DPA — Acuerdo de Procesamiento de Datos

Data Processing Agreement (DPA) de alter|alma

Para clientes empresariales y equipos que requieren cumplimiento formal de protección de datos

Última actualización: 13 de febrero de 2026

Este documento describe el marco de Acuerdo de Procesamiento de Datos (DPA) ofrecido por alter|alma para organizaciones que requieren un acuerdo formal de tratamiento de datos personales conforme a normativas de privacidad aplicables.

1. ¿Qué es un DPA?

Un Data Processing Agreement (DPA) es un acuerdo legal entre:

  • El Cliente (Controlador de datos)
  • alter|alma (Procesador de datos)

Este acuerdo regula cómo se procesan, almacenan, protegen y eliminan los datos personales cuando se utiliza la plataforma alter|alma.

El DPA es requerido habitualmente por empresas que deben cumplir con:

  • GDPR (Europa)
  • Leyes de protección de datos LATAM
  • Normativas corporativas internas
  • Contratos enterprise
  • Cumplimiento ISO / SOC / auditorías

2. Roles en el tratamiento de datos

2.1 Cliente como Controlador

El cliente que utiliza alter|alma es responsable de:

  • Determinar qué datos se procesan
  • Definir el propósito del tratamiento
  • Garantizar base legal para el uso de datos
  • Obtener consentimientos necesarios
  • Cumplir normativa local aplicable

2.2 alter|alma como Procesador

alter|alma actúa como procesador tecnológico que:

  • Ejecuta procesamiento según instrucciones del cliente
  • No determina fines propios sobre datos del cliente
  • No vende datos del cliente
  • Aplica medidas técnicas y organizativas razonables
  • Protege confidencialidad e integridad

3. Alcance del tratamiento

El procesamiento puede incluir, según uso del cliente:

  • Datos enviados a modelos de IA
  • Prompts y respuestas
  • Logs técnicos
  • Métricas de uso
  • Configuración de agentes y workflows
  • Identificadores de usuario
  • Datos integrados vía API

El alcance exacto depende de:

  • Configuración del cliente
  • Plan contratado
  • Integraciones activadas
  • Uso real de la plataforma

alter|alma procesa datos solo para operar el servicio.

4. Finalidad del procesamiento

Los datos se procesan exclusivamente para:

  • Operar la plataforma
  • Ejecutar flujos de IA
  • Orquestar modelos
  • Proveer soporte técnico
  • Mantener seguridad
  • Mejorar estabilidad del sistema
  • Cumplir obligaciones contractuales

No se utilizan datos del cliente para fines comerciales propios ni venta a terceros.

5. Medidas de seguridad

alter|alma implementa medidas razonables de seguridad técnicas y organizativas:

Seguridad técnica

  • Cifrado en tránsito (HTTPS/SSL)
  • Control de accesos
  • Gestión de permisos
  • Monitoreo de actividad
  • Protección contra abuso
  • Segmentación de entornos

Seguridad organizativa

  • Acceso limitado a personal autorizado
  • Principio de mínimo privilegio
  • Protocolos de seguridad internos
  • Gestión de incidentes
  • Confidencialidad contractual

Aunque se aplican buenas prácticas: ningún sistema es 100% invulnerable.

El cliente también debe implementar controles de seguridad propios.

6. Subprocesadores

alter|alma puede utilizar subprocesadores para operar el servicio. Ejemplos:

  • Infraestructura cloud
  • Bases de datos
  • Monitoreo
  • Analítica
  • Modelos de IA externos
  • Servicios de soporte técnico

Todos los subprocesadores se utilizan bajo acuerdos adecuados de confidencialidad y seguridad.

El cliente acepta que el uso de la plataforma implica el uso de subprocesadores necesarios para su funcionamiento.

A solicitud enterprise, puede proporcionarse lista actualizada.

7. Transferencias internacionales de datos

Los datos pueden procesarse en infraestructura ubicada en distintos países según:

  • Cloud provider
  • Región seleccionada
  • Integraciones del cliente

Al utilizar alter|alma, el cliente acepta transferencias internacionales necesarias para operar el servicio.

Cuando aplique, se implementarán salvaguardas razonables.

8. Retención y eliminación de datos

Los datos se conservan solo el tiempo necesario para:

  • Operación del servicio
  • Seguridad
  • Soporte
  • Cumplimiento legal
  • Configuración del cliente

El cliente puede solicitar:

  • Eliminación de datos
  • Exportación de datos
  • Eliminación tras terminación de contrato

La eliminación se realizará en plazos razonables salvo obligaciones legales.

9. Confidencialidad

alter|alma se compromete a:

  • No divulgar datos del cliente
  • No usar datos para fines propios
  • Restringir acceso interno
  • Aplicar confidencialidad contractual

Todo personal con acceso a sistemas está sujeto a obligaciones de confidencialidad.

10. Derechos de titulares de datos

Cuando aplique normativa de protección de datos, alter|alma:

  • Apoyará al cliente en solicitudes de acceso
  • Rectificación
  • Eliminación
  • Portabilidad
  • Restricción

El cliente es responsable de gestionar solicitudes de sus usuarios finales.

alter|alma brindará asistencia razonable dentro de capacidades técnicas.

11. Incidentes de seguridad

En caso de incidente que afecte datos procesados, alter|alma podrá:

  • Investigar el incidente
  • Mitigar riesgos
  • Notificar al cliente cuando sea aplicable
  • Tomar medidas correctivas

El cliente debe mantener datos de contacto actualizados para notificaciones.

12. Responsabilidades del cliente

El cliente se compromete a:

  • Cumplir leyes de privacidad aplicables
  • No enviar datos sin base legal
  • Informar a sus usuarios finales
  • Configurar adecuadamente seguridad
  • Usar la plataforma de forma legal

alter|alma no es responsable por uso indebido de datos por parte del cliente.

13. Limitación de responsabilidad

alter|alma actúa como proveedor tecnológico. No será responsable por:

  • Uso ilegal del cliente
  • Configuraciones incorrectas
  • Datos enviados voluntariamente
  • Integraciones externas del cliente
  • Decisiones automatizadas del cliente

La responsabilidad se limita según lo permitido por ley y contratos aplicables.

14. Solicitud de DPA formal firmado

Las organizaciones que requieran un DPA formal firmado pueden solicitarlo. Incluye:

  • Versión legal contractual
  • Firma electrónica
  • Anexos técnicos
  • Lista de subprocesadores
  • Medidas de seguridad
  • Cláusulas enterprise

15. Cómo solicitar el DPA

Para iniciar proceso:

Enviar a: legal@deco31416.com

Incluir:

  • Nombre de empresa
  • País
  • Caso de uso
  • Volumen estimado de datos
  • Requisitos regulatorios (GDPR, etc.)
  • Plan contratado o estimado

Nuestro equipo responderá con:

  • Versión DPA aplicable
  • Proceso de firma
  • Documentación adicional

16. Documentación adicional disponible (enterprise)

Bajo solicitud:

  • Security overview
  • Arquitectura de seguridad
  • Lista de subprocesadores
  • Medidas técnicas
  • Procedimientos de incidentes
  • Data retention policy extendida

17. Contacto legal y privacidad

alter|alma — Legal & Data Protection
legal@deco31416.com
privacy@deco31416.com