Comparecen a la celebración del presente Contrato de Encargo de Tratamiento de Datos Personales (en adelante, el "Contrato"):
1.1 Por una parte, [NOMBRE DEL CLIENTE / RAZÓN SOCIAL DEL RESPONSABLE], con RUC Nro. [RUC], con domicilio en la ciudad de [CIUDAD], debidamente representada por [NOMBRE DEL REPRESENTANTE LEGAL], en su calidad de [CARGO], en adelante el "Responsable del Tratamiento" o el "Responsable"; y,
1.2 Por otra parte, la compañía ASINFO SOFTWARE & DESARROLLO S.A., con RUC Nro. 1792679982001, con domicilio en la ciudad de Quito, Ecuador, debidamente representada por la Ing. Yolanda Guijarro, en su calidad de responsable legal, en adelante el "Encargado del Tratamiento" o el "Encargado".
El Responsable y el Encargado podrán denominarse individualmente como la "Parte" y conjuntamente como las "Partes". El presente Contrato constituye un instrumento complementario al Contrato de Prestación de Servicios suscrito entre las Partes (el "Contrato Principal"), sin modificar sus condiciones comerciales ni técnicas, salvo lo expresamente regulado en este instrumento en materia de protección de datos personales.
2.1 El Responsable es una empresa constituida al amparo de la legislación ecuatoriana cuyo objeto social corresponde al giro declarado en su escritura constitutiva, y para su operación utiliza herramientas tecnológicas para la gestión administrativa, financiera, contable y/o laboral.
2.2 El Encargado es una empresa ecuatoriana, cuyo giro incluye la provisión, mantenimiento, soporte técnico, actualización normativa y desarrollo de soluciones tipo ERP y/o módulos asociados (en adelante, el "Sistema"). El Encargado es titular de todos los derechos de propiedad intelectual sobre el Sistema, incluyendo su código fuente, algoritmos, metodologías, documentación técnica, bases de datos, integraciones y cualquier componente, los cuales constituyen secretos comerciales y técnicos protegidos por la legislación ecuatoriana e internacional aplicable.
2.3 En fecha [FECHA] de [MES] del [AÑO], las Partes celebraron el Contrato Principal mediante el cual el Encargado presta al Responsable, en modalidad SaaS, los servicios de hospedaje, administración de infraestructura, mantenimiento, soporte técnico, actualización normativa y operación continua del Sistema.
2.4 El Servicio se presta bajo modalidad SaaS (Software como Servicio / Infraestructura Administrada). En consecuencia, el Sistema, sus entornos (producción, contingencia y/o prueba), la Base de Datos y la infraestructura tecnológica de soporte (servidores físicos o virtuales, sistema operativo, motor de base de datos, red, almacenamiento, respaldos y demás componentes) son administrados, operados y mantenidos por el Encargado, en la infraestructura propia del Encargado o en proveedores de servicios en la nube contratados por este. El Responsable accede al Sistema a través de interfaces de usuario (web, móvil u otras) habilitadas por el Encargado, y no tiene acceso directo ni administración sobre la infraestructura subyacente.
2.5 Dada la modalidad SaaS, el Encargado tiene acceso continuo, permanente y operativo a la infraestructura donde se aloja el Sistema y a la Base de Datos del Responsable, en el ejercicio de sus funciones de administración, operación, mantenimiento, monitoreo y soporte. Este acceso es inherente a la naturaleza del Servicio y no requiere autorización caso por caso para actividades ordinarias de administración, sin perjuicio de las instrucciones del Responsable en materia de finalidades y alcance del tratamiento.
2.6 En cumplimiento del artículo 34 de la Ley Orgánica de Protección de Datos Personales (en adelante, la "LOPDP"), las Partes suscriben el presente Contrato para regular las condiciones del tratamiento de datos personales que el Encargado realizará por cuenta del Responsable en ejecución del Servicio SaaS.
2.7 El Responsable declara y garantiza que cuenta con bases legales válidas para el tratamiento de los datos personales objeto del presente Contrato y que ha cumplido íntegramente con el deber de información a los titulares conforme a los artículos 12 y 13 de la LOPDP, incluyendo la comunicación sobre la intervención del Encargado como proveedor SaaS con acceso continuo a los datos. El incumplimiento de esta declaración es de exclusiva responsabilidad del Responsable.
