Este Acuerdo de Tratamiento de Datos (“DPA”) complementa el contrato entre el Cliente (“Responsable”) y Risko SpA(“Encargado”) para el tratamiento de datos personales en el marco de la plataforma Risko, conforme a la Ley N° 21.719.
1. Roles
Respecto de los datos cargados por el Cliente sobre sus proveedores, el Cliente es el Responsable y NLT es el Encargado, que trata los datos únicamente según las instrucciones documentadas del Cliente. Respecto de los datos de cuenta de los usuarios, NLT actúa como responsable (ver Política de Privacidad).
2. Objeto, naturaleza y duración
- Objeto: prestación de la plataforma Risko.
- Naturaleza/finalidad: almacenamiento, organización, análisis (incl. IA y OSINT) y generación de reportes de riesgo de proveedores.
- Duración: mientras esté vigente el contrato.
3. Tipos de datos y categorías de titulares
- Datos: identificación y contacto de personas vinculadas a los proveedores, datos técnicos/de seguridad, y eventualmente categorías especiales si el Cliente las carga.
- Titulares: empleados/contactos de los proveedores evaluados por el Cliente.
4. Obligaciones del Encargado
- Tratar los datos solo según instrucciones documentadas del Cliente.
- Garantizar la confidencialidad del personal autorizado.
- Aplicar las medidas de seguridad del Anexo II.
- Asistir al Cliente en responder solicitudes de titulares y en sus obligaciones de seguridad.
- Notificar sin dilación indebida cualquier violación de seguridad de la que tenga conocimiento.
- A elección del Cliente, eliminar o devolver los datos al finalizar el servicio.
5. Subprocesadores
El Cliente autoriza el uso de subprocesadores para infraestructura, envío de correo y análisis de IA. NLT mantiene con ellos obligaciones equivalentes a este DPA e informará de cambios con antelación razonable, dando al Cliente derecho a objetar por motivos razonables de protección de datos.
⚠️ Lista de subprocesadores — a finalizar por NLT/legal (decidir si se nombra a cada proveedor o se describe por categoría):
- Infraestructura y base de datos / hosting de la aplicación — finalidad: alojamiento y operación. Ubicación: [región a confirmar].
- Envío de correo transaccional — finalidad: invitaciones y notificaciones.
- Motor de análisis de IA — finalidad: análisis automatizado de documentos. Ubicación: fuera de Chile. (Sujeto al consentimiento del Cliente dentro de la plataforma.)
- Monitoreo de errores (observabilidad) — finalidad: diagnóstico técnico; configurado para no recibir datos personales.
6. Transferencias internacionales
Cuando el tratamiento implique transferencias fuera de Chile, NLT adoptará garantías adecuadas conforme a la Ley N° 21.719 (cláusulas contractuales y medidas técnicas).
7. Derechos de los titulares y brechas
NLT asistirá al Cliente, mediante medidas técnicas razonables, para atender solicitudes de titulares y para notificar violaciones de seguridad a la autoridad y a los afectados cuando corresponda.
8. Auditoría
NLT pondrá a disposición del Cliente la información razonable para acreditar el cumplimiento de este DPA y permitirá auditorías acordadas, sujetas a confidencialidad y a no comprometer la seguridad de otros clientes.
9. Devolución y eliminación
Al término del contrato, el Cliente podrá exportar sus datos durante un período razonable; transcurrido este, NLT eliminará los datos del Cliente (incluidas copias), salvo obligación legal de conservación.
Anexo I — Detalles del tratamiento
Se completa con el contrato: categorías exactas de datos, finalidades específicas y plazos.
Anexo II — Medidas técnicas y organizativas
- Aislamiento por organización mediante Row-Level Security (RLS) en la base de datos.
- Control de acceso basado en roles y principio de menor privilegio.
- Autenticación de dos factores obligatoria para roles administrativos.
- Cifrado en tránsito (TLS); limitación de tasa; cabeceras de seguridad.
- Registro de auditoría append-only de acciones sensibles.
- Backups cifrados y procedimiento de recuperación documentado.
Anexo III — Subprocesadores
Ver sección 5 (lista a finalizar por NLT/legal).