Ir a mi cuenta
Solicitar Demo
a-minimalist-corporate-wallpaper-featuri_i0qJjvmeQFuLSRT4791Zug_cs3t7RsFR7yXmtqjsurSQw

Acuerdo de Procesamiento de Datos (DPA)

CheckOP - Plataforma SaaS de Gestión de Operaciones en Campo

Última actualización: 10 de febrero de 2026

1. Introducción y Alcance

Este Acuerdo de Procesamiento de Datos (en adelante, "DPA" o "Acuerdo") establece los términos y condiciones bajo los cuales Progresus S.A.S. (en adelante, "Progresus", "CheckOP" o "Encargado del Tratamiento") procesa datos personales en nombre de sus clientes (en adelante, "Cliente" o "Responsable del Tratamiento") en relación con la prestación del servicio CheckOP.

Este DPA forma parte integral del contrato de servicio entre Progresus y el Cliente, y complementa los Términos y Condiciones de Servicio y la Política de Privacidad de CheckOP.

2. Definiciones

"Datos Personales": Cualquier información relativa a una persona física identificada o identificable.

"Tratamiento": Cualquier operación realizada sobre datos personales, ya sea por medios automatizados o no, como recolección, registro, organización, almacenamiento, modificación, consulta, uso, comunicación, transferencia o eliminación.

"Responsable del Tratamiento": El Cliente, quien determina los fines y medios del tratamiento de datos personales de sus usuarios finales y clientes.

"Encargado del Tratamiento": Progresus S.A.S., quien trata datos personales en nombre del Responsable del Tratamiento.

"Sub-encargado": Cualquier tercero contratado por el Encargado del Tratamiento para realizar actividades de tratamiento específicas en nombre del Responsable.

"Titular de los Datos": Persona física cuyos datos personales son objeto de tratamiento.

"Violación de Datos Personales": Violación de seguridad que ocasione destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado a datos personales.

3. Roles y Responsabilidades

3.1 El Cliente como Responsable del Tratamiento

El Cliente actúa como Responsable del Tratamiento cuando utiliza CheckOP para gestionar datos personales de sus empleados, contratistas y clientes finales. El Cliente:

  • Determina los fines y medios del tratamiento de datos personales
  • Es responsable de la licitud del tratamiento y de obtener las bases legales necesarias
  • Debe informar a los titulares de los datos sobre el tratamiento
  • Debe atender las solicitudes de ejercicio de derechos de los titulares
  • Es responsable de la exactitud de los datos proporcionados

3.2 Progresus como Encargado del Tratamiento

Progresus actúa como Encargado del Tratamiento cuando procesa datos personales en nombre del Cliente. Progresus:

  • Trata los datos personales únicamente según las instrucciones documentadas del Cliente
  • No utiliza los datos para fines propios no autorizados
  • Implementa medidas de seguridad apropiadas
  • Asiste al Cliente en el cumplimiento de sus obligaciones
  • Notifica al Cliente sobre violaciones de datos personales

3.3 Progresus como Responsable del Tratamiento

Progresus actúa como Responsable del Tratamiento cuando procesa datos para sus propios fines legítimos, como:

  • Gestión de la relación contractual con el Cliente
  • Facturación y administración de cuentas
  • Mejora del Servicio mediante análisis agregados
  • Cumplimiento de obligaciones legales propias

4. Objeto y Finalidad del Tratamiento

4.1 Objeto

Este DPA regula el tratamiento de datos personales que el Cliente introduce, carga o genera a través de CheckOP.

4.2 Finalidad

El tratamiento se realiza únicamente para:

  • Proporcionar el Servicio de suscripción contratado
  • Gestionar tareas y operaciones en campo
  • Almacenar y procesar datos capturados mediante formularios
  • Permitir la geolocalización y seguimiento de personal
  • Generar reportes y análisis solicitados por el Cliente
  • Proporcionar soporte técnico
  • Cumplir con las instrucciones documentadas del Cliente

4.3 Naturaleza del Tratamiento

El tratamiento incluye: recolección, registro, organización, estructuración, almacenamiento, adaptación, consulta, uso por transmisión, combinación, restricción, eliminación y destrucción de datos personales.