3.1 Las Partes adoptan las definiciones de la LOPDP, su Reglamento y disposiciones de la Autoridad de Protección de Datos Personales (la "Autoridad"), y adicionalmente acuerdan las siguientes definiciones operativas:
3.2 En caso de contradicción entre el presente Contrato y el Contrato Principal, prevalecerán las disposiciones del Contrato Principal en lo relativo a condiciones comerciales, técnicas, niveles de servicio (SLA), responsabilidades y limitaciones comerciales; y prevalecerá el presente Contrato exclusivamente en materia de protección de datos personales.
3.3 Presunción de confidencialidad. En caso de duda sobre si una determinada información, metodología, configuración o elemento técnico del Encargado es confidencial, se la considerará como tal hasta que el representante legal del Encargado confirme por escrito que no lo es. La carga de demostrar que dicha información no tiene carácter confidencial recae sobre quien así lo alegue.
Objeto y naturaleza.
El objeto del presente Contrato es regular el encargo de tratamiento de datos personales que el Encargado realizará por cuenta y bajo instrucciones documentadas del Responsable, en el marco de la prestación del Servicio SaaS, que comprende el hospedaje, administración integral de la infraestructura, operación continua, mantenimiento, soporte técnico, actualización normativa y entrega del Sistema AS2 ERP como servicio. El tratamiento de datos es continuo e inherente a la modalidad SaaS, dado que el Encargado administra la infraestructura donde residen los datos del Responsable.
Propiedad, control y finalidad.
Las Partes ratifican expresamente que el Responsable conserva la propiedad y titularidad sobre la información y los datos personales alojados en el Sistema, así como la determinación de las finalidades y medios esenciales del tratamiento. El Encargado administra la infraestructura donde residen dichos datos exclusivamente para la prestación del Servicio SaaS, sin determinar finalidades propias, sin uso secundario, explotación, analítica propia, entrenamiento de modelos de inteligencia artificial ni cualquier otra finalidad distinta a la operativa, técnica y de soporte del Sistema. La administración de la infraestructura no constituye transferencia de propiedad ni derecho de explotación de los datos del Responsable.
Alcance del Servicio y actividades de tratamiento autorizadas.
El encargo comprende las siguientes actividades de tratamiento inherentes al Servicio SaaS:
5.1 El Encargado designará y mantendrá actualizado un registro del personal técnico autorizado a acceder a la infraestructura, a la Base de Datos y al Sistema del Responsable en el ejercicio de sus funciones de administración SaaS, indicando: nombres y apellidos, número de identificación, cargo o función, rol técnico, nivel de acceso, usuario asignado, compromiso individual de confidencialidad suscrito, y fecha de alta y baja del acceso.
5.2 Todo el personal del Encargado con acceso a datos personales del Responsable deberá suscribir individualmente la Declaración Individual de Confidencialidad y Protección de Datos Personales contenida en el Anexo 2 del presente Contrato, previo al inicio de sus actividades. El Encargado pondrá a disposición del Responsable, a solicitud razonable, evidencia de que su personal ha suscrito dicha declaración.
5.3 El Encargado aplicará el principio de mínimo privilegio en la gestión de accesos de su personal a la infraestructura y a la Base de Datos del Responsable, asegurando que cada miembro del equipo técnico acceda únicamente a los componentes, módulos y datos estrictamente necesarios para la función que desempeña.
5.4 El Encargado será responsable por los actos u omisiones de su personal y terceros autorizados en el acceso y administración de la infraestructura y de la Base de Datos del Responsable.
5.5 Cuando una persona deje de formar parte del equipo técnico del Encargado asignado al Servicio, el Encargado procederá de forma inmediata a la baja de sus accesos a la infraestructura y al Sistema del Responsable, incluyendo la revocación de credenciales, VPN, accesos remotos y cualquier otro mecanismo de acceso.
6.1 En el marco del Servicio SaaS, la Base de Datos del Responsable alojada en la infraestructura del Encargado podrá contener, de acuerdo con los módulos efectivamente implementados, las siguientes categorías de datos:
6.2 Categorías especiales de datos. Las Partes dejan constancia de que, para el Servicio actual, el Sistema no contempla el tratamiento de datos biométricos, genéticos ni de niñas, niños y adolescentes. Si en el futuro el Responsable incorporara cualquiera de estas categorías, deberá notificarlo previamente al Encargado y suscribir un adéndum específico. Sin dicha notificación previa y adéndum, la responsabilidad derivada del tratamiento de datos de categoría especial corresponderá exclusivamente al Responsable.
