ADVERTENCIA: Este documento es la versión original y oficial. Todas sus traducciones son automáticas y se proporcionan únicamente con fines informativos. En caso de discrepancia, prevalecerá el contenido de este documento.

Anexo de Procesamiento de Datos (“DPA”)

Última actualización: 27 de noviembre de 2025

Este DPA se celebra entre:

• La entidad o persona definida como “Cliente” en los Términos (“Cliente”) y,
• Fintesk (entendida como la entidad legal con la cual el Cliente tiene una relación contractual según los Términos, “Fintesk”).

El Cliente y Fintesk también se denominan “Parte” y colectivamente como las “Partes”.

Este DPA forma parte de y está sujeto a los Términos de Servicio de Fintesk, disponibles en (“Términos”). Este DPA entrará en vigor tras la aceptación por parte del Cliente, u otra ejecución, de los Términos y continuará de acuerdo con las disposiciones aquí establecidas.

1. Antecedentes

1.1 El Cliente ha aceptado los Términos, según los cuales Fintesk ha acordado prestar ciertos servicios al Cliente (“Servicios”).

1.2 Al prestar los Servicios, Fintesk puede recopilar, obtener acceso o procesar de otro modo Datos Personales de individuos (Interesados) en nombre del Cliente. A menos que las Partes acuerden lo contrario, el Cliente será el Responsable del Tratamiento (Data Controller) y Fintesk será el Encargado del Tratamiento (Data Processor) de dichos Datos Personales.

1.3 Este DPA especifica las obligaciones de protección de datos de las Partes bajo los Términos. Se aplica a todas las actividades realizadas por Fintesk en relación con los Términos en las que Fintesk, su personal o un tercero que actúe en nombre de Fintesk entre en contacto con Datos Personales como Encargado del Tratamiento en nombre del Cliente.

1.4 El DPA se basa en las disposiciones de la Ley N° 21.719, sobre protección de los datos personales, y las definiciones contenidas en ella.

1.5 Si existe un conflicto entre los términos de los Términos y los de este DPA, prevalecerán las disposiciones de este DPA.

2. Definiciones

2.1 Todos los términos en mayúscula utilizados en el presente documento y no definidos de otro modo aquí, tendrán el significado atribuido a dicho término en los Términos.

2.2 “Responsable del Tratamiento” (Data Controller) significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del Procesamiento de Datos Personales.

2.3 “Encargado del Tratamiento” (Data Processor) significa una persona física o jurídica, autoridad pública, agencia u otro organismo que Procesa Datos Personales en nombre del Responsable del Tratamiento.

2.4 “Leyes de Protección de Datos” significa toda la legislación mundial aplicable relacionada con la protección de datos y la privacidad que se aplica a la Parte respectiva en el rol de Procesamiento de Datos Personales en cuestión bajo los Términos, en cada caso según sea enmendada.

2.5 “Interesado” (Data Subject) significa el individuo con el que se relacionan los Datos Personales.

2.6 “Instrucciones” significa las instrucciones escritas y documentadas emitidas por el Cliente a Fintesk, incluyendo mediante el uso de los Servicios, y dirigiendo a este a realizar una acción específica o general con respecto a los Datos Personales (incluyendo, entre otros, eliminar o poner a disposición).

2.7 “Datos Personales” significa cualquier información relacionada con un individuo identificado o identificable (Interesado) donde dicha información esté contenida dentro de los Datos del Cliente y sea reconocida como datos personales bajo las Leyes de Protección de Datos.

2.8 “Violación de Seguridad de Datos Personales” significa una violación de seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada de, o acceso a, Datos Personales transmitidos, almacenados o procesados de otro modo por Fintesk y/o sus Subencargados. No incluirá intentos o actividades fallidas que no comprometan la seguridad de los Datos Personales (pings, escaneos de puertos, ataques fallidos, etc.).

2.9 “Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales, abarcando la recopilación, registro, organización, almacenamiento, adaptación, recuperación, uso, divulgación, restricción o eliminación.

2.10 “Subencargado” (Sub-Processor) significa cualquier Encargado del Tratamiento contratado por Fintesk para ayudar a cumplir sus obligaciones con respecto a la prestación de los Servicios.

2.11 “Tercer País” significa cualquier país fuera de Chile que no proporcione protección adecuada reconocida.

3. Detalles del Procesamiento

3.1 Propósito del Procesamiento. Sujeto a la Sección 5.1, Fintesk Procesará Datos Personales solo para proporcionar y mantener los Servicios. Fintesk seguirá las Instrucciones razonables del Cliente que no entren en conflicto con el DPA o las leyes.

