Acuerdo de Tratamiento de Datos (DPA)

El objeto del presente DPA es establecer las condiciones bajo las cuales VSLpro tratará, por cuenta del Cliente, los datos personales de los usuarios finales ("Titulares") que el Cliente recopile, gestione o procese a través de la plataforma VSLpro.

Este DPA aplica únicamente al tratamiento de datos personales sujetos al RGPD, a la LGPD o a normativas equivalentes en materia de protección de datos personales que requieran un acuerdo formal entre Responsable y Procesador.

En caso de conflicto entre el presente DPA y los Términos y Condiciones generales, prevalecerá lo dispuesto en este DPA en lo relativo al tratamiento de datos personales.

"Datos Personales": cualquier información relativa a una persona física identificada o identificable, conforme al artículo 4(1) del RGPD y al artículo 5(I) de la LGPD.

"Responsable del Tratamiento" o "Controlador": el Cliente, persona natural o jurídica que determina los fines y medios del tratamiento de los Datos Personales.

"Procesador" u "Operador": VSL Pro Studio SpA, que trata los Datos Personales por cuenta del Responsable.

"Titular": la persona natural cuyos Datos Personales son objeto de tratamiento.

"Subprocesador": cualquier tercero contratado por VSLpro para tratar Datos Personales en su nombre, conforme al §7 de este DPA.

"Violación de Datos Personales": cualquier incidente que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a los Datos Personales tratados.

VSLpro trata los Datos Personales de los Titulares para los fines exclusivos de prestar al Cliente los servicios de la plataforma VSLpro, conforme a las instrucciones documentadas del Cliente recibidas a través de la propia plataforma.

Las operaciones de tratamiento incluyen, sin limitación: recopilación, almacenamiento, organización, consulta, modificación, comunicación a subprocesadores autorizados y eliminación al final del periodo de retención.

La duración del tratamiento coincide con la vigencia del contrato principal entre VSLpro y el Cliente. Tras la terminación del contrato, VSLpro eliminará los Datos Personales dentro del plazo de treinta (30) días, salvo obligación legal de retención.

Categorías de Titulares: usuarios finales de los funnels VSL creados por el Cliente, incluyendo prospectos, leads, espectadores de video, suscriptores y contactos.

Categorías de Datos Personales tratados: nombre, dirección de correo electrónico, dirección IP, identificadores de dispositivo y navegador (user-agent), eventos de interacción (clics, progreso de video, scroll), parámetros de campaña (UTM), y cualquier otro dato que el Cliente decida recopilar mediante formularios de contacto o lead capture configurados en su funnel.

VSLpro no trata, salvo instrucción expresa del Cliente, categorías especiales de datos personales (datos sensibles conforme al artículo 9 del RGPD o al artículo 5(II) de la LGPD).

VSLpro tratará los Datos Personales únicamente sobre la base de instrucciones documentadas del Cliente, incluidas las contenidas en los Términos y Condiciones, este DPA y la configuración de la plataforma.

VSLpro garantiza que las personas autorizadas para tratar los Datos Personales se han comprometido contractualmente a respetar la confidencialidad.

VSLpro implementará medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo, según se describe en el §9.

VSLpro asistirá al Cliente, en la medida de lo posible, para responder a solicitudes de los Titulares relativas al ejercicio de sus derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación).

VSLpro notificará al Cliente sin demora indebida y a más tardar dentro de las cuarenta y ocho (48) horas desde el conocimiento de cualquier Violación de Datos Personales que afecte los datos tratados por cuenta del Cliente.

VSLpro pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA.

El Cliente garantiza disponer de una base jurídica válida para el tratamiento de los Datos Personales que instruya a VSLpro tratar.

El Cliente es responsable de obtener el consentimiento informado de los Titulares cuando dicho consentimiento sea la base jurídica aplicable, y de proporcionar a los Titulares la información requerida por el artículo 13 del RGPD o el artículo 9 de la LGPD.

El Cliente atenderá directamente las solicitudes de los Titulares relativas al ejercicio de sus derechos, salvo cuando dichas solicitudes se refieran exclusivamente a operaciones técnicas bajo control de VSLpro.

El Cliente designará un punto de contacto único para las comunicaciones con VSLpro en materia de protección de datos.

El Cliente otorga a VSLpro una autorización general para contratar a los subprocesadores listados en /legal/subprocessors.

