Este Acuerdo de Encargo de Tratamiento (el "DPA") regula el tratamiento de datos personales que TuMarketSV, S.A.S. de C.V. (el "Encargado") realiza por cuenta del Usuario suscriptor (el "Responsable") al prestar el Servicio. Respecto de los datos de los clientes, proveedores y empleados que el Responsable carga en la Plataforma, el Responsable determina las finalidades y medios y el Encargado los trata únicamente bajo sus instrucciones documentadas.
Los términos "datos personales", "tratamiento", "titular", "Responsable", "Encargado", "subencargado", "transferencia" y "brecha de seguridad" tienen el significado que les atribuye la LPDP (D.L. 144). "Servicio", "Plataforma" y "Usuario" tienen el significado de los Términos y Condiciones.
| Categorías de titulares | Categorías de datos |
|---|---|
| Clientes del Responsable | Identificación (nombre/razón social, NIT, NRC, DUI), contacto, dirección, datos de las operaciones/DTE |
| Proveedores del Responsable | Identificación, contacto, datos de DTE recibidos |
| Empleados del Responsable | Identificación, datos de planilla (ISSS/AFP), remuneración |
El Responsable se obliga a no cargar datos sensibles innecesarios y a contar con la base de licitud para el tratamiento.
El Responsable autoriza de forma general el uso de los siguientes subencargados, sujetos a obligaciones de protección equivalentes:
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Alojamiento, almacenamiento, base de datos | EE. UU. (us-east-1) |
| Amazon SES | Envío de correos transaccionales | EE. UU. |
| Apple (iCloud+) | Recepción de correo del dominio | EE. UU. |
| Google LLC | Inicio de sesión federado (opcional) | EE. UU. |
| Wompi | Procesamiento de pagos | El Salvador / región |
TuMarketSV notificará con antelación razonable la incorporación o sustitución de subencargados; el Responsable podrá objetar por motivos razonables de protección de datos.
Ante una brecha que afecte datos personales tratados por cuenta del Responsable, el Encargado lo notificará sin demora indebida tras tener conocimiento, con la información disponible (naturaleza, categorías y volumen aproximado afectados, posibles consecuencias y medidas adoptadas), para que el Responsable cumpla sus obligaciones de notificación ante la autoridad y los titulares conforme a la LPDP. [plazo concreto a confirmar por el abogado]
Finalizada la prestación, y salvo obligación legal de conservación, el Encargado, a elección del Responsable, devolverá (exportación) o suprimirá de forma segura los datos personales, dentro del periodo de gracia de 30 días previsto en los Términos. La conservación de los DTE por los plazos legales corresponde al Responsable.
El Encargado pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitirá auditorías proporcionadas, con preaviso razonable, sujetas a confidencialidad y a no afectar la seguridad de otros clientes (entorno multi-inquilino).
El tratamiento se realiza parcialmente en servidores ubicados en EE. UU. (AWS). Dichas transferencias se efectúan con las garantías exigidas por la LPDP (D.L. 144). [mecanismo concreto a confirmar: cláusulas contractuales tipo / consentimiento / adecuación]
La responsabilidad de cada parte se rige por la cláusula de Limitación de Responsabilidad de los Términos, sin perjuicio de las responsabilidades que la LPDP impute directamente a Responsable o Encargado.
Este DPA entra en vigor con la aceptación de los Términos y permanece vigente mientras el Encargado trate datos por cuenta del Responsable. Se rige por las leyes de El Salvador y, en particular, por la LPDP (D.L. 144).
El tratamiento se limita a las operaciones necesarias para prestar el Servicio contratado (alojamiento, generación/firma/transmisión de DTE, contabilidad, planilla, ingesta por correo, soporte) conforme a la configuración de la cuenta del Responsable.