5. Tipos de Datos Personales

Los tipos de datos personales tratados dependen de la configuración del Cliente y pueden incluir:

5.1 Datos de Usuarios del Cliente

  • Nombres y apellidos
  • Direcciones de correo electrónico
  • Números de teléfono
  • Credenciales de acceso (contraseñas cifradas)
  • Datos de geolocalización (GPS)
  • Información del dispositivo
  • Registros de actividad en la plataforma

5.2 Datos de Clientes Finales del Cliente

  • Nombres y datos de contacto
  • Direcciones físicas
  • Información de servicios contratados
  • Firmas digitales
  • Fotografías y videos capturados en campo
  • Cualquier otro dato capturado mediante formularios configurados por el Cliente

5.3 Categorías de Titulares

  • Empleados y contratistas del Cliente
  • Clientes finales del Cliente
  • Otros terceros cuyos datos sean introducidos por el Cliente

6. Obligaciones del Encargado del Tratamiento

6.1 Tratamiento según Instrucciones

Progresus tratará los datos personales únicamente:

  • Según las instrucciones documentadas del Cliente
  • Para los fines establecidos en este DPA y el contrato de servicio
  • Conforme a la ley aplicable

Si Progresus considera que una instrucción infringe la normativa de protección de datos, informará al Cliente sin demora.

6.2 Confidencialidad

Progresus garantiza que las personas autorizadas para tratar datos personales:

  • Se han comprometido a mantener la confidencialidad
  • Están sujetas a obligaciones legales de confidencialidad apropiadas
  • Reciben la formación necesaria en protección de datos

6.3 Medidas de Seguridad

Progresus implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

Medidas Técnicas:

  • Cifrado de datos en tránsito (TLS 1.0-1.3, claves de 2048 bits o superiores)
  • Cifrado de datos en reposo (AES-256)
  • Control de acceso basado en funciones (RBAC)
  • Autenticación robusta con requisitos de complejidad de contraseña
  • Protección contra amenazas web siguiendo OWASP
  • Protección DDoS
  • Monitoreo continuo de seguridad
  • Análisis de vulnerabilidades

Medidas Organizativas:

  • Políticas de seguridad de la información
  • Verificación de antecedentes de empleados
  • Capacitación en seguridad y privacidad
  • Procedimientos de gestión de incidentes
  • Planes de continuidad del negocio

6.4 Asistencia al Responsable

Progresus asistirá al Cliente, en la medida de lo razonable, para:

  • Atender solicitudes de ejercicio de derechos de los titulares
  • Realizar evaluaciones de impacto de protección de datos, cuando sea necesario
  • Notificar violaciones de datos a autoridades y titulares, cuando corresponda
  • Demostrar cumplimiento de las obligaciones de protección de datos

6.5 Notificación de Violaciones de Datos

En caso de violación de datos personales, Progresus:

  • Notificará al Cliente sin demora indebida tras tener conocimiento de la violación
  • Proporcionará información sobre la naturaleza de la violación, categorías y número aproximado de titulares afectados
  • Describirá las posibles consecuencias de la violación
  • Describirá las medidas adoptadas o propuestas para remediar la violación

7. Sub-encargados del Tratamiento

7.1 Autorización General

El Cliente autoriza a Progresus a contratar sub-encargados para el tratamiento de datos personales, sujeto a las condiciones establecidas en este DPA.

7.2 Sub-encargados Actuales

Los principales sub-encargados utilizados por Progresus son:

Sub-encargado Ubicación Finalidad
Amazon Web Services (AWS) Estados Unidos Alojamiento e infraestructura en la nube
Google Cloud Platform (GCP) Estados Unidos Alojamiento e infraestructura en la nube

7.3 Obligaciones con Sub-encargados

Progresus:

  • Celebrará acuerdos por escrito con cada sub-encargado que impongan obligaciones de protección de datos equivalentes a las de este DPA
  • Permanecerá responsable ante el Cliente por los actos de sus sub-encargados
  • Notificará al Cliente sobre cualquier cambio previsto en sub-encargados con anticipación razonable

7.4 Objeciones a Sub-encargados

El Cliente puede objetar razonablemente a un nuevo sub-encargado notificando a Progresus por escrito dentro de los treinta (30) días siguientes a la notificación del cambio. Las partes trabajarán de buena fe para resolver la objeción.

8. Transferencias Internacionales de Datos

8.1 Ubicación del Tratamiento

Los datos personales se procesan principalmente en centros de datos ubicados en Estados Unidos, utilizando servicios de AWS y GCP.

8.2 Salvaguardas para Transferencias

Progresus implementa salvaguardas apropiadas para transferencias internacionales de datos, que pueden incluir:

  • Cláusulas contractuales tipo aprobadas
  • Evaluación de la legislación del país de destino
  • Medidas técnicas y organizativas complementarias

8.3 Cumplimiento Regional

Para clientes ubicados en jurisdicciones con restricciones específicas sobre transferencias internacionales, Progresus trabajará para implementar las salvaguardas adicionales que sean razonablemente necesarias.

