Contrato de Procesamiento de Datos (DPA)

Versión: 2026-04-22 (v0 — borrador pendiente de revisión legal) Encargado del tratamiento: Panielix LLC (Wyoming, Estados Unidos), operando como "Facturitica" Alcance de la plantilla: este DPA aplica entre Facturitica y cualquier cliente ("Responsable") que trate datos personales a través del servicio.

🚧 Borrador en revisión. Este documento es una versión de trabajo pendiente de revisión por asesoría legal costarricense (Ley 8968) y asesoría calificada en la UE para el alineamiento con el RGPD. El contenido final publicado puede variar.

1. Partes

Este Contrato de Procesamiento de Datos ("DPA") se celebra entre:

• Panielix LLC, sociedad de responsabilidad limitada constituida bajo las leyes del estado de Wyoming, Estados Unidos, que opera el servicio Facturitica (el "Encargado"), y
• El cliente identificado en el contrato de suscripción (el "Responsable"),

y forma parte integral de los Términos de Servicio de Facturitica. En caso de conflicto, este DPA prevalece sobre los Términos de Servicio respecto al tratamiento de datos personales.

2. Definiciones

Los términos utilizados siguen el Reglamento (UE) 2016/679 ("RGPD") y la Ley 8968 de Costa Rica, y en particular:

• Datos Personales: toda información relativa a una persona física identificada o identificable.
• Tratamiento: cualquier operación efectuada sobre Datos Personales.
• Responsable: la entidad que determina los fines y medios del Tratamiento.
• Encargado: la entidad que trata Datos Personales por cuenta del Responsable.
• Sub-encargado: cualquier tercero contratado por el Encargado para asistir en el Tratamiento.
• Titular: la persona física identificada o identificable a quien se refieren los Datos Personales.
• Brecha de seguridad: incidente que conduce a la destrucción, pérdida, alteración, divulgación o acceso no autorizado accidental o ilícito de Datos Personales.

3. Alcance y objeto

El Encargado tratará Datos Personales únicamente siguiendo instrucciones documentadas del Responsable y estrictamente para prestar el servicio Facturitica, incluyendo:

• Emisión de comprobantes (CE): cédula tributaria, nombre, dirección, correo, teléfono del comprador, descripción de líneas.
• Datos de contacto de clientes y proveedores cargados por el Responsable.
• Datos de identificación tributaria (cédula física, jurídica, DIMEX, NITE) necesarios para emitir ante Hacienda.
• Datos de pago vía Stripe; Facturitica solo almacena el token de cliente y los últimos 4 dígitos.
• Datos de cuenta (nombre, correo, hash de credencial, secreto 2FA) para control de acceso.

Duración: durante la suscripción más los plazos de retención de la §9.

4. Obligaciones del Encargado

El Encargado se compromete a:

1. Confidencialidad. Que toda persona autorizada a tratar Datos Personales esté sujeta a un deber exigible de confidencialidad.
2. Medidas de seguridad. Mantener las medidas técnicas y organizativas de la Declaración de Seguridad: cifrado en reposo (AES-256-GCM), en tránsito (TLS 1.2+), RBAC, aislamiento multi-tenant a nivel de fila y registros de auditoría.
3. Sub-encargados. Contratar Sub-encargados solo bajo la §5 y según la lista de sub-procesadores.
4. Solicitudes de titulares. Asistir al Responsable para atender solicitudes (acceso, rectificación, supresión, portabilidad, limitación, oposición) dentro de 30 días naturales.
5. Notificación de brechas. Notificar sin demora indebida y, en todo caso, dentro de 72 horas de conocer la brecha, con naturaleza del incidente, categorías y número aproximado de Titulares, consecuencias probables y mitigación.
6. Supresión o devolución al terminar la relación, conforme a la §9.
7. Soporte a auditoría conforme a la §8.

5. Sub-encargados

El Responsable otorga autorización general para contratar a los Sub-encargados listados en /legal/subprocessors. El Encargado:

• Impondrá a cada Sub-encargado obligaciones equivalentes a las de este DPA.
• Dará al menos 30 días de aviso previo de cualquier Sub-encargado nuevo o reemplazado, con oportunidad razonable de oposición por motivos legítimos de protección de datos.
• Si el Responsable se opone y el Encargado no puede acomodar la objeción, el Responsable podrá terminar el servicio afectado sin penalidad por la porción no utilizada.

