Borrador — pendiente de revisión legal. Este documento es un template de Replio para discusión con asesoría jurídica. No constituye un acuerdo vigente hasta que un abogado licenciado lo apruebe en tu jurisdicción. Usahello@replio.iosi necesitas la versión final firmada.

Replio · Legal

Acuerdo de Procesamiento de Datos

Template DPA entre Replio (Encargado) y el Comercio (Responsable). Adjunto al contrato principal de servicio.

Última actualización: 08 mayo 2026

A. Definiciones

Datos Personales: según GDPR art. 4(1) y LGPD art. 5(I).
Tratamiento: cualquier operación realizada sobre Datos Personales (recolección, uso, almacenamiento, supresión, etc.).
Responsable: el Comercio que contrata Replio.
Encargado: Replio S.A.C., conforme art. 28 GDPR / art. 39 LGPD.
Sub-encargado: tercero contratado por Replio para procesar Datos Personales en nombre del Responsable.

B. Objeto y duración

Replio tratará los Datos Personales únicamente para entregar la plataforma omnichannel con IA contratada por el Responsable. La duración del DPA coincide con la vigencia del contrato principal de servicio. Las obligaciones de confidencialidad sobreviven la terminación.

C. Naturaleza, finalidad y categorías

Categorías de titulares

Clientes finales del Responsable, agentes humanos del Responsable, administradores del workspace.

Categorías de Datos

Identificadores de canal, contenido de mensajes, metadatos de conversación, base de conocimiento del Responsable, datos de cuenta del Responsable.

Finalidades

Provisión del servicio, generación de respuestas IA, soporte, facturación, observabilidad.

D. Obligaciones del Encargado

Tratar los Datos solo según las instrucciones documentadas del Responsable (incluye este DPA y la configuración del workspace).
Garantizar que el personal con acceso a los Datos esté sujeto a confidencialidad.
Implementar las medidas técnicas y organizativas descritas en el Anexo I.
Notificar al Responsable cualquier brecha de seguridad sin demora indebida (objetivo < 24 horas tras detección confirmada).
Asistir al Responsable en el cumplimiento de los derechos de los titulares y en evaluaciones de impacto.
A solicitud del Responsable, suprimir o devolver los Datos al terminar el contrato (90 días tras la terminación).

E. Sub-encargados autorizados

El Responsable autoriza el uso de los sub-encargados listados en la Política de Privacidad de Replio (sección 5). Replio notificará con al menos 30 días de antelación cualquier cambio. El Responsable puede oponerse por motivos razonables; las partes buscarán de buena fe una solución, incluyendo la terminación si no hay acuerdo.

F. Transferencias internacionales

Las transferencias fuera de la jurisdicción del Responsable se amparan en SCC de la UE (Decisión 2021/914) o equivalentes locales, aplicadas mediante referencia incorporada a este DPA.

G. Auditoría

El Responsable puede solicitar una vez por año (más si lo exige la ley o tras un incidente) reportes SOC 2 / ISO 27001 una vez que Replio los obtenga. Auditorías presenciales requieren aviso de 30 días, son a costa del Responsable, y no podrán interrumpir la operación.

Anexo I — Medidas técnicas y organizativas

TLS 1.2+ obligatorio en todos los endpoints públicos.
AES-256 en reposo (Cloud SQL, GCS, secretos).
Aislamiento tenant-by-schema en Cloud SQL; conexiones por pool multi-tenant con resolver explícito.
Gestión de secretos en Google Secret Manager.
MFA obligatorio para todo personal con acceso a producción.
Logs de auditoría centralizados (12 meses).
Backups diarios cifrados con retención 30 días.
Plan de respuesta a incidentes documentado.
Capacitación anual de personal en privacidad y seguridad.