El anexo que firma tu DPO — con fechas, con SCCs, con ventanas.
Este documento resume el DPA que firmamos con clientes como anexo al contrato de servicios. Aplica GDPR, LFPDPPP (MX), LGPD (BR) y CCPA (CA). El contenido vinculante es la versión firmada; cualquier discrepancia con este resumen se resuelve a favor del texto firmado.
Regido por las leyes de México; idiomas equivalentes ES/EN.
Los títulos siguen la estructura estándar EDPB. Las cláusulas firmadas contienen el lenguaje completo; este resumen no las sustituye. Cada bloque es citable por su ID (#clause-01).
El cliente es controlador; BIO-IGNICIÓN es encargado/procesador. Ambos mantienen sus responsabilidades originales bajo la ley aplicable.
Procesamos datos personales solo conforme a las instrucciones documentadas del cliente, salvo obligación legal preexistente que el encargado notifica antes de cumplirla.
Todo el personal con acceso a datos personales firma acuerdos de confidencialidad perpetuos. Acceso revocado el mismo día al cese o cambio de rol.
TLS 1.3, AES-256-GCM en reposo, SSO/SAML, MFA obligatorio para admin, auditoría append-only con cadena SHA-256, RLS en Postgres, BYOK opcional en tiers habilitados. Detalle en el Trust Center.
Lista completa y auditable en /trust/subprocessors. Notificamos altas o cambios materiales con 30 días de antelación vía email y en la página pública — el cliente puede objetar por escrito.
SCCs UE 2021/914 para datos que salen del EEE, más evaluación de impacto de transferencia (TIA) cuando el régimen jurídico de destino lo requiera. Residencia seleccionable por proyecto.
Asistencia al cliente para atender solicitudes de acceso, rectificación, supresión, portabilidad y objeción. Endpoints de exportación y borrado documentados en la API pública.
Notificación sin demora injustificada y en cualquier caso dentro de las 72 horas al contacto designado, con información suficiente para que el controlador cumpla sus obligaciones.
Reportes de auditoría independiente (SOC 2 Type II una vez emitido el informe inicial) compartidos bajo NDA. Auditoría in-situ cuando la ley aplicable lo requiera, con aviso razonable y durante horario laboral.
Devolución o supresión certificada de los datos del cliente dentro de 30 días al término del contrato, salvo obligación legal de retención — documentada por escrito al cliente.
Este DPA es vinculante una vez firmado, con independencia del estado de las certificaciones. Los reportes externos refuerzan pero no sustituyen las obligaciones contractuales.
Escribe a Legal con el nombre de tu entidad, país de registro y contacto del DPO. Normalmente respondemos en < 48 h hábiles con la versión para firma.
El DPA se firma como anexo al contrato maestro. No hay costo por firma.