6.3 El Encargado tratará únicamente los datos descritos en esta cláusula para las finalidades del Servicio SaaS. El acceso operativo del personal técnico del Encargado a la Base de Datos se sujetará al principio de minimización operativa definido en la Cláusula Tercera.
6.4 Separación lógica entre clientes. El Encargado garantizará la separación lógica de las bases de datos y ambientes de cada cliente en su infraestructura, de forma que los datos del Responsable no sean accesibles por otros clientes del Encargado ni por personal técnico no asignado al Servicio del Responsable.
7.1 El Encargado tratará los datos personales del Responsable de acuerdo con las instrucciones documentadas de este, para las finalidades del Servicio SaaS. El acceso continuo inherente a la administración de la infraestructura no requiere instrucción caso por caso para actividades ordinarias de operación, monitoreo, mantenimiento y soporte, siempre que se enmarque dentro del objeto del Contrato y del Servicio.
7.2 Las instrucciones específicas sobre el tratamiento de datos personales (acciones sobre datos de titulares, exportaciones, eliminaciones, rectificaciones, restricciones de acceso, etc.) se emitirán por los Canales Autorizados, debiendo identificar el alcance, finalidad y plazo requerido.
7.3 El Responsable designará a los Enlaces autorizados para emitir instrucciones al Encargado. Las instrucciones emitidas fuera de los Canales Autorizados o por personas no designadas como Enlaces no serán vinculantes para el Encargado.
7.4 Administración de usuarios funcionales. La administración de los usuarios funcionales del Sistema (creación, modificación, asignación de roles y permisos, suspensión y eliminación de usuarios del Responsable) es responsabilidad del Responsable o puede ser delegada al Encargado mediante instrucción expresa y documentada. El Encargado no creará, modificará ni suspenderá usuarios funcionales del Responsable de forma unilateral.
7.5 Si el Encargado considera que alguna instrucción del Responsable infringe la LOPDP u otra normativa aplicable, deberá informarlo al Responsable por escrito, indicando el riesgo y la alternativa técnica, y podrá suspender su ejecución hasta recibir confirmación documentada del Responsable. En tal caso, el Encargado no incurrirá en responsabilidad por la suspensión.
El Encargado, y todo su personal, se obliga a:
8.1 Tratar los datos personales del Responsable únicamente para las finalidades del Servicio SaaS descritas en el presente Contrato, sin determinar finalidades propias ni utilizar los datos para fines distintos, incluyendo analítica propia, entrenamiento de modelos de inteligencia artificial, demostraciones comerciales, elaboración de perfiles, portafolios, publicaciones o beneficio de terceros.
8.2 Tratar los datos personales en apego a los principios y derechos desarrollados en la LOPDP.
8.3 Implementar y mantener medidas de seguridad técnicas, organizativas, físicas y jurídicas adecuadas y proporcionales al riesgo sobre la infraestructura que administra, incluyendo las medidas detalladas en el Anexo 1 del presente Contrato.
8.4 Garantizar la disponibilidad, integridad, confidencialidad y resiliencia del Sistema y de la infraestructura donde se alojan los datos del Responsable, conforme a los niveles de servicio (SLA) pactados en el Contrato Principal.
8.5 Ejecutar, custodiar y verificar respaldos periódicos de la Base de Datos del Responsable conforme a la política de respaldos establecida en el Anexo 1, y mantener disponible la capacidad de restauración ante incidentes.
8.6 Aplicar el principio de mínimo privilegio en la gestión de accesos de su personal a la infraestructura y a la Base de Datos del Responsable.
8.7 Garantizar la separación lógica de los datos del Responsable respecto de los datos de otros clientes del Encargado en la infraestructura compartida.
8.8 Mantener acuerdos de confidencialidad con todo su personal que tenga acceso a datos personales del Responsable, incluyendo la suscripción de la Declaración Individual del Anexo 2.
8.9 Mantener registros de trazabilidad de las acciones de administración realizadas por su personal sobre la infraestructura y la Base de Datos del Responsable, conforme a lo dispuesto en el Anexo 1.
8.10 No utilizar los datos personales del Responsable para fines propios, comerciales, estadísticos, de entrenamiento de modelos, analítica, demostraciones, elaboración de perfiles, portafolios, casos de éxito ni publicaciones, salvo autorización previa, expresa y escrita del Responsable.
