Legal · Digita

Acuerdo de tratamiento de datos (DPA) — DiFACT

Para clientes B2B que integran la API o contratan DiFACT. Complementa los Términos de servicio y la Política de privacidad.

Última actualización: 20 de mayo de 2026

Este acuerdo aplica cuando tu empresa usa DiFACT y nos envía datos de sus clientes o usuarios. Vos decidís qué datos compartir; Digita los usa solo para operar el servicio (emisión SIFEN, KuDE, soporte y respaldos), conforme a la Ley N° 6534/2020.

En las cláusulas siguientes, “Responsable” es tu empresa emisora y “Encargado” es Digita como proveedor de DiFACT.

Para contratos enterprise puede usarse un PDF firmado al alta del tenant en lugar de esta versión web.

1. Objeto

El Encargado tratará datos personales solo para prestar DiFACT según instrucciones documentadas del Responsable (emisión SIFEN, KuDE, soporte, backups).

2. Duración

Vigente mientras el contrato de DiFACT esté activo y 30 días después para borrado seguro, salvo obligación legal de conservación del Responsable.

3. Tipos de datos y categorías de titulares

  • Titulares: clientes/compradores del Responsable; usuarios del Responsable (cajeros, admins).
  • Datos: identificación (nombre, RUC, CI, email, teléfono), datos de transacción (productos, montos), logs técnicos.

4. Instrucciones

El Responsable instruye al Encargado mediante uso de la API (payloads JSON), configuración en panel (email KuDE, logo) y documentación técnica publicada.

El Encargado no usará los datos para fines propios de marketing sobre titulares del Responsable sin consentimiento del Responsable o del titular.

5. Confidencialidad

Personal y subcontratistas bajo confidencialidad.

6. Seguridad

Referencia a cifrado P12/CSC, control de acceso, logs, copias de seguridad, rotación de API keys. Detalle en documentación técnica de DiFACT.

7. Subencargados

El Responsable autoriza subencargados necesarios (hosting, monitoreo). Lista actualizada con aviso de cambios 15 días antes.

8. Asistencia al Responsable

El Encargado ayudará razonablemente a atender ejercicio de derechos de titulares y consultas de la Autoridad de Protección de Datos Personales, en plazos acordados.

9. Violaciones de seguridad

Notificación al Responsable sin dilación indebida (objetivo 72 h) con descripción del incidente, datos afectados y medidas adoptadas.

10. Fin del contrato

A elección del Responsable: devolución o borrado certificado de datos personales, salvo lo que deba conservarse por ley. Certificados P12 eliminados del sistema activo.

11. Auditorías

El Responsable puede solicitar información de cumplimiento o cuestionarios de seguridad; auditoría onsite solo en planes enterprise o por mutuo acuerdo.

12. Ley aplicable

Ley N° 6534/2020 y legislación paraguaya.