6. Transferencias internacionales

Los Datos Personales pueden transferirse entre la Unión Europea (Contabo DE, alojamiento primario), Costa Rica (Ministerio de Hacienda para validación de CE) y Estados Unidos (sede de Panielix LLC y Sub-encargados basados en EE. UU.). Cuando estas transferencias salen del EEE:

• El Encargado actúa como exportador de datos hacia Sub-encargados en EE. UU. y otros terceros países.
• Las transferencias se basan en las Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea el 4 de junio de 2021 (Decisión 2021/914), Módulos Dos y Tres según corresponda, que se entienden incorporadas por referencia a este DPA.
• Las evaluaciones de riesgo por jurisdicción y las medidas suplementarias correspondientes están documentadas y disponibles a solicitud.

7. Derechos de los titulares

El Encargado apoyará al Responsable para atender las solicitudes de Titulares conforme al RGPD (acceso, rectificación, supresión, portabilidad, limitación, oposición, derecho a no ser objeto de decisiones automatizadas) y la Ley 8968 (derechos ARCO). Hay herramientas de autoservicio disponibles en el panel de Facturitica en /app/settings/danger-zone (exportación de datos personales + cierre de cuenta con período de gracia de 7 días); la rectificación vive en las pantallas estándar de /app/settings. Para solicitudes que no puedan atenderse por autoservicio, el Responsable puede escalar a privacidad@facturitica.com.

8. Derechos de auditoría

Una vez por año calendario, con al menos 30 días de aviso escrito, bajo NDA y con alcance mutuamente acordado, el Responsable (o un auditor independiente aceptable para el Encargado) podrá auditar el cumplimiento de este DPA. El Encargado podrá satisfacer las auditorías con un reporte SOC 2 Tipo I/II vigente o equivalente, cuando esté disponible. Los costos de una auditoría in situ los asume el Responsable, salvo que se revele un incumplimiento material atribuible al Encargado.

9. Devolución o supresión al terminar

Al terminar la suscripción:

• El Responsable podrá exportar sus Datos Personales usando las herramientas de exportación durante 60 días a partir de la fecha de terminación efectiva.
• Transcurrida esa ventana, el Encargado suprimirá o anonimizará de manera irreversible los Datos Personales, salvo cuando la retención sea obligatoria por ley (por ejemplo, la retención de 5 años de comprobantes firmados según DGT-R-012-2018) o necesaria para la defensa legítima de reclamos legales.
• Los backups expirarán conforme al calendario de retención de la §2 de la Declaración de Seguridad (30 días rotativos).

10. Responsabilidad

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones previstas en los Términos de Servicio de Facturitica y en el contrato de suscripción subyacente. Nada en este DPA limita responsabilidades que no puedan limitarse por ley aplicable.

11. Vigencia y terminación

Este DPA entra en vigor en la fecha de aceptación y se mantiene vigente mientras el Encargado trate Datos Personales por cuenta del Responsable. La terminación de la suscripción termina automáticamente este DPA, sin perjuicio de la supervivencia de las §§4(5), 7, 8, 9 y 10.

12. Ley aplicable

Este DPA se rige por las leyes del estado de Wyoming, Estados Unidos, sin perjuicio de:

• La aplicación imperativa de la Ley 8968 de Costa Rica cuando el Responsable esté domiciliado en Costa Rica.
• La aplicación imperativa del RGPD cuando el Responsable o los Titulares estén ubicados en el Espacio Económico Europeo. En esos casos, las SCCs referenciadas en la §6 y los derechos y recursos del RGPD prevalecen sobre cualquier disposición en contrario.

13. Firmas

Este DPA se acepta electrónicamente por el Responsable en el flujo de suscripción. La aceptación por cliente y el bloque de firma ejecutable estarán disponibles desde la página de configuración /app/settings/legal una vez que se publique (pendiente; aún no desplegada). Hasta entonces, la aceptación de los Términos de Servicio que refieren este DPA se considera aceptación de este DPA.

Por el Encargado — Panielix LLC Firmado: [electrónico — plantilla pre-firmada] Nombre: Panielix LLC, firmante autorizado Fecha: 2026-04-22

Por el Responsable Firmado: [pendiente de aceptación por cliente] Nombre: [nombre del cliente] Fecha: [fecha de aceptación]

Consultas sobre este DPA: privacidad@facturitica.com.