Acuerdo de Procesamiento de Datos

• Cliente: persona natural o jurídica que contrata SurGira. Actúa como Responsable del Tratamiento.
• SurGira: SurGira SpA — RUT 78.395.266-1. Actúa como Encargado del Tratamiento.
• Datos Personales: cualquier información relativa a una persona natural identificada o identificable, según Ley 19.628 y Ley 21.719.
• Titular: persona natural a la que pertenecen los Datos Personales (típicamente clientes finales del Cliente).
• Subencargado: tercero contratado por SurGira que accede a Datos Personales (infraestructura, IA, correo).
• Incidente de Seguridad: evento que compromete confidencialidad, integridad o disponibilidad de los Datos Personales.

SurGira trata Datos Personales por cuenta y según las instrucciones del Cliente, únicamente para:

• Operar la plataforma (recibir mensajes, ejecutar bot, derivar a agentes).
• Almacenar historial de conversaciones y metadatos operativos.
• Ejecutar automatizaciones configuradas por el Cliente.
• Generar métricas agregadas y alertas operativas.
• Prestar servicios complementarios contratados.

El DPA está vigente mientras exista relación contractual. Obligaciones de confidencialidad y destrucción/devolución sobreviven a la terminación.

Categorías de Titulares: clientes finales del Cliente + personal interno del Cliente (en lo que respecta a su uso del panel).

Categorías de Datos: identificación básica, datos de contacto y contexto comercial, contenido de conversaciones, datos operativos, datos de agenda/pedidos si aplica (detalle en Política de Tratamiento de Datos §2).

Datos sensibles: SurGira no solicita ni procesa datos sensibles por defecto. Si el rubro del Cliente los implica (salud), el Cliente es responsable de tener consentimiento específico y notificar a SurGira para medidas reforzadas.

• Instrucciones documentadas: SurGira trata datos únicamente según instrucciones del Cliente (propuesta aceptada, configuración en panel, instrucciones escritas, Condiciones + DPA).
• Confidencialidad: personal autorizado sujeto a obligación de confidencialidad (contrato laboral o NDA con subencargados).
• Seguridad: medidas técnicas y organizativas apropiadas (Cláusula 7).
• Subencargados: contratación bajo condiciones de Cláusula 5.
• Asistencia al Responsable: soporte en solicitudes de derechos ARCOP, evaluaciones de impacto, consultas a autoridad, notificación de incidentes.
• Fin del tratamiento: según Cláusula 11.
• Disponibilidad para auditoría: según Cláusula 10.

El Cliente autoriza a SurGira a contratar Subencargados, siempre que se les imponga obligaciones equivalentes a este DPA, SurGira responda por ellos, y la lista esté actualizada en Anexo II.

Cambios relevantes se notifican con al menos 30 días de anticipación (salvo urgencia). El Cliente puede objetar por escrito dentro de ese plazo por razones fundadas.

Lista vigente en Anexo II (al final de este documento).

Base de datos operativa principal: Supabase PostgreSQL en región AWS US East (N. Virginia) por defecto. Metadatos de sesión y caché (Vercel) pueden replicarse en edge locations globales.

Algunos Subencargados procesan datos fuera de Chile (EE.UU., UE, Brasil). Transferencias amparadas en: (a) términos empresariales con cláusulas de protección de datos estándar de cada proveedor, (b) cifrado en tránsito y reposo, (c) principios de proporcionalidad y minimización.

Para información detallada de un Subencargado específico, contacta a privacidad@surgira.com.

• Seguridad tránsito/reposo: TLS 1.2+, AES-256 en base y backups, tokens con expiración corta y rotación.
• Control de acceso: mínimo privilegio, Row Level Security multi-tenant, 2FA admin, logs de acceso 30 días mín.
• Resiliencia: backups diarios cifrados 7 días mín, monitoreo, plan básico de recuperación.
• Desarrollo seguro: separación de entornos, revisión de código pre-deploy, monitoreo de dependencias.
• Personal: capacitación en privacidad, NDA en contrato laboral, revocación inmediata de accesos al terminar vínculo.

Derechos aplicables (Ley 19.628 + Ley 21.719): acceso, rectificación, cancelación/eliminación, oposición, portabilidad, no decisiones automatizadas.

El Titular normalmente contacta al Cliente (Responsable). Si se requiere soporte técnico de SurGira, se envía ticket a privacidad@surgira.com. Plazo respuesta SurGira: 10 días hábiles estándar, 15 para complejas.

Soporte ARCOP incluido en el plan para volúmenes razonables: hasta 10 solicitudes/mes Lite-Pro, 30 Plus, a negociar Business. Excesos se cotizan aparte.

SurGira notifica al Cliente dentro de las 72 horas siguientes a tener conocimiento del incidente. Si la evaluación inicial toma más tiempo, envía notificación preliminar dentro de 72h y actualiza según avance.

La notificación incluye:

• Descripción del incidente y categorías de datos afectados.
• Estimación de Titulares y registros afectados.
• Medidas ya adoptadas y por adoptar.
• Recomendaciones para el Cliente.
• Punto de contacto para preguntas.

SurGira colabora con el Cliente en su notificación a Titulares y autoridad si corresponde. Registro interno de incidentes con retención mínima 5 años.

El Cliente puede solicitar, una vez al año máximo (salvo incidente grave), evidencia documental del cumplimiento: políticas de seguridad, lista Subencargados, registros capacitación, reportes vulnerabilidades.

Auditoría presencial o inspección in situ: coordinación con 30 días de anticipación, horario hábil, sin interrumpir operación. Costos directos los asume el Cliente solicitante salvo incumplimiento grave de SurGira.

El Cliente puede usar auditor externo sujeto a NDA con SurGira.

El Cliente dispone de 45 días desde la terminación para exportar sus datos en formatos estándar (CSV, JSON). SurGira facilita una exportación gratuita; adicionales se cotizan.

Transcurridos los 45 días, SurGira procede a eliminación definitiva de datos operativos, backups de los últimos 7 días y configuración del tenant.

Datos que se conservan:

• Registros de facturación: 5 años por obligación SII.
• Logs de auditoría críticos: según retención legal aplicable.
• Datos anonimizados agregados para estadísticas internas (sin re-identificación posible).

El Cliente puede solicitar certificado escrito de destrucción (fecha, alcance, método).

Lista vigente al 2026-04-15. Actualizaciones se notifican con 30 días de anticipación.