Saltar al contenido principal
Anexo C · Términos de Serviciov1.0

Acuerdo de Tratamiento de Datos (DPA)

Anexo contractual que regula el tratamiento de datos personales entre SynaptiX (encargado) y el cliente (responsable). Cumple los requisitos del GDPR Art. 28 y la LFPDPPP Art. 50-51.

Actualizado: 22 de abril de 2026Lectura: ~10 minAplica: México (LFPDPPP) · UE (GDPR Art. 28) · SCCs 2021/914
Tabla de contenidos

El presente Acuerdo de Tratamiento de Datos (el "DPA") forma parte integrante del Término de Servicio SaaS celebrado entre SynaptiX Cognitive S. de R.L. de C.V. (el "Encargado") y el Cliente (el "Responsable") y regula el tratamiento por cuenta del Responsable de datos personales de sus Usuarios Finales.

El DPA cumple con el Reglamento de la LFPDPPP (artículos 50 y 51); con el artículo 28 del Reglamento (UE) 2016/679 (GDPR) cuando aplique; con CCPA/CPRA "service provider" obligations; y con Ley Federal LGPD de Brasil cuando corresponda.

1. Definiciones

Datos Personales
Cualquier información concerniente a una persona física identificada o identificable (Usuarios Finales del Cliente) que el Encargado trate por cuenta del Responsable.
Titular / Interesado / Usuario Final
La persona física a la que pertenecen los Datos Personales.
Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales.
Sub-encargado
Tercero contratado por el Encargado para tratar Datos Personales por cuenta del Responsable.
Incidente de Seguridad
Pérdida, acceso no autorizado, destrucción, alteración, comunicación o cualquier tratamiento indebido de Datos Personales.
Instrucciones Documentadas
Las establecidas en (i) el Término de Servicio; (ii) este DPA; (iii) las funcionalidades del Servicio; (iv) solicitudes escritas razonables del Responsable.

2. Objeto y naturaleza del tratamiento

2.1 Objeto. El Encargado tratará Datos Personales por cuenta y en nombre del Responsable, únicamente en la medida necesaria para prestar el Servicio contratado.

2.2 Naturaleza del tratamiento. Operaciones automatizadas y manuales de recolección, registro, estructuración, conservación, consulta, uso, comunicación por transmisión (incluidas transferencias internacionales a Sub-encargados), cotejo, interconexión, limitación, supresión o destrucción. En particular, el Servicio implica procesamiento por modelos de lenguaje (LLMs) y generación de embeddings con fines de recuperación aumentada (RAG).

2.3 Finalidad. Prestar el Servicio contratado (AsistenteIA, AgendaIA, NotificacionesIA Pro, SmartSell, servicios profesionales) y cumplir obligaciones legales asociadas.

2.4 Duración. Durante toda la vigencia del Término de Servicio y hasta la eliminación o devolución de los Datos Personales conforme a la sección 12.

2.5 Categorías de Titulares. Usuarios Finales del Responsable, tales como clientes, pacientes, alumnos, consumidores, prospectos, contactos, empleados o cualquier otra persona cuyos datos el Responsable introduzca en el Servicio.

2.6 Categorías de Datos Personales.

  • Datos de identificación: nombre, alias, identificadores públicos.
  • Datos de contacto: teléfono (WhatsApp, SMS), correo electrónico, dirección postal.
  • Contenido de comunicaciones: mensajes, preguntas, respuestas, adjuntos.
  • Datos transaccionales: reservas, pedidos, pagos tokenizados.
  • Datos técnicos: IP, dispositivo, logs de interacción.
  • Datos sensibles (solo si el Responsable los introduce bajo su responsabilidad y consentimiento de los Titulares): salud, creencias, orientación, biométricos.

