Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA)
Última actualización: 7 de noviembre de 2025
Este Acuerdo de Procesamiento de Datos (en adelante, "Acuerdo" o "DPA" por sus siglas en inglés) establece los términos bajo los cuales Lectus SpA (el "Encargado") procesará datos personales en nombre de las bibliotecas y establecimientos educacionales (los "Responsables") que utilizan la plataforma Lectus.
Este Acuerdo se establece en cumplimiento del artículo 15 bis de la Ley N° 21.719 sobre Protección de Datos Personales de Chile y complementa nuestros Términos de Servicio y Política de Privacidad.
1. Definiciones
1.1 Responsable del Tratamiento: La biblioteca o establecimiento educacional que determina los fines y medios del tratamiento de datos personales y que contrata los servicios de Lectus.
1.2 Encargado del Tratamiento: Lectus SpA, que trata datos personales en nombre y por cuenta del Responsable, conforme a sus instrucciones.
1.3 Subencargado: Terceros proveedores de servicios tecnológicos que Lectus puede contratar para procesar datos personales en nombre del Responsable.
1.4 Datos Personales: Toda información concerniente a personas naturales identificadas o identificables procesada a través de la plataforma Lectus.
1.5 NNA: Niños, niñas y adolescentes menores de 18 años, con protecciones reforzadas para menores de 14 años según la legislación chilena.
1.6 Legislación Aplicable: Ley N° 19.628 sobre Protección de la Vida Privada y Ley N° 21.719 sobre Protección de Datos Personales.
2. Objeto y Alcance del Tratamiento
2.1 Objeto: El Encargado tratará datos personales únicamente con el propósito de prestar los servicios de gestión bibliotecaria digital descritos en los Términos de Servicio.
2.2 Naturaleza del Tratamiento:
- Recopilación de datos de usuarios (estudiantes, docentes, bibliotecarios, apoderados)
- Almacenamiento seguro en infraestructura cloud
- Procesamiento para gestión de préstamos, catálogos y estadísticas
- Análisis agregado para recomendaciones y mejora del servicio
- Comunicaciones transaccionales relacionadas con el servicio
2.3 Duración: Este Acuerdo permanecerá en vigor mientras el Responsable mantenga una suscripción activa a Lectus y continuará aplicándose durante el período de devolución/eliminación de datos posterior al término del servicio.
3. Tipos de Datos Personales y Categorías de Titulares
3.1 Categorías de Titulares:
- Estudiantes: Niños, niñas y adolescentes (NNA) matriculados en instituciones educacionales
- Docentes: Profesores y personal educativo
- Bibliotecarios: Personal de biblioteca del establecimiento
- Apoderados: Padres, madres o representantes legales de estudiantes menores de edad
- Administradores: Personal administrativo de la institución
3.2 Tipos de Datos Personales Tratados:
Datos de Identificación:
- Nombre completo
- RUT (cuando aplique)
- Fecha de nacimiento
- Correo electrónico
- Curso y nivel educacional
- Rol en la institución
Datos de Actividad:
- Historial de préstamos
- Libros favoritos y listas de lectura
- Reseñas y calificaciones
- Comentarios en publicaciones sociales
- Interacciones sociales (cuando habilitadas)
- Participación en desafíos de lectura
Datos Técnicos:
- Dirección IP
- Información del navegador y dispositivo
- Logs de acceso y navegación
- Cookies (según Política de Cookies)
Protección Reforzada para NNA
Todos los datos de niños, niñas y adolescentes son tratados con medidas de protección especiales conforme a la regulación chilena, incluyendo minimización de datos, privacy by default, y restricciones específicas sobre perfilamiento y decisiones automatizadas.
