DevZen Solutions
Filial de Nümia Group
Documento   DPA · Anexo B
Versión   v1.0 · template
Fecha   {FECHA_DPA}
Acuerdo de tratamiento de datos personales

Data Processing Agreement.

Anexo B al Master Service Agreement firmado entre DevZen Solutions y {CLIENTE_RAZON_SOCIAL} con fecha {FECHA_MSA}, regido por las disposiciones del MSA. En caso de conflicto entre el MSA y el presente DPA respecto del tratamiento de datos personales, prevalece el presente DPA. El presente instrumento cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Identificación de las partes
Encargado · DevZen
DevZen Solutions
Entidad
{ENTIDAD_LEGAL}
Filial de
Nümia Group LTD
Representante
Kike Vázquez · CEO/CTO · Co-Founder
Domicilio
{DOMICILIO_FISCAL_DZ}
RFC
{RFC_DEVZEN}
Email
kike@numia.group
Teléfono
+52 981 123-6415
Responsable · Cliente
{CLIENTE_RAZON_SOCIAL}
Representante
{CLIENTE_REPRESENTANTE}
Cargo
{CLIENTE_CARGO}
Domicilio
{CLIENTE_DOMICILIO}
RFC
{CLIENTE_RFC}
Email
{CLIENTE_EMAIL}
Teléfono
{CLIENTE_TELEFONO}
Declaraciones

I. Declara DevZen que actuará en el presente acuerdo como Encargado del tratamiento por cuenta del Cliente, y que cumple con las obligaciones y medidas que la LFPDPPP, su Reglamento y los Lineamientos del INAI imponen a quien trata datos personales por cuenta de un Responsable.

II. Declara el Cliente, por conducto de su representante legal, que actúa como Responsable del tratamiento, que cuenta con la base legítima y el Aviso de Privacidad correspondiente para encargar a DevZen el tratamiento descrito, y que los datos consignados son veraces.

III. Declaran las Partes que la prestación de los Servicios pactados en el MSA implica el tratamiento de datos personales por cuenta del Responsable, y que el presente DPA regula dicho tratamiento conforme a las cláusulas siguientes.

IV. Las categorías de datos, finalidades, plazos, medidas de seguridad y eventuales transferencias internacionales se detallan en las cláusulas tercera, sexta y novena del presente instrumento.

DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 01 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   02 / 07
Cláusulas

Definiciones y roles.

1
Definiciones.

Para los efectos del presente acuerdo, los términos siguientes tendrán el significado que la LFPDPPP y su Reglamento les atribuyen, los cuales se reproducen y precisan a continuación:

Datos personales
Cualquier información concerniente a una persona física identificada o identificable.
Datos sensibles
Datos personales que afecten a la esfera más íntima del Titular o cuyo uso indebido pueda dar origen a discriminación o entrañar riesgo grave (origen racial, estado de salud, información genética, creencias religiosas, opiniones políticas, preferencia sexual, datos financieros y patrimoniales).
Responsable
Persona física o moral que decide sobre el tratamiento de los datos personales.
Encargado
Persona física o moral que sola o conjuntamente con otras trata datos personales por cuenta del Responsable.
Titular
La persona física a quien corresponden los datos personales.
Tratamiento
La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición.
Transferencia
Toda comunicación de datos realizada a persona distinta del Responsable o Encargado.
Derechos ARCO
Derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP reconoce al Titular respecto de sus datos personales.
Aviso de privacidad
Documento físico, electrónico o en cualquier otro formato generado por el Responsable que es puesto a disposición del Titular previo al tratamiento de sus datos personales.
Incidente de seguridad
Cualquier vulneración a las medidas de seguridad implementadas que afecte de forma significativa los derechos patrimoniales o morales de los Titulares.
2
Roles de las Partes.