3.2 Naturaleza del Procesamiento. Fintesk es una herramienta CRM SaaS basada en la nube. Los Datos Personales estarán sujetos a almacenamiento y otro procesamiento necesario para mantener los Servicios y divulgación según los Términos o la ley.

3.3 Instrucciones del Responsable. Los Términos junto con el uso de los Servicios constituyen las Instrucciones completas y finales del Cliente. Instrucciones adicionales requieren acuerdo escrito previo.

3.4 Categorías de Interesados. Fintesk no tiene control sobre las categorías, pero usualmente incluyen: directores, empleados, pasantes, contratistas, solicitantes de empleo, clientes, proveedores y contactos comerciales del Cliente.

3.5 Categorías y Naturaleza de los Datos Personales. Generalmente incluirán: Nombre, dirección, email, teléfono, historial del cliente, direcciones IP, notas de texto libre y otros datos ingresados por el Cliente. Las Partes no anticipan el Procesamiento de Información Sensible.

4. Obligaciones del Cliente

4.1 Cumplimiento de las Leyes. El Cliente será responsable de cumplir con todos los requisitos bajo las Leyes de Protección de Datos en su uso de los Servicios y en sus Instrucciones a Fintesk. Fintesk no tiene obligación de evaluar los Datos del Cliente para identificar requisitos legales específicos.

4.2 Responsabilidades Específicas. El Cliente acepta que será el único responsable de:

• 4.2.1 La exactitud, calidad y legalidad de los Datos Personales.
• 4.2.2 Cumplir con los requisitos de transparencia y legalidad (notificaciones y consentimientos, incluido marketing).
• 4.2.3 Asegurar que tiene el derecho de transferir o proporcionar acceso a los Datos Personales a Fintesk.
• 4.2.4 Asegurar que las Instrucciones cumplen con las leyes aplicables.
• 4.2.5 Cumplir con las leyes aplicables a los correos electrónicos o contenido gestionado a través de los Servicios.

4.3 El Cliente informará a Fintesk sin demora indebida si no puede cumplir con sus responsabilidades.

5. Obligaciones de Fintesk

5.1 Alcance del Procesamiento. Fintesk se compromete a Procesar Datos Personales solo basándose en las Instrucciones documentadas.

5.2 Confidencialidad. Fintesk asegurará que las personas autorizadas se hayan comprometido a la confidencialidad.

5.3 Personal Calificado. Fintesk utilizará personal calificado con formación en protección de datos.

5.4 Instrucciones al Personal. Fintesk obligará a su personal a Procesar datos solo según los Términos e Instrucciones.

5.5 Notificación de Violación (Instrucciones). Fintesk notificará al Cliente si opina que una Instrucción viola las Leyes de Protección de Datos.

5.6 Notificación de Violación de Seguridad y Cooperación. Fintesk notificará al Cliente sin demora indebida (con un tiempo objetivo no mayor a 72 horas hábiles) tras tener conocimiento de una Violación de Seguridad de Datos Personales y asistirá al Cliente en sus obligaciones legales.

5.7 Terceros. Fintesk mantendrá la confidencialidad y no pondrá Datos Personales a disposición de terceros excepto según los Términos o la ley.

5.8 Solicitudes de los Interesados. Fintesk apoyará al Cliente implementando medidas técnicas y organizativas para cumplir con los derechos del Interesado. Si un Interesado contacta a Fintesk directamente, Fintesk le indicará que contacte al Responsable del Tratamiento.

5.9 Seguridad. Fintesk asistirá al Cliente en el cumplimiento de sus obligaciones.

5.10 Cooperación con Autoridades. Fintesk cooperará con las autoridades de control pertinentes.

5.11 Eliminación y Devolución. Al terminar los Servicios, Fintesk eliminará o devolverá los Datos Personales según las Instrucciones. Si el Cliente no da Instrucciones, Fintesk eliminará los datos así:

• Contenidos de Cuentas cerradas: ~180 días.
• Contenidos de Cuentas de Prueba Gratuita: ~60 días.
• Copias de seguridad: ~90 días.

5.12 Evaluación de Impacto. Fintesk proporcionará asistencia razonable con evaluaciones de impacto de protección de datos.

6. Subencargados

6.1 Autorización General. El Cliente otorga a Fintesk una autorización general para contratar Subencargados.

6.2 Subencargados Autorizados. Listados en www.pipedrive.com/subprocessors.

6.3 Notificación de Cambios. Fintesk notificará al Cliente antes del nombramiento de cualquier nuevo Subencargado vía correo electrónico. El Cliente puede objetar dentro de los diez (10) días naturales enviando un correo a privacidad@fintesk.com.

