Anexo E — Acuerdo de Tratamiento de Datos (DPA)
Versión E-0.1.1 · Para Profesionales y Operadores sujetos al RGPD de la Unión Europea
Este Acuerdo de Tratamiento de Datos ("DPA") complementa el Anexo D (Términos y Condiciones de Uso) y regula el tratamiento de datos personales realizado por el Proveedor en el marco de la provisión del software STAR. Este documento debe ser suscripto digitalmente junto con el Anexo D como condición de uso del servicio para Profesionales en la Unión Europea.
1. Definiciones y roles de las partes
Responsable del Tratamiento (Data Controller): el Profesional u Operador que contrata la licencia de STAR. Es quien determina los fines y medios del tratamiento de los datos de sus Usuarios Finales.
Encargado del Tratamiento (Data Processor): el Proveedor (Viviana Loizzo / Proyecto SER). Trata los datos única y exclusivamente por cuenta e instrucciones del Responsable.
RGPD: Reglamento General de Protección de Datos (Reglamento UE 2016/679).
2. Objeto, naturaleza y duración del tratamiento
A efectos de transparencia técnica y cumplimiento del Art. 28.3 del RGPD, las partes dejan constancia del alcance del tratamiento:
Naturaleza del software: STAR opera bajo un modelo de privacidad por diseño donde el texto completo de las conversaciones se procesa localmente en la infraestructura del Responsable y nunca se transmite a los servidores del Encargado.
Datos transferidos al Encargado: el tratamiento automatizado en los servidores del Encargado se limita estrictamente a:
- Métricas numéricas anonimizadas o seudonimizadas vinculadas a un ID de sesión o de terminal (puntuaciones A1–A7, CGS).
- Flags booleanos de seguridad (Verdadero/Falso).
- Datos de telemetría de licencias (identificador de terminal, timestamp, estado de validación).
Duración: el tratamiento se mantendrá vigente mientras el Profesional conserve una licencia activa de STAR y hasta la cancelación definitiva del servicio.
3. Obligaciones del Encargado (Proyecto SER)
El Encargado se compromete formalmente a:
3.1 Instrucciones del Responsable. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, a menos que esté obligado a ello por el derecho de la Unión o de los Estados miembros.
3.2 Confidencialidad. Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad de forma expresa.
3.3 Medidas de seguridad. Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:
- Cifrado en tránsito mediante TLS.
- Almacenamiento cifrado en los servidores de Fly.io, región gru (São Paulo).
- Control de accesos restringido al equipo técnico autorizado.
3.4 Subencargados (Sub-processors). El Responsable autoriza de forma general la contratación de la infraestructura en la nube de Fly.io para el alojamiento de la telemetría de validación. El Encargado informará de cualquier cambio planificado en sus subencargados con antelación suficiente.
4. Derechos de los interesados y auditorías
4.1 Atención de derechos (ARCO+). Dado que el Encargado no almacena el texto de las interacciones ni posee de forma directa los datos de filiación de los Usuarios Finales, si un Usuario Final ejercita sus derechos (Acceso, Rectificación, Supresión) ante el Encargado, este reenviará dicha solicitud inmediatamente al Responsable para que la resuelva.
4.2 Colaboración y auditorías. El Encargado pondrá a disposición del Responsable toda la información técnica necesaria para demostrar el cumplimiento de las obligaciones del RGPD, permitiendo inspecciones o auditorías lógicas exclusivamente sobre los mecanismos de control de logs de validación de licencias.
5. Transferencias internacionales de datos
El Responsable (Profesional en la UE) reconoce y acepta expresamente que las métricas de telemetría y los metadatos de validación de licencias se transfieren y alojan en los servidores del Encargado ubicados en la República Argentina y en servidores regionales de soporte en Brasil (Fly.io, región gru).
Garantía jurídica: la República Argentina cuenta con una Decisión de Adecuación de la Comisión Europea (Decisión 2003/490/CE), la cual dictamina que la legislación argentina (Ley 25.326) proporciona un nivel de protección equivalente al europeo, validando legalmente este flujo transfronterizo de datos sin necesidad de autorizaciones adicionales.
6. Destrucción o devolución de datos
A la finalización del contrato, o ante la revocación definitiva de la Licencia, el Encargado procederá a la supresión lógica de todas las métricas y logs históricos asociados a las terminales y licencias del Responsable en un plazo máximo de sesenta (60) días, salvo que la legislación aplicable exija su conservación.
7. Aceptación
Al aceptar este Anexo E durante la contratación, el Profesional acepta los Términos de Uso (Anexo D) y suscribe el Acuerdo de Tratamiento de Datos para la UE, reconociendo el rol de Proyecto SER como Encargado de Tratamiento bajo el RGPD.