Las Partes reconocen y aceptan que, en el contexto del presente DPA y de los Servicios prestados al amparo del MSA, sus roles son los siguientes:

  1. El Cliente actúa como Responsable del tratamiento. Es quien decide sobre los fines y medios del mismo, mantiene la titularidad sobre los datos y cuenta con el Aviso de Privacidad correspondiente frente a los Titulares.
  2. DevZen actúa como Encargado del tratamiento por cuenta del Responsable. DevZen trata los datos exclusivamente conforme a las instrucciones documentadas del Cliente, descritas en el presente DPA, en el MSA y en cada SOW vigente.
  3. DevZen no toma decisiones autónomas sobre los fines y medios del tratamiento. Cualquier uso distinto al instruido por el Responsable requerirá autorización previa y por escrito.
  4. Las instrucciones del Responsable se entienden documentadas en: (i) el presente DPA; (ii) el MSA; (iii) los SOWs firmados; (iv) las comunicaciones escritas posteriores entre los representantes oficiales de las Partes.
DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 02 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   03 / 07
Cláusulas

Categorías de datos, titulares y finalidades.

3
Categorías de datos, titulares y finalidades del tratamiento.

Las categorías de datos personales que DevZen tratará por cuenta del Responsable, sus titulares y las finalidades correspondientes son las que se detallan en la tabla siguiente. Las categorías marcadas con el badge Sensible activan las obligaciones reforzadas de la cláusula sexta.

Categoría Tipo Titulares Finalidad
{CATEGORIA_1} {TIPO_1}
Sensible		 {TITULARES_1} {FINALIDAD_1}
{CATEGORIA_2} {TIPO_2} {TITULARES_2} {FINALIDAD_2}
{CATEGORIA_3} {TIPO_3} {TITULARES_3} {FINALIDAD_3}
{CATEGORIA_4} {TIPO_4} {TITULARES_4} {FINALIDAD_4}
{CATEGORIA_5} {TIPO_5} {TITULARES_5} {FINALIDAD_5}

Tipos sugeridos: identificación · contacto · clínico · financiero · biométrico · operativo · transaccional. Marcar con Sensible las categorías que la LFPDPPP clasifique como tales (salud, financieros, biométricos, religiosos, políticos, sexuales, raciales).

3.1 Plazo de conservación. Los datos se conservarán por el plazo necesario para cumplir las finalidades descritas, o por el plazo que la legislación aplicable obligue (fiscal, contable, regulatorio). Salvo pacto en contrario en el SOW correspondiente, el plazo máximo de conservación es de {PLAZO_CONSERVACION_MESES} meses contados desde la terminación del Servicio.

3.2 Cambios en las categorías. Cualquier modificación material a las categorías, titulares o finalidades requerirá enmienda escrita al presente DPA, firmada por ambas Partes.

DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 03 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   04 / 07
Cláusulas

Obligaciones del Encargado y sub-encargados.

4
Obligaciones del Encargado (DevZen).

DevZen se obliga, durante la vigencia del presente DPA y en relación con los datos personales tratados por cuenta del Responsable, a:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable y para las finalidades descritas en la cláusula tercera.
  2. No utilizar los datos personales para fines distintos de los instruidos por el Responsable, ni con propósitos comerciales propios de DevZen.
  3. Implementar y mantener las medidas de seguridad técnicas, administrativas y físicas descritas en la cláusula sexta.
  4. Mantener un registro interno de actividades de tratamiento que permita acreditar el cumplimiento de las obligaciones del presente DPA.
  5. Permitir al Responsable, previo aviso con al menos diez (10) días hábiles de anticipación, auditorías razonables que verifiquen el cumplimiento del presente DPA, una vez por año natural y con costo a cargo del Responsable.
  6. Devolver o destruir los datos personales al término del MSA, del SOW que originó el tratamiento, o a solicitud expresa del Responsable, conforme a la cláusula décima.
  7. Notificar al Responsable cualquier incidente de seguridad dentro de las setenta y dos (72) horas siguientes a su detección, conforme a la cláusula octava.
  8. Asistir al Responsable en la atención de solicitudes de los Titulares para ejercer derechos ARCO, conforme a la cláusula séptima.
  9. Mantener la confidencialidad de los datos personales tratados, e imponer a su personal y a sus sub-encargados obligaciones de confidencialidad equivalentes.
5
Sub-encargados.