3. Responsabilidades del Responsable

El Responsable declara y garantiza que:

  • Cuenta con bases legítimas (consentimiento, contrato, obligación legal, interés legítimo u otra) para tratar los Datos Personales y comunicarlos al Encargado.
  • Ha informado a los Titulares mediante aviso de privacidad conforme a la LFPDPPP 2025 (o GDPR/CCPA cuando aplique) sobre el tratamiento por el Encargado y la transferencia a Sub-encargados.
  • Atiende directamente los derechos ARCO y demás derechos de los Titulares; el Encargado asistirá conforme a la sección 9.
  • Configurará el Servicio conforme a sus propios requisitos de cumplimiento, incluidos retención, anonimización y nivel de acceso.
  • No introducirá en el Servicio datos innecesarios, excesivos o que no disponga de autorización para tratar.

4. Instrucciones y finalidades autorizadas

El Encargado tratará los Datos Personales únicamente siguiendo las Instrucciones Documentadas del Responsable. El Encargado notificará al Responsable cuando considere que una instrucción infringe la legislación aplicable y podrá suspender (sin responsabilidad) el tratamiento asociado hasta que la instrucción sea corregida o confirmada.

El Encargado no tratará los Datos Personales para fines propios distintos de los autorizados. No usará los Datos Personales para entrenar o afinar modelos foundation de IA de uso general.

5. Medidas de seguridad

El Encargado implementará y mantendrá medidas técnicas, administrativas y físicas apropiadas para proteger los Datos Personales, considerando el estado de la técnica, los costos de aplicación y la naturaleza, alcance y fines del tratamiento, así como los riesgos para los derechos de los Titulares:

  • Cifrado: AES-256 en reposo para datos sensibles y credenciales; TLS 1.3 en tránsito para todas las comunicaciones.
  • Control de acceso: RBAC con principio de mínimo privilegio; MFA obligatorio para personal.
  • Segregación: aislamiento lógico de tenants; separación de ambientes productivo/staging/desarrollo.
  • Trazabilidad: registros de auditoría inmutables de accesos y operaciones administrativas, retenidos 12 meses mínimo.
  • Vulnerabilidades: parcheo periódico, escaneos automatizados, threat modeling trimestral, pentest anual (desde Año 2 de operación).
  • Continuidad: respaldos automáticos cifrados; RTO ≤ 24h / RPO ≤ 4h para tier Enterprise.
  • Gestión de secretos: rotación ≥ cada 90 días en producción.
  • Dispositivos: disk encryption obligatorio en equipos corporativos; MDM en dispositivos móviles con acceso.
  • Incident response: plan documentado con roles, canales y escalamientos.

El detalle completo se encuentra en el Anexo F — Política de Seguridad.

6. Personal autorizado y confidencialidad

Solo personal autorizado por el Encargado, que tenga necesidad legítima de conocer (need-to-know) y haya firmado acuerdos de confidencialidad vinculantes, tendrá acceso a Datos Personales. El Encargado capacita anualmente a su personal en protección de datos y seguridad de la información.

7. Sub-encargados

7.1 Autorización general. El Responsable autoriza al Encargado a contratar a los Sub-encargados listados en el Anexo E — Lista de Sub-encargados y en la sección 6 del Aviso de Privacidad Integral (incluyendo Anthropic, OpenAI, Pinecone, MongoDB Atlas, Railway, AWS, Cloudflare, Meta WhatsApp Business, Stripe/MercadoPago).

7.2 Nuevos Sub-encargados. El Encargado notificará al Responsable con al menos 30 días de antelación cualquier cambio (alta, baja o sustitución) en la lista de Sub-encargados. El Responsable podrá oponerse por motivos razonables y documentados; en tal caso, las Partes buscarán de buena fe una solución; si no es posible, cualquiera de las Partes podrá terminar el contrato sin penalidad.

7.3 Obligaciones. El Encargado impondrá a cada Sub-encargado obligaciones equivalentes a las del presente DPA mediante contrato vinculante. El Encargado responderá ante el Responsable por los incumplimientos de sus Sub-encargados en los mismos términos que si fueran actos propios.

8. Transferencias internacionales de datos

8.1 Transferencias a Sub-encargados. El Responsable autoriza las transferencias necesarias a Sub-encargados ubicados fuera de México conforme a la lista del Anexo E, siempre que existan garantías adecuadas.

