Acuerdo de Procesamiento de Datos

1. Partes y propósito

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integral del Contrato entre Rootproof ("el Encargado") y la organización contratante ("el Responsable"). El Responsable es quien decide qué datos personales procesar y con qué fin; el Encargado los procesa exclusivamente bajo instrucciones del Responsable, en términos compatibles con GDPR (UE), LGPD (Brasil), y las leyes de protección de datos / habeas data de los países latinoamericanos.

2. Datos y categorías de interesados

El Encargado procesa los siguientes datos personales en nombre del Responsable:

• check_circleDatos de destinatarios de certificados: nombre, programa, fecha, email opcional, wallet opcional.
• check_circleDatos de contacto del Responsable: nombre de la organización, email, sitio web, descripción.
• check_circleMetadatos técnicos: IP de inicio de sesión, timestamps de auditoría, logs de emisión.

3. Naturaleza, duración y finalidad

Naturaleza: almacenamiento, hashing, generación de PDFs, anclaje criptográfico en blockchain y entrega de credenciales verificables. Duración: durante la vigencia del Contrato, salvo los registros en blockchain que son permanentes por diseño técnico. Finalidad: prestar el servicio de certificación digital contratado.

4. Datos publicados en blockchain

El Responsable reconoce y acepta que el nombre del destinatario, programa, emisor, fecha y hash del PDF quedan registrados como attestation pública en la red Rootstock, lo cual es inmutable y no puede eliminarse. El Responsable es responsable de obtener el consentimiento informado de cada destinatario antes de emitir un certificado, conforme exija la ley aplicable.

5. Obligaciones del Encargado

Rootproof se compromete a:

• check_circleProcesar datos personales únicamente bajo instrucciones documentadas del Responsable.
• check_circleImplementar medidas técnicas y organizativas apropiadas (cifrado en tránsito TLS 1.3, almacenamiento en proveedores con certificación SOC 2, control de acceso por roles, auditoría de acciones).
• check_circleGarantizar la confidencialidad mediante acuerdos con su personal autorizado.
• check_circleAsistir al Responsable en responder solicitudes de los interesados (acceso, rectificación, supresión off-chain, portabilidad).
• check_circleNotificar al Responsable cualquier brecha de seguridad sin demora indebida, y en cualquier caso dentro de las 72 horas de tener conocimiento.
• check_circleDevolver o eliminar todos los datos personales off-chain a elección del Responsable al terminar el Contrato, salvo obligación legal de conservación.

6. Subencargados (Sub-procesadores)

El Responsable autoriza al Encargado a contratar los siguientes subencargados, todos con cláusulas de protección de datos equivalentes a este DPA:

• check_circleVercel Inc. — hosting, ejecución serverless, Vercel Blob storage (US / EU).
• check_circleUpstash — Redis para rate limiting y sesiones (US / EU).
• check_circleResend — envío de emails transaccionales (US).
• check_circleStripe Inc. — procesamiento de pagos (US, certificado PCI-DSS).
• check_circleAnthropic PBC — modelo de lenguaje para asistente conversacional (US).
• check_circleSentry — observabilidad y monitoreo de errores (US).
• check_circleRootstock — registro inmutable de attestations en blockchain pública.

7. Transferencias internacionales

Los datos pueden transferirse a Estados Unidos y otras jurisdicciones donde operan los subencargados. Para transferencias desde la UE/Reino Unido, el Encargado se apoya en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea cuando corresponde. Para datos de Latinoamérica, se aplica el régimen de protección equivalente conforme a las leyes locales.

8. Derechos de los interesados

El Encargado asiste al Responsable, en la medida de lo razonablemente posible, para responder a solicitudes de los interesados. Para datos off-chain, las solicitudes pueden cumplirse íntegramente. Para datos en blockchain, el Encargado informará al interesado de la imposibilidad técnica de borrar el registro, pero podrá emitir una constancia adicional de revocación off-chain y on-chain.

9. Auditorías

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA. Auditorías presenciales podrán realizarse con preaviso razonable, una vez al año, durante horario laboral, asumiendo el Responsable los costos a menos que la auditoría revele incumplimiento material.

10. Retención y eliminación

Al terminar el servicio, los datos off-chain del Responsable se eliminan dentro de los 30 días salvo solicitud expresa de devolución previa. Los registros en blockchain permanecen por diseño técnico — esto no constituye incumplimiento del DPA dado que el Responsable autoriza expresamente esta publicación al usar el Servicio.

11. Responsabilidad

La responsabilidad bajo este DPA se rige por las limitaciones establecidas en los Términos y Condiciones, salvo en lo que respecta a obligaciones imperativas bajo la ley de protección de datos aplicable.

12. Vigencia

Este DPA entra en vigor con la activación de la cuenta del Responsable y permanece vigente mientras el Responsable use el Servicio. Sobrevive a la terminación del Contrato en cuanto a obligaciones de confidencialidad y eliminación.

13. Contacto del Encargado

Para ejercer derechos, reportar incidentes o coordinar auditorías, contacta a Rootproof a través de rootproof.io/contact indicando "DPA" en el asunto.