Convivencia.pro
IngresarAgendar demo

Data Processing Agreement · Ley 21.719 art. 15

Acuerdo de Tratamiento de Datos

Última actualización: 21 de abril de 2026 · Versión 1.0

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integrante del contrato de prestación de servicios suscrito entre el Cliente (el sostenedor, SLEP, municipio o establecimiento educacional, en calidad de Responsable del Tratamiento) y Renddi SpA (en calidad de Encargado del Tratamiento), conforme al artículo 15 de la Ley N° 21.719 y aplicando estándares equivalentes al artículo 28 del GDPR.

1. Definiciones

  • Datos personales: cualquier información vinculada o asociable a una persona natural identificada o identificable (art. 2.f Ley 21.719).
  • Responsable: el Cliente, quien determina los fines y medios del tratamiento.
  • Encargado: Renddi SpA, quien trata los datos por cuenta del Responsable.
  • Titular: estudiante, apoderado, trabajador u otra persona natural cuyos datos se procesan.
  • Subencargado: proveedor de Renddi SpA que procesa datos para prestar parte del servicio.

2. Objeto, naturaleza y duración

El Encargado tratará datos personales únicamente para la prestación de los servicios de la Plataforma Convivencia Pro (gestión PGCE, RICE, denuncias, ARCO, cadena de custodia, firma electrónica simple). La duración del tratamiento coincidirá con la vigencia del contrato principal, más los plazos legales de conservación aplicables.

3. Categorías de datos y titulares

  • Datos identificativos, de contacto y académicos de estudiantes y apoderados.
  • Datos identificativos, de contacto y laborales de trabajadores (docentes, asistentes, directivos).
  • Datos sensibles incidentales: antecedentes de convivencia, salud mental declarada, situación socioeconómica, afiliación sindical (protegidos bajo art. 2.g Ley 21.719).
  • Datos de menores: protección reforzada Ley 21.430.

4. Instrucciones del Responsable

El Encargado sólo tratará los datos conforme a las instrucciones documentadas del Responsable, expresadas en el contrato, estos Términos, la configuración de la Plataforma y los requerimientos legales aplicables. Cualquier tratamiento fuera de instrucciones debe ser autorizado por escrito, salvo obligación legal.

5. Confidencialidad

Todo el personal del Encargado con acceso a datos personales suscribe obligaciones de confidencialidad con vigencia indefinida. El acceso se otorga bajo principios de mínimo privilegio y necesidad de conocer.

6. Medidas de seguridad (art. 15 Ley 21.719)

  • Cifrado en tránsito TLS 1.3 y en reposo AES-256.
  • Row-Level Security (RLS) multitenant en base de datos.
  • MFA obligatorio para operadores con acceso productivo.
  • Segregación ambientes dev/staging/prod.
  • Pentest anual y revisiones de código automatizadas.
  • Backups cifrados con retención 35 días y DRP documentado.
  • Cadena de custodia Merkle + RFC 3161 sobre actos firmados.

7. Subencargados autorizados

El Responsable autoriza con la firma de este DPA a los siguientes subencargados: Supabase (base de datos, auth, storage — UE/US), Vercel (hosting/edge — US), Resend (correo — US), Sentry (monitoreo de errores — US) y Upstash (rate limiting — US). El Encargado notificará con 30 días de anticipación la incorporación o reemplazo de subencargados, y el Responsable podrá objetar por motivos razonables de protección de datos.

8. Asistencia al Responsable

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones, en particular para: (i) atender ejercicios de derechos ARCO-POL vía /solicitud-datos, (ii) realizar evaluaciones de impacto (ver /dpia), (iii) notificar brechas de seguridad al Responsable dentro de las 24 horas de identificadas (dejando margen al plazo legal de 72 horas frente a la autoridad), (iv) cooperar con fiscalizaciones de la APDP o la Superintendencia de Educación.

9. Notificación de brechas

Ante una brecha que afecte datos personales, el Encargado notificará al Responsable por correo al contacto DPD registrado, incluyendo: naturaleza del incidente, categorías y número aproximado de titulares afectados, consecuencias probables, medidas adoptadas y de mitigación. Plazo: 24 horas desde la identificación.

10. Auditoría

El Responsable podrá auditar el cumplimiento de este DPA una vez al año, con aviso de 30 días, a través de cuestionario estándar o visita coordinada. El Encargado podrá acreditar el cumplimiento mediante certificaciones (ISO/IEC 27001, reportes SOC 2 de subencargados) o informes de pentest.

11. Transferencias internacionales

Las transferencias a subencargados en US se amparan en cláusulas contractuales tipo y medidas técnicas adicionales. El Encargado mantiene un registro actualizado de transferencias conforme art. 28 Ley 21.719.

12. Término del tratamiento

Al término del contrato principal, el Responsable podrá exportar sus datos dentro de 90 días. Transcurrido ese plazo, los datos serán eliminados o anonimizados de forma irreversible, salvo obligación legal de conservación (facturación, antecedentes SIE).

13. Registro de actividades

El Encargado mantiene el registro de actividades de tratamiento exigido por el art. 16 de la Ley 21.719 y lo pone a disposición del Responsable y la APDP cuando sea requerido.

14. Ley aplicable

Este DPA se rige por las leyes de Chile y, en forma subsidiaria, por los estándares del GDPR. Tribunales ordinarios de Santiago.

Este DPA se suscribe automáticamente con la aceptación de los Términos y Condiciones. Para formalizar un DPA firmado con FES/FEA, escribir a dpo@renddi.cl.