Art. 01 Definiciones y Alcance
- 1.1"Datos Personales": toda información relativa a una persona física identificada o identificable, tratada en el contexto del uso del Servicio por el Cliente. En MateGuard, los Datos Personales tratados son principalmente datos de cuenta y contacto del equipo del Cliente (nombre, email, organización) necesarios para autenticación y gestión de la cuenta.
- 1.2Minimización por diseño: MateGuard opera sobre metadatos de reglas de negocio (definiciones de campañas, supuestos económicos, esquemas de datos), no sobre datos personales de usuarios finales del Cliente. La Plataforma no requiere ni solicita padrones, listas de clientes ni PII transaccional para funcionar.
- 1.3"Tratamiento": cualquier operación realizada sobre Datos Personales (recolección, almacenamiento, uso, transmisión, análisis y eliminación).
- 1.4"Sub-procesador": tercero contratado por Mate4B Corp que trata Datos Personales en el marco de la prestación del Servicio.
- 1.5Este DPA se aplica a todo tratamiento de Datos Personales que Mate4B Corp realice en nombre del Cliente en el contexto de MateGuard, y forma parte integral del ToS suscrito entre las partes.
Art. 02 Instrucciones de Tratamiento
- 2.1Mate4B Corp tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, tal como se establecen en el ToS y en las configuraciones que el Cliente realiza en la Plataforma.
- 2.2Si Mate4B Corp considera que una instrucción del Cliente viola la normativa de protección de datos aplicable, lo notificará de inmediato al Cliente por escrito antes de ejecutarla.
- 2.3Si el Cliente decide, bajo su responsabilidad, cargar datos personales de terceros en la Plataforma (pese a la indicación de minimización del Art. 1.2 del DPA y del Art. 5.3 del ToS), dichas instrucciones de carga se consideran parte de las instrucciones documentadas del Cliente.
Art. 03 Categorías de Datos y Finalidades
- 3.1Datos de cuenta y contacto: nombre, apellido, email corporativo, organización y sitio web del equipo del Cliente. Finalidad: registro, autenticación, gestión de la cuenta, facturación y soporte.
- 3.2Contenido cargado por el Cliente: definiciones de reglas y campañas, supuestos económicos, esquemas de datos (nombres de tablas y columnas), y URLs públicas de landings de campaña. Finalidad: ejecución del análisis adversarial y generación de parches y SQL de monitoreo. Este contenido no debe incluir datos personales de usuarios finales.
- 3.3Datos de uso del Servicio: registros de análisis, actividad de la cuenta y telemetría técnica. Finalidad: prestación, seguridad y mejora del Servicio.
Art. 04 Medidas Técnicas y Organizativas de Seguridad
- 4.1Aislamiento por tenant (RLS): Row-Level Security a nivel de base de datos PostgreSQL. Ningún dato de un tenant es accesible desde otro, a nivel de base de datos y no sólo de aplicación.
- 4.2Cifrado: TLS 1.2+ para todas las comunicaciones en red y AES-256 para datos almacenados en base de datos y backups.
- 4.3Minimización de datos: la Plataforma está diseñada para no requerir datos personales de usuarios finales, reduciendo la superficie de exposición de datos sensibles.
- 4.4Logs de auditoría: registro de la actividad de cuenta y de cada análisis, exportable por el Cliente.
- 4.5Control de acceso privilegiado: acceso a datos de producción limitado al personal estrictamente necesario, bajo política de mínimo privilegio y autenticación multifactor.
- 4.6Mate4B Corp revisará y actualizará estas medidas periódicamente para mantener un nivel de seguridad apropiado al riesgo del tratamiento.
Art. 05 Sub-procesadores
- 5.1Mate4B Corp puede subcontratar parte del tratamiento a los sub-procesadores listados a continuación, garantizando que cada uno ofrece garantías suficientes de seguridad y cumplimiento normativo.
| Sub-procesador | Servicio provisto | Ubicación de datos | Cumplimiento |
|---|---|---|---|
| AWS (Amazon Web Services) | Infraestructura cloud: servidores, base de datos, almacenamiento y backups | us-east-1 (Norte de Virginia, USA) | ISO 27001 · SOC 2 |
| Anthropic | Modelos de lenguaje (LLM) usados por el motor adversarial para generar y juzgar escenarios | Estados Unidos | Política del proveedor |
| Proveedor de email transaccional | Envío de emails de verificación, notificaciones y alertas de la cuenta | Estados Unidos / UE | Política del proveedor |
| Procesador de pagos | Facturación y cobro de suscripciones (datos de facturación del Cliente) | Estados Unidos | PCI-DSS |
- 5.2Mate4B Corp notificará al Cliente con al menos 30 días de anticipación ante cualquier cambio en la lista de sub-procesadores. El Cliente podrá objetar un nuevo sub-procesador dentro de los 14 días de recibida la notificación, alegando razones fundadas de incumplimiento normativo.
- 5.3Si el Cliente objeta fundadamente un sub-procesador y Mate4B Corp no puede prescindir de él, cualquiera de las partes puede terminar el contrato sin penalidad, con un preaviso de 30 días.
