Acuerdo de Procesamiento de Datos (DPA)

Versión 1.0 — Borrador inicial — Última actualización: 12 de junio de 2026

1. Partes y objeto

Este Acuerdo de Procesamiento de Datos (en adelante, el "DPA") complementa los Términos del Servicio celebrados entre:

• Responsable de Tratamiento: la empresa Cliente identificada en el cuadro de firma al final de este documento (en adelante, el "Cliente").
• Encargado del Tratamiento: cuoHRe, operado por Cristóbal Colón S.R.L., con domicilio en Argentina (en adelante, "cuoHRe" o el "Proveedor").

El objeto del DPA es regular el tratamiento de datos personales que cuoHRe realiza por cuenta del Cliente en la prestación del Servicio HR/Nómina contratado.

2. Definiciones

3. Roles y alcance

1. El Cliente actúa como Responsable de Tratamiento de los Datos Personales de sus empleados y otros Titulares que cargue en el Servicio.
2. cuoHRe actúa como Encargado de Tratamiento y procesa los Datos Personales únicamente según las instrucciones documentadas del Cliente, salvo obligación legal aplicable.
3. El alcance, categorías de Datos, Titulares y finalidades del Tratamiento se describen en el Anexo I.
4. cuoHRe no utilizará los Datos Personales del Cliente para sus propios fines comerciales, marketing o entrenamiento de modelos de IA, salvo consentimiento expreso por escrito.

4. Obligaciones de cuoHRe como Encargado

1. Tratar los Datos únicamente para prestar el Servicio y según las instrucciones del Cliente.
2. Asegurar que el personal autorizado a procesar Datos esté sujeto a obligaciones de confidencialidad (contratos laborales con cláusula NDA).
3. Implementar y mantener las medidas técnicas y organizativas descritas en el Anexo III.
4. Asistir al Cliente, en la medida razonable, en el cumplimiento de sus obligaciones de respuesta a Titulares (acceso, rectificación, supresión, portabilidad, oposición).
5. Notificar al Cliente cualquier Incidente de Seguridad dentro de las 72 horas de detectado, junto con la información disponible para que el Cliente cumpla con sus obligaciones de notificación a autoridades y Titulares.
6. A solicitud razonable del Cliente, suprimir o devolver los Datos al finalizar la relación, salvo obligaciones legales de conservación (ver cláusula 11).
7. Poner a disposición del Cliente la información necesaria para acreditar el cumplimiento de este DPA, incluidos certificaciones (SOC 2 / ISO 27001 cuando aplique) y reportes de auditoría interna.

5. Obligaciones del Cliente como Responsable

1. Garantizar que la recolección y carga de Datos Personales en el Servicio tiene una base legal válida (ejecución de contrato laboral, consentimiento, obligación legal, etc.).
2. Informar a los Titulares (empleados) sobre el Tratamiento que cuoHRe realizará por cuenta del Cliente, conforme las normas aplicables.
3. Atender en primera instancia las solicitudes de Titulares respecto a sus derechos.
4. No cargar en el Servicio categorías de Datos Personales fuera del alcance del Anexo I sin acuerdo previo escrito.
5. Mantener la confidencialidad de las credenciales de acceso al Servicio y notificar a cuoHRe cualquier uso no autorizado.

6. Subencargados

1. El Cliente autoriza a cuoHRe a contratar Subencargados para prestar el Servicio. La lista actual se encuentra en el Anexo II.
2. cuoHRe se obliga a vincular contractualmente a cada Subencargado con cláusulas de protección de datos sustancialmente equivalentes a las de este DPA.
3. cuoHRe notificará al Cliente con al menos 30 días de anticipación antes de añadir o sustituir un Subencargado relevante. El Cliente podrá oponerse por motivos razonables relacionados con protección de datos; en tal caso, las partes negociarán de buena fe una solución.

7. Aislamiento de datos por tenant

1. cuoHRe opera el Servicio en arquitectura multi-tenant: los Datos del Cliente se almacenan en la misma base de datos pero aislados lógicamente mediante un identificador único de empresa (company_id_tenant) que se aplica como filtro obligatorio en todas las consultas y operaciones.
2. Los controles de acceso basados en roles (RBAC) y el modelo de permisos granular impiden el acceso cruzado entre tenants.
3. Para clientes de tier Enterprise con suscripción al módulo de portal con dominio propio (subdominio <cliente>.cuohre.com), el routing en el frontend valida que el subdominio coincida con la empresa del usuario autenticado; en caso contrario se rechaza la sesión.
4. Bajo contrato específico, cuoHRe puede ofrecer alojamiento en base de datos dedicada por tenant (add-on Enterprise+), con cláusulas particulares anexas a este DPA.