4. Obligaciones de Lectus como Encargado
El Encargado se compromete a:
4.1 Tratamiento Conforme a Instrucciones:
- Tratar los datos personales únicamente según las instrucciones documentadas del Responsable
- No utilizar los datos para fines propios o de terceros sin autorización
- Informar inmediatamente al Responsable si considera que una instrucción viola la legislación aplicable
4.2 Confidencialidad:
- Garantizar que todas las personas autorizadas para procesar datos estén sujetas a obligaciones de confidencialidad
- Implementar acuerdos de confidencialidad con empleados y contratistas
- Proporcionar capacitación regular sobre protección de datos
4.3 Seguridad de los Datos (Art. 14 quinquies):
Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:
Medidas Técnicas:
- Cifrado de datos en tránsito (TLS/HTTPS) y en reposo (AES-256)
- Autenticación robusta con hashing seguro de contraseñas (Argon2/bcrypt)
- Control de acceso basado en roles y principio de mínimo privilegio
- Segregación de datos por biblioteca (multi-tenancy)
- Copias de seguridad cifradas con capacidad de restauración
- Sistemas de detección y prevención de intrusiones
- Monitoreo continuo de seguridad y logs de auditoría
- Actualizaciones y parches de seguridad regulares
Medidas Organizativas:
- Políticas y procedimientos de seguridad de la información
- Controles de acceso físico y lógico
- Plan de respuesta a incidentes de seguridad
- Evaluaciones de riesgo periódicas
- Capacitación continua del personal
- Auditorías de seguridad internas y externas
4.4 Notificación de Brechas de Seguridad (Art. 14 sexies):
- Notificar al Responsable sin dilación indebida (máximo 72 horas) cualquier brecha de seguridad que afecte datos personales
- Proporcionar información sobre la naturaleza de la brecha, datos afectados, medidas tomadas y recomendaciones
- Cooperar con el Responsable en el cumplimiento de su obligación de notificar a la Agencia de Protección de Datos y a los titulares cuando corresponda
- Documentar todas las brechas, incluyendo hechos, efectos y medidas correctivas
4.5 Asistencia al Responsable:
- Ayudar al Responsable a dar respuesta a solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, portabilidad, etc.)
- Colaborar en el cumplimiento de obligaciones de evaluación de impacto en la protección de datos (EIPD)
- Cooperar en consultas previas a la Agencia de Protección de Datos cuando sea requerido
- Proporcionar información necesaria para demostrar cumplimiento de este Acuerdo
4.6 Eliminación o Devolución de Datos:
- Al término del servicio, eliminar o devolver todos los datos personales al Responsable según su elección
- Eliminar todas las copias existentes, salvo que la legislación requiera su conservación
- Proporcionar certificación por escrito de eliminación o devolución
- Mantener datos únicamente si existe obligación legal de retención, informando al Responsable
5. Subencargados del Tratamiento
5.1 Autorización para Subencargados: El Responsable autoriza al Encargado a contratar subencargados para aspectos específicos del tratamiento, siempre que se cumplan las condiciones de este Acuerdo.
5.2 Lista de Subencargados Actuales:
Amazon Web Services (AWS)
Servicio: Hosting, almacenamiento y base de datos
Ubicación: [Especificar región]
Medidas: Certificaciones ISO 27001, SOC 2, cumplimiento GDPR
Sentry
Servicio: Monitoreo de errores y rendimiento
Medidas: Datos anonimizados, cumplimiento GDPR
[Proveedor de Email]
Servicio: Envío de emails transaccionales
Medidas: [Detalles de seguridad]
5.3 Obligaciones sobre Subencargados:
- Imponer a los subencargados las mismas obligaciones de protección de datos establecidas en este Acuerdo
- Realizar evaluación de cumplimiento antes de contratar subencargados
- Supervisar regularmente el cumplimiento de los subencargados
- Mantener responsabilidad plena ante el Responsable por las actuaciones de los subencargados
5.4 Cambios en Subencargados:
- Notificar al Responsable con al menos 30 días de antelación sobre la adición o sustitución de subencargados
- Permitir al Responsable objetar el cambio por razones legítimas relacionadas con protección de datos
- Si el Responsable objeta y no se encuentra solución, puede terminar el servicio sin penalización
6. Transferencias Internacionales de Datos
6.1 Autorización: El Responsable autoriza las transferencias internacionales de datos personales necesarias para la prestación del servicio, siempre que se cumplan las garantías adecuadas.