Art. 06 Transferencia Internacional de Datos
- 6.1Mate4B Corp está constituida en Florida, USA, y los Datos se alojan en la región AWS us-east-1 (Estados Unidos). El tratamiento de datos de titulares latinoamericanos implica, por tanto, una transferencia internacional de datos.
| Jurisdicción | Marco | Salvaguarda aplicable |
|---|---|---|
| 🇦🇷 Argentina | Ley 25.326 | Transferencia bajo cláusulas contractuales. Este DPA actúa como garantía adecuada. |
| 🇧🇷 Brasil | LGPD | Transferencia amparada en cláusulas contractuais padrão (Art. 33, LGPD). |
| 🇨🇴 Colombia | Ley 1581 | Transferencia bajo garantías contractuales equivalentes (Dec. 1377/2013). |
| 🇲🇽 México | LFPDPPP | Transferencia amparada en el Aviso de Privacidad del Cliente y este DPA. |
| 🇪🇺 UE / GDPR | GDPR | Transferencia bajo Cláusulas Contractuales Tipo (SCCs) cuando resulte aplicable. |
- 6.2El Cliente es responsable de incluir en su Aviso de Privacidad la información relativa a la transferencia internacional de datos a Mate4B Corp, conforme a los requisitos de su jurisdicción.
- 6.3Mate4B Corp cooperará con el Cliente para proveer la documentación necesaria que éste deba presentar ante su autoridad de control de datos.
Art. 07 Derechos de los Titulares de los Datos
- 7.1El Cliente es el responsable de gestionar el ejercicio de los derechos de los titulares (acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento) conforme a la normativa aplicable en su jurisdicción.
- 7.2Mate4B Corp asistirá al Cliente en el cumplimiento de estos derechos en la medida técnicamente posible y razonablemente necesaria, dentro de un plazo máximo de 10 días hábiles desde la solicitud del Cliente.
- 7.3La asistencia incluye: (a) localización de los datos del titular en el sistema, (b) exportación o anonimización de dichos datos a solicitud del Cliente, y (c) eliminación de los datos vinculados a un titular específico.
Art. 08 Gestión de Incidentes de Seguridad
Detección
Mate4B Corp detecta o recibe reporte del incidente.
Contención
Se activa el protocolo de contención y se evalúa el alcance.
Notificación
Notificación escrita al Cliente con la información disponible.
Reporte completo
Causa raíz, alcance, medidas adoptadas y plan de mejora.
- 8.1La notificación dentro de las 72 horas incluirá: (a) naturaleza del incidente, (b) categorías y volumen aproximado de datos afectados, (c) contacto del responsable de seguridad de Mate4B Corp, (d) consecuencias probables, y (e) medidas adoptadas o propuestas.
- 8.2La obligación de notificar a las autoridades de control y a los titulares afectados corresponde al Cliente como Responsable del Tratamiento. Mate4B Corp brindará toda la asistencia necesaria.
- 8.3En caso de acceso cross-tenant por falla de la arquitectura de Mate4B Corp, el Cliente afectado tiene derecho a terminar el contrato sin penalidad y a recibir la exportación completa de sus datos.
Art. 09 Eliminación y Devolución de Datos
- 9.1Al finalizar la relación contractual, Mate4B Corp pondrá a disposición del Cliente la exportación completa de sus Datos en formato estándar (JSON/CSV) dentro de los 30 días siguientes a la terminación.
- 9.2Transcurrido el plazo de exportación, Mate4B Corp procederá a la eliminación segura e irreversible de los Datos del Cliente de sus sistemas de producción, backup y logs, salvo obligación legal de conservación.
- 9.3Mate4B Corp emitirá, a solicitud del Cliente, un certificado de eliminación dentro de los 15 días hábiles siguientes a la eliminación efectiva.
Art. 10 Auditorías y Derecho de Inspección
- 10.1El Cliente puede verificar el cumplimiento de este DPA mediante: (a) revisión de la documentación de seguridad y arquitectura provista por Mate4B Corp; (b) solicitud de un informe de auditoría de tercero independiente (SOC 2 Type II o equivalente) cuando esté disponible; y (c) auditoría in situ con preaviso de 30 días, máximo una vez por año, a cargo del Cliente.
- 10.2Las auditorías in situ no podrán interferir con las operaciones de Mate4B Corp ni con el Servicio prestado a otros clientes, y quedan limitadas a los sistemas y procesos relacionados con el tratamiento de los Datos del Cliente.
Art. 11 Ley Aplicable, Vigencia e Integración
- 11.1Este DPA se rige por las leyes del Estado de Florida, USA, y por los marcos de protección de datos aplicables en la jurisdicción del Cliente. En caso de conflicto entre marcos, prevalecerá el que otorgue mayor protección al titular de los datos.
- 11.2Este DPA tiene la misma vigencia que el ToS al que se adjunta. Sus obligaciones de confidencialidad y eliminación de datos subsistirán tras la terminación del ToS hasta su cumplimiento efectivo.
- 11.3En caso de conflicto entre el presente DPA y el ToS, prevalecerán las disposiciones del DPA en todo lo relativo al tratamiento de datos personales.
Adopción de este acuerdo
Este DPA forma parte integral de los Términos y Condiciones del Servicio de MateGuard. Al aceptar el ToS —marcando la casilla de aceptación durante el registro o utilizando el Servicio— el Cliente acepta automáticamente el presente DPA en su versión vigente.
Para el ejercicio de derechos de titulares, reportes de incidentes o consultas de protección de datos: [email protected].