Plantilla DPA · v1.0 · 21 de mayo de 2026

Data Processing Agreement (DPA)

Este documento es la plantilla pública del acuerdo de tratamiento de datos que ZOZlab firma con cada cliente contratante. La versión final se ajusta al sector regulatorio, alcance del servicio y requerimientos específicos del cliente, y se firma bilateralmente como anexo del contrato de servicio.

Aviso: esta plantilla refleja los términos estándar que ZOZlab propone. Para obtener la versión adaptada a tu organización, contáctanos a hola@zozlab.com indicando sector y alcance estimado del servicio.

1. Partes

Este Data Processing Agreement (en adelante, "DPA") se celebra entre:

El Cliente, persona jurídica contratante del servicio, actuando como Responsable del Tratamiento ("Controller") de los datos personales objeto de este DPA; y
ZOZlab, persona jurídica con domicilio en Chile, actuando como Encargado del Tratamiento ("Processor") por cuenta y bajo instrucciones del Cliente.

2. Definiciones

Para efectos de este DPA, los términos siguientes tienen el significado que se indica:

Datos Personales: cualquier información relativa a una persona natural identificada o identificable, en los términos de la normativa aplicable.
Titular: persona natural a quien refieren los Datos Personales.
Tratamiento: cualquier operación realizada sobre Datos Personales (recolección, registro, conservación, modificación, consulta, comunicación, supresión, etc.).
Subencargado: tercero contratado por ZOZlab para realizar parte del Tratamiento por cuenta del Cliente.
Brecha de Seguridad: vulneración de seguridad que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a los Datos Personales.
Normativa Aplicable: las leyes y regulaciones de protección de datos personales aplicables al Cliente y a ZOZlab en cada jurisdicción de operación (ver sección 14).

3. Objeto y alcance

Este DPA regula el Tratamiento de Datos Personales que ZOZlab realice por cuenta del Cliente durante la prestación del servicio contratado (en adelante, el "Servicio"), incluyendo automatización de procesos, implementación de agentes de IA, y servicios de Human-in-the-Loop (HITL).

El alcance específico del Tratamiento se detalla en cada contratación e incluye, como mínimo:

Naturaleza: las operaciones técnicas necesarias para ejecutar el Servicio.
Finalidad: exclusivamente la prestación del Servicio acordado.
Duración: el plazo del contrato de Servicio, más los plazos de conservación legalmente exigibles.
Categorías de Titulares: usuarios, clientes, pacientes, asegurados o personas equivalentes del Cliente, según corresponda al Servicio.
Categorías de Datos: las que correspondan al proceso automatizado (datos de identificación, contacto, transaccionales, clínicos, financieros, etc.).

4. Obligaciones de ZOZlab como Encargado

ZOZlab se obliga a:

Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente.
No utilizar los Datos Personales para finalidades propias ni cederlos a terceros sin autorización del Cliente.
Garantizar que el personal con acceso a los Datos esté sujeto a confidencialidad.
Aplicar las medidas técnicas y organizativas de seguridad descritas en la sección 7.
Asistir al Cliente en el cumplimiento de sus obligaciones frente a Titulares y autoridades (sección 9).
Notificar al Cliente cualquier Brecha de Seguridad sin dilación indebida (sección 8).
Devolver o eliminar los Datos al término del Servicio (sección 10).

5. Subencargados

ZOZlab podrá contratar Subencargados para la prestación del Servicio. El Cliente otorga una autorización general para la contratación de Subencargados, sujeta a:

Que ZOZlab informe al Cliente sobre la lista de Subencargados activos y notifique cualquier alta o sustitución con al menos 15 días hábiles de anticipación.
Que ZOZlab imponga a cada Subencargado obligaciones de protección de datos equivalentes a las asumidas en este DPA.
El derecho del Cliente a objetar la incorporación de un Subencargado por motivos razonables relacionados con protección de datos.

Subencargados habituales de ZOZlab incluyen: proveedor de hosting (Cloudflare), proveedor de email comercial (Google Workspace u equivalente), plataforma de agendamiento (Cal.com self-hosted), y proveedores de modelos de IA (sección 13). La lista actualizada se entrega como anexo al contrato.

6. Confidencialidad

ZOZlab mantendrá la confidencialidad de los Datos Personales y de toda información del Cliente a la que tenga acceso en el marco del Servicio. Esta obligación se extiende a todo el personal de ZOZlab y a sus Subencargados, y se mantiene vigente incluso después del término del contrato.

7. Medidas de seguridad

ZOZlab aplicará, como mínimo, las siguientes medidas técnicas y organizativas:

Encriptación en tránsito (TLS 1.2 o superior) y en reposo cuando aplique.
Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
Autenticación fuerte (MFA) para personal con acceso a sistemas productivos.
Registros de auditoría de accesos y operaciones sobre Datos Personales.
Pseudonimización o anonimización cuando sea técnicamente posible y no afecte la finalidad del Tratamiento.
Respaldos periódicos con encriptación.
Capacitación del personal en privacidad y seguridad de datos.
Revisión periódica de las medidas aplicadas para mantenerlas adecuadas al estado del arte.