8.11 Asistir al Responsable dentro de plazos razonables para que este pueda atender solicitudes de derechos de los titulares. Si un titular se dirigiera directamente al Encargado, este redirigirá la solicitud al Responsable por los Canales Autorizados en un plazo no mayor a setenta y dos (72) horas.
8.12 Llevar un Registro de Actividades de Tratamiento como Encargado conforme al artículo 38 del Reglamento a la LOPDP.
8.13 Notificar al Responsable dentro del plazo máximo de setenta y dos (72) horas calendario desde que tuvo conocimiento efectivo de una vulneración de seguridad, conforme a lo previsto en la Cláusula Décima Primera.
8.14 Cooperar con el Responsable en la investigación, contención y documentación de incidentes de seguridad que afecten datos personales del Responsable. Los servicios extraordinarios de cooperación que excedan razonablemente el alcance del Servicio SaaS podrán ser facturados conforme a las tarifas vigentes del Encargado.
8.15 No comunicar datos personales a terceros, salvo autorización del Responsable, exigencia legal debidamente notificada, o lo previsto en la cláusula de Subencargados de este Contrato.
8.16 Aplicar actualizaciones, parches de seguridad y mejoras del Sistema y de la infraestructura de forma oportuna, incluyendo la corrección de vulnerabilidades críticas y altas identificadas.
8.17 Garantizar formación y concientización periódica en protección de datos personales y seguridad de la información para el personal con acceso a la infraestructura y a los datos del Responsable.
8.18 Poner a disposición del Responsable, a solicitud razonable, evidencia del cumplimiento de las medidas de seguridad implementadas, dentro de los límites previstos en la Cláusula Décima Tercera.
Corresponde al Responsable, en su condición de titular de los datos y único determinador de las finalidades del tratamiento:
9.1 Garantizar que cuenta con bases legales válidas para el tratamiento de datos personales objeto del Servicio SaaS y que ha cumplido con el deber de información a los titulares conforme a la LOPDP, incluyendo la comunicación sobre la intervención del Encargado como proveedor SaaS con acceso continuo a la infraestructura donde residen los datos.
9.2 Administrar integralmente los usuarios funcionales del Sistema: creación, modificación, asignación de roles y permisos, suspensión y eliminación oportuna de accesos de su personal, ex personal y terceros autorizados. El Responsable es responsable de la gestión de las credenciales de sus usuarios funcionales y de las consecuencias del uso indebido de dichas credenciales.
9.3 No cargar, ingresar ni almacenar en el Sistema datos personales sensibles, biométricos, de menores o de categoría especial sin contar con la base legal correspondiente y sin haber notificado previamente al Encargado cuando ello pueda implicar la suscripción de adéndums o medidas adicionales.
9.4 Utilizar el Sistema únicamente para las finalidades lícitas de su actividad, absteniéndose de realizar configuraciones, integraciones o usos del Sistema que pongan en riesgo la seguridad, integridad o disponibilidad de los datos personales, del propio Sistema o de la infraestructura del Encargado.
9.5 Aplicar oportunamente las actualizaciones, configuraciones y ajustes que el Encargado le indique en las interfaces de usuario o en los componentes bajo administración del Responsable. La falta de aplicación oportuna de dichas indicaciones que origine incidentes no será imputable al Encargado.
9.6 Pagar oportunamente las contraprestaciones acordadas en el Contrato Principal, condición esencial para la continuidad del Servicio SaaS. El incumplimiento del pago habilita al Encargado a suspender el acceso al Sistema y la prestación del Servicio, previa notificación al Responsable.
9.7 Guardar reserva y confidencialidad respecto de la Información Confidencial del Encargado, incluyendo el conocimiento del Sistema, de forma indefinida. Esta obligación sobrevive a la terminación del Contrato.
9.8 No reproducir, modificar, descompilar, aplicar ingeniería inversa, distribuir, sublicenciar, vender, ceder ni explotar el Sistema o cualquier componente propiedad del Encargado sin autorización previa y escrita de este.
9.9 No utilizar marcas, nombres comerciales, lemas, logos ni certificaciones del Encargado sin autorización expresa y por escrita de este último.
