sin perjuicio de la jurisdicción del consumidor).
14.2 Cuando una autoridad competente, un régimen imperativo de protección de datos o las Cláusulas Contractuales Tipo exijan ley aplicable o foro específico, dichas disposiciones prevalecerán en lo relativo a la relación con Titulares y Autoridades de Control.
15. Vigencia
Este DPA entrará en vigor en la misma fecha que los Términos de Servicio y permanecerá vigente mientras el Encargado trate Datos Personales por cuenta del Responsable.
EGGlogU by FarmLogU.
1. Parties and subject matter
This Data Processing Addendum (the "DPA" or "Agreement") forms an integral part of the Terms of Service entered into between JADS Inversiones SpA, a Chilean corporation with registered address at [EMPRESA_DIRECCION], tax ID [EMPRESA_RUT], legally represented by [EMPRESA_REPRESENTANTE_LEGAL] (hereinafter the "Processor"), and the Customer identified in the subscribing account (hereinafter the "Controller").
This DPA governs the processing of personal data carried out by the Processor on behalf of the Controller in connection with the provision of the EGGlogU Service and is incorporated by reference into the Terms of Service. In the event of discrepancy between this DPA and the Terms of Service with respect to personal data protection matters, this DPA shall prevail.
2. Definitions
The terms "Personal Data", "Data Subject", "Processing", "Controller", "Processor", "Personal Data Breach", "Supervisory Authority" and "Sub-processor" shall have the meaning assigned in Regulation (EU) 2016/679 (GDPR), and equivalents under Chilean Law 19,628, Brazilian LGPD, Mexican LFPDPPP and Colombian Law 1581. The terms "Personal Information" and "Consumer" shall have the meaning assigned in CCPA/CPRA.
3. Role allocation
3.1 With respect to Personal Data uploaded or entered by the Controller (or its Authorized Users) in the EGGlogU Platform —including, where applicable, employee data, commercial contacts or other third parties—, the Controller acts as Controller and the Processor acts as Processor.
3.2 With respect to the Controller's own account data (holder administrator, billing, support) and usage and telemetry data required to operate and improve the Platform, the Processor acts as Controller, subject to the Privacy Policy.
3.3 For purposes of CCPA/CPRA, when the Processor processes Personal Information on behalf of the Controller, it acts as a "service provider" and not as a "third party", and shall not "sell" or "share" Personal Information beyond what is strictly necessary to deliver the Service.
4. Controller's instructions
4.1 The Processor shall process Personal Data solely in accordance with the Controller's documented instructions, comprising: (a) the Terms of Service, (b) this DPA, (c) the Privacy Policy, and (d) the settings, commands and operations executed by the Controller through the Platform.
4.2 Any additional instruction shall be documented in writing and accepted by both parties. The Processor shall inform the Controller if, in its opinion, an instruction infringes applicable law.
4.3 Processing purposes include: hosting and processing of Customer Content, delivery of the Service, support, billing, security, legal compliance and generation of anonymized metrics under the Terms of Service.
4.4 Categories of Data Subjects include: Controller's administrators and Authorized Users, Controller's employees (where the personnel module is used), commercial contacts and any third party whose data the Controller decides to upload.
4.5 Categories of Personal Data include: identification, contact, labor, health-related where applicable due to Platform use, and any other category uploaded by the Controller. The Controller shall refrain from uploading special categories of data not required for the Service.
5. Sub-processing and Sub-processor list
5.1 The Controller authorizes the Processor to engage Sub-processors necessary to deliver the Service. The current list of Sub-processors is maintained in the Privacy Policy (section 5) and includes, among others: Stripe, Resend, Cloudflare, Hanko, Anthropic, BetterStack, Axiom, Sentry, PostHog, Microsoft Clarity and Hetzner.
5.2 The Processor shall notify the Controller of any material change to the list of Sub-processors with reasonable prior notice, by public update of the Privacy Policy and, where technically feasible, by email to the account administrator.
5.3 The Controller may reasonably object to the onboarding of a new Sub-processor on data protection grounds by written communication to [email protected]. If the parties do not reach a satisfactory solution within a reasonable period, the Controller may terminate the Service under the Terms, without penalty, with proportional refund of unused prepaid period.
5.4 The Processor shall impose on each Sub-processor data protection contractual obligations equivalent to or higher than those set out in this DPA and shall remain liable to the Controller for its Sub-processors' breaches.
6. Security measures (Art. 32 GDPR and equivalents)
The Processor implements and maintains appropriate technical and organizational measures, taking into account the state of the art, the nature of the data and the risks involved, including:
6.1 Encryption:
- At-rest encryption of databases and backups using AES-256, including disk-level LUKS where applicable.
- In-transit encryption via TLS 1.3 in all external and inter-service communications.
- Secure credential and secret management via centralized vault.
6.2 Access control:
- Role-based access control (RBAC) at application and database level.
- Mandatory two-factor authentication for all internal staff with access to production systems.
- Least-privilege principle; periodic access review.
6.3 Logging and monitoring:
- Audit logging of sensitive operations with retention per legal obligations.
- Availability and integrity monitoring via BetterStack, anomaly detection via Sentry, log centralization via Axiom.
- Segregation of production, staging and development environments.
6.4 Vulnerability management:
- Regular dependency updates and security patching.