VSLpro notificará al Cliente cualquier modificación prevista en la lista de subprocesadores con una antelación mínima de catorce (14) días, otorgando al Cliente el derecho a presentar objeciones razonadas.

VSLpro suscribirá con cada subprocesador un contrato escrito que imponga obligaciones equivalentes en materia de protección de datos a las establecidas en este DPA.

VSLpro responde frente al Cliente por el incumplimiento de las obligaciones de protección de datos por parte de sus subprocesadores.

Los Datos Personales podrán ser transferidos fuera del Espacio Económico Europeo, del Reino Unido o de Brasil hacia los países en que se ubican los subprocesadores listados en /legal/subprocessors.

Toda transferencia internacional se realizará al amparo de las Cláusulas Contractuales Estándar adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea o de cualquier otro mecanismo de transferencia reconocido como equivalente por la autoridad de control competente.

VSLpro implementará, cuando sea necesario, medidas suplementarias técnicas y organizativas que garanticen un nivel de protección sustancialmente equivalente al exigido en el Espacio Económico Europeo.

VSLpro aplica las siguientes medidas técnicas y organizativas: cifrado TLS en tránsito, almacenamiento con cifrado en reposo cuando es soportado por la infraestructura, autenticación con contraseñas hasheadas, control de acceso basado en roles (RBAC), aislamiento por tenant, registros de auditoría, monitorización de errores, y limitaciones de tasa (rate limiting) en endpoints públicos.

Las personas con acceso a los Datos Personales están sujetas a obligaciones de confidencialidad y a procedimientos de revocación de acceso al término de su relación con VSLpro.

En caso de Violación de Datos Personales, VSLpro notificará al Cliente dentro de las cuarenta y ocho (48) horas siguientes a su conocimiento, proporcionando la información razonablemente disponible sobre la naturaleza del incidente, las categorías de Titulares y datos afectados, las consecuencias probables y las medidas adoptadas o propuestas para mitigar el daño.

El Cliente podrá auditar el cumplimiento por VSLpro de las obligaciones del presente DPA una (1) vez por año natural, con un preaviso mínimo de treinta (30) días, durante horario hábil y sin interrupción material de las operaciones de VSLpro.

Las auditorías serán realizadas a costa del Cliente por personal del Cliente o por auditores externos independientes sujetos a obligaciones de confidencialidad.

VSLpro podrá satisfacer la obligación de auditoría poniendo a disposición del Cliente informes de auditoría de terceros (por ejemplo, SOC 2, ISO 27001) cuando estén disponibles, en lugar de permitir auditorías en sitio.

El presente DPA entra en vigor en la fecha de aceptación de los Términos y Condiciones y permanecerá vigente mientras subsista la relación contractual entre el Cliente y VSLpro.

A la terminación del contrato, y a elección del Cliente comunicada por escrito dentro de los treinta (30) días siguientes a la terminación, VSLpro devolverá o eliminará todos los Datos Personales tratados por cuenta del Cliente, salvo obligación legal de retención.

Transcurrido el plazo anterior sin instrucción del Cliente, VSLpro procederá a la eliminación de los Datos Personales.

El presente DPA se rige por la legislación chilena en cuanto a su interpretación contractual. Los derechos de los Titulares se rigen por la normativa que les sea aplicable según su lugar de residencia, incluyendo el RGPD para residentes en la Unión Europea y la LGPD para residentes en Brasil.

Las controversias relativas a la interpretación o ejecución de este DPA se someterán a los tribunales ordinarios de Santiago de Chile, sin perjuicio del derecho de los Titulares a recurrir a la autoridad de control competente en su jurisdicción.

VSL Pro Studio SpA, RUT 78.384.576-8, con domicilio en Chile. Correo electrónico de contacto: hola@vslpro.io.

Encargado del Tratamiento de Datos (Encarregado bajo LGPD - Brasil): hola@vslpro.io.

VSLpro no dispone de establecimiento en la Unión Europea y, por tanto, no ha designado representante en la UE conforme al artículo 27 del RGPD a la fecha de este DPA.

Este DPA forma parte integral de los Términos y Condiciones y constituye el acuerdo de tratamiento de datos requerido por el artículo 28 del RGPD y el artículo 39 de la LGPD entre VSL Pro Studio SpA (Procesador) y el Cliente (Responsable). La aceptación de los Términos y Condiciones implica la aceptación del presente DPA.