CONOCE NUESTRO DPA (Data Processing Agreement)
STARIAN S/A, persona jurídica de derecho privado, con domicilio en la Av. Luiz Boiteux Piazza, nro. 1302, Lote 89, Cachoeira Bom Jesus, Florianópolis/SC (Santa Catarina), CP 88056-000, CNPJ (Registro Tributario) nro. 15.087.394/0001-34, en adelante denominada la “Contratada”, establece el presente Acuerdo de Tratamiento de Datos Personales (“DPA”) para regular las condiciones aplicables al tratamiento de los datos personales de sus clientes en el contexto de la utilización del sistema Checklist Fácil.
Al contratar cualquiera de los productos y/o servicios ofrecidos por la Contratada, el Contratante manifiesta su adhesión expresa a los términos aquí establecidos.
(A) La Contratada, conforme a lo dispuesto en el Contrato Principal y sus adendas, presta servicios o concede licencia de software al Contratante;
(B) Durante la prestación de los servicios o del uso del software bajo licencia, la Contratada podrá realizar el tratamiento de los datos personales de los usuarios y clientes finales del Contratante. Con el fin de garantizar el cumplimiento de la legislación vigente, las partes resuelven formalizar, en este documento, los términos y condiciones aplicables a dicho tratamiento.
C) En cumplimiento de la legislación brasileña, especialmente la Ley nro. 13.709/2018 (Ley General de Protección de Datos Personales – LGPD), la Contratada formaliza el presente término de protección de datos personales a fin de asegurar legitimidad y seguridad en el tratamiento de datos personales realizado en virtud de los instrumentos contractuales establecidos con los Contratantes de sus sistemas. En la ejecución de los objetos de este Contrato, la Contratada ejecutará, en interés y bajo la orientación del Contratante, acciones tipificadas como tratamiento de datos personales a la luz de la legislación brasileña, especialmente de la Ley nro. 13.709/2018 (LGPD), observando, cuando sea aplicable y de forma suplementaria, las legislaciones vigentes sobre protección de datos en el país del Contratante. Las operaciones de tratamiento se sujetarán a las disposiciones de este Acuerdo de Procesamiento de Datos.
(i) “ANPD”: se refiere al órgano de la administración pública responsable de velar, implementar y fiscalizar el cumplimiento de la Ley General de Protección de Datos – LGPD y demás leyes de protección de datos en Brasil;
(ii) “Contrato Principal”: se refiere al acuerdo formal firmado entre el Contratante y la Contratada, que establece los términos y condiciones generales de la relación comercial entre las partes. Este término abarca las expresiones “Contrato” y “Acuerdo Principal” y se debe entender como un documento distinto de este DPA.
(iii) “LGPD”: se refiere a la Ley General de Protección de Datos Personales (Ley nro. 13.709/2018);
(iv) “Datos Personales”: la información relacionada con personas naturales identificadas o identificables (“Datos Personales”);
(v) “Contratada”: se refiere a la parte que brinda servicios al Contratante, asumiendo las obligaciones y responsabilidades establecidas en el contrato principal y en este DPA.
(vi) “Contratante”: se refiere a la parte que contrata los productos y/o los servicios de la Contratada, siendo el responsable de la ejecución de las obligaciones establecidas en el contrato principal y en este DPA.
(vii) “Controladora”: se refiere a la Empresa Contratante, responsable de tomar las principales decisiones sobre el Tratamiento de Datos Personales, incluyendo la definición de la finalidad, la naturaleza de los datos tratados y la duración del tratamiento. Corresponde a la Controladora proporcionar instrucciones claras a STARIAN S/A (“Operadora”), asegurando que el tratamiento se realice de acuerdo con sus directrices y la legislación aplicable. La Controladora mantiene el control sobre los elementos esenciales para el cumplimiento de la finalidad del tratamiento (“Controladora”);
(viii) Operadora: STARIAN S/A, que realiza el tratamiento de datos personales en nombre de la Controladora (“Operadora”), siguiendo sus instrucciones. En el desempeño de esta función, la Operadora puede definir los aspectos operacionales y técnicos no esenciales del tratamiento, como la implementación de medidas técnicas de seguridad;
(ix) “Titular de los Datos Personales”: se refiere a la persona natural a quien conciernen los datos personales objeto de tratamiento. El titular de los datos tiene derechos garantizados por la Ley General de Protección de Datos Personales (LGPD), incluyendo el acceso, la corrección, la exclusión y otras formas de control sobre cómo sus datos son recolectados, utilizados y almacenados durante el tratamiento; y
(x) “Tratamiento”: toda y cualquier operación realizada con datos personales, como las referidas a la producción, recolección, recepción, clasificación, acceso, utilización, reproducción, transmisión, distribución, procesamiento, almacenamiento, archivo, eliminación, evaluación o control de la información, comunicación, modificación, transferencia, difusión o extracción.