6.4 Objeción. Si el Cliente objeta, Fintesk recomendará cambios. Si no se puede resolver en 30 días, el Cliente puede terminar los Servicios afectados y recibir un reembolso prorrateado.

6.5 Condiciones para Contratar. Fintesk asegurará acuerdos con Subencargados que impongan obligaciones similares y no menos protectoras que este DPA, y asegurará un nivel adecuado de protección para transferencias a Terceros Países.

6.6 Responsabilidad. Fintesk será plenamente responsable ante el Cliente por las violaciones de este DPA por parte de los Subencargados.

7. Lugar de Procesamiento y Transferencias de Datos

7.1 Lugares de Procesamiento. El Cliente acepta que Fintesk puede procesar datos globalmente, incluyendo transferencias a filiales y Subencargados en sus jurisdicciones.

7.2 Cumplimiento. Cada Parte asegurará que las transferencias cumplan con las Leyes de Protección de Datos de Chile.

8. Medidas Técnicas y Organizativas

Fintesk implementará medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (de conformidad con la Ley N° 21.719), descritas en el Anexo B1.

9. Auditorías

Fintesk otorgará al Cliente derechos de acceso e información para verificar el cumplimiento, previa solicitud por escrito. El Cliente puede determinar el cumplimiento mediante auditoría en las instalaciones una vez al año, sujeto a confidencialidad y reembolso de costos a las tarifas de servicios profesionales de Fintesk (ver Anexo B1 de este DPA).

10. Responsabilidad

Las obligaciones o incumplimientos bajo este DPA estarán sujetos a las limitaciones de responsabilidad establecidas en los Términos.

11. Misceláneos

11.1 Ley Aplicable. La indicada en los Términos.
11.2 Cambios. Fintesk puede modificar este DPA para cumplir con leyes, órdenes regulatorias o nuevas prácticas. El uso continuo de los Servicios constituye la aceptación del Cliente.

Anexo B1 – Medidas Técnicas y Organizativas

Descripción de las medidas de seguridad implementadas por Fintesk:

1. Cifrado y Seudonimización

• Datos en reposo: Cifrado con AES-256.
• Datos en tránsito: Uso de HSTS vía TLS (HTTPS).

2. Confidencialidad, Integridad y Disponibilidad

• Gestión de Incidentes:
  • Función 24x7 para respuesta inmediata.
  • Procedimiento formal para eventos de seguridad y análisis post-mortem.
• Resiliencia:
  • Plan de continuidad del negocio y recuperación ante desastres.
  • Copias de seguridad (backups) almacenadas fuera del sitio y probadas.
• Redundancia:
  • Infraestructura escalable y redundante globalmente (IaaS).
  • Alta disponibilidad en todos los componentes.

3. Testing y Evaluación Regular

• Escaneos de vulnerabilidades anuales.
• Pruebas de penetración anuales realizadas internamente.

4. Identificación y Autorización

• Control de acceso (Just-in-Time, mínimo privilegio).
• Política de contraseñas fuertes.
• Gestión del ciclo de vida de identidad y expiración automática de sesiones.

5. Protección durante Transmisión

• Cifrado en tránsito, firewalls (WAF, cloud-native), IPS.
• Monitoreo de intentos de compromiso.

6. Protección durante Almacenamiento

• Detección de intrusiones en endpoints.
• Gestión de secretos (claves).
• Formación en seguridad para empleados.
• Actualizaciones de software y parches.
• Separación lógica de instancias de clientes.

7. Seguridad Física

• Instalaciones de AWS protegidas según sus protocolos de seguridad (ver aws.amazon.com/compliance).

8. Gestión de Configuración

• Automatización continua para despliegue.
• Pruebas de integración.
• Proceso para correcciones de emergencia críticas.

9. Gobernanza de TI y Seguridad

• Programa de gestión de riesgos de seguridad de la información y proveedores.
• Revisiones de seguridad desde el diseño.
• Filtros de email y ejercicios de phishing.
• Acciones disciplinarias internas.

10. Minimización y Retención

• Recopilación limitada a los fines del procesamiento.
• Eliminación/devolución de datos al finalizar servicios.
• Retención según política de privacidad.

11. Portabilidad y Borrado

• Funciones de autoservicio para exportar o eliminar Datos del Cliente.

12. Separación de Datos

• Separación de acceso por aplicación y usuario.
• Tablas normalizadas separadas por módulo.
• Interfaces diseñadas para propósitos específicos.

13. Inteligencia Artificial (IA/ML)

• Formación a equipos en uso seguro de IA.
• Revisión legal, de privacidad y seguridad de casos de uso de IA/ML.