9.10 Notificar al Encargado, sin dilación indebida, cualquier incidente de seguridad detectado en las interfaces de usuario o en los componentes bajo su control que pueda afectar la integridad del Sistema o de la Base de Datos.
9.11 Cooperar razonablemente con el Encargado cuando este requiera información, autorizaciones o decisiones necesarias para la prestación del Servicio SaaS o el cumplimiento de obligaciones legales, dentro de plazos razonables.
10.1 Dada la modalidad SaaS, el Encargado podrá contratar Subencargados para la prestación de componentes del Servicio, incluyendo proveedores de infraestructura en la nube, centros de datos, servicios de comunicaciones, seguridad gestionada, respaldos, mesa de ayuda y herramientas operativas.
10.2 El Encargado mantendrá actualizada la lista de Subencargados y notificará al Responsable los cambios relevantes (incorporación o sustitución de Subencargados que puedan acceder a datos personales del Responsable) con al menos quince (15) días hábiles de anticipación. La continuación del Servicio por el Responsable sin objeción razonada y por escrito dentro de dicho plazo se entenderá como aceptación del nuevo Subencargado.
Transferencias internacionales.
10.3 Reconocimiento y autorización previa del Responsable. El Responsable reconoce y autoriza expresamente que, por la naturaleza del Servicio SaaS, la infraestructura donde se aloja el Sistema y la Base de Datos se encuentra ubicada total o parcialmente fuera del Ecuador, en centros de datos de un proveedor de infraestructura/nube (Subencargado) ubicados en los Estados Unidos de América, administrados por el Encargado. La contratación del Servicio SaaS constituye una instrucción y autorización documentada del Responsable para que el alojamiento y tratamiento de los datos se realice en dicha infraestructura, conforme a la LOPDP y a la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales (Resolución SPDP-SPD-2026-0004-R).
10.4 Salvaguardas a cargo del Encargado (obligación de medios). El Encargado realizará los esfuerzos comercialmente razonables para que el alojamiento de los datos se ampare en salvaguardas adecuadas conforme a la normativa, mediante los mecanismos efectivamente disponibles con el proveedor de infraestructura, sin que el Encargado garantice la suscripción de instrumentos contractuales bilaterales por parte de dicho proveedor. A tal efecto, el Encargado se ampara en: (a) las certificaciones y estándares de seguridad de la información reconocidos que el proveedor mantenga vigentes, tales como SOC 2 Type 2, ISO 27001 y PCI DSS, los cuales operan como mecanismo de certificación admitido como garantía adecuada por la normativa; (b) los términos de protección de datos y condiciones de servicio publicados por el proveedor, que se incorporan a la relación al contratar el servicio. Cuando el proveedor únicamente ofrezca términos estandarizados no negociables, dichos términos y certificaciones constituirán la salvaguarda aplicable. El Encargado pondrá a disposición del Responsable, a solicitud razonable, la identificación del proveedor, el país de destino y evidencia de las certificaciones vigentes, a fin de que el Responsable cumpla sus propias obligaciones.
10.5 Obligaciones a cargo exclusivo del Responsable. Por su condición de Responsable del Tratamiento y único determinador de las finalidades, corresponde exclusivamente al Responsable, sin que el Encargado asuma responsabilidad alguna por su incumplimiento: (a) contar con la base de legitimación válida para el tratamiento y la transferencia internacional; (b) obtener el consentimiento informado del titular cuando sea exigible; (c) informar a los titulares sobre la existencia de transferencias internacionales, países de destino, bases legales y salvaguardas, en su aviso de privacidad conforme al artículo 12 de la LOPDP; (d) presentar el reporte consolidado de transferencias y efectuar las inscripciones ante la SPDP o el Registro Nacional de Protección de Datos cuando proceda; y (e) conservar la documentación que acredite el cumplimiento de estos requisitos.
10.6 Limitación de responsabilidad por transferencias internacionales. El Encargado responderá únicamente por el incumplimiento de las salvaguardas técnicas y contractuales que se encuentren bajo su control directo conforme a la cláusula 10.4. El Encargado no asumirá responsabilidad por: (a) la negativa del proveedor de infraestructura a suscribir instrumentos contractuales específicos con el Encargado o con el Responsable; (b) la falta de base legal, consentimiento o deber de información imputable al Responsable, aun cuando este hubiere recibido la información prevista en la cláusula 10.4; (c) las leyes, prácticas o requerimientos de autoridades del país de destino que escapen al control del Encargado; (d) actos u omisiones del proveedor que excedan razonablemente las salvaguardas y certificaciones vigentes; ni (e) caso fortuito o fuerza mayor. Esta cláusula se interpreta en concordancia con la Cláusula Décima Cuarta.