DevZen podrá apoyarse en sub-encargados —entendiéndose por tales los proveedores de servicios cloud, servicios SaaS, APIs de terceros y demás auxiliares— para la prestación de los Servicios, sujeto a las siguientes condiciones:

  1. La lista actualizada de sub-encargados autorizados se mantiene en el Anexo C del MSA, a petición del Responsable.
  2. Cualquier cambio material en dicha lista —incorporación o sustitución de sub-encargado relevante— se notificará al Responsable con al menos quince (15) días naturales de anticipación al cambio efectivo.
  3. El Responsable podrá objetar la incorporación de un sub-encargado por razón fundada y vinculada a riesgos de protección de datos, dentro del plazo señalado.
  4. Cada sub-encargado se obligará, mediante contrato escrito con DevZen, a obligaciones de protección de datos y seguridad equivalentes o más estrictas que las contenidas en el presente DPA.
  5. DevZen permanece responsable frente al Cliente por el cumplimiento de las obligaciones del presente DPA por parte de sus sub-encargados.
DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 04 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   05 / 07
Cláusulas

Medidas de seguridad técnicas y administrativas.

6
Medidas de seguridad.

DevZen implementa y mantiene, como mínimo, las siguientes medidas de seguridad técnicas, administrativas y físicas, orientadas a proteger los datos personales contra pérdida, alteración, destrucción, uso o acceso no autorizado:

  1. Cifrado en tránsito. Todas las comunicaciones de datos personales se realizan sobre TLS 1.2 o superior, con certificados emitidos por autoridad reconocida.
  2. Cifrado en reposo. Bases de datos productivas con cifrado a nivel de almacenamiento. Tratándose de datos personales sensibles, cifrado adicional a nivel de aplicación con AES-256.
  3. Control de acceso por roles (RBAC). Acceso a los datos restringido a personal estrictamente necesario, con segregación de funciones documentada. Revisión semestral de permisos.
  4. Autenticación multifactor (MFA). Obligatoria en accesos administrativos, consolas cloud, repositorios productivos y sistemas con acceso a datos personales sensibles.
  5. Política de contraseñas. Contraseñas robustas, rotación periódica, prohibición de reutilización y almacenamiento en gestor cifrado autorizado.
  6. Logs auditables. Registro de accesos y modificaciones a los datos personales, con retención mínima de {PLAZO_LOGS_MESES} meses (por defecto 12 meses) y protección contra alteración.
  7. Backups. Respaldos cifrados con retención de {PLAZO_BACKUP} días (por defecto 30 días). Pruebas de restauración trimestrales documentadas.
  8. Separación de ambientes. Aislamiento estricto entre producción, staging y desarrollo. Los datos personales productivos no se replican a ambientes inferiores; se utilizan datos sintéticos o anonimizados para pruebas.
  9. Plan de respuesta a incidentes. Procedimiento documentado de detección, contención, notificación, remediación y postmortem, conforme a la cláusula octava.
  10. Capacitación al personal. Personal con acceso a datos personales recibe capacitación al ingreso y actualizaciones anuales en materia de LFPDPPP y seguridad de la información.
  11. Datos sensibles · obligaciones reforzadas. Cuando el tratamiento involucre datos sensibles, además de lo anterior aplican: (i) acceso restringido a usuarios estrictamente necesarios con justificación documentada; (ii) revisión mensual de accesos; (iii) cifrado AES-256 a nivel de aplicación; (iv) prohibición absoluta de exportación local sin autorización escrita del Responsable.
DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 05 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   06 / 07
Cláusulas

Derechos ARCO, incidentes y transferencias.

7
Derechos ARCO de los Titulares.

DevZen asiste al Responsable en la atención oportuna de solicitudes de los Titulares para ejercer sus derechos de Acceso, Rectificación, Cancelación, Oposición (ARCO) y portabilidad, conforme a la LFPDPPP:

  1. El Titular ejerce sus derechos ARCO frente al Responsable, no frente al Encargado. El Responsable mantiene la titularidad de la relación con los Titulares y la responsabilidad primaria de la respuesta.
  2. Cuando la atención de la solicitud requiera acción técnica por parte de DevZen, el Responsable notificará la solicitud al correo kike@numia.group con la información necesaria para identificar al Titular y los datos afectados.
  3. DevZen responderá al Responsable con el plan de acción técnico —incluyendo plazos, sistemas afectados y método de ejecución— dentro de los cinco (5) días hábiles siguientes a la notificación.
  4. DevZen ejecutará la acción técnica acordada dentro del plazo legal aplicable, de modo que el Responsable pueda responder al Titular en el plazo máximo de veinte (20) días hábiles que la LFPDPPP impone, contados desde la solicitud original.
8
Notificación de incidentes de seguridad.

