​
ACUERDO DE TRATAMIENTO DE DATOS (DPA)
Esta traducción se proporciona únicamente para fines de conveniencia. En caso de inconsistencia, prevalecerá la versión en inglés.
Fecha de vigencia: 1 de enero de 2026
Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte integrante y se incorpora por referencia al/los contrato(s) celebrado(s) entre SOBEREYE INC. (“Encargado del Tratamiento”) y la entidad cliente (“Responsable del Tratamiento”) que regulan el uso de la plataforma OPTOVERA y los servicios relacionados (los “Servicios”).
​
El presente DPA se aplica al tratamiento de Datos Personales realizado por el Encargado del Tratamiento por cuenta del Responsable del Tratamiento en relación con los Servicios.
​
1. Definiciones
A los efectos del presente DPA:
“Leyes de Protección de Datos Aplicables” significa todas las leyes y reglamentos aplicables al tratamiento de Datos Personales conforme al presente DPA, incluyendo, según corresponda:
-
el Reglamento (UE) 2016/679 (GDPR),
-
la Ley General de Protección de Datos Personales de Brasil (LGPD – Ley Nº 13.709/2018),
-
las leyes federales y estatales de privacidad aplicables de los Estados Unidos,
-
y otras leyes de protección de datos aplicables en América Latina y en otras jurisdicciones.
“Responsable del Tratamiento”, “Encargado del Tratamiento”, “Datos Personales”, “Tratamiento”, “Titular de los Datos” y “Autoridad de Control” tendrán los significados que les atribuyen las Leyes de Protección de Datos Aplicables.
​
“Datos Personales Sensibles” incluye las categorías especiales de datos personales conforme al artículo 9 del GDPR y los datos personales sensibles conforme al artículo 5, inciso II, de la LGPD.
​
2. Roles de las Partes
​
2.1 Responsable del Tratamiento
El Responsable del Tratamiento determina las finalidades y los medios del Tratamiento de los Datos Personales en relación con los Servicios.
​
2.2 Encargado del Tratamiento
El Encargado del Tratamiento trata los Datos Personales exclusivamente por cuenta del Responsable del Tratamiento y de conformidad con sus instrucciones documentadas, incluidas aquellas establecidas en el/los contrato(s) que regulan los Servicios y en el presente DPA.
El Encargado del Tratamiento no actúa como responsable independiente respecto de los Datos Personales tratados conforme a este DPA.
​
3. Alcance y Finalidad del Tratamiento
El Encargado del Tratamiento tratará los Datos Personales únicamente para las siguientes finalidades:
-
proporcionar, operar y dar soporte a la plataforma OPTOVERA y a los Servicios;
-
habilitar flujos de trabajo de seguridad laboral, preparación operativa y evaluación del riesgo de fatiga, según la configuración definida por el Responsable del Tratamiento;
-
garantizar la seguridad de la plataforma, la auditabilidad y la integridad del servicio;
-
cumplir con las obligaciones legales y regulatorias aplicables.
El Encargado del Tratamiento no tratará los Datos Personales para fines propios, incluidos marketing, publicidad o análisis no relacionados.
​
El Encargado del Tratamiento no utilizará los Datos Personales para adoptar decisiones automatizadas que produzcan efectos jurídicos o efectos significativamente similares respecto de los Titulares de los Datos.
​
4. Categorías de Datos y de Titulares
​
4.1 Categorías de Titulares de los Datos
Los Titulares de los Datos podrán incluir empleados, contratistas o personal autorizado del Responsable del Tratamiento.
​
4.2 Categorías de Datos Personales
Los Datos Personales tratados podrán incluir:
-
identificadores de usuario seudonimizados asignados por el Responsable del Tratamiento;
-
indicadores de preparación, fatiga o seguridad operativa;
-
resultados de evaluaciones operativas y registros de flujos de trabajo de seguridad;
-
datos técnicos, de sistema, de acceso y registros de auditoría.
​​
El Encargado del Tratamiento no requiere ni trata identificadores personales directos, tales como nombres, números de identificación oficial, datos de contacto personales o información de nómina.
​
5. Tratamiento de Datos Biométricos y Datos Personales Sensibles
Cuando corresponda, el Encargado del Tratamiento podrá tratar datos biométricos (incluido el reconocimiento de iris) y características fisiológicas derivadas de datos biométricos exclusivamente para:
-
la asociación de usuarios de forma uno a uno (1:1) dentro del entorno del Responsable del Tratamiento;
-
finalidades de preparación operativa y evaluación de seguridad.
Dicho tratamiento:
-
se limita a la asociación uno a uno (1:1);
-
no implica vigilancia, seguimiento, elaboración de perfiles ni identificación grupal;
-
no implica casos de uso de identificación pública, civil, gubernamental ni de aplicación de la ley.