8. Transferencias internacionales

1. La infraestructura del Servicio reside principalmente en EE.UU. (Render.com — Oregon). Esto implica una transferencia internacional de Datos Personales desde Argentina/UE/Brasil hacia EE.UU.
2. Para Datos provenientes de la UE, las partes incorporan por referencia las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión 2021/914), módulo procesador-procesador o controlador-procesador según corresponda.
3. Para Datos provenientes de Argentina, las partes consideran que EE.UU. no es país adecuado en los términos de la Disposición DNPDP 60-E/2016; el Cliente otorga su consentimiento expreso a la transferencia y cuoHRe aplica las garantías adicionales del Anexo III.
4. Bajo demanda contractual, cuoHRe puede ofrecer hospedaje regional (UE / LatAm) como add-on Enterprise+.

9. Derechos de los Titulares

cuoHRe pone a disposición del Cliente herramientas para que los Titulares puedan ejercer sus derechos a través del Cliente:

• Acceso: cada empleado puede consultar sus datos vía Mi Portal.
• Rectificación: el Cliente o el propio empleado (según permisos) puede corregir.
• Supresión / oposición: el Cliente puede solicitar el borrado de cuentas y datos, sujeto a obligaciones legales de conservación.
• Portabilidad: cuoHRe entrega los Datos en formato estructurado (CSV/JSON/Excel) a solicitud del Cliente, dentro de los 30 días.

10. Auditoría

1. cuoHRe pone a disposición del Cliente, anualmente o ante un Incidente de Seguridad material, la siguiente información para demostrar cumplimiento: política interna de seguridad, reporte SOC 2 (cuando esté disponible), resumen del último pen-test, listado actualizado de Subencargados.
2. El Cliente puede solicitar una auditoría in-situ una vez por año natural, con preaviso de 60 días, durante horario laboral y firmando NDA. Los costos razonables del auditor designado son a cargo del Cliente.
3. Si la auditoría revela incumplimientos materiales, cuoHRe asumirá las medidas correctivas y los costos asociados.

11. Terminación y supresión

1. Al término de la relación contractual, cuoHRe mantiene los Datos en backup activo por 90 días, durante los cuales el Cliente puede solicitar exportación.
2. Transcurridos los 90 días, los Datos son suprimidos permanentemente de los entornos productivos y backups, salvo:
   • Datos de facturación: 5 años (obligación fiscal Arg.).
   • Logs de auditoría agregados/anonimizados: hasta 7 años para defensa frente a reclamos.
3. A solicitud del Cliente, cuoHRe emite un certificado de supresión.

12. Responsabilidad

1. La responsabilidad de cada parte por incumplimientos de este DPA se rige por los Términos del Servicio.
2. Cuando una autoridad de control aplique una sanción a una de las partes y el incumplimiento sea atribuible exclusivamente a la otra, la parte responsable asumirá la sanción y costos de defensa.

13. Ley aplicable y jurisdicción

Este DPA se rige por la Ley 25.326 de la República Argentina, sin perjuicio de la aplicación obligatoria del GDPR para Datos de Titulares en la UE y la LGPD para Brasil. Las partes se someten a la jurisdicción ordinaria de la Ciudad de Buenos Aires, salvo cuando la legislación local imponga otra.

14. Vigencia

Este DPA entra en vigor con la aceptación electrónica del Cliente o la firma de este documento, y se mantiene mientras dure la prestación del Servicio. Las obligaciones que por su naturaleza sobreviven la terminación (confidencialidad, supresión, auditoría diferida) continúan vigentes.

Anexo I — Alcance del Tratamiento

Anexo II — Lista de Subencargados

Versión actualizada disponible en cualquier momento a solicitud del Cliente.

Anexo III — Medidas técnicas y organizativas

A. Controles técnicos

• Cifrado en tránsito: TLS 1.2+ (HTTPS obligatorio).
• Cifrado at-rest del almacenamiento (Render.com default + Cloudflare).
• Hashing de contraseñas con bcrypt (cost factor 10+).
• Firma digital de documentos con RSA-2048 + AES-256-GCM para llaves privadas.
• Aislamiento lógico por tenant vía company_id_tenant obligatorio en todas las queries.
• RBAC granular: cada usuario tiene permisos por recurso × acción; auditoría de cada operación de escritura.
• Audit log centralizado (admin_audit_log): retención 1 año standard / 3 años Enterprise.
• Backups automáticos diarios con retención de 30 días; PITR (point-in-time recovery) disponible en infra cloud.
• Validación de entrada y prepared statements para prevenir SQL injection.
• Headers de seguridad (CSP, HSTS, X-Frame-Options) configurados.
• Sanitización de inputs en audit log (passwords, tokens, claves privadas se reemplazan por [REDACTED]).

B. Controles organizativos

• Acceso a infraestructura productiva limitado a personal autorizado con MFA.
• Política interna de gestión de incidentes (IR plan) con runbook documentado.
• Procedimiento de notificación de brecha en 72 horas.
• Revisión trimestral de accesos.
• Capacitación periódica de personal en privacidad y seguridad.
• Acuerdos de confidencialidad (NDA) con todo el personal.

C. Compromisos en proceso

• Obtención de SOC 2 Type I (fecha estimada: 2026 H2).
• Obtención de SOC 2 Type II (fecha estimada: 2027 H1).
• Pen-test anual externo (a partir de la cert SOC 2).