⚠ Esta traducción se ha generado mediante IA y se ofrece únicamente con fines informativos. La versión oficial en inglés prevalece en caso de discrepancia.

Anexo de Procesamiento de Datos (DPA) de CarFai — B2B

Fecha de entrada en vigor: La fecha en que este DPA sea firmado por ambas partes o, si se acepta electrónicamente a través del panel de administración de CarFai, la fecha de aceptación.

1. Partes

Este Anexo de Procesamiento de Datos ("DPA") se celebra entre:

Cliente ("usted" o "Responsable del Tratamiento") — la entidad identificada en el acuerdo de suscripción de CarFai.
CarFai — CarFai ("nosotros" o "Encargado del Tratamiento"), con domicilio en dirección disponible previa solicitud a través de [email protected].

2. Alcance y aplicabilidad

Este DPA se aplica en la medida en que CarFai procese Datos Personales (según se definen en las Leyes de Protección de Datos aplicables) en nombre del Cliente en relación con el servicio de CarFai ("Servicio"). Complementa y se incorpora a los Términos de Servicio de CarFai.

En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalecerá con respecto al procesamiento de Datos Personales.

3. Definiciones

"Leyes de Protección de Datos" — GDPR (UE 2016/679), GDPR del Reino Unido, LPD suiza, leyes de privacidad estatales de EE. UU. aplicables (CCPA/CPRA, VCDPA, CTDPA, etc.), PDPL de los EAU, y cualquier otra ley de privacidad o protección de datos aplicable al procesamiento de Datos Personales en virtud de este DPA.
"Datos Personales", "Responsable del Tratamiento", "Encargado del Tratamiento", "Procesamiento", "Interesado" — según se definen en el GDPR o el término equivalente en las Leyes de Protección de Datos aplicables.
"Subencargado del Tratamiento" — cualquier tercero contratado por CarFai para procesar Datos Personales.

4. Roles de las partes

El Cliente es el Responsable del Tratamiento de los Datos Personales cargados en el Servicio.
CarFai es el Encargado del Tratamiento, actuando según las instrucciones documentadas del Cliente (que incluyen el uso del Servicio de acuerdo con los Términos de Servicio).
Cada parte cumplirá con las obligaciones que le sean aplicables en virtud de las Leyes de Protección de Datos.

5. Detalles del procesamiento

Elemento	Descripción
Objeto	Prestación del Servicio CarFai (gestión de vehículos y documentos, asesoramiento por IA, integración de OBD2, funciones para múltiples vehículos/flotas)
Duración	El plazo de la suscripción, más 30 días después de la terminación para la eliminación de datos
Naturaleza y finalidad	Según se describe en los Términos de Servicio: alojar, mostrar, procesar, transmitir y analizar los datos que el Cliente carga o genera dentro del Servicio
Categorías de Interesados	Usuarios autorizados del Cliente (empleados, conductores, contratistas, operadores de flotas, miembros de la flota)
Categorías de Datos Personales	Información de la cuenta, datos de vehículos y documentos, historial de conversaciones de IA, datos de OBD2, registros de uso (consulte la §1 de la Política de Privacidad para una lista detallada)
Categorías especiales	No se prevén. El Cliente se compromete a no cargar datos de categorías especiales (salud, biométricos, etc.) sin notificar a CarFai por escrito

6. Obligaciones de CarFai como Encargado del Tratamiento

CarFai deberá:

Procesar los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las instrucciones implícitas en el uso del Servicio por parte del Cliente de acuerdo con los Términos de Servicio. CarFai informará al Cliente si considera que una instrucción infringe las Leyes de Protección de Datos.
Garantizar la confidencialidad — El personal de CarFai con acceso a los Datos Personales está sujeto a obligaciones de confidencialidad.
Implementar medidas técnicas y organizativas apropiadas ("MTO") para proteger los Datos Personales, según se describe en el Anexo 2 a continuación.
Contratar Subencargados del Tratamiento únicamente según lo autorizado en la Sección 7.
Asistir al Cliente en:
- Responder a las solicitudes de derechos de los Interesados (a través de los flujos de Exportar y Eliminar en la aplicación; para solicitudes inusuales, a través de soporte directo).
- Realizar Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) — proporcionando documentación sobre el procesamiento del Servicio.
- Colaborar con las autoridades de control.
- Notificar las violaciones de seguridad de los Datos Personales (según la Sección 8).
A elección del Cliente, devolver o eliminar los Datos Personales al finalizar el acuerdo, excepto cuando la ley exija su conservación (p. ej., historial de suscripciones para el cumplimiento fiscal — anonimizado después del período de retención legal).
Poner a disposición la información necesaria para demostrar el cumplimiento de este DPA, incluidos los informes de auditoría de los controles de CarFai. Cuando CarFai disponga de informes de auditoría de terceros independientes (por ejemplo, SOC 2, ISO 27001), podrá proporcionarlos en lugar de permitir auditorías in situ, excepto cuando la ley lo exija.

