AiboTask AiboTask Legal Documentos legales públicos

Documentos legales públicos

AiboTask — Anexo de Encargo de Tratamiento / Data Processing Addendum (DPA)

Versión: 1.3
Fecha de vigencia: 5 de abril de 2026

Este Anexo de Tratamiento de Datos (“DPA” por sus siglas en inglés) forma parte del contrato de suscripción o prestación de servicios entre el Cliente/Tenant y el Proveedor por el uso de aibotask (el “Servicio”). En caso de conflicto entre este DPA y el contrato principal, este DPA prevalece en lo relativo al tratamiento de datos personales.

1) Partes

1.1 Cliente / Tenant (Responsable del tratamiento)

Razón social: {TENANT_LEGAL_NAME}
RUC (si aplica): {TENANT_RUC}
Dirección: {TENANT_ADDRESS}
Correo de privacidad: {TENANT_PRIVACY_EMAIL}

1.2 Proveedor / Operador de la plataforma (Encargado para datos del Tenant)

Razón social: AirTek Technologies
RUC: 0924829179001
Dirección: Cooperativa Adesdac MZ 70 S 13, Ecuador
Correo de privacidad: ruben.lazaro@clitecser.com
Hosting: Amazon Web Services (AWS) — us-east-1 (N. Virginia, Estados Unidos)

El Proveedor opera el Servicio bajo la marca aibotask.

2) Definiciones

  • Normativa aplicable: normativa ecuatoriana de protección de datos (incluyendo la Ley Orgánica de Protección de Datos Personales) y cualquier otra norma aplicable a las partes.
  • Datos personales: información que identifica o hace identificable a una persona natural.
  • Tratamiento: operación realizada sobre datos personales, automatizada o no.
  • Responsable: quien determina los fines y medios del tratamiento.
  • Encargado: quien trata datos personales por cuenta del Responsable.
  • Datos del Servicio / Datos de trabajo del Tenant: datos personales y otros datos cargados o generados en el Servicio en relación con órdenes de trabajo, evidencias, reportes, historial de ruta (durante trabajo activo ONLINE y cualquier asistencia de ruta asignada habilitada), materiales, actividades y operaciones relacionadas.

3) Roles y alcance

3.1 Roles

  • El Cliente/Tenant es el Responsable de los Datos del Servicio.
  • El Proveedor es el Encargado de los Datos del Servicio, actuando bajo las instrucciones documentadas del Cliente.

3.2 Alcance

Este DPA aplica al tratamiento que realiza el Proveedor sobre los Datos del Servicio en relación con la prestación del Servicio.

El Proveedor puede actuar además como Responsable para datos limitados a nivel plataforma (por ejemplo: aprovisionamiento de cuentas en SaaS360, administración de licencias, administración de facturación, tickets de soporte, logs de seguridad y comunicaciones de soporte). Ese tratamiento se rige por la Política de Privacidad del Proveedor.

Nota (facturación/pagos): El procesamiento de pagos de suscripciones gestionadas por SaaS360 se realiza mediante un procesador de pagos (Kushki) y, por lo general, involucra datos de facturación a nivel plataforma. Este tratamiento normalmente se rige por la Política de Privacidad del Proveedor y los términos de suscripción/facturación, y no forma parte del tratamiento principal de Datos del Servicio descrito en este DPA.

4) Detalles del tratamiento

Los detalles del tratamiento se describen en el Anexo 1 (Detalles del Tratamiento) y pueden variar por configuración del Cliente (por ejemplo, habilitación de funcionalidades).

5) Obligaciones del Encargado (Proveedor)

El Proveedor se obliga a:

  1. Tratar solo bajo instrucciones
    Tratar los Datos del Servicio únicamente conforme instrucciones documentadas del Cliente, incluyendo la configuración del Servicio, salvo obligación legal.

  2. Confidencialidad
    Asegurar que las personas autorizadas a tratar datos estén sujetas a obligaciones de confidencialidad.

  3. Medidas de seguridad
    Implementar medidas técnicas y organizativas adecuadas para proteger los Datos del Servicio, conforme al Anexo 2 (Medidas de Seguridad).

  4. Asistir al Cliente
    Brindar asistencia razonable al Cliente para atender:

    • solicitudes de derechos de titulares, y
    • requerimientos de autoridades,
      en la medida permitida por la ley y según disponibilidad técnica.

  5. Subencargados (Subprocesadores)
    Contratar subprocesadores únicamente conforme la Sección 6 y el Anexo 3.

  6. Incidentes / brechas de datos personales
    Notificar al Cliente sin demora indebida al tener conocimiento de una brecha que afecte los Datos del Servicio y proporcionar información razonable para apoyar la respuesta del Cliente.

  7. Devolución / supresión
    Al finalizar el Servicio, devolver o suprimir los Datos del Servicio conforme la Sección 9.

6) Subprocesadores

6.1 Subprocesadores autorizados

El Cliente autoriza el uso de los subprocesadores listados en el Anexo 3 (Lista de Subprocesadores).

6.2 Cambios en subprocesadores

El Proveedor mantendrá una lista actualizada de subprocesadores y notificará cambios materiales (por ejemplo, incorporación de un nuevo subprocesador que trate Datos del Servicio) por un medio razonable (aviso al admin o correo).
Si el Cliente tiene una objeción razonable por motivos de protección de datos, las partes buscarán una solución de buena fe (incluyendo cambios de configuración o terminación conforme el contrato principal).

7) Transferencias internacionales / tratamiento fuera de Ecuador

El Servicio se aloja en Estados Unidos (AWS us-east-1). Para Clientes basados en Ecuador, esto implica tratamiento/transferencia internacional.
Las partes implementarán salvaguardas apropiadas según la Normativa aplicable (por ejemplo, medidas contractuales con proveedores y medidas de seguridad).

