Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 29 de enero de 2026 Versión: 1.0
1. Introducción
Este Acuerdo de Procesamiento de Datos (“DPA”) forma parte de los Términos de Servicio entre Cyclora (“Procesador”) y el usuario o entidad que utiliza nuestros servicios (“Controlador”). Este DPA aplica al procesamiento de datos personales que Cyclora realiza en nombre del Controlador.
Este DPA se celebra de conformidad con el Reglamento General de Protección de Datos (GDPR), la Ley 1581 de 2012 de Colombia (Habeas Data general), la Ley 1266 de 2008 (Habeas Data financiero), el Decreto 1377 de 2013, la LGPD de Brasil, la CCPA/CPRA de California y demás legislación de protección de datos aplicable.
2. Definiciones
- Datos Personales: Cualquier información relacionada con una persona natural identificada o identificable
- Procesamiento: Cualquier operación realizada sobre datos personales (recopilación, almacenamiento, uso, transmisión, eliminación)
- Controlador: La entidad que determina los fines y medios del procesamiento
- Procesador: La entidad que procesa datos personales en nombre del Controlador (Cyclora)
- Sub-procesador: Un tercero contratado por el Procesador para asistir en el procesamiento
- Datos del Servicio: Datos personales procesados por Cyclora para proporcionar los servicios
3. Roles y Responsabilidades
3.1 Cyclora como Procesador
Cuando un usuario o tienda utiliza Cyclora para gestionar datos de sus clientes (por ejemplo, datos en facturas, información de bicicletas de clientes, registros de mantenimiento), Cyclora actúa como Procesador de dichos datos.
3.2 Cyclora como Controlador
Cyclora actúa como Controlador para:
- Datos de cuenta de usuarios (registro, perfil)
- Datos de uso y analytics de la plataforma
- Datos de facturación y pagos de suscripciones
3.3 Obligaciones del Procesador
Cyclora se compromete a:
- Procesar datos personales únicamente según las instrucciones documentadas del Controlador
- Garantizar que el personal autorizado para procesar datos se ha comprometido a la confidencialidad
- Implementar medidas técnicas y organizativas apropiadas para proteger los datos
- Respetar las condiciones para contratar sub-procesadores
- Asistir al Controlador en el cumplimiento de solicitudes de derechos de los interesados
- Asistir al Controlador en el cumplimiento de obligaciones de seguridad, notificación de brechas y evaluaciones de impacto
- Eliminar o devolver todos los datos personales al finalizar la relación, según las instrucciones del Controlador
- Poner a disposición del Controlador toda la información necesaria para demostrar cumplimiento
4. Medidas de Seguridad
Cyclora implementa las siguientes medidas técnicas y organizativas:
4.1 Medidas Técnicas
- Encriptación en tránsito: TLS 1.2+ para todas las comunicaciones
- Encriptación en reposo: AES-256 para datos almacenados
- Control de acceso: Autenticación multifactor para sistemas internos
- Segmentación de red: Aislamiento de ambientes de producción
- Monitoreo: Detección de intrusiones y monitoreo continuo
- Backups: Copias de seguridad encriptadas con retención definida
- Logging: Registro de auditoría de acceso a datos
4.2 Medidas Organizativas
- Políticas de seguridad de la información documentadas
- Capacitación periódica del personal en protección de datos
- Controles de acceso basados en roles (principio de menor privilegio)
- Procesos de gestión de incidentes de seguridad
- Evaluaciones periódicas de riesgos
5. Sub-procesadores
5.1 Sub-procesadores Autorizados
El Controlador autoriza a Cyclora a contratar los siguientes sub-procesadores:
| Sub-procesador | Propósito | País/Región | Política de Privacidad |
|---|---|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud, almacenamiento | EE.UU. (us-east-1) | AWS Privacy |
| Google Cloud Platform | Servicios de autenticación (OAuth) | EE.UU. | Google Privacy |
| MercadoPago | Procesamiento de pagos | Argentina/Colombia | MP Privacy |
| Google Analytics | Analytics web (datos anonimizados) | EE.UU. | Google Privacy |
| Expo (React Native) | Servicios móviles, push notifications | EE.UU. | Expo Privacy |
| Cloudflare | CDN, protección DDoS, DNS | Global | CF Privacy |
5.2 Notificación de Cambios
Cyclora notificará al Controlador con al menos 30 días de anticipación antes de agregar o reemplazar sub-procesadores, proporcionando la oportunidad de objetar. La notificación se realizará mediante:
- Email al contacto registrado del Controlador
- Actualización de esta página con la lista vigente
5.3 Objeciones
Si el Controlador objeta razonablemente un nuevo sub-procesador, Cyclora hará esfuerzos comercialmente razonables para ofrecer una alternativa. Si no es posible, el Controlador podrá terminar el servicio sin penalización.
6. Transferencias Internacionales de Datos
6.1 Mecanismos de Transferencia
Para transferencias de datos personales fuera del Espacio Económico Europeo (EEE), Cyclora utiliza:
- Cláusulas Contractuales Tipo (SCCs): Módulos aprobados por la Comisión Europea (Decisión 2021/914)
- Data Privacy Framework (DPF): Para transferencias a EE.UU. donde el sub-procesador esté certificado
- Decisiones de adecuación: Cuando existan para el país de destino
6.2 Países de Destino
Los datos pueden ser transferidos a:
- Estados Unidos: AWS, Google, Expo (bajo SCCs y/o DPF)
- Argentina: MercadoPago (decisión de adecuación de la UE)
- Colombia: Servidores primarios de Cyclora
6.3 Transferencias bajo Ley Colombiana (Art. 26, Ley 1581 de 2012)
Para la transferencia internacional de datos personales desde Colombia, Cyclora cumple con:
- Lista de países adecuados de la SIC: Las transferencias se realizan a países reconocidos por la SIC como poseedores de niveles adecuados de protección, o mediante contratos que garanticen las condiciones mínimas de la ley colombiana
- Excepciones del Art. 26: Transferencias necesarias para la ejecución del contrato entre el titular y Cyclora, o con autorización expresa del titular
- Registro ante la SIC: Cyclora está registrada (o en proceso de registro) en el Registro Nacional de Bases de Datos (RNBD) conforme al Decreto 1377 de 2013
6.4 Transferencias LATAM
Para usuarios en países latinoamericanos, se aplican las siguientes consideraciones adicionales:
| País | Ley Aplicable | Requisito de Transferencia |
|---|---|---|
| Brasil | LGPD (Lei 13.709/2018) | Cláusulas contractuales tipo o consentimiento específico (Art. 33) |
| México | LFPDPPP | Aviso de privacidad y consentimiento; contrato con terceros receptores |
| Argentina | Ley 25.326 | País con decisión de adecuación UE; requisito de nivel adecuado |
| Chile | Ley 21.719 (2024) | Consentimiento o cláusulas contractuales aprobadas |
| Perú | Ley 29733 | Autorización del titular o flujo transfronterizo a país adecuado |
| Ecuador | LOPDP (2021) | Garantías adecuadas o consentimiento explícito |
| Uruguay | Ley 18.331 | País con decisión de adecuación UE; nivel adecuado exigido |
6.5 Evaluación de Impacto de Transferencias (TIA)
Cyclora ha realizado evaluaciones de impacto de transferencias para cada sub-procesador en países sin decisión de adecuación, considerando el marco legal del país de destino y las medidas complementarias implementadas.
7. Notificación de Brechas de Seguridad
7.1 Obligación de Notificación
En caso de una brecha de seguridad que afecte datos personales, Cyclora se compromete a:
- Notificar al Controlador sin demora indebida y, en cualquier caso, dentro de las 72 horas siguientes al conocimiento de la brecha
- Proporcionar la siguiente información (en la medida disponible):
- Naturaleza de la brecha, incluyendo categorías y número aproximado de interesados afectados
- Nombre y datos de contacto del delegado de protección de datos o punto de contacto
- Consecuencias probables de la brecha
- Medidas adoptadas o propuestas para remediar la brecha y mitigar sus efectos
- Documentar todas las brechas, sus efectos y las medidas correctivas adoptadas
7.2 Proceso de Notificación
- Canal primario: Email al contacto de privacidad del Controlador registrado en la plataforma
- Canal secundario: Notificación en el panel de administración de Cyclora
- Canal de emergencia: Teléfono (para brechas de alto riesgo)
7.3 Asistencia
Cyclora asistirá al Controlador en:
- La notificación a la autoridad de control competente (cuando sea requerida)
- La comunicación a los interesados afectados (cuando sea requerida)
- La investigación y remediación de la brecha
8. Derechos de los Interesados
8.1 Asistencia
Cyclora asistirá al Controlador para responder a solicitudes de ejercicio de derechos de los interesados, incluyendo:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho de portabilidad
- Derecho de oposición
- Derecho a la limitación del tratamiento
8.2 Plazo de Respuesta
Cyclora responderá a las solicitudes de asistencia del Controlador dentro de 10 días hábiles.
9. Auditoría y Cumplimiento
9.1 Derecho de Auditoría
El Controlador tiene derecho a auditar el cumplimiento de este DPA. Las auditorías deben:
- Ser notificadas con al menos 30 días de anticipación
- Realizarse durante horario laboral normal
- No interferir con las operaciones de Cyclora
- Ser realizadas a costo del Controlador
9.2 Informes de Cumplimiento
Cyclora pondrá a disposición:
- Certificaciones de seguridad vigentes
- Resultados de pruebas de penetración (resumen ejecutivo)
- Informes de auditoría de terceros (cuando estén disponibles)
10. Duración y Terminación
10.1 Duración
Este DPA permanece vigente mientras Cyclora procese datos personales en nombre del Controlador.
10.2 Efectos de la Terminación
Tras la terminación:
- Cyclora cesará el procesamiento de datos personales del Controlador
- A elección del Controlador, Cyclora eliminará o devolverá todos los datos personales dentro de 30 días
- Cyclora proporcionará certificación escrita de la eliminación
- Las obligaciones de confidencialidad sobreviven la terminación
Excepción: Datos que deban conservarse por obligación legal (ej. facturas por 5 años según normativa tributaria colombiana).
11. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio.
12. Legislación Aplicable
Este DPA se rige por:
- Para usuarios en la UE/EEE: Las leyes del país del Controlador, complementadas por el GDPR
- Para usuarios en Colombia: Las leyes de la República de Colombia, incluyendo la Ley 1581 de 2012
- Para usuarios en Brasil: La LGPD (Lei Geral de Proteção de Dados)
- Para otros usuarios: Las leyes de la República de Colombia
13. Contacto
Para consultas sobre este DPA:
- Email: [email protected]
- Asunto: Consulta DPA - [Tu nombre o entidad]
Para reportar brechas de seguridad:
- Email: [email protected]
- Asunto: [URGENTE] Reporte de Brecha - [Descripción breve]
Este DPA complementa los Términos de Servicio y la Política de Privacidad de Cyclora.