​​
El Encargado del Tratamiento trata los Datos Personales Sensibles únicamente cuando esté permitido por las Leyes de Protección de Datos Aplicables, incluidos el artículo 9(2)(b) y (h) del GDPR y el artículo 11, inciso II, de la LGPD, y sujeto a salvaguardas adecuadas.
​
6. Obligaciones del Encargado del Tratamiento
El Encargado del Tratamiento deberá:
a) tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable del Tratamiento;
b) garantizar que las personas autorizadas para tratar Datos Personales estén sujetas a obligaciones de confidencialidad;
c) implementar medidas técnicas y organizativas adecuadas para proteger los Datos Personales;
d) no divulgar los Datos Personales a terceros, salvo en la medida permitida por el presente DPA o cuando sea exigido por la ley;
e) informar oportunamente al Responsable del Tratamiento, en la medida en que sea razonablemente evidente, si una instrucción infringe las Leyes de Protección de Datos Aplicables.
​
7. Medidas de Seguridad
El Encargado del Tratamiento mantendrá un Sistema de Gestión de la Seguridad de la Información (SGSI) alineado con la norma ISO/IEC 27001, que abarque personas, procesos y tecnología, teniendo en cuenta el estado de la técnica y la naturaleza de los Servicios.
Las medidas de seguridad incluyen, según corresponda:
-
cifrado de los datos en tránsito y en reposo;
-
controles de acceso basados en roles;
-
segregación de entornos;
-
registro, monitoreo y controles de auditoría;
-
políticas internas de seguridad y capacitación del personal.
-
​
8. Subencargados del Tratamiento
El Responsable del Tratamiento autoriza al Encargado del Tratamiento a contratar subencargados del tratamiento necesarios para la prestación de los Servicios.
​
El Encargado del Tratamiento garantizará que cualquier subencargado esté sujeto a obligaciones de protección de datos no menos protectoras que las establecidas en el presente DPA.
​
El Encargado del Tratamiento pondrá a disposición una lista actualizada de subencargados del tratamiento previa solicitud o a través de su sitio web. El Responsable del Tratamiento podrá oponerse a un nuevo subencargado únicamente por motivos razonables relacionados con la protección de datos.
​
9. Asistencia al Responsable del Tratamiento
El Encargado del Tratamiento prestará asistencia razonable, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado del Tratamiento, y sin perjuicio de la responsabilidad del Responsable del Tratamiento respecto de dichas evaluaciones.
​
Dicha asistencia podrá estar sujeta al reembolso razonable de costos, cuando así lo permita la legislación aplicable.
​
10. Violaciones de Seguridad de los Datos Personales
El Encargado del Tratamiento notificará al Responsable del Tratamiento sin demora indebida, una vez que tenga conocimiento de una violación de seguridad de los Datos Personales tratados conforme al presente DPA, dentro de un plazo comercialmente razonable, en la medida en que la información esté disponible en ese momento.
​
Dicha notificación incluirá la información disponible necesaria para que el Responsable del Tratamiento cumpla con sus obligaciones legales.
​
11. Transferencias Internacionales de Datos
Cuando se realicen transferencias internacionales de Datos Personales, el Encargado del Tratamiento garantizará la implementación de salvaguardas adecuadas de conformidad con las Leyes de Protección de Datos Aplicables.
Dichas salvaguardas podrán incluir cláusulas contractuales tipo, compromisos contractuales y medidas organizativas.
​
12. Conservación y Eliminación de los Datos
Los Datos Personales se conservarán únicamente durante el período determinado por el Responsable del Tratamiento, por los requisitos contractuales o por la legislación aplicable.
Tras la finalización de los Servicios o previa instrucción del Responsable del Tratamiento, el Encargado del Tratamiento eliminará de forma segura o anonimizará los Datos Personales, salvo que la conservación sea exigida por la ley.
​
13. Auditorías y Cumplimiento
El Encargado del Tratamiento pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento del presente DPA, de manera que no interfiera de forma indebida con sus operaciones.
​
Cuando corresponda, el cumplimiento podrá demostrarse mediante certificaciones, informes de auditoría u otros mecanismos de aseguramiento equivalentes. Las auditorías se limitarán a una vez por año, salvo que la ley exija lo contrario.
​
14. Ley Aplicable y Prelación
El presente DPA se regirá por la misma ley aplicable al contrato que regula los Servicios, salvo que las Leyes de Protección de Datos Aplicables dispongan lo contrario.
En caso de conflicto, el presente DPA prevalecerá en lo relativo a las obligaciones de protección de datos.
​
15. Vigencia y Supervivencia
El presente DPA permanecerá vigente durante todo el período en que el Encargado del Tratamiento trate Datos Personales por cuenta del Responsable del Tratamiento y subsistirá tras la finalización de los Servicios en la medida necesaria para cumplir con sus obligaciones.
​
16. Contacto
Para asuntos relacionados con la protección de datos en virtud del presente DPA, el Responsable del Tratamiento podrá contactar a:
info@sobereye.com