Respaldos: no se almacenan respaldos fuera de us-east-1 (a la fecha de vigencia).

8) Solicitudes de derechos de titulares

  • El Cliente es responsable de recibir y responder solicitudes de titulares.
  • El Proveedor brindará asistencia razonable, por ejemplo:
    • facilitando exportación/acceso cuando exista funcionalidad,
    • localizando registros relevantes dentro del Servicio, y
    • ejecutando supresión/anonimización cuando sea instruido y técnicamente viable.

9) Devolución o supresión de los Datos del Servicio

9.1 Durante la vigencia

El Cliente puede suprimir datos mediante funcionalidades del Servicio (sujeto a permisos y configuración de retención).

9.2 Al terminar el contrato

Al terminar el Servicio, el Proveedor, dentro de un plazo comercialmente razonable:

  • pondrá los datos a disposición para exportación (si está soportado), y
  • suprimirá los datos de sistemas productivos, sujeto a:
    • obligaciones legales de conservación, y
    • ciclos de eliminación de respaldos/archivos.

10) Auditoría y cumplimiento

Con aviso previo razonable, el Cliente podrá solicitar información necesaria para demostrar el cumplimiento del Proveedor con este DPA.
Cuando se requieran auditorías presenciales, estas deberán:

  • limitarse al tratamiento de datos del Tenant,
  • realizarse en horario laboral, y
  • no comprometer la seguridad o confidencialidad de otros tenants.

11) Responsabilidad

La responsabilidad se rige por el contrato principal, salvo que la Normativa aplicable disponga lo contrario.

12) Firmas

Cliente / Tenant:
Nombre: [insertar razón social del Cliente]
Cargo: [insertar cargo del firmante]
Firma: [insertar firma]
Fecha: [dd / mm / aaaa]

Proveedor (AirTek Technologies):
Nombre: [insertar representante legal del Proveedor]
Cargo: [insertar cargo]
Firma: [insertar firma]
Fecha: [dd / mm / aaaa]

Anexo 1 — Detalles del Tratamiento

A1. Materia

Operaciones de gestión de servicios en campo y registros de evidencia/constancia de servicio.

A2. Duración

Durante la vigencia del contrato principal, más cualquier periodo de retención configurado por el Cliente y las obligaciones legales aplicables.

A3. Naturaleza y finalidad

  • Despacho y gestión de órdenes de trabajo
  • Registro de actividades, materiales usados, checklists, notas y tiempos
  • Captura de fotos y firma del cliente (evidencia/constancia)
  • Captura de ubicación GPS mientras el técnico está ONLINE y, cuando aplique según configuración, durante asistencia de ruta asignada para órdenes elegibles con el fin de generar historial de ruta y eventos de llegada
  • Envío de alertas operativas y notificaciones de órdenes (notificaciones push) y monitoreo de eventos de entrega/interacción
  • Recopilación de analítica/telemetría de uso para confiabilidad, rendimiento y mejora del producto
  • Generación de reportes de servicio para clientes y operación interna
  • Soporte a facturación, garantías/reclamos y trazabilidad

A4. Categorías de titulares

  • Técnicos / empleados / contratistas del Cliente
  • Contactos del cliente / sitio
  • Usuarios finales que firman constancias
  • Otras personas cuyos datos se ingresen en órdenes (según configuración del Cliente)

A5. Categorías de datos personales (ejemplos)

  • Identificación/contacto: nombres, teléfonos, correos (si se registran)
  • Ubicación: dirección de servicio; historial GPS durante trabajo activo ONLINE y cualquier asistencia de ruta asignada habilitada
  • Evidencias: fotos, imagen de firma, notas
  • Operativos: materiales, actividades, timestamps, estados de orden
  • Técnicos: identificadores limitados, logs de autenticación y seguridad
  • Notificaciones: tokens de notificación push y eventos de entrega/interacción (enviado/entregado/abierto)
  • Analítica de uso: eventos de uso/telemetría (p. ej., pantallas vistas, uso de funciones, métricas de rendimiento), incluyendo telemetría web vía CloudWatch RUM cuando esté habilitado

Anexo 2 — Medidas Técnicas y Organizativas (resumen)

El Proveedor mantiene un programa de seguridad acorde al Servicio, que puede incluir:

  • Control de acceso (roles, mínimo privilegio)
  • Controles de autenticación y registros (logs)
  • Cifrado en tránsito (TLS) y cifrado en reposo cuando aplique
  • Separación lógica de datos por tenant
  • Monitoreo, gestión de vulnerabilidades y respuesta a incidentes
  • Controles de respaldo limitados a us-east-1 (N. Virginia, United States) (a la fecha de vigencia)

Anexo 3 — Lista de Subprocesadores (a la fecha de vigencia)

  • Amazon Web Services, Inc. (AWS) — hosting de infraestructura (cómputo, almacenamiento, base de datos), incluyendo AWS SES (entrega de correos), Amazon Location Service (mapas), Amazon Pinpoint (mensajería push), Amazon CloudWatch RUM (telemetría de rendimiento/uso en portales web) y otros servicios de monitoreo/telemetría en AWS. Región principal: us-east-1 (N. Virginia, Estados Unidos).
  • Apple Inc. y/o Google LLC — servicios de entrega de notificaciones push de la plataforma (Apple Push Notification service (APNs) para iOS y Firebase Cloud Messaging (FCM) para Android), según el sistema operativo.

Si se agregan subprocesadores adicionales, el Proveedor actualizará la lista y notificará conforme la Sección 6.2.