En caso de que DevZen detecte un incidente de seguridad que afecte a los datos personales tratados por cuenta del Responsable, se obliga a:

  1. Notificar al Responsable dentro de las setenta y dos (72) horas siguientes a la detección, al correo declarado {CLIENTE_EMAIL}, con el detalle disponible al momento.
  2. La notificación incluirá, como mínimo: (i) naturaleza del incidente; (ii) datos personales afectados y número aproximado de Titulares; (iii) medidas tomadas para contener y mitigar el incidente; (iv) medidas previstas; (v) punto de contacto técnico en DevZen.
  3. El Responsable, en su carácter de tal, notificará al INAI y a los Titulares conforme a los términos de la LFPDPPP. DevZen colaborará razonablemente en la documentación del incidente y en la atención de requerimientos de la autoridad.
  4. DevZen entregará al Responsable un informe postmortem con análisis de causa raíz, medidas correctivas y mejoras al plan de respuesta dentro de los treinta (30) días naturales posteriores al cierre del incidente.
9
Transferencias internacionales.

Si la prestación de los Servicios implica la transferencia de datos personales fuera del territorio mexicano —por ejemplo, hosting cloud en otra jurisdicción, servicios SaaS internacionales, APIs alojadas en el extranjero— DevZen documenta y mantiene la siguiente información, disponible para el Responsable a petición:

  1. País o región de destino de la transferencia.
  2. Sub-encargado receptor, incluido en el Anexo C del MSA.
  3. Garantías aplicables, tales como cláusulas contractuales tipo, adhesión a esquemas reconocidos por el INAI, Reglas Generales del INAI sobre transferencias, o consentimiento expreso del Titular cuando corresponda.
  4. Categorías de datos transferidas y finalidad específica de la transferencia.

El Responsable conserva la obligación de informar al Titular sobre las transferencias internacionales en su Aviso de Privacidad.

DevZen Solutions · Filial de Nümia Group LTD · kike@numia.group · +52 981 123-6415 · devzen.numia.group 06 / 07 · DPA v1.0
DevZen Solutions
Filial de Nümia Group
Doc   DPA · Anexo B · v1.0
Partes   DevZen · {CLIENTE_RAZON_SOCIAL}
Página   07 / 07
Cláusulas

Término del tratamiento.

10
Término del tratamiento.

A la terminación del MSA, del SOW que originó el tratamiento, o a solicitud por escrito del Responsable, DevZen se obliga a:

  1. Devolver o destruir los datos personales que obren en su poder, a elección del Responsable, dentro de un plazo no mayor a treinta (30) días naturales contados a partir de la terminación o de la solicitud expresa, incluyendo copias, derivados, respaldos y registros digitales.
  2. Emitir certificación escrita, firmada por el representante legal de DevZen, en la que conste la devolución o destrucción de los datos personales y, en su caso, la imposibilidad técnica de eliminar copias por razones legales o regulatorias.
  3. Conservar únicamente lo que la legislación aplicable exija conservar (por ejemplo, registros fiscales, contables o regulatorios), bajo obligaciones de confidencialidad equivalentes a las del presente DPA durante el plazo legal correspondiente.
  4. Notificar a los sub-encargados involucrados la obligación de devolver o destruir los datos en términos equivalentes.
Aceptación y firma

Las Partes manifiestan que han leído, entendido y aceptado el contenido del presente Acuerdo de Tratamiento de Datos Personales, anexo al MSA, y lo firman por duplicado en la fecha indicada a continuación, conservando cada Parte un ejemplar.

Kike Vázquez
CEO / CTO · Encargado · DevZen Solutions
Fecha: {FECHA_DPA}
{CLIENTE_REPRESENTANTE}
{CLIENTE_CARGO} · Responsable · {CLIENTE_RAZON_SOCIAL}
Fecha: {FECHA_DPA}
Disclaimer Template DevZen v1.0 · Documento sujeto a revisión por abogado mexicano especializado en protección de datos antes de uso comercial · No constituye asesoría legal · Si los datos tratados son sensibles (salud, financieros, biométricos), se recomienda revisión adicional por experto en LFPDPPP previo a la firma. Versión genérica de marco — cada operación particular puede requerir cláusulas adicionales o modificaciones.