Anexo de Tratamiento de Datos
Plantilla de DPA entre ClimbVista y el cliente. Rige el tratamiento de datos personales bajo el Servicio.
Última actualización: 2026-06-21
1. Partes
Este Anexo de Tratamiento de Datos (“DPA”) forma parte del contrato marco (“Contrato”) entre ClimbVista (el “Encargado”) y el cliente identificado en la Orden (el “Responsable”). En caso de conflicto entre este DPA y el Contrato, prevalece este DPA en lo referente al tratamiento de datos personales.
2. Objeto y duración
Objeto: monitoreo técnico de SEO, detección de problemas, distribución de políticas edge y analítica de disponibilidad/telemetría. Duración: la vigencia del Contrato, más cualquier período razonable de cierre para devolver o eliminar los datos personales.
3. Naturaleza y finalidad del tratamiento
ClimbVista procesa metadatos técnicos limitados necesarios para prestar el Servicio — incluidos URLs escaneadas, características de respuestas HTTP, datos estructurales de páginas y sondas de disponibilidad al dominio del Responsable. El tratamiento de datos personales es incidental y minimizado por diseño.
4. Categorías de titulares
Visitantes del sitio web del Responsable cuyas peticiones técnicas puedan aparecer en registros y métricas; usuarios autorizados del Responsable que inicien sesión en ClimbVista.
5. Categorías de datos personales
Direcciones IP (de actores registrados en auditoría y de registros incidentales de peticiones), cadenas de user-agent, identificadores de cookie/sesión que atraviesen el worker de edge cuando se habilite explícitamente, y datos de contacto de usuarios autenticados (nombre, correo).
6. Obligaciones del Encargado
ClimbVista: (a) tratará datos personales sólo bajo instrucciones documentadas del Responsable; (b) garantizará la confidencialidad del personal; (c) implementará las medidas técnicas y organizativas descritas en §9; (d) contratará subencargados sólo bajo obligaciones equivalentes; (e) asistirá al Responsable en responder a solicitudes de titulares; (f) notificará cualquier violación de datos personales sin dilación indebida y dentro de 72 horas.
7. Subencargados
ClimbVista usa los siguientes subencargados: Vercel Inc. (hosting de aplicación, región São Paulo), Neon Database (hosting PostgreSQL, región São Paulo), Cloudflare Inc. (distribución de políticas edge y DNS), Fly.io (renderizado de páginas bajo demanda para el rastreo, región São Paulo), OpenAI (análisis IA, datos efímeros y no retenidos para entrenamiento), Resend (envío de correo transaccional). El Responsable otorga autorización general para estos subencargados y será notificado de cualquier adición con al menos 30 días de antelación.
8. Transferencias internacionales
El tratamiento principal ocurre en Brasil (región gru1). Las transferencias fuera de Chile / Brasil se realizan sobre la base de Cláusulas Contractuales Tipo o salvaguardas equivalentes cuando corresponda.
9. Medidas de seguridad
Cifrado en tránsito (TLS 1.3) y en reposo (AES-256, gestionado por el proveedor); control de acceso basado en roles con privilegios mínimos; registro de auditoría append-only de acciones privilegiadas; claves de API almacenadas como hashes SHA-256 con límite de tasa por clave; revisiones periódicas de dependencias e infraestructura; acceso a producción restringido a personal autorizado bajo confidencialidad.
10. Derechos de titulares
ClimbVista asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, en el cumplimiento de sus obligaciones de responder a solicitudes de ejercicio de derechos del titular (acceso, rectificación, supresión, limitación, portabilidad y oposición).
11. Devolución y eliminación
Al término del Contrato, ClimbVista, a elección del Responsable, devolverá o eliminará todos los datos personales dentro de 30 días, sujeto a las obligaciones legales de retención bajo la ley chilena.
12. Auditoría
El Responsable podrá, a su costa y no más de una vez al año, revisar la documentación de cumplimiento disponible del Encargado (políticas de seguridad y, cuando estén disponibles, resúmenes de pruebas de penetración). Se permiten auditorías físicas para clientes de nivel procurement con aviso razonable.
13. Ley aplicable
Este DPA se rige por las leyes de la República de Chile. Las disputas se someten a la jurisdicción exclusiva de los tribunales de Santiago.