Versión descargable en PDF: disponible en /api/legal/dpa-pdf (pendiente de generar). Para firmar una versión personalizada con tu empresa, escribinos a legal@comply360.pe.
1. Partes
- Encargado: COMPLY360 S.A.C., con domicilio en Lima, Perú.
- Responsable: la empresa que contrata el servicio SaaS (en adelante, "el Cliente"), identificada por el RUC registrado en la cuenta.
2. Objeto
Este DPA regula el tratamiento de datos personales de trabajadores, terceros y usuarios administrativos que el Cliente encomienda a Comply360 a través del servicio SaaS, conforme al Art. 9 y concordantes de la Ley N° 29733.
3. Naturaleza y finalidad del tratamiento
Comply360 trata los datos exclusivamente para:
- Prestar las funcionalidades del servicio contratadas por el Cliente.
- Mantener la seguridad, integridad y disponibilidad del sistema.
- Cumplir obligaciones legales propias (facturación, auditoría, respuesta a autoridades).
Comply360 NO usa los datos del Cliente para entrenar modelos de IA, ni los comercializa con terceros, ni los comparte fuera de los encargados listados en la Política de Privacidad §5.
4. Categorías de datos e interesados
Ver Política de Privacidad §2 para el detalle completo.
5. Obligaciones del Cliente (responsable)
- Obtener el consentimiento válido de sus trabajadores conforme al Art. 14 de la Ley 29733 para el tratamiento de datos sensibles (DNI, CUSPP, biometría).
- Informar a sus trabajadores sobre el uso de Comply360 como encargado.
- Mantener actualizados y veraces los datos ingresados.
- Inscribir su Banco de Datos Personales propio ante la ANPD cuando corresponda según el Art. 29.
6. Obligaciones del Encargado (Comply360)
- Tratar los datos únicamente siguiendo instrucciones documentadas del Cliente.
- Aplicar las medidas técnicas y organizativas del Anexo I: Medidas de Seguridad de este DPA.
- Garantizar que el personal autorizado mantenga confidencialidad bajo deber legal o contractual equivalente.
- Asistir al Cliente en el cumplimiento de las solicitudes de derechos ARCO (acceso, rectificación, cancelación, oposición) que reciba directamente de los titulares.
- Notificar al Cliente cualquier brecha de seguridad en un plazo máximo de 72 horas desde su conocimiento.
7. Sub-encargados
Comply360 emplea los siguientes sub-encargados para prestar el servicio:
- Supabase / AWS (infraestructura)
- OpenAI (IA — zero-retention API Enterprise)
- Clerk (autenticación)
- Culqi (pagos)
- Resend (email)
La lista vigente se publica en /legal/sub-encargados y se notifica 30 días antes de cualquier alta. Si el Cliente no está de acuerdo, puede rescindir sin penalidad.
8. Transferencias internacionales
Los datos pueden transferirse a servidores en EE.UU. (sub-encargados listados). Las transferencias cumplen el Art. 15 Ley 29733 mediante cláusulas contractuales estándar, certificaciones de seguridad (SOC 2, ISO 27001 según corresponda) y zero-retention agreements.
9. Solicitudes de titulares
Comply360 implementa endpoints para derechos ARCO:
- Acceso/Portabilidad:
GET /api/user/export-my-data - Cancelación/Supresión:
POST /api/user/delete-me(con anonimización)
Si un titular escribe a datos@comply360.pe, Comply360 redirige al Cliente responsable en un máximo de 72 horas.
10. Retención y devolución
Al finalizar la relación contractual:
- El Cliente puede descargar sus datos por 90 días a través de la plataforma.
- Transcurrido el plazo, Comply360 eliminará los datos salvo obligación legal de retención, en cuyo caso se mantendrán cifrados y segregados.
11. Auditoría
Planes Enterprise tienen derecho a una auditoría anual remota (cuestionario técnico + evidencia documental). Auditorías on-site requieren coordinación previa y corren por cuenta del Cliente.
12. Vigencia y terminación
Este DPA queda vigente mientras el Cliente mantenga suscripción activa. Se termina automáticamente con la cancelación del servicio o antes por decisión mutua de las partes.
Anexo I — Medidas de Seguridad
Técnicas
- Cifrado TLS 1.3 en tránsito.
- Cifrado at-rest en base de datos (AES-256).
- Row-Level Security en PostgreSQL para aislamiento multi-tenant.
- Auditoría inmutable de todas las operaciones de lectura/escritura sensibles.
- Autenticación multi-factor vía Clerk.
- Control de acceso por rol (OWNER, ADMIN, MEMBER, VIEWER, WORKER).
- Monitoreo 24/7 con Sentry + alertas de seguridad.
- Backups diarios geo-distribuidos con retención de 30 días.
Organizativas
- Política de acceso mínimo necesario (least privilege).
- Capacitación anual del equipo en seguridad y Ley 29733.
- Pentesting anual por tercero independiente.
- Respuesta a incidentes con playbook documentado y tiempo de notificación ≤72h.