(xi) “Partes”: se refiere al Contratante, que contrata los servicios de la Contratada, siendo responsable de la ejecución de las obligaciones establecidas en el contrato principal, y a la Contratada, que presta servicios al Contratante, asumiendo las obligaciones y responsabilidades establecidas en el contrato principal. Las Partes son responsables del cumplimiento de las disposiciones acordadas en el presente documento, garantizando la conformidad con la legislación aplicable al Tratamiento de Datos Personales.
(xii) “Plataforma:” se refiere a un entorno tecnológico que integra diferentes componentes, incluyendo, pero sin limitarse, a sistemas SaaS (Software as a Service), software, aplicaciones y otras soluciones digitales. La Plataforma puede incluir recursos como almacenamiento de datos, interfaces de usuario, APIs (Application Programming Interfaces) y otras herramientas que posibilitan la optimización de procesos y la mejora de la experiencia del usuario.
(xiii) “Titular de los Datos Personales”: se refiere a la persona natural a quien conciernen los Datos Personales objeto de Tratamiento.
1.1. Las Partes declaran conocer y cumplir la legislación vigente referente a la protección de Datos Personales, especialmente la Ley General de Protección de Datos Personales (“LGPD”) y la Ley del Marco Civil de Internet, observando, cuando aplicable y de forma suplementaria, las legislaciones vigentes sobre protección de datos en el país del LICENCIATARIO, en el ámbito de sus respectivas responsabilidades.
1.2. La Controladora es responsable de asegurar la existencia de una base legal válida para el tratamiento y de la obtención de los consentimientos necesarios, cuando sean exigidos, además de proporcionar información adecuada a los titulares. La Operadora se compromete a tratar los datos personales conforme a las instrucciones de la Controladora, dentro de los límites legales.
1.3. La Operadora no recibirá instrucciones directamente de los titulares, salvo autorización expresa de la Controladora y/o determinación legal.
1.4. Los datos personales tratados por la Operadora serán recolectados, almacenados y utilizados bajo las instrucciones de la Controladora exclusivamente para las siguientes finalidades:
(a) Cumplimiento de las obligaciones contractuales establecidas entre las Partes;
(b) Ejecución de deberes legales y regulatorios de la Controladora y/o de la Operadora, cuando sea aplicable;
(c) Ejercicio de derechos en procesos judiciales o administrativos;
(d) Mejora y perfeccionamiento de los servicios y productos de la Operadora y de sus socios, así como para la elaboración de estadísticas y estudios generales. En estas situaciones, los datos personales serán tratados para garantizar la confidencialidad, preferentemente de modo anonimizado, siempre que sea posible, y sin identificar o especificar al titular de los datos personales.
1.5. La Controladora autoriza expresamente que la Operadora realice transferencias internacionales de datos personales con la única y exclusiva intención de cumplir con las finalidades previstas en el contrato principal, prohibiéndose otras finalidades
2.1. Con relación a la protección de datos personales, la Operadora se compromete a:
a) Tratar datos personales únicamente en la medida necesaria para ejecutar el objeto contractual, en los términos del contrato principal y las adendas firmadas con la Controladora, dentro de los límites del acuerdo;
b) No utilizar datos personales para cualquier otra finalidad que no sea la necesaria para la ejecución del objeto contractual, en los términos establecidos con la Contratante y dentro de los límites del acuerdo;
c) Informar prontamente a la Controladora, salvo prohibición legal, sobre cualesquiera comunicaciones o solicitudes de la ANPD u otras autoridades competentes que involucren los datos personales tratados;
d) Proporcionar, mediante solicitud escrita de la Controladora y con una antelación mínima de 48 (cuarenta y ocho) horas hábiles, apoyo razonable, en la medida de sus atribuciones, para evaluaciones de impacto y consultas a ANPD;
e) Aplicar, durante todo el tratamiento de datos personales, medidas técnicas y organizacionales adecuadas para proteger los datos, especialmente contra accesos no autorizados, filtraciones, alteraciones indebidas, destrucciones accidentales o ilícitas, entre otros riesgos que caractericen una “Violación de Datos Personales”;
f) Poner a disposición de la Controladora, mediante solicitud:
La extracción de los datos personales tratados; y/o
La exclusión de dichos datos, ya sea por finalización del contrato principal como por solicitud expresa, siempre que se respeten los plazos acordados entre las Partes.
2.3. La Operadora se compromete a poner a disposición los documentos y/o información que tenga disponibles en el momento y que sean necesarios para demostrar el cumplimiento de las obligaciones legales y contractuales.