Medidas adicionales aplicables a sectores regulados (salud, seguros, financiero) se acuerdan caso a caso conforme a la normativa sectorial del Cliente.

8. Notificación de brechas de seguridad

Ante una Brecha de Seguridad que afecte Datos Personales del Cliente, ZOZlab notificará al Cliente sin dilación indebida y, en lo posible, dentro de las 72 horas de detectada, proporcionando:

Descripción de la naturaleza de la brecha.
Categorías y volumen aproximado de Titulares y de Datos afectados.
Consecuencias probables.
Medidas adoptadas o propuestas para mitigarla.
Datos de contacto para coordinar la respuesta.

ZOZlab cooperará con el Cliente en cualquier notificación que este deba realizar a autoridades de control o a los Titulares afectados.

9. Asistencia al Responsable

ZOZlab asistirá al Cliente en el cumplimiento de sus obligaciones, incluyendo:

Atención de solicitudes de Titulares (acceso, rectificación, supresión, oposición, portabilidad, revocación).
Evaluaciones de impacto en protección de datos (DPIA) cuando sean exigibles.
Consultas previas a autoridades de control cuando aplique.
Auditorías internas del Cliente sobre el Tratamiento.

10. Devolución y eliminación al término del contrato

Al término del Servicio, por cualquier causa, ZOZlab — a elección del Cliente — devolverá todos los Datos Personales tratados y eliminará las copias existentes, o eliminará todos los Datos directamente. La eliminación se realizará dentro de los 30 días siguientes al término, salvo que el Cliente solicite plazos diferentes o exista una obligación legal de conservación.

ZOZlab entregará constancia escrita de la devolución o eliminación realizada.

11. Derecho de auditoría

El Cliente, o un tercero independiente designado por él (previa firma de NDA y bajo reglas razonables de coordinación), podrá auditar el cumplimiento por parte de ZOZlab de las obligaciones de este DPA, con previo aviso de al menos 30 días y con una frecuencia máxima de una vez por año calendario, salvo casos de Brecha de Seguridad confirmada.

ZOZlab podrá satisfacer este derecho mediante la entrega de certificaciones, auditorías de terceros (cuando estén disponibles) o reportes técnicos equivalentes que demuestren el cumplimiento.

12. Transferencias internacionales

Algunos Subencargados (especialmente proveedores de IA y de infraestructura cloud) pueden estar ubicados fuera del país del Cliente. ZOZlab se asegurará de que tales transferencias cumplan con la Normativa Aplicable, mediante:

Verificación de niveles adecuados de protección en el país de destino.
Suscripción de cláusulas contractuales tipo equivalentes a Standard Contractual Clauses (SCC) cuando corresponda.
Documentación de la base legal de la transferencia.

13. Modelos de IA y procesamiento agéntico

Cuando el Servicio implique procesar Datos Personales a través de modelos de lenguaje o plataformas de IA de terceros (OpenAI, Anthropic, Google, Mistral u otros), aplicará lo siguiente:

El proveedor de IA seleccionado para cada caso se acuerda con el Cliente antes de procesar sus Datos.
Se utilizarán los planes/endpoints del proveedor que ofrezcan las mejores garantías de privacidad disponibles (por ejemplo, planes empresariales con cero retención de prompts cuando estén disponibles).
Los términos de retención y procesamiento del proveedor seleccionado se anexan a este DPA en cada contratación.
Cuando el sector regulatorio del Cliente lo exija (por ejemplo, datos clínicos), se priorizarán proveedores con presencia regional, modelos auto-alojados o procesamiento on-premise.

14. Normativa aplicable

Este DPA se interpreta y ejecuta conforme a la Normativa Aplicable según el país del Cliente y la jurisdicción de operación, incluyendo cuando corresponda:

Chile: Ley N° 19.628 sobre Protección de la Vida Privada y normativa sectorial aplicable.
Colombia: Ley 1581 de 2012, Decreto 1377 de 2013 y demás normativa de la SIC.
Argentina: Ley 25.326 de Protección de los Datos Personales.
México: LFPDPPP y su Reglamento.
Unión Europea: Reglamento (UE) 2016/679 (GDPR), cuando aplique.

15. Vigencia, resolución y supervivencia

Este DPA entra en vigor con la firma del contrato de Servicio y permanece vigente mientras dure el Tratamiento de Datos Personales por cuenta del Cliente. Las obligaciones de confidencialidad, devolución/eliminación, notificación de brechas y limitación de responsabilidad sobreviven al término del DPA.

Cualquiera de las partes puede resolver este DPA en caso de incumplimiento sustancial de la otra, previa intimación por escrito y otorgamiento de plazo razonable para subsanar.

16. Limitación de responsabilidad y ley aplicable

Las limitaciones de responsabilidad y la ley aplicable establecidas en el contrato de Servicio rigen también este DPA. Para controversias específicas sobre protección de datos, las partes acordarán de buena fe una solución antes de recurrir a las vías formales contempladas en el contrato.

17. Contacto

Para solicitar una versión firmable de este DPA ajustada a tu sector y alcance, o para consultas sobre cláusulas específicas, escríbenos a hola@zozlab.com.

Para más detalles sobre cómo tratamos datos personales en general, consulta nuestra Política de privacidad →.