Tensorial.io

Acuerdo DPA

Acuerdo de Tratamiento de Datos (DPA)

Acuerdo operativo entre Tensorial como encargado y el cliente responsable para el tratamiento de datos personales bajo LFPDPPP y, cuando aplique, leyes estatales de privacidad de EE. UU. y GDPR.

Fecha de acuerdo: 26 de marzo de 2026

1. OBJETO Y DURACIÓN

  • 1.1 Objeto: Este acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable mediante Tensorial, conforme a la LFPDPPP y, en su caso, leyes estatales de privacidad de EE. UU. y GDPR.
  • 1.2 Duración: El Acuerdo rige desde la aceptación del Responsable hasta la terminación del servicio; después, hasta la eliminación total de los datos o su devolución al Responsable.
  • Parte responsable: El cliente usuario de Tensorial.
  • Responsable: Datos del Responsable (nombre, RFC, domicilio, correo electrónico).
  • Encargado: Ambitious Growth Leaders Alliance S.A. de C.V.
  • Domicilio del Encargado: José María Morelos y Pavón 353-1, Metepec, Estado de México, C.P. 52140.

2. NATURALEZA DEL TRATAMIENTO

El Encargado trata datos personales únicamente para las finalidades del servicio:

  • Almacenamiento
  • Organización
  • Procesamiento
  • Consulta
  • Transmisión necesaria para la prestación del servicio
  • Los datos objeto de tratamiento incluyen información de clientes, contacto, fiscales y operativos cargados por el Responsable.
  • El Encargado actúa solo por instrucciones del Responsable y no determina fines del tratamiento.

3. OBLIGACIONES DEL ENCARGADO

Instrucciones
Tratar los datos únicamente conforme a instrucciones documentadas del Responsable.
Limitación de finalidad
No utilizar los datos para fines propios.
Seguridad
Implementar medidas técnicas y organizativas adecuadas; ver medidas en la cláusula 6.
Confidencialidad
Asegurar que el personal autorizado esté sujeto a obligaciones de confidencialidad.
Notificación de brechas
Notificar incidentes sin demora indebida y a más tardar en 48 horas.
Deber de advertencia
Informar al Responsable cuando una instrucción infrinja normativa aplicable.

4. SUBENCARGADOS

  • Autorización general de subencargados y proveedores necesarios. Actualmente se consideran: Vercel (infraestructura/hosting, Estados Unidos), Stripe (procesamiento de pagos, Estados Unidos). Algunos proveedores pueden actuar como terceros independientes según el servicio.
  • El Encargado exigirá contractualmente, cuando aplique, estándares de protección equivalentes, obligaciones de confidencialidad y seguridad, y limitaciones de uso compatibles con la prestación del servicio.
  • Cambios de subencargados: notificación al Responsable con al menos 30 días naturales de anticipación.
  • El Responsable puede oponerse de forma justificada dentro de 15 días naturales.

5. DERECHOS DE LOS TITULARES

  • El Encargado asistirá al Responsable, en la medida de lo posible, para atender derechos ARCO, derechos estatales de privacidad de EE. UU. aplicables, portabilidad, limitación y supresión.
  • Cualquier solicitud recibida directamente por el Encargado será notificada al Responsable en menos de 48 horas.

6. SEGURIDAD DE LA INFORMACIÓN

Cifrado
TLS/SSL en tránsito.
Control de accesos
Autenticación basada en roles y controles de acceso.
Respaldo
Backups cifrados periódicos.
Monitoreo
Registro de accesos y detección de anomalías.

7. AUDITORÍA

  • El Responsable puede solicitar auditorías, máximo una vez por año, con aviso previo de 30 días naturales.
  • Las auditorías no deben afectar la operación del Sistema.
  • Si aplica, el costo de la auditoría es del Responsable.
  • El Encargado puede presentar evidencia alternativa (por ejemplo, reportes de seguridad).

8. TRANSFERENCIAS INTERNACIONALES

  • El Responsable reconoce y autoriza transferencias a países como Estados Unidos derivadas de subencargados, procesadores o proveedores necesarios.
  • El Encargado adoptará medidas razonables para asegurar un nivel de protección adecuado en esas transferencias.
  • Cuando un cliente opere con titulares ubicados en Estados Unidos, el Responsable conserva la obligación de determinar y documentar las bases legales, avisos y mecanismos de ejercicio de derechos aplicables a su propia operación.

9. FINALIZACIÓN DEL SERVICIO

  • Al terminar la relación contractual, el Responsable tendrá 30 días naturales para exportar sus datos.
  • Transcurrido ese plazo, el Encargado eliminará los datos personales, salvo obligación legal de conservación.
  • Se conservan obligaciones fiscales y los plazos legales aplicables.

10. RESPONSABILIDAD

  • No será responsable por datos cargados ilegalmente por el Responsable.
  • No será responsable por uso indebido del propio Responsable.
  • No será responsable por instrucciones contrarias a la ley.
Responsable
Garantiza la licitud de los datos entregados y la obtención de consentimientos necesarios.
Encargado
Responde por un tratamiento conforme a este Acuerdo.

11. LIMITACIÓN DE RESPONSABILIDAD

La responsabilidad total del Encargado se limita a lo previsto en los Términos y Condiciones del Sistema.

No se limitan responsabilidades que por ley sean irrenunciables.

12. LEY APLICABLE Y JURISDICCIÓN

Este Acuerdo se rige por las leyes de los Estados Unidos Mexicanos.

Las partes se someten a los tribunales de Santiago de Querétaro, Querétaro.

Para titulares ubicados en Estados Unidos o la Unión Europea, se respetarán disposiciones imperativas de privacidad aplicables en la medida exigible a cada parte.

13. ACEPTACIÓN

Responsable: aceptación electrónica al registrarse en Tensorial.

Encargado: Ambitious Growth Leaders Alliance S.A. de C.V..