- Code and dependency scanning for known vulnerabilities.
6.5 Incident management:
- Formal incident response procedure, defined roles and notification channels.
- Business continuity and disaster recovery plan with encrypted backups.
6.6 Personnel:
- Contractual confidentiality obligation for all staff with access to Personal Data.
- Periodic privacy and security training.
6.7 Minimization:
- Documented retention policies, pseudonymization where appropriate, and irreversible anonymization (k≥20) for data moved to the historical corpus.
7. Breach notification
7.1 The Processor shall notify the Controller without undue delay upon becoming aware of a Personal Data Breach affecting the Controller's Personal Data, providing, to the extent known:
a) nature and categories of affected data;
b) categories and approximate number of Data Subjects impacted;
c) likely consequences;
d) measures adopted or proposed to mitigate adverse effects;
e) technical and legal point of contact.
7.2 Notification may be made in phases as more information becomes available. The Processor shall reasonably cooperate with the Controller to enable the Controller to comply with its notification obligations vis-à-vis authorities and Data Subjects under applicable law.
8. Data Subject requests
8.1 The Processor shall reasonably assist the Controller in handling requests for exercise of rights (access, rectification, deletion, objection, portability, restriction, consent withdrawal), providing self-service tools within the Platform (CSV/JSON export, account deletion, data editing) and additional technical cooperation where requested.
8.2 If the Processor receives a direct request from a Data Subject, it shall redirect the request to the Controller without addressing it directly, unless required by law. It shall inform the Data Subject that the request must be channeled to the Controller.
9. International transfers
9.1 The parties acknowledge that provision of the Service may involve transfers of Personal Data outside the country of residence of the Data Subject, including to the United States and other countries.
9.2 For transfers from the European Economic Area, United Kingdom or Switzerland to countries without an adequacy decision, the parties adopt by reference the Standard Contractual Clauses of Commission Implementing Decision (EU) 2021/914, with the Controller as "data exporter" (Module 2: Controller-to-Processor) and the Processor as "data importer". Annexes I, II and III are deemed incorporated through the information contained in this DPA and the Privacy Policy.
9.3 For transfers to the United Kingdom, the "UK Addendum" issued by the ICO shall apply. For transfers from Switzerland, the SCC shall apply mutatis mutandis.
9.4 For transfers from Chile, Brazil, Colombia or Mexico to third countries, the Processor shall apply equivalent mechanisms required by each local regime (international transfer agreements, adequate safeguards, express consent where required).
10. Return or deletion at the end
10.1 Upon termination of Service provision, the Processor shall, at the Controller's choice, return or delete identifiable Personal Data following the procedure in section 5 of the Terms of Service: thirty (30) days read-only access for self-service export and subsequent permanent deletion from production systems.
10.2 The Processor shall purge encrypted backups according to their rotation cycle until complete removal. Anonymized metrics with k≥20 threshold may be retained indefinitely as they do not allow re-identification.
10.3 The Processor shall certify deletion in writing upon Controller's request.
11. Audit rights
11.1 The Processor shall make available to the Controller the information reasonably necessary to demonstrate compliance with the obligations set out in this DPA, including applicable certifications and summaries of independent audits where existing.
11.2 The Controller shall have the right to conduct, or to commission an independent auditor under duty of confidentiality to conduct, audits of the Processor with the following scope and limitations:
a) upon written notice at least thirty (30) calendar days in advance, except in the event of a confirmed incident where shorter notice may apply;
b) no more than one audit per calendar year, unless a Personal Data Breach has occurred, a Supervisory Authority instruction exists, or legal imposition applies;
c) during business hours and without interrupting normal Service operation;
d) the auditor may not be a competitor of the Processor;
e) audit costs shall be borne by the Controller, unless the audit reveals material non-compliance attributable to the Processor;
f) findings shall be subject to strict confidentiality and used solely to verify compliance.
11.3 The parties acknowledge that certifications, SOC reports and independent third-party attestations may reasonably satisfy the Controller's audit needs without requiring on-site inspection.
12. Confidentiality
12.1 Each party shall treat as confidential the non-public information it receives from the other in connection with this DPA. Confidentiality shall be maintained for the term of the agreement and for five (5) years thereafter, unless longer legal obligations apply.
13. Liability
13.1 The parties' liability under this DPA shall be governed by the limitation of liability clause in the Terms of Service, without prejudice to applicable mandatory rules.
13.2 Where applicable regulation imposes joint and several liability vis-à-vis Data Subjects, the parties agree that, internally, liability shall be allocated based on fault and causation, each party bearing what is attributable to it.
14. Governing law and dispute resolution
14.1 This DPA is governed by the same laws and dispute resolution clause set out in the Terms of Service (Republic of Chile; negotiation → mediation → ICC arbitration in Santiago, Chile; without prejudice to consumer jurisdiction).
14.2 Where a competent authority, mandatory data protection regime or the Standard Contractual Clauses require specific governing law or forum, such provisions shall prevail with respect to the relationship with Data Subjects and Supervisory Authorities.
15. Term
This DPA shall enter into force on the same date as the Terms of Service and shall remain in effect for as long as the Processor processes Personal Data on behalf of the Controller.
EGGlogU by FarmLogU.
Última actualización: 2026-04-24 | Versión: 1.0-DRAFT |