Borrador v0.1 — pendiente de revisión legal. Documento generado como plantilla; no constituye asesoría legal. Debe ser revisado y aprobado por un abogado antes de su uso con clientes.

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 22 de junio de 2026 · Risko SpA, Santiago de Chile

Este Acuerdo de Tratamiento de Datos (“DPA”) complementa el contrato entre el Cliente (“Responsable”) y Risko SpA(“Encargado”) para el tratamiento de datos personales en el marco de la plataforma Risko, conforme a la Ley N° 21.719.

1. Roles

Respecto de los datos cargados por el Cliente sobre sus proveedores, el Cliente es el Responsable y NLT es el Encargado, que trata los datos únicamente según las instrucciones documentadas del Cliente. Respecto de los datos de cuenta de los usuarios, NLT actúa como responsable (ver Política de Privacidad).

2. Objeto, naturaleza y duración

  • Objeto: prestación de la plataforma Risko.
  • Naturaleza/finalidad: almacenamiento, organización, análisis (incl. IA y OSINT) y generación de reportes de riesgo de proveedores.
  • Duración: mientras esté vigente el contrato.

3. Tipos de datos y categorías de titulares

  • Datos: identificación y contacto de personas vinculadas a los proveedores, datos técnicos/de seguridad, y eventualmente categorías especiales si el Cliente las carga.
  • Titulares: empleados/contactos de los proveedores evaluados por el Cliente.

4. Obligaciones del Encargado

  • Tratar los datos solo según instrucciones documentadas del Cliente.
  • Garantizar la confidencialidad del personal autorizado.
  • Aplicar las medidas de seguridad del Anexo II.
  • Asistir al Cliente en responder solicitudes de titulares y en sus obligaciones de seguridad.
  • Notificar sin dilación indebida cualquier violación de seguridad de la que tenga conocimiento.
  • A elección del Cliente, eliminar o devolver los datos al finalizar el servicio.

5. Subprocesadores

El Cliente autoriza el uso de subprocesadores para infraestructura, envío de correo y análisis de IA. NLT mantiene con ellos obligaciones equivalentes a este DPA e informará de cambios con antelación razonable, dando al Cliente derecho a objetar por motivos razonables de protección de datos.

⚠️ Lista de subprocesadores — a finalizar por NLT/legal (decidir si se nombra a cada proveedor o se describe por categoría):

  • Infraestructura y base de datos / hosting de la aplicación — finalidad: alojamiento y operación. Ubicación: [región a confirmar].
  • Envío de correo transaccional — finalidad: invitaciones y notificaciones.
  • Motor de análisis de IA — finalidad: análisis automatizado de documentos. Ubicación: fuera de Chile. (Sujeto al consentimiento del Cliente dentro de la plataforma.)
  • Monitoreo de errores (observabilidad) — finalidad: diagnóstico técnico; configurado para no recibir datos personales.

6. Transferencias internacionales

Cuando el tratamiento implique transferencias fuera de Chile, NLT adoptará garantías adecuadas conforme a la Ley N° 21.719 (cláusulas contractuales y medidas técnicas).

7. Derechos de los titulares y brechas

NLT asistirá al Cliente, mediante medidas técnicas razonables, para atender solicitudes de titulares y para notificar violaciones de seguridad a la autoridad y a los afectados cuando corresponda.

8. Auditoría

NLT pondrá a disposición del Cliente la información razonable para acreditar el cumplimiento de este DPA y permitirá auditorías acordadas, sujetas a confidencialidad y a no comprometer la seguridad de otros clientes.

9. Devolución y eliminación

Al término del contrato, el Cliente podrá exportar sus datos durante un período razonable; transcurrido este, NLT eliminará los datos del Cliente (incluidas copias), salvo obligación legal de conservación.

Anexo I — Detalles del tratamiento

Se completa con el contrato: categorías exactas de datos, finalidades específicas y plazos.

Anexo II — Medidas técnicas y organizativas

  • Aislamiento por organización mediante Row-Level Security (RLS) en la base de datos.
  • Control de acceso basado en roles y principio de menor privilegio.
  • Autenticación de dos factores obligatoria para roles administrativos.
  • Cifrado en tránsito (TLS); limitación de tasa; cabeceras de seguridad.
  • Registro de auditoría append-only de acciones sensibles.
  • Backups cifrados y procedimiento de recuperación documentado.

Anexo III — Subprocesadores

Ver sección 5 (lista a finalizar por NLT/legal).