Acuerdo de Procesamiento de Datos (DPA)
Este Acuerdo de Procesamiento de Datos ("DPA") complementa los Términos del Servicio y regula el tratamiento de datos personales que Dren Group LLC ("Encargado") realiza por cuenta del bufete suscriptor ("Responsable") en la prestación del servicio JurisRD. Este DPA cumple con la Ley 172-13 de la República Dominicana y, cuando aplica, con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
1. Definiciones
- "Datos del Responsable": los datos personales que el Responsable procesa a través del Servicio, incluyendo datos de sus clientes finales, contrapartes, contactos, miembros del bufete y cualquier otro titular cuyos datos ingrese o genere en JurisRD.
- "Sub-encargado": cualquier tercero contratado por Dren Group para procesar Datos del Responsable.
- "Brecha de Seguridad": violación de la seguridad que conlleve destrucción, pérdida, alteración, comunicación o acceso no autorizado a Datos del Responsable.
2. Objeto, naturaleza y duración del tratamiento
Objeto: permitir al Responsable utilizar el Servicio JurisRD para la gestión de su práctica legal.
Naturaleza: almacenamiento, organización, consulta, modificación, recuperación y comunicación de datos en infraestructura de Dren Group y sub-encargados autorizados. Procesamiento por inteligencia artificial únicamente cuando el Responsable lo solicita explícitamente (botón "Generar borrador con IA" u otras acciones equivalentes).
Duración: mientras esté vigente la suscripción del Responsable, más el período de retención post-cancelación de 90 días para permitir exportación.
3. Tipos de datos y categorías de titulares
| Categoría de titular | Tipos de datos |
|---|---|
| Miembros del bufete | Nombre, correo electrónico, rol, capacidades, historial de acceso |
| Clientes finales del bufete | Nombre, correo, teléfono, cédula/RNC, dirección, contenido de expedientes, comunicaciones, documentos cargados |
| Contrapartes y testigos | Nombre, organización, datos de contacto, notas vinculadas a expedientes |
| Jueces y autoridades | Nombre, tribunal, jurisdicción (datos públicos) |
| Datos financieros | Honorarios, gastos, cuentas bancarias para facturas (no se almacenan datos PAN de tarjetas — son procesados directamente por Stripe) |
4. Instrucciones del Responsable
Dren Group procesa los Datos del Responsable únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las contenidas en los Términos del Servicio, este DPA, la configuración del bufete en JurisRD y cualquier instrucción adicional comunicada por escrito.
Si Dren Group considera que una instrucción infringe la ley aplicable, lo notificará al Responsable sin demora indebida.
5. Confidencialidad del personal
Dren Group garantiza que todo personal autorizado para procesar Datos del Responsable está sujeto a deber de confidencialidad de naturaleza estatutaria o contractual. El acceso del personal al sistema se rige por el principio de menor privilegio y se registra en la bitácora de auditoría.
6. Seguridad del tratamiento
Detalle completo en la Política de Seguridad. Compromisos mínimos:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM para respaldos)
- Aislamiento por bufete mediante Row-Level Security en PostgreSQL
- Respaldos diarios cifrados en Cloudflare R2 con claves bajo control exclusivo de Dren Group
- Bitácora completa de quién accede a qué dato del Responsable, con marca de tiempo
- Pruebas de restauración cada 90 días
- Procedimientos de respuesta a incidentes documentados y ensayados
7. Sub-encargados
El Responsable autoriza de manera general la subcontratación. Sub-encargados actuales:
| Sub-encargado | Función | Ubicación | Garantías |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento de archivos | EE.UU. (us-east-1) | SOC 2 Type II, SCC firmadas |
| Cloudflare, Inc. | CDN, WAF, R2 (respaldos cifrados) | EE.UU. (ENAM) | SOC 2 Type II, ISO 27001, SCC firmadas |
| Netlify, Inc. | Hospedaje web | EE.UU. | SOC 2 Type II |
| Anthropic, PBC | Inteligencia artificial (Claude) | EE.UU. | SOC 2 Type II, no entrena modelos con datos del Cliente |
| Stripe Payments | Procesamiento de tarjetas | EE.UU. / Irlanda | PCI DSS Level 1, SOC 2 Type II |
| Resend Inc. | Correos transaccionales | EE.UU. | SOC 2 Type II en proceso |
| Twilio Inc. | Línea telefónica (Firm y Enterprise) | EE.UU. | SOC 2 Type II, HIPAA-eligible |
Dren Group notificará al Responsable con al menos 30 días de antelación cualquier adición o sustitución de sub-encargados. El Responsable puede objetar por escrito por razones razonables relacionadas con protección de datos; en tal caso, Dren Group propondrá una alternativa o el Responsable podrá rescindir el contrato sin penalidad.