6.2 Garantías Implementadas:
- Cláusulas contractuales estándar de protección de datos con subencargados internacionales
- Evaluación de adecuación del nivel de protección del país de destino
- Medidas técnicas adicionales: cifrado punto a punto, pseudonimización cuando es posible
- Registro y documentación de todas las transferencias internacionales
- Revisión regular de las garantías ante cambios legislativos en países de destino
6.3 Cumplimiento con Ley N° 21.719: Todas las transferencias se realizan conforme a los artículos 27-29 de la Ley N° 21.719 y bajo supervisión potencial de la Agencia de Protección de Datos Personales.
7. Derechos y Obligaciones del Responsable
7.1 Derecho de Auditoría:
- El Responsable puede auditar el cumplimiento del Encargado mediante revisión de documentación, certificaciones y reportes
- Puede solicitar auditorías in situ con previo aviso razonable (30 días), máximo una vez al año, salvo sospecha fundada de incumplimiento
- El Encargado proporcionará toda la información necesaria para demostrar cumplimiento
- Las auditorías se realizarán sin interrumpir las operaciones normales del Encargado
7.2 Obligaciones del Responsable:
- Proporcionar instrucciones claras y documentadas sobre el tratamiento de datos
- Garantizar que tiene base legal para el tratamiento y para contratar al Encargado
- Obtener consentimientos parentales cuando sean requeridos (menores de 14 años)
- Atender solicitudes de ejercicio de derechos de los titulares
- Notificar a la Agencia y titulares sobre brechas cuando corresponda
- Mantener su propia documentación de cumplimiento
8. Evaluaciones de Impacto en la Protección de Datos
8.1 EIPD Realizadas: Conforme al artículo 15 ter de la Ley N° 21.719, Lectus ha realizado Evaluaciones de Impacto para:
- Sistema de recomendaciones personalizadas (perfilamiento)
- Tratamiento masivo de datos de lectura y comportamiento
- Funcionalidades sociales y análisis de interacciones
- Procesamiento de datos de NNA a gran escala
8.2 Cooperación: El Encargado proporcionará al Responsable la información necesaria para realizar o actualizar sus propias EIPD cuando lo requiera.
9. Duración y Terminación
9.1 Vigencia: Este Acuerdo entra en vigor cuando el Responsable acepta los Términos de Servicio y permanece vigente mientras dure la relación contractual.
9.2 Terminación:
- Por finalización del servicio según lo acordado comercialmente
- Por incumplimiento grave de cualquiera de las partes
- Por requerimiento de autoridad competente
9.3 Efectos de la Terminación:
- El Encargado cesará inmediatamente todo tratamiento de datos personales (excepto almacenamiento seguro temporal para devolución)
- Dentro de 30 días: devolución o eliminación de todos los datos según elección del Responsable
- Certificación por escrito de eliminación o devolución completa
- Obligaciones de confidencialidad continúan vigentes post-terminación
10. Ley Aplicable y Jurisdicción
10.1 Este Acuerdo se rige por las leyes de la República de Chile, específicamente:
- Ley N° 19.628 sobre Protección de la Vida Privada
- Ley N° 21.719 sobre Protección de Datos Personales
- Regulaciones de la Agencia de Protección de Datos Personales (cuando entre en funcionamiento)
10.2 Cualquier controversia será sometida a los tribunales ordinarios de justicia de Santiago, Chile.
11. Contacto
Para consultas relacionadas con este Acuerdo de Procesamiento de Datos:
Lectus SpA (Encargado del Tratamiento)
Email de Privacidad: privacidad@lectus.cl
Email Legal: legal@lectus.cl
Sitio web: lectus.org
Para Responsables (Bibliotecas): Este acuerdo forma parte integral de su contrato de servicio con Lectus. Para ejercer sus derechos de auditoría o reportar preocupaciones sobre cumplimiento, contacte directamente los emails indicados arriba.