8.2 Transferencias desde la UE. Cuando el Responsable esté establecido en la UE/EEE o los Datos Personales se refieran a Titulares de la UE/EEE, las transferencias a países sin decisión de adecuación se amparan en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (Decisión 2021/914), módulo aplicable (Controller-to- Processor o Processor-to-Processor), incorporadas por referencia. Las Partes acuerdan la Opción 2 del punto 7 (cláusula "docking") y las cláusulas opcionales cuando apliquen.

8.3 Evaluación de Impacto de Transferencia (TIA). El Encargado proporcionará al Responsable, a petición razonable, la información necesaria para realizar una Evaluación de Impacto de Transferencia conforme a la jurisprudencia Schrems II.

8.4 Transferencias desde México. Conforme al Art. 35 LFPDPPP, el Responsable ha incluido en su aviso de privacidad la cláusula de aceptación o rechazo de transferencias internacionales.

9. Asistencia al Responsable

El Encargado asistirá al Responsable, tomando en cuenta la naturaleza del tratamiento y la información disponible, para:

  • Atender solicitudes ARCO y equivalentes en la UE (GDPR Art. 15-22) y California (CCPA). Cuando el Encargado reciba directamente una solicitud del Titular, la remitirá al Responsable sin contestarla él mismo, salvo instrucción escrita del Responsable.
  • Responder investigaciones regulatorias y auditorías de autoridad competente.
  • Realizar Evaluaciones de Impacto en la Protección de Datos (DPIA) cuando el Responsable lo requiera.
  • Consultar previamente a la autoridad de control cuando proceda.

La asistencia razonable se proporciona sin costo. Solicitudes recurrentes, excesivas o manifiestamente infundadas podrán generar una tarifa razonable previa notificación.

10. Notificación de Incidentes de Seguridad

El Encargado notificará al Responsable sin demora indebida y, en cualquier caso, dentro de las 72 horas desde que tenga conocimiento de un Incidente de Seguridad que involucre Datos Personales tratados bajo este DPA. La notificación incluirá:

  • Descripción de la naturaleza del Incidente.
  • Categorías y número aproximado de Titulares y registros afectados.
  • Datos de contacto para más información.
  • Medidas adoptadas o propuestas para remediar y mitigar.
  • Consecuencias probables y recomendaciones para el Responsable.

El Responsable es quien, como regla general, notifica al Titular y a la autoridad de control, salvo pacto en contrario. El Encargado colaborará activamente para facilitar dichas notificaciones dentro de los plazos legales aplicables (72h a la autoridad UE/LATAM; "inmediato" en México; conforme a cada jurisdicción).

11. Auditoría

11.1 Información e informes. A solicitud razonable, el Encargado pondrá a disposición del Responsable información necesaria para demostrar el cumplimiento del DPA, incluyendo (cuando existan) reportes SOC 2 Type II, ISO 27001 u otros similares.

11.2 Derecho de auditoría. El Responsable o un auditor independiente designado por él (sujeto a NDA razonable) podrá realizar auditorías documentales y, en casos justificados, in situ, con preaviso de 30 días, durante horario laboral, sin interferir con la operación, y no más de una vez cada 12 meses (salvo Incidente o requerimiento de autoridad).

11.3 Costos. Cada Parte asume sus propios costos, salvo que la auditoría revele incumplimientos materiales del Encargado, en cuyo caso el Encargado asumirá los costos razonables del Responsable.

12. Terminación, devolución y eliminación

A la terminación del Término de Servicio por cualquier causa:

  • Ventana de exportación: durante 30 días naturales posteriores a la terminación, el Encargado mantendrá los Datos Personales accesibles para que el Responsable pueda exportarlos en formatos estructurados (JSON, CSV, SQL dump).
  • Devolución. A solicitud escrita del Responsable, el Encargado entregará los Datos Personales en el formato acordado antes de su eliminación.
  • Eliminación. Transcurrido el plazo de 30 días, el Encargado procederá a la eliminación lógica de los Datos Personales en sistemas productivos. Los respaldos se purgan definitivamente a los 90 días siguientes, conforme a los ciclos de rotación de backups.
  • Retención legal. El Encargado podrá conservar datos estrictamente mínimos cuando así lo requiera la legislación aplicable (por ejemplo, obligaciones fiscales, contables o de retención NOM-151), durante el tiempo legalmente exigido, aplicándoles las medidas de seguridad previstas en este DPA.

