Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA)
Última actualización: 25 de enero de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integral del contrato de servicios entre su empresa ("el Responsable" o "Cliente") y el proveedor del Sistema de Gestión Judicial ("el Encargado" o "Proveedor").
Este DPA establece las obligaciones de las partes respecto al tratamiento de datos personales, en cumplimiento con la Ley N° 7593/2025 de Protección de Datos Personales de Paraguay.
Al utilizar el Sistema, el Cliente acepta los términos de este DPA.
- Datos Personales: Cualquier información relacionada con una persona física identificada o identificable.
- Responsable del Tratamiento: El Cliente que determina los fines y medios del tratamiento de datos personales.
- Encargado del Tratamiento: El Proveedor que trata datos personales por cuenta del Responsable.
- Titular de los Datos: La persona física cuyos datos personales son objeto de tratamiento.
- Subencargado: Tercero que trata datos personales por cuenta del Encargado.
- Violación de Seguridad: Cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de los datos personales.
3.1 El Cliente como Responsable
El Cliente:
- Determina los fines y medios del tratamiento de datos
- Garantiza la licitud del tratamiento
- Obtiene los consentimientos necesarios de los titulares
- Atiende las solicitudes de ejercicio de derechos ARCO
- Cumple con las obligaciones de la Ley 7593/2025
3.2 El Proveedor como Encargado
El Proveedor:
- Trata los datos únicamente según las instrucciones del Cliente
- No utiliza los datos para fines propios
- Implementa medidas de seguridad apropiadas
- Asiste al Cliente en el cumplimiento de sus obligaciones
- Mantiene confidencialidad de los datos
4.1 Tipos de Datos
- Datos de identificación (nombre, cédula, RUC)
- Datos de contacto (email, teléfono, dirección)
- Datos financieros (ingresos, cuentas bancarias - cifrados)
- Datos judiciales (expedientes, actuaciones)
- Datos de acceso (logs, IPs)
4.2 Categorías de Titulares
- Usuarios del sistema (abogados, procuradores, administrativos)
- Clientes de los estudios jurídicos
- Partes en procesos judiciales
4.3 Finalidades del Tratamiento
- Gestión de casos judiciales
- Administración de clientes
- Cálculo de honorarios
- Generación de reportes
- Cumplimiento de obligaciones legales
El Proveedor se compromete a:
5.1 Instrucciones
- Tratar datos solo según instrucciones documentadas del Cliente
- Informar si una instrucción infringe la normativa
5.2 Confidencialidad
- Asegurar que el personal autorizado se comprometa a la confidencialidad
- Limitar el acceso a datos al personal estrictamente necesario
5.3 Seguridad
- Implementar medidas técnicas y organizativas apropiadas
- Cifrado de datos sensibles (AES-256)
- Control de acceso basado en roles
- Aislamiento de datos por tenant
- Copias de seguridad cifradas
- Monitoreo de seguridad continuo
5.4 Subencargados
- No contratar subencargados sin autorización previa
- Asegurar que los subencargados cumplan las mismas obligaciones
- Informar de cambios en subencargados con 30 días de antelación
5.5 Asistencia al Responsable
- Asistir en la atención de solicitudes de derechos ARCO
- Proporcionar información para evaluaciones de impacto
- Colaborar con la autoridad de protección de datos
El Proveedor implementa las siguientes medidas de seguridad conforme al artículo 24 de la Ley 7593/2025:
6.1 Medidas Técnicas
- Cifrado AES-256-GCM para datos sensibles en reposo
- TLS 1.3 para datos en tránsito
- Controles de acceso reforzados para cuentas administrativas
- Gestión segura de sesiones con timeout automático
- Firewalls y sistemas de detección de intrusos
- Pruebas de penetración anuales
6.2 Medidas Organizativas
- Políticas de seguridad documentadas
- Formación periódica del personal
- Control de acceso basado en el principio de mínimo privilegio
- Procedimientos de gestión de incidentes
- Auditorías internas regulares
6.3 Continuidad del Negocio
- Copias de seguridad diarias cifradas
- Plan de recuperación ante desastres
- Infraestructura redundante
7.1 Obligación de Notificar
El Proveedor notificará al Cliente cualquier violación de seguridad que afecte a datos personales dentro de las 48 horas siguientes a su detección.
7.2 Contenido de la Notificación
La notificación incluirá:
- Descripción de la naturaleza de la violación
- Categorías y número aproximado de titulares afectados
- Categorías y número aproximado de registros afectados
- Posibles consecuencias
- Medidas adoptadas o propuestas para remediar la situación
7.3 Asistencia
El Proveedor asistirá al Cliente en el cumplimiento de sus obligaciones de notificación a la autoridad de control y a los titulares afectados.
El Cliente autoriza al Proveedor a utilizar los siguientes subencargados:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Vercel | Hosting de aplicación | Estados Unidos / Global |
| Neon / Supabase | Base de datos PostgreSQL | Estados Unidos / Europa |
| Cloudflare R2 | Almacenamiento de archivos | Global |
* El Proveedor notificará cambios en subencargados con 30 días de antelación. El Cliente puede objetar nuevos subencargados dentro de los 14 días siguientes a la notificación.
Para transferencias de datos fuera de Paraguay, el Proveedor garantiza:
- El país receptor ofrece un nivel adecuado de protección, o
- Se aplican cláusulas contractuales tipo aprobadas, o
- Existen garantías apropiadas conforme a la Ley 7593/2025
Todos los subencargados listados cuentan con certificaciones de cumplimiento (SOC 2, ISO 27001) y acuerdos de protección de datos.
El Proveedor asistirá al Cliente en la atención de solicitudes de ejercicio de derechos ARCO+P:
- Acceso: Exportación de datos del titular en formato estructurado
- Rectificación: Interfaz para corrección de datos
- Cancelación: Eliminación segura de datos con certificación
- Oposición: Bloqueo del tratamiento de datos específicos
- Portabilidad: Exportación en formatos estándar (JSON, CSV)
El Proveedor responderá a solicitudes de asistencia dentro de 5 días hábiles.
El Cliente tiene derecho a realizar auditorías para verificar el cumplimiento de este DPA:
- Con aviso previo de al menos 30 días
- Durante horario laboral y sin interrumpir operaciones
- Máximo una auditoría por año calendario
- Los costos de auditoría son asumidos por el Cliente
Alternativamente, el Proveedor proporcionará:
- Certificaciones de cumplimiento actuales
- Informes de auditorías independientes
- Documentación de medidas de seguridad
12.1 Duración
Este DPA permanece vigente mientras el Cliente utilice el Sistema y existan datos personales en tratamiento.
12.2 Obligaciones al Finalizar
Al terminar el contrato, el Proveedor:
- Proporcionará al Cliente un período de 30 días para exportar sus datos
- Eliminará o devolverá todos los datos personales, a elección del Cliente
- Certificará por escrito la eliminación de los datos
- Podrá conservar datos necesarios por obligación legal, informando al Cliente
Cada parte será responsable de los daños causados por incumplimiento de sus obligaciones bajo este DPA o la Ley 7593/2025.
El Proveedor indemnizará al Cliente por:
- Incumplimiento de las instrucciones documentadas del Cliente
- Violaciones de seguridad causadas por negligencia del Proveedor
- Incumplimiento de las obligaciones de este DPA
Las limitaciones de responsabilidad del contrato principal aplican a este DPA, excepto en caso de dolo o negligencia grave.
Este DPA se rige por las leyes de la República del Paraguay, especialmente la Ley N° 7593/2025 de Protección de Datos Personales.
Las partes se someten a la jurisdicción de los tribunales ordinarios de la ciudad de Asunción para cualquier controversia derivada de este acuerdo.
Para consultas relacionadas con este DPA:
- Oficial de Protección de Datos: dpo@sistemajudicial.com.py
- Seguridad: seguridad@sistemajudicial.com.py