Acuerdo de tratamiento de datos (DPA)

1. Objeto

Establecer los términos bajo los cuales AppByte trata los Datos del Cliente, definir las obligaciones de seguridad, sub-encargados, transferencias internacionales, asistencia a Titulares, notificación de incidentes, retorno y eliminación.

2. Instrucciones del Cliente

AppByte tratará los Datos del Cliente únicamente conforme a las instrucciones documentadas del Cliente y a los Términos del servicio. El uso del Servicio constituye instrucción para los tratamientos necesarios para su prestación (almacenamiento, procesamiento, transmisión, respaldo, soporte, seguridad).

3. Objeto, duración y categorías

• Duración: mientras dure el contrato y los plazos de retención aplicables.
• Naturaleza y finalidad: alojar, procesar, transmitir, respaldar y mostrar Datos del Cliente para operar el Servicio UWOD.
• Categorías de Titulares: miembros y atletas del gimnasio, personal del gimnasio (coaches, recepción, administradores) y demás personas cuyos datos registra el Cliente en la Plataforma.
• Categorías de datos: identificación y contacto; datos de membresías y planes; reservas, asistencia y participación en clases; resultados de WOD y entrenamiento, PRs/benchmarks, estadísticas y métricas deportivas (algunas pueden constituir datos de salud sensibles que requieren base legal o consentimiento); metadata de pagos de membresías registrada por el gimnasio; imágenes y documentos cargados por el gimnasio; datos de auditoría.

4. Obligaciones de AppByte

1. Tratar los datos solo por instrucción documentada del Cliente, salvo obligación legal.
2. Garantizar confidencialidad del personal autorizado.
3. Implementar medidas técnicas y organizativas razonables conforme a la Política de seguridad.
4. Asistir razonablemente al Cliente para responder solicitudes de Titulares.
5. Notificar incidentes de seguridad sin demora indebida y, cuando sea posible, dentro de 72 horas desde la confirmación interna.
6. Eliminar o devolver los datos al término del contrato conforme a la Política de privacidad y a las instrucciones del Cliente.
7. Poner a disposición del Cliente la información razonable que demuestre el cumplimiento de este DPA.

5. Sub-encargados

1. El Cliente autoriza a AppByte a utilizar sub-encargados conforme a la Lista pública de subencargados.
2. AppByte notificará la incorporación de sub-encargados materiales con al menos 30 días corridos de antelación, salvo urgencia de seguridad. El Cliente podrá oponerse motivadamente; de no resolverse, podrá terminar el contrato sin penalidad.
3. AppByte impondrá a los sub-encargados obligaciones equivalentes en lo aplicable.

6. Transferencias internacionales

La infraestructura productiva opera principalmente en Estados Unidos (Contabo US East, MongoDB Atlas us-east-1, Cloudinary) y sobre la red global de Cloudflare. AppByte adopta salvaguardas contractuales y técnicas razonables para las transferencias internacionales. El detalle por proveedor y región se publica en la Lista de subencargados.

7. Derechos de los Titulares

AppByte asistirá al Cliente con medios razonables (interfaces de la Plataforma, exportación, eliminación lógica) para atender derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Las solicitudes de Titulares cuyos datos fueron cargados por el Cliente se canalizan vía el Cliente; AppByte ejecuta técnicamente lo solicitado.

8. Incidentes

Contenido mínimo de la notificación de incidente: naturaleza del incidente, fecha estimada, datos y Titulares afectados, medidas adoptadas, recomendaciones para el Cliente, punto de contacto y actualizaciones posteriores. AppByte podrá limitar detalles cuando la investigación esté en curso o cuando ello esté justificado por motivos de seguridad o confidencialidad.

9. Auditoría

El Cliente podrá solicitar información razonable y certificaciones disponibles. Las auditorías presenciales requerirán aviso previo, alcance limitado, acuerdos de confidencialidad y costos a cargo del Cliente, salvo incumplimiento confirmado de AppByte.

10. Devolución y eliminación

Al término del contrato: ventana de exportación de 30 días corridos (solo datos operativos del Cliente); eliminación productiva posterior; sobrescritura de respaldos dentro de un plazo máximo de 90 días corridos, salvo conservación legal. La exportación no comprende código fuente, esquemas de base de datos, arquitectura técnica, modelos internos, lógica de negocio del software ni elementos estructurales de la Plataforma.

11. Responsabilidad

La limitación de responsabilidad establecida en los Términos del servicio (límite total equivalente a los montos efectivamente pagados por el Cliente durante los 12 meses anteriores al evento que origina la reclamación, salvo que una ley aplicable exija un estándar distinto o que un anexo válidamente suscrito establezca otro límite) aplica también a este DPA, sin perjuicio de las normas imperativas aplicables que no puedan ser válidamente renunciadas.

12. Conflicto entre documentos

En caso de conflicto entre este DPA y los Términos del servicio en materia de protección de datos personales, prevalecerá este DPA.

13. Contacto

Consultas relativas a este DPA o al tratamiento de datos personales: dpo@uwod.app.