13. Responsabilidad e indemnización

La responsabilidad del Encargado bajo este DPA se rige por las cláusulas de limitación de responsabilidad del Término de Servicio, sin perjuicio de las responsabilidades administrativas, regulatorias y frente a Titulares previstas por la legislación imperativa aplicable.

14. Disposiciones especiales por jurisdicción

14.1 Unión Europea / Reino Unido (GDPR y UK GDPR)

Para Responsables en la UE o Reino Unido, este DPA incorpora por referencia el artículo 28 del GDPR. Las transferencias fuera del EEE se amparan en SCCs (Decisión 2021/914). Para transferencias a Reino Unido tras Brexit, aplica el International Data Transfer Agreement (IDTA) o el UK Addendum a las SCCs.

14.2 California, USA (CCPA / CPRA)

El Encargado es un "service provider" conforme al CCPA. No venderá, compartirá ni retendrá información personal para fines distintos a los previstos en el Término de Servicio. No combinará datos recibidos del Responsable con datos de terceros, salvo autorización expresa.

14.3 Brasil (LGPD)

El Encargado actúa como operador conforme al artículo 39 LGPD. Cumplirá con las instrucciones del controlador y adoptará medidas de seguridad conforme al artículo 46 LGPD.

14.4 Colombia (Ley 1581) y Argentina (Ley 25.326)

El Encargado se obliga a cumplir las disposiciones aplicables de dichas leyes en la medida necesaria cuando el Responsable o los Titulares tengan residencia en dichos países.

15. Modificaciones

Este DPA podrá ser modificado por el Encargado cuando lo requieran cambios normativos, decisiones de autoridades de protección de datos o actualización de Sub-encargados. Los cambios sustanciales se notificarán con 30 días de antelación, permitiendo al Responsable oponerse y terminar sin penalidad si los cambios le son materialmente perjudiciales.

16. Prelación

En caso de conflicto entre el Término de Servicio y este DPA en materia de tratamiento de Datos Personales, prevalece el DPA. En materia comercial prevalece el Término de Servicio.

17. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de los Estados Unidos Mexicanos. Para Responsables con establecimiento en la UE/EEE, en lo relativo a transferencias internacionales, prevalecerán las disposiciones imperativas del GDPR y las SCCs aplicables. Controversias: tribunales competentes de Cuernavaca, Morelos (o arbitraje CANACO/CCI conforme al Término de Servicio).

18. Contacto

Versión 1.0 — 22 de abril de 2026. Este DPA es el Anexo C del Término de Servicio SaaS y cumple con Reglamento LFPDPPP Art. 50-51, GDPR Art. 28 y estándares equivalentes en LATAM y USA.

¿Dudas sobre este documento?

Nuestro equipo legal responde en 2 días hábiles. Si tu solicitud implica derechos ARCO, usamos privacidad@synaptixcognitive.com; para todo lo demás, legal@synaptixcognitive.com.

Documentos relacionados

PrivacidadAviso de Privacidad IntegralPrivacidad simplificadaAviso Simplificado (Art. 16)CookiesPolítica de CookiesTérminosTérminos del SitioTérminos SaaSTérminos del Servicio SaaSDPAAcuerdo de Procesamiento de DatosAUPPolítica de Uso AceptableGarantíaGarantía de Satisfacción 60 díasAccesibilidadDeclaración de Accesibilidad

Tu privacidad importa

Usamos cookies necesarias para operar el sitio y, con tu consentimiento, cookies opcionales para mejorar tu experiencia y entender cómo se usa. Ver Política de Cookies

Aviso de PrivacidadPolítica de CookiesTérminos del Sitio