1. Partes y alcance
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del contrato principal entre el Cliente ("Controlador") y Lumicost ("Encargado"), regulando el tratamiento de Datos Personales que el Encargado realiza por cuenta del Controlador en relación con el servicio de Lumicost.
El presente DPA se aplica cuando Lumicost trata Datos Personales sujetos al GDPR (UE 2016/679), a la Ley 21.719 de Chile, a la CCPA/CPRA u otras leyes de protección de datos aplicables.
2. Definiciones
Los términos en mayúsculas tienen el significado del GDPR. Sin perjuicio de lo anterior:
- Datos Personales: información identificable de personas naturales tratada por Lumicost en nombre del Controlador.
- Subprocesador: tercero contratado por Lumicost para tratar Datos Personales.
- Brecha: violación de seguridad que conlleve destrucción, pérdida, alteración o acceso no autorizado a Datos Personales.
3. Materia y duración del tratamiento
- Naturaleza y finalidad: prestación del servicio Lumicost (FinOps + Compliance multi-cloud).
- Categorías de interesados: empleados, contratistas y usuarios autorizados del Controlador.
- Categorías de datos: identificación (nombre, email), credenciales de autenticación, configuración de cuentas cloud, metadatos de uso. Lumicost no accede al contenido de las cargas de trabajo del Controlador.
- Duración: vigencia del contrato principal más el período de retención (sección 8).
4. Obligaciones de Lumicost (Encargado)
- Tratará los Datos Personales únicamente conforme a instrucciones documentadas del Controlador.
- Garantizará la confidencialidad mediante NDA aplicables al personal con acceso.
- Implementará las medidas técnicas y organizativas descritas en /trust/security.
- Asistirá al Controlador en el cumplimiento de derechos ARCO/PSL y obligaciones de seguridad y notificación.
- Eliminará o devolverá los Datos Personales al término del contrato (sección 8).
5. Subprocesadores
El Controlador autoriza a Lumicost a contratar subprocesadores para la prestación del servicio. La lista actualizada está en /trust/subprocessors.
- Lumicost notificará la incorporación o sustitución de subprocesadores con al menos 30 días de antelación.
- El Controlador puede objetar por motivos razonables. Si la objeción no se resuelve, podrá terminar el contrato sin penalidad sobre el período no consumido.
- Lumicost impone a sus subprocesadores obligaciones equivalentes a este DPA.
6. Transferencias internacionales
Cuando los Datos Personales se transfieran fuera del EEE, Reino Unido o Chile a un país sin decisión de adecuación, Lumicost utilizará las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (2021/914) o el mecanismo legal equivalente, y aplicará medidas suplementarias cuando corresponda.
7. Seguridad de los datos
Lumicost mantiene controles técnicos y organizativos descritos en /trust/security, incluyendo cifrado en tránsito y reposo, MFA, RBAC, audit log inmutable, segregación multi-tenant y gestión de vulnerabilidades.
8. Eliminación y devolución
- Al término del contrato, Lumicost eliminará los Datos Personales en un plazo máximo de 30 días (estándar) o 7 días (Enterprise+).
- El Controlador puede solicitar exportación de datos antes de la eliminación.
- Bajo solicitud razonada se emite Certificado de Destrucción.
- Backups con datos del Controlador se eliminan dentro del ciclo regular de PITR (≤ 30 días).
9. Notificación de brechas
Lumicost notificará al Controlador toda Brecha confirmada que afecte Datos Personales, sin demora indebida y a más tardar dentro de las 72 horas de su identificación, indicando alcance, datos afectados, medidas de contención y plan remedial.
10. Auditoría
- El Controlador puede solicitar la documentación de cumplimiento (resúmenes de pen test, reportes SOC 2 cuando estén disponibles, descripción de controles).
- Auditorías in-situ están reservadas para clientes Enterprise+ con notificación de 30 días, sin perjudicar la operación.
- Lumicost responde a cuestionarios de seguridad estándar (CAIQ-Lite pre-rellenado en /trust/caiq).
11. Limitación de responsabilidad
La responsabilidad bajo este DPA está sujeta a los límites del contrato principal, excepto cuando la ley aplicable lo prohíba.
12. Ley aplicable
Salvo acuerdo en contrario, este DPA se rige por la ley aplicable al contrato principal. Las controversias se resuelven en los tribunales acordados en el contrato principal.
13. Contacto
- Asuntos de privacidad: privacy@lumicost.com
- Asuntos contractuales y DPA personalizado (Enterprise): sales@lumicost.com
- Reporte de incidentes de seguridad: security@lumicost.com
Este es el DPA estándar de Lumicost. Clientes Enterprise pueden negociar adendas o un DPA contractual a medida contactando a sales@lumicost.com.