Acuerdo de Procesamiento de Datos

Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre diffray, Inc. ("Procesador", "nosotros", "nos") y el cliente ("Controlador", "tú") para la prestación de servicios de revisión de código con IA (el "Servicio").

Este DPA se aplica donde y solo en la medida en que procesemos Datos Personales en tu nombre en el curso de proporcionar el Servicio, y dichos Datos Personales estén sujetos a las Leyes de Protección de Datos.

1. Definiciones

• "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable procesada por nosotros en tu nombre.
• "Leyes de Protección de Datos" significa todas las leyes aplicables relacionadas con la protección de datos y privacidad, incluyendo GDPR (UE), UK GDPR, CCPA (California), LGPD (Brasil) y otras regulaciones aplicables.
• "Subprocesador" significa cualquier tercero contratado por nosotros para procesar Datos Personales en tu nombre.
• "Titular de los Datos" significa el individuo al que se refieren los Datos Personales.
• "Incidente de Seguridad" significa cualquier violación no autorizada o ilegal de seguridad que conduzca a la destrucción, pérdida, alteración accidental o ilegal, divulgación no autorizada o acceso a Datos Personales.

2. Alcance del Procesamiento

2.1 Objeto

Procesamiento de Datos Personales en conexión con servicios de revisión de código con IA para repositorios de GitHub.

2.2 Naturaleza y Propósito

• Proporcionar servicios de revisión y análisis de código
• Procesar pull requests y datos de repositorios
• Autenticación de usuarios y gestión de cuentas
• Análisis y mejora del servicio

2.3 Categorías de Titulares de los Datos

• Tus empleados y contratistas
• Tus usuarios finales que interactúan con repositorios de código
• Contribuidores a repositorios que autorizas para revisión

2.4 Tipos de Datos Personales

• Nombres de usuario y direcciones de correo de GitHub
• Información de perfil (nombres, avatares)
• Metadatos de repositorio e información de commits
• Direcciones IP y datos de uso

2.5 Duración

El procesamiento continúa durante la duración del acuerdo del Servicio, más cualquier período de retención requerido por ley o según se especifique en nuestra Política de Privacidad.

3. Obligaciones del Procesador

Debemos:

• Procesar Datos Personales solo según tus instrucciones documentadas, a menos que lo requiera la ley
• Asegurar que las personas autorizadas para procesar Datos Personales estén sujetas a obligaciones de confidencialidad
• Implementar medidas técnicas y organizativas de seguridad apropiadas
• No contratar Subprocesadores sin tu autorización previa (general o específica)
• Asistirte en responder a solicitudes de Titulares de los Datos
• Asistirte en asegurar el cumplimiento de obligaciones de seguridad, notificación de brechas y evaluación de impacto
• Eliminar o devolver todos los Datos Personales tras la terminación, a menos que la retención sea requerida por ley
• Poner a disposición información necesaria para demostrar cumplimiento y permitir auditorías

4. Obligaciones del Controlador

Debes:

• Asegurar que tienes una base legal para procesar Datos Personales
• Proporcionar instrucciones claras para el procesamiento de Datos Personales
• Asegurar que los Titulares de los Datos han sido informados sobre el procesamiento
• Ser responsable de la exactitud de los Datos Personales proporcionados a nosotros
• Cumplir con las Leyes de Protección de Datos aplicables

5. Subprocesadores

Nos autorizas a contratar los siguientes Subprocesadores:

Te notificaremos de cualquier cambio previsto en los Subprocesadores, dándote la oportunidad de objetar. Todos los Subprocesadores están sujetos a acuerdos de procesamiento de datos con protecciones equivalentes.

6. Medidas de Seguridad

Implementamos y mantenemos medidas técnicas y organizativas apropiadas incluyendo:

• Cifrado: TLS 1.2+ para datos en tránsito; AES-256 para datos en reposo
• Control de Acceso: Acceso basado en roles, autenticación multifactor, principio de menor privilegio
• Infraestructura: AWS con certificación SOC 2 Type II, VPCs aisladas, grupos de seguridad
• Monitorización: Registro 24/7, detección de intrusiones, alertas automatizadas
• Seguridad del Código: Entornos de procesamiento efímeros destruidos después de cada revisión
• Personal: Verificación de antecedentes, formación en seguridad, acuerdos de confidencialidad
• Respuesta a Incidentes: Procedimientos documentados, pruebas regulares, rutas de escalación definidas

7. Derechos de los Titulares de los Datos

Te asistiremos en responder a solicitudes de Titulares de los Datos ejerciendo sus derechos bajo las Leyes de Protección de Datos, incluyendo:

• Derecho de acceso
• Derecho de rectificación
• Derecho de supresión
• Derecho a la limitación del procesamiento
• Derecho a la portabilidad de datos
• Derecho de oposición

Si recibimos una solicitud directamente de un Titular de los Datos, te notificaremos rápidamente a menos que lo prohíba la ley.

8. Notificación de Incidentes de Seguridad

Al tener conocimiento de un Incidente de Seguridad que afecte tus Datos Personales, debemos:

• Notificarte sin demora indebida (dentro de 72 horas cuando sea factible)
• Proporcionar información sobre la naturaleza del incidente, categorías de datos afectados, número aproximado de Titulares de los Datos, consecuencias probables y medidas tomadas
• Cooperar con tu investigación y esfuerzos de mitigación
• Documentar el incidente y los pasos de remediación

9. Eliminación y Devolución de Datos

Tras la terminación del Servicio o a tu solicitud:

• Eliminaremos o devolveremos todos los Datos Personales en un plazo de 30 días
• Proporcionaremos confirmación escrita de la eliminación a solicitud
• La retención más allá de este período solo cuando lo requiera la ley aplicable

Nota: El código fuente nunca se almacena permanentemente. Cada revisión se ejecuta en un entorno efímero que se destruye completamente tras su finalización.

10. Auditorías

Con aviso razonable y sujeto a obligaciones de confidencialidad:

• Pondremos a disposición información necesaria para demostrar cumplimiento con este DPA
• Permitiremos y contribuiremos a auditorías realizadas por ti o un auditor independiente
• Las auditorías se realizarán durante horario comercial normal, no más de una vez al año
• Asumirás los costos de cualquier auditoría a menos que revele incumplimiento material

También mantenemos certificaciones de terceros e informes de auditoría (disponibles bajo solicitud con NDA).

11. Transferencias Internacionales

Para transferencias de Datos Personales fuera del EEE, Reino Unido o Suiza:

• Nos basamos en las Cláusulas Contractuales Tipo (SCCs) de la UE aprobadas por la Comisión Europea
• Para transferencias del Reino Unido, usamos el UK International Data Transfer Agreement o UK Addendum a las SCCs
• Implementamos medidas suplementarias cuando lo requiera la guía aplicable

Las SCCs se incorporan por referencia y están disponibles bajo solicitud.

12. Responsabilidad

La responsabilidad bajo este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio. Cada parte será responsable de los daños causados por procesamiento que infrinja las Leyes de Protección de Datos o este DPA.

13. Plazo y Terminación

Este DPA permanecerá vigente durante la duración de nuestro procesamiento de Datos Personales en tu nombre. Tras la terminación del Servicio, las obligaciones relacionadas con la eliminación de datos, confidencialidad y derechos de auditoría sobrevivirán.

14. Ley Aplicable

Este DPA se regirá por las leyes especificadas en los Términos de Servicio (Estado de Delaware, EE.UU.), excepto donde las Leyes de Protección de Datos requieran lo contrario.

15. Contacto

Para preguntas sobre este DPA o para solicitar una copia firmada: