Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 27 de abril de 2026

Este DPA aplica cuando el Cliente actúa como responsable del tratamiento respecto de los datos personales de sus propios usuarios finales que carga al Servicio Vertix. Vertix actúa como encargado del tratamiento.

1. Objeto

Vertix procesa datos personales únicamente conforme a las instrucciones del Cliente y para cumplir con la prestación del Servicio acordada en los Términos.

2. Alcance del tratamiento

  • Naturaleza: almacenamiento, lectura, modificación, exportación, backup encriptado.
  • Finalidad: provisión del Servicio (CRM, agenda, inventario, facturación, IA opcional).
  • Duración: mientras esté vigente el contrato + 30 días post-cancelación (para export) + 12 meses archivado + eliminación permanente.
  • Categorías de datos: nombres, contactos, citas, documentos subidos por el Cliente. Datos sensibles (clínicos, financieros) si el Cliente los carga al schema de tenant.
  • Categorías de titulares: clientes finales, pacientes, empleados, proveedores del Cliente.

3. Obligaciones de Vertix (encargado)

  • Procesar datos solo conforme instrucciones documentadas del Cliente.
  • Garantizar confidencialidad del personal con acceso (NDAs en force).
  • Implementar medidas técnicas y organizativas (TLS, encryption at rest, audit log, aislamiento schema-per-tenant, 2FA, backup encriptado).
  • Asistir al Cliente en el cumplimiento de derechos del titular (acceso, rectificación, cancelación, etc).
  • Notificar al Cliente sobre brechas de seguridad sin demora indebida (objetivo <72h desde descubrimiento).
  • Devolver o eliminar datos al final del contrato según elección del Cliente. Default: archivado 12m + eliminación.
  • Permitir auditorías razonables del Cliente (pre-aviso 30 días).

4. Subprocessors

Lista actual de subprocessors en Privacy §4. Vertix notificará al Cliente con 30 días de antelación cualquier cambio. Cliente puede objetar por causa razonable.

5. Transferencias internacionales

Datos almacenados primariamente en Hetzner DE / OVH FR (UE). Transferencias a USA (Anthropic, Resend, Cloudflare) bajo Standard Contractual Clauses + decisiones de adecuación según corresponda.

6. Medidas de seguridad

  • TLS 1.3 en tránsito.
  • Encryption at rest (LUKS + AES-256-CBC backups).
  • Aislamiento schema-per-tenant en PostgreSQL 18.
  • Audit log inmutable de mutaciones (retención 7 años).
  • Backups daily encriptados con retención 30 días.
  • SSH solo Tailscale + 2FA TOTP obligatorio operadores.
  • Pruebas de seguridad in-house anuales.

7. Brecha de seguridad

Vertix notificará al Cliente vía email + dashboard dentro de 72h tras descubrir cualquier brecha que afecte sus datos. Notificación incluirá: naturaleza de la brecha, datos comprometidos, medidas mitigantes, recomendaciones.

8. Derechos del titular

Vertix proporciona herramientas técnicas para que el Cliente atienda solicitudes de:

  • Acceso (export JSON/CSV de datos relacionados al titular).
  • Rectificación (UI edición o API).
  • Cancelación (eliminación + soft-delete con retención auditoría).
  • Oposición / portabilidad (exports + APIs).

Si Vertix recibe solicitud directa del titular, redirigirá al Cliente como responsable.

9. Devolución / eliminación post-contrato

  • 30 días: data exportable por el Cliente.
  • +12 meses: archivada (recuperable bajo solicitud).
  • Después: eliminación permanente. Backups con esa data expiran en 30 días siguientes.

10. Conflicto con Términos

En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalece para materia de protección de datos personales.

11. Contacto

privacy@vertix.lat · Santo Domingo, RD.