Cabe señalar que:
No se compartirán documentos que no sean imprescindibles para esta finalidad o que incluya información confidencial, estratégica, secreta, de producto o de propiedad intelectual de la Operadora (o de terceros);
Los documentos solo se exigirán si son técnicamente accesibles y si están dentro del alcance de las responsabilidades de la Operadora conforme a lo establecido en la LGPD.
2.4. Si la Operadora identifica que su plataforma se está utilizando indebidamente, ya sea para fines ilegales, ilícitos, en incumplimiento de la legislación de protección de datos o, incluso, contrarios a la moralidad, por parte de la Controladora o de cualquier colaborador de esta, deberá comunicar lo ocurrido. La Controladora, a partir de la notificación de la Operadora, deberá cesar inmediatamente el uso indebido de la Plataforma.
3.1. La Operadora deberá comunicar a la Controladora en un plazo máximo de 72 (setenta y dos) horas, contadas a partir del conocimiento del hecho, sobre cualquier incidente que pueda representar riesgo o daños relevantes a los titulares, permitiendo que la Controladora tome medidas y, si es el caso, notifique a la ANPD conforme a lo previsto en el art. 48 de la LGPD.
3.2. La Notificación de incidentes deberá:
(i) describir la naturaleza del incidente;
(ii) describir las consecuencias probables del incidente;
(iii) describir las medidas tomadas o propuestas por la Operadora en respuesta al incidente; y
(iv) facilitar el contacto del responsable por el tratamiento de los datos personales de la Operadora.
3.3. La información relacionada con el incidente reportado, conforme a lo dispuesto en los puntos anteriores, podrá complementarse y/o actualizarse posteriormente, a medida que surja nueva información o sea necesario aclarar puntos que aún estén en análisis en el momento del envío inicial.
3.4. Los incidentes sin impacto relevante deberán documentarse internamente por parte de la Operadora, registrando las medidas tomadas y los planes de contención implementados.
3.5. La Operadora será responsable de los eventuales perjuicios debidamente comprobados a la Controladora o a sus clientes finales, siempre que sean causados exclusivamente por acciones u omisiones de la Operadora o de sus Subcontratados.
3.6. Si hubiera litigio relativo al tratamiento de datos personales, cualquier Parte podrá requerir la denuncia de la controversia a la otra Parte, conforme al art. 125, II, del CPC (Código Procesal Civil Brasileño) — siempre que entienda que la responsabilidad recae sobre la Parte Adversa o un tercero.
4.1. La Controladora autoriza a la Operadora a subcontratar los servicios estrictamente necesarios para la ejecución del contrato, siempre que los subcontratados (i) actúen dentro de las finalidades definidas y (ii) cumplan íntegramente las obligaciones previstas en este Acuerdo.
4.2. La Operadora será la única responsable de su elección y por la actuación de estos en el presente contrato, obligándose a asegurar que los subcontratados cumplirán lo dispuesto en la LGPD y dicha obligación deberá constar en los contratos escritos que la Operadora celebre con los subcontratados.
5.1. Los datos personales de la Controladora podrán ser compartidos por la Operadora con terceros en las siguientes hipótesis:
(a) Sucesión empresarial, como en casos de fusión, adquisición o incorporación, condicionada a la previa comunicación de la Operadora;
(b) Contratación de servicios de procesamiento de datos con terceros (suboperadores), como alojamiento en la nube, restauración de sistemas, consultoría en Tecnología de la Información, respuesta a incidentes o demandas judiciales y/o administrativas, así como con plataformas y herramientas tecnológicas, incluso soluciones basadas en inteligencia artificial, utilizadas para viabilizar la atención al cliente, optimizar la prestación de los servicios o implementar mejoras operativas;
(c) Compartir con empresas del mismo grupo económico de la Operadora, buscando la integración, administración, o el apoyo a las operaciones, siempre que se respeten las finalidades originalmente previstas y las exigencias legales aplicables.
6.1. La Operadora se compromete a proporcionar a la Controladora la información y los documentos necesarios para demostrar conformidad con el presente acuerdo, siempre que se relacionen con sus atribuciones bajo la LGPD y que esté, legal o contractualmente, obligada a ponerlos a disposición. Información confidencial, como secretos comerciales, estrategias de negocio o propiedad intelectual, no serán compartidas, salvo en el caso de obligación contractual o legal expresa en ese sentido.
6.2. La Controladora podrá solicitar a la Operadora la realización de auditoría remota para verificar el cumplimiento de las obligaciones previstas en este acuerdo. El acompañamiento será realizado por un colaborador de la Operadora y los eventuales costos incurridos por esta actividad serán asumidos exclusivamente por la Controladora.