7. Subencargados del Tratamiento

7.1 El Cliente autoriza a CarFai a contratar Subencargados del Tratamiento. La lista actual a la fecha de entrada en vigor se encuentra en el Anexo 1.

7.2 CarFai notificará al Cliente los cambios en los Subencargados del Tratamiento con al menos 30 días de antelación (por correo electrónico al contacto administrativo registrado o mediante un aviso en la aplicación). El Cliente podrá oponerse por motivos razonables; si las partes no pueden resolver la objeción, el Cliente podrá rescindir la parte afectada del Servicio por incumplimiento material.

7.3 CarFai impone a sus Subencargados del Tratamiento obligaciones de protección de datos que no son menos protectoras que las de este DPA.

7.4 CarFai sigue siendo responsable ante el Cliente por el desempeño de sus Subencargados del Tratamiento con respecto a la protección de datos.

8. Violaciones de seguridad de los Datos Personales

CarFai deberá:

Notificar al Cliente sin dilación indebida (y en cualquier caso dentro de las 48 horas siguientes a tener conocimiento de una violación de seguridad de los Datos Personales que afecte a los Datos Personales del Cliente).
Proporcionar la información razonablemente requerida por el Cliente para cumplir con sus obligaciones de notificación de violaciones (la naturaleza de la violación, las categorías y el número aproximado de Interesados y registros afectados, las consecuencias probables, las medidas de mitigación adoptadas).
Cooperar de buena fe con la respuesta del Cliente.

9. Transferencias internacionales de datos

Si CarFai transfiere Datos Personales fuera del EEE / Reino Unido / Suiza a un país sin una decisión de adecuación, las partes acuerdan que:

Se aplican las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea (2021/914), con el Módulo 2 (de Responsable a Encargado) y el Módulo 3 (de Encargado a Encargado) cuando sea pertinente.
El Anexo del Reino Unido a las CCT se aplica para las transferencias del Reino Unido.
La evaluación equivalente a la LPD suiza se aplica para las transferencias suizas.
Ambas partes implementarán medidas suplementarias según corresponda (p. ej., cifrado, controles de acceso según el Anexo 2).

10. Derechos de los Interesados

CarFai, teniendo en cuenta la naturaleza del procesamiento, proporcionará asistencia razonable al Cliente para cumplir con sus obligaciones de responder a las solicitudes de los Interesados:

El Servicio incluye flujos de autoservicio para Exportar mis datos y Eliminar cuenta que gestionan la mayoría de las solicitudes de los Interesados directamente.
Para las solicitudes que CarFai reciba directamente, CarFai redirigirá al Interesado al Cliente (el Responsable del Tratamiento) y notificará al Cliente.
Para solicitudes inusuales o escaladas, CarFai responderá a las instrucciones del Cliente en plazos razonables.

11. Auditorías

11.1 No más de una vez al año (y adicionalmente en respuesta a una violación de seguridad de los Datos Personales documentada), el Cliente podrá auditar el cumplimiento de este DPA por parte de CarFai, sujeto a:

Preaviso por escrito de 30 días;
Alcance y duración razonables acordados previamente;
Obligaciones de confidencialidad;
Realizada a cargo del Cliente, por el Cliente o por un auditor externo mutuamente acordado;
Realizada durante el horario comercial y de manera que no interrumpa las operaciones de CarFai.

11.2 CarFai podrá satisfacer las obligaciones de auditoría proporcionando informes de auditoría de terceros independientes que cubran el mismo período (cuando CarFai obtenga dichas certificaciones; la hoja de ruta actual se encuentra en el apéndice de Hoja de Ruta a continuación).

Apéndice de Hoja de Ruta — hitos de infraestructura de seguridad (informativo, no contractual)

Las siguientes adiciones de infraestructura están planificadas pero no implementadas actualmente. Se enumeran aquí por transparencia; NO son una obligación contractual y pueden cambiar según las prioridades operativas.

Hito	Objetivo
Verificación de antecedentes del personal	Cuando CarFai realice su primera contratación que no sea un fundador
Certificación SOC 2 Tipo II / ISO 27001	Futuro, dependiendo de la demanda de los clientes
Banner de consentimiento de cookies del sitio de marketing	Antes de la primera activación de tráfico de la UE

12. Responsabilidad

Las disposiciones sobre responsabilidad de los Términos de Servicio se aplican a este DPA, sujeto a cualquier responsabilidad legal no excluible bajo el GDPR o la legislación equivalente de protección de datos en la jurisdicción del Cliente.

