nuvuinsight
Registrarse

Legal

Acuerdo de Tratamiento de Datos

DPA · junio de 2026

1. Partes

Este acuerdo se celebra entre el Cliente (responsable del tratamiento) y Nuvu Strategy (encargado del tratamiento). Aplica a todos los datos personales que el Cliente trate a través de Nuvu Insight.

2. Objeto

Nuvu Strategy actúa como encargado respecto de los datos personales del Cliente almacenados en su tenant, tratándolos exclusivamente para prestar el servicio.

3. Instrucciones

Nuvu sólo trata los datos según las instrucciones documentadas del Cliente (configuración del tenant, peticiones API, uso de la Plataforma). Cualquier tratamiento distinto requiere consentimiento previo escrito del Cliente.

4. Confidencialidad y personal

Todo el personal de Nuvu con acceso a datos personales está sujeto a obligaciones de confidencialidad por contrato. El acceso es need-to-know, registrado en bitácoras de auditoría inmutables.

5. Medidas técnicas y organizativas

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256-GCM para secretos).
  • Aislamiento por tenant con Row-Level Security en PostgreSQL.
  • Control de acceso por rol (RBAC) con políticas RolePolicy per-tenant.
  • Backups cifrados, monitoreo de seguridad, gestión de vulnerabilidades.
  • Pruebas periódicas de recuperación de desastres.

6. Sub-encargados autorizados

El Cliente autoriza el uso de los siguientes sub-encargados:

  • Proveedor de PostgreSQL administrado (UE / EE.UU.) — almacenamiento operativo.
  • Proveedor de almacenamiento de objetos — backups cifrados.
  • Proveedor del Motor Fiscal Nuvu, certificado por la DGII para emisión de e-CF.
  • Google LLC — modelos Gemini para el asistente ejecutivo de IA.
  • Proveedor de mensajería transaccional (correo, WhatsApp Business, push).
  • Proveedor de observabilidad (logs, métricas, traces).

Cualquier nuevo sub-encargado se notifica con al menos 30 días de anticipación. El Cliente puede objetar por escrito.

7. Asistencia al Cliente

Nuvu asistirá al Cliente para responder solicitudes de titulares (acceso, rectificación, supresión, portabilidad), realizar evaluaciones de impacto y atender requerimientos de autoridades de protección de datos.

8. Brecha de seguridad

Nuvu notificará al Cliente cualquier incidente que comprometa datos personales en un plazo razonable, proporcionando la información necesaria para cumplir con sus obligaciones de notificación.

9. Transferencias internacionales

Si datos del Cliente se procesan fuera de la República Dominicana, Nuvu aplicará salvaguardas adecuadas (cláusulas contractuales, evaluación de transferencia y, cuando proceda, medidas técnicas adicionales).

10. Devolución y eliminación

Al finalizar el servicio, Nuvu pondrá a disposición del Cliente los datos personales para exportación durante 30 días, tras lo cual los eliminará o anonimizará, salvo obligación legal de conservación (10 años para datos fiscales).

11. Auditoría

El Cliente puede solicitar auditorías razonables (con preaviso de 30 días, sin interferir en la operación) o aceptar reportes equivalentes (SOC 2, ISO 27001) cuando estén disponibles.