9. Derechos de los Titulares de Datos

9.1 Responsabilidad del Cliente

El Cliente, como Responsable del Tratamiento, es responsable de:

  • Atender las solicitudes de ejercicio de derechos de los titulares de datos
  • Informar a los titulares sobre sus derechos
  • Mantener procedimientos para gestionar dichas solicitudes

9.2 Asistencia del Encargado

Progresus asistirá al Cliente en la atención de solicitudes de derechos de los titulares, proporcionando:

  • Funcionalidades en la plataforma para acceder, rectificar o eliminar datos
  • Información necesaria para responder a solicitudes
  • Exportación de datos cuando sea solicitado

9.3 Solicitudes Directas al Encargado

Si un titular de datos contacta directamente a Progresus para ejercer sus derechos, Progresus:

  • Informará al titular que debe dirigir su solicitud al Cliente correspondiente
  • Notificará al Cliente sobre la solicitud recibida, cuando sea identificable

10. Auditorías y Verificación

10.1 Información de Cumplimiento

Progresus pondrá a disposición del Cliente la información razonable necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA.

10.2 Auditorías

El Cliente tiene derecho a realizar auditorías o inspecciones, directamente o a través de un auditor externo, sujeto a las siguientes condiciones:

  • Notificación previa de al menos treinta (30) días
  • Las auditorías se realizarán durante horario laboral y de manera que no interfieran con las operaciones normales
  • El auditor externo deberá firmar acuerdos de confidencialidad apropiados
  • Los costos de la auditoría serán asumidos por el Cliente
  • Las auditorías estarán limitadas a lo estrictamente necesario para verificar el cumplimiento

10.3 Alternativas

Progresus puede proporcionar certificaciones, informes de auditoría o evaluaciones de terceros como alternativa a auditorías individuales, cuando estén disponibles.

11. Retención y Eliminación de Datos

11.1 Durante la Relación Contractual

Progresus retendrá los datos personales durante el período necesario para proporcionar el Servicio y cumplir con las instrucciones del Cliente.

11.2 Al Finalizar el Contrato

A la terminación del contrato de servicio:

  • El Cliente podrá exportar sus datos utilizando las funcionalidades de la plataforma antes de la terminación
  • Progresus eliminará los datos personales de las bases de datos de producción dentro de los noventa (90) días posteriores a la terminación, previa solicitud por escrito del Cliente
  • La información en copias de seguridad se eliminará según el ciclo de vida normal de los respaldos

11.3 Excepciones

Progresus podrá retener datos personales cuando:

  • Sea requerido por ley aplicable
  • Sea necesario para el cumplimiento de obligaciones legales o regulatorias
  • Sea necesario para establecer, ejercer o defender reclamaciones legales

12. Responsabilidad

12.1 Responsabilidad del Encargado

Progresus será responsable ante el Cliente por los daños causados por el tratamiento cuando:

  • No haya cumplido las obligaciones específicamente dirigidas a encargados
  • Haya actuado fuera o en contra de las instrucciones legales del Cliente

12.2 Limitaciones

La responsabilidad de Progresus estará sujeta a las limitaciones establecidas en los Términos y Condiciones de Servicio.

12.3 Indemnización

Cada parte indemnizará a la otra por cualquier multa, sanción o daño resultante del incumplimiento de sus respectivas obligaciones bajo este DPA.

13. Vigencia y Terminación

13.1 Vigencia

Este DPA entrará en vigor junto con el contrato de servicio y permanecerá vigente mientras Progresus trate datos personales en nombre del Cliente.

13.2 Supervivencia

Las disposiciones relativas a confidencialidad, limitación de responsabilidad y obligaciones post-contractuales sobrevivirán a la terminación de este DPA.

14. Modificaciones

Progresus puede actualizar este DPA para reflejar cambios en sus prácticas de tratamiento de datos o requisitos legales. Los cambios sustanciales serán notificados al Cliente con anticipación razonable.

15. Contacto

Para consultas relacionadas con este Acuerdo de Procesamiento de Datos:

Progresus S.A.S.

  • Correo electrónico: soporte@checkop.co
  • Portal de soporte: https://support.checkop.co

Este Acuerdo de Procesamiento de Datos forma parte integral del contrato de servicio entre Progresus S.A.S. y el Cliente, y está alineado con buenas prácticas internacionales de protección de datos.