13. Vigencia y terminación

Este DPA permanecerá en vigor mientras CarFai procese Datos Personales en nombre del Cliente. Las Secciones 6 (obligaciones del Encargado), 8 (notificación de violaciones), 9 (transferencias), 10 (derechos de los Interesados) y 11 (auditorías) sobrevivirán a la terminación mientras CarFai conserve cualquier Dato Personal del Cliente.

14. Modificaciones

CarFai puede actualizar este DPA para reflejar cambios en la ley aplicable o en las prácticas de procesamiento de CarFai. Los cambios sustanciales se notificarán al Cliente con al menos 30 días de antelación. El uso continuado del Servicio por parte del Cliente después de la fecha de entrada en vigor constituye la aceptación.

15. Ley aplicable

Este DPA se rige por las leyes de Quebec, Canadá, en la medida en que sea compatible con las Leyes de Protección de Datos aplicables. Las disposiciones obligatorias de las Leyes de Protección de Datos prevalecen sobre la elección de la ley aplicable cuando correspondan.

Anexo 1 — Subencargados del Tratamiento (a fecha de 2026-05-20)

Subencargado del Tratamiento	Servicio prestado	Región	Enlace de privacidad
Anthropic, PBC	Procesamiento de IA (Claude)	Estados Unidos	https://www.anthropic.com/legal/privacy
Supabase Inc.	Base de datos, autenticación, almacenamiento	Estados Unidos (región us-east a la fecha de entrada en vigor)	https://supabase.com/privacy
RevenueCat, Inc.	Estado de la suscripción	Estados Unidos	https://www.revenuecat.com/privacy
Resend Inc.	Correo electrónico transaccional	Estados Unidos	https://resend.com/legal/privacy-policy
Apple Inc.	Distribución de iOS + IAP	Estados Unidos	https://www.apple.com/legal/privacy/
Google LLC	Distribución de Android + Play Billing + OAuth	Estados Unidos	https://policies.google.com/privacy
Microsoft Corp.	OAuth (cuando se utiliza)	Estados Unidos	https://privacy.microsoft.com

Anexo 2 — Medidas técnicas y organizativas (MTO)

CarFai implementa las siguientes MTO para proteger los Datos Personales:

Cifrado

En tránsito — TLS 1.2+ para toda la comunicación cliente-servidor
En reposo — Cifrado AES-256 (gestionado por el proveedor a través de Supabase)

Control de acceso

Control de acceso basado en roles (RBAC) para organizaciones B2B, aplicado a nivel de base de datos mediante políticas de seguridad a nivel de fila (RLS)
El acceso a producción por parte del personal de CarFai se registra y audita
Autenticación multifactor requerida para todas las cuentas de administrador de CarFai

Segregación de datos

Arquitectura multi-inquilino con aislamiento por organización aplicado mediante RLS
El acceso entre organizaciones está bloqueado en la capa de consulta de la base de datos

Seguridad de la red

Cortafuegos de aplicaciones web (WAF) en el perímetro
Limitación de velocidad por usuario y por punto de conexión
Verificación de firmas de webhooks para todos los webhooks entrantes (RevenueCat, etc.)

Seguridad de la aplicación

Escaneo de secretos antes de la confirmación (Gitleaks)
Escaneo de vulnerabilidades en dependencias (Dependabot, npm audit) en cada PR
Revisión manual de seguridad frente a los controles OWASP Mobile y ASVS aplicables al Servicio
Defensas contra la inyección de prompts de IA: separación de prompts de sistema/usuario, etiquetado de contenido no confiable, validación de salida, cuarentena de contenido de búsqueda web

Monitoreo y respuesta a incidentes

Informes de fallos y errores
Registro de eventos de seguridad
Manual de respuesta a incidentes documentado
Compromiso de notificación de violaciones en 48 horas según la Sección 8

Personal

Obligaciones de confidencialidad para todo el personal
Formación anual de concienciación en seguridad

Copias de seguridad y recuperación

Recuperación a un punto en el tiempo (PITR) en la base de datos de producción
Copias de seguridad diarias conservadas durante 30 días
Procedimientos de recuperación ante desastres documentados

Gestión de riesgos de terceros

La selección de Subencargados del Tratamiento incluye una revisión de protección de datos
Los Subencargados del Tratamiento están sujetos a obligaciones de protección de datos no menos protectoras que las de este DPA

Firmas

Cliente: Nombre: __________________________ Cargo: __________________________ Fecha: __________________________ Firma: __________________________

CarFai: Nombre: __________________________ Cargo: __________________________ Fecha: __________________________ Firma: __________________________

Historial de revisiones

Versión	Fecha	Notas
v1	2026-05-20	Publicación inicial.