La auditoría debe obligatoriamente cumplir las siguientes condiciones:
a) tener el objetivo único y exclusivo de verificar el cumplimiento de las obligaciones relativas a la protección y privacidad de datos personales;
b) no resultar en acceso a información protegida por secreto comercial o derechos de propiedad intelectual de la Operadora o de terceros;
c) ser técnicamente viable y razonable, sin comprometer la seguridad e integridad de los sistemas de la Operadora o causar impacto en sus operaciones;
d) la Controladora deberá formalizar el pedido con al menos 30 (treinta) días de antelación, especificando alcance, finalidad y objeto de la auditoría;
e) considerar las responsabilidades de la Operadora ante la LGPD, garantizando que sea auditada solamente información relevante y compatible con sus obligaciones.
7.1. La Controladora será responsable de informar a los titulares sobre sus derechos y de garantizar su atención, incluyendo acceso, rectificación, eliminación, limitación, portabilidad o supresión de datos.
7.2. La Operadora prestará cooperación y asistencia razonables, cuando sea necesario, para apoyar a la Controladora en la respuesta a las solicitudes de los titulares. Esto incluye:
(i) comunicar a la Controladora sobre cualquier solicitud recibida directamente de titulares de datos;
(ii) apoyar a la Controladora con la información y medidas necesarias para la atención del pedido en el ejercicio de los derechos previstos en la legislación brasileña, en especial en la Ley nro. 13.709/2018 (Ley General de Protección de Datos Personales – LGPD), observadas, cuando sea aplicable y de forma suplementaria, las legislaciones vigentes sobre protección de datos en el país del LICENCIATARIO;
7.3. Si la asistencia anteriormente mencionada le exija a la Operadora recursos significativos como tiempo, tecnología, personal o adaptaciones técnicas, la prestación de soporte se negociará previamente entre las partes, considerando los esfuerzos involucrados.
8.1. Después de la finalización del contrato, la Operadora podrá mantener datos personales únicamente si es necesario para obligaciones legales, auditorías o protección de derechos. Transcurrido ese plazo, los datos serán borrados de forma permanente.
8.2. Si la exclusión inmediata de los datos no es técnicamente posible (por ejemplo, en copias de seguridad), la Operadora se compromete hacer inaccesibles dichos datos y eliminarlos.
9.1. La Operadora no será responsable por daños o violaciones resultantes de las instrucciones proporcionadas por la Controladora en caso de que tales instrucciones estén en disconformidad con la legislación aplicable, inclusive la LGPD, siempre que el tratamiento haya sido realizado de buena fe dentro de los límites contractuales y conforme a las orientaciones expresas de la Controladora.
9.2. La responsabilidad de la Operadora se limita a perjuicios directos y comprobablemente causados por su acción, omisión o de sus subcontratados, conforme a lo previsto en la ley y no excederá el valor total del contrato. No habrá responsabilidad por lucro cesante (pérdida de ganancias) o daños indirectos, salvo en los casos de dolo o negligencia grave.
9.3. La Operadora no garantiza la imposibilidad de ocurrencia de eventos nocivos. Dada la posibilidad de fallas o mala fe por parte de sus propios usuarios, o incluso de acciones maliciosas de terceros, la Controladora reconoce que la responsabilidad civil y administrativa de la Operadora se limita exclusivamente a los daños resultantes de los incidentes de seguridad generados por una conducta culposa o deliberada de la propia Operadora o de su personal.
10.1. La Controladora es y seguirá siendo la propietaria de los datos tratados, así como será la responsable por cualesquiera datos de terceros, incluidos datos personales, que ingrese en el software/plataforma de propiedad de la Operadora;
10.2. La Controladora no podrá transferir a la Operadora la responsabilidad por las fallas relacionadas con el tratamiento de datos que están bajo su responsabilidad.
10.3. Los términos y las condiciones del DPA integran todos los contratos de licencia y servicios firmados y a firmarse entre la Controladora y la Operadora para todos los fines, prevaleciendo las disposiciones aquí contenidas sobre eventuales disposiciones conflictivas en relación con los datos y el tratamiento previstos en el contrato principal.
11.1. Las dudas o solicitudes relacionadas con el tratamiento de datos personales deberán dirigirse al Delegado de Protección de Datos de Starian, a través de la dirección electrónica: protecaodedados@starian.com.
11.2. Las comunicaciones referentes a la ocurrencia de incidente de seguridad deberán clasificarse como confidenciales, con el empleo de recursos ue aseguren su efectiva recepción por el destinatario.
11.3. Se elige la jurisdicción de la comarca de Florianópolis para el procesamiento y evaluación de cualquier tipo de controversia, conflicto o litigio asociado a los hechos regulados por este instrumento.
ACTUALIZADO EL: 12/06/2026