8. Derechos de los titulares
Dren Group asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, a responder las solicitudes de los titulares ejerciendo sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. La asistencia se presta sin costo adicional hasta 5 solicitudes mensuales; solicitudes adicionales se facturan al costo razonable.
Si Dren Group recibe directamente una solicitud de un titular, la remitirá al Responsable sin demora indebida.
9. Brechas de seguridad
Dren Group notificará al Responsable sin demora indebida y en todo caso dentro de las 72 horas tras tener conocimiento de una Brecha de Seguridad que afecte a Datos del Responsable. La notificación incluirá:
- Naturaleza de la brecha, categorías y número aproximado de titulares y registros afectados
- Consecuencias probables de la brecha
- Medidas adoptadas o propuestas para abordar la brecha y mitigar efectos adversos
- Punto de contacto para más información
Dren Group asistirá al Responsable en sus propias obligaciones de notificación ante la autoridad de control y, cuando aplique, ante los titulares afectados.
10. Auditoría
Dren Group pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones de este DPA, incluyendo:
- Acceso a la Política de Seguridad detallada y a los reportes de auditoría de los sub-encargados clave
- Respuesta a cuestionarios de seguridad razonablemente solicitados
- Permitir, una vez al año y con aviso de al menos 30 días, una auditoría por parte del Responsable o un auditor independiente acreditado, sujeta a confidencialidad y limitada a información relevante para el cumplimiento de este DPA. El costo de la auditoría corre por cuenta del Responsable salvo que se descubra incumplimiento material.
11. Transferencias internacionales
Los Datos del Responsable se procesan en Estados Unidos. Para transferencias desde la República Dominicana o la Unión Europea aplican las garantías siguientes:
- Cláusulas Contractuales Estándar (SCC) de la Comisión Europea, módulo Responsable–Encargado, incorporadas por referencia
- Cifrado robusto en tránsito y en reposo según lo descrito en la sección 6
- Acuerdos de procesamiento firmados con cada sub-encargado que contienen obligaciones equivalentes a este DPA
12. Devolución y eliminación al finalizar
Al finalizar la suscripción, Dren Group ofrecerá al Responsable un período de 90 días para exportar sus datos vía API o función de exportación. Transcurrido ese período, todos los Datos del Responsable se eliminarán de forma segura de los sistemas activos y de los respaldos durante el ciclo de rotación natural (máximo 13 meses para respaldos cifrados). La eliminación de los respaldos se certificará por escrito a petición del Responsable.
13. Datos de prueba e inteligencia artificial
Dren Group no utiliza Datos del Responsable para entrenar modelos de inteligencia artificial. Las llamadas al modelo Claude de Anthropic se realizan sin opt-in para mejora de modelos. Los logs de las llamadas con IA se conservan únicamente para auditoría de costo y se anonimizan tras 90 días.
14. Cláusulas finales
- En caso de conflicto entre este DPA y los Términos del Servicio, prevalece este DPA en materia de protección de datos.
- En caso de conflicto entre este DPA y las SCC incorporadas, prevalecen las SCC.
- Notificaciones de protección de datos: privacidad@dren.group.