11.1 Dada la administración continua de la infraestructura por parte del Encargado, este implementará mecanismos de detección y respuesta ante incidentes de seguridad que afecten la infraestructura y los datos del Responsable. Si el Encargado detecta o toma conocimiento de una vulneración de seguridad de datos personales, notificará al Responsable sin dilación indebida y, en todo caso, dentro del plazo máximo de setenta y dos (72) horas calendario desde que tuvo conocimiento efectivo del incidente, incluyendo:
11.2 El Encargado colaborará activamente con el Responsable en la investigación, contención, mitigación, recuperación y documentación del incidente. El Responsable, como Responsable del Tratamiento, es quien notifica a la Autoridad de Protección de Datos y a los titulares conforme a los plazos y requisitos de la LOPDP, con el apoyo técnico del Encargado.
11.3 El Encargado no podrá comunicar públicamente el incidente ni contactar a titulares, autoridades, medios de comunicación ni terceros sin autorización previa y escrita del Responsable, salvo obligación legal expresa.
11.4 Los servicios extraordinarios de respuesta a incidentes que excedan razonablemente el alcance del Servicio SaaS (análisis forense especializado, recuperación de datos en escenarios no cubiertos por el SLA, etc.) podrán ser facturados por el Encargado conforme a sus tarifas vigentes.
12.1 En la modalidad SaaS, la distribución de responsabilidades en materia de seguridad se establece de la siguiente forma:
Responsabilidad del Encargado (infraestructura y plataforma):
Responsabilidad del Responsable (capa de aplicación y uso):
12.2 El Encargado implementará las medidas detalladas en el Anexo 1 del presente Contrato, las cuales podrán basarse en buenas prácticas reconocidas de la industria (ISO 27001, SOC 2, OWASP, CIS Controls u otras equivalentes), sin que ello implique la obligación de certificaciones formales no contempladas expresamente en el Contrato Principal.
12.3 El Encargado podrá entregar al Responsable, a solicitud razonable, evidencia de los controles de seguridad implementados en la infraestructura, sin que ello implique exposición de secretos industriales, configuraciones de seguridad sensibles, código fuente o información confidencial de otros clientes del Encargado.
13.1 El Responsable podrá realizar auditorías para verificar el cumplimiento del presente Contrato por parte del Encargado, respecto del ámbito de control del Encargado sobre la infraestructura y el Servicio SaaS, sujetas a las siguientes condiciones:
13.2 Auditorías extraordinarias: podrán realizarse exclusivamente en caso de incidente de seguridad grave debidamente acreditado y atribuible al Encargado, conservando los demás requisitos de esta cláusula.
13.3 Limitaciones: las auditorías no podrán exigir acceso a: (i) información confidencial del Encargado o de sus otros clientes; (ii) secretos industriales, código fuente o propiedad intelectual del Encargado; (iii) configuraciones de seguridad cuya divulgación pueda comprometer la seguridad de la infraestructura; ni (iv) información protegida por obligaciones legales o contractuales frente a terceros.
Responsabilidad del Encargado en modalidad SaaS.
14.1 En la modalidad SaaS, el Encargado responderá por daños directos y comprobados derivados de:
Limitación de responsabilidad.
14.2 En ningún caso el Encargado será responsable por lucro cesante, daño reputacional, daños consecuenciales, eventuales o punitivos, ni por sanciones impuestas por autoridad competente derivadas de actos, omisiones o instrucciones atribuibles al Responsable.
14.3 Ninguna disposición del presente Contrato podrá interpretarse como aceptación anticipada de responsabilidad automática por parte del Encargado respecto de incidentes cuya causa no haya sido determinada mediante los mecanismos legales correspondientes.
14.4 La determinación de responsabilidades deberá considerar el grado de participación, control efectivo, instrucciones emitidas, medidas implementadas y obligaciones asumidas por cada Parte dentro de la prestación del Servicio SaaS.
Exclusión de responsabilidad del Encargado en SaaS.
14.5 El Encargado no será responsable por incidentes, daños o reclamaciones derivados de:
15.1 La vigencia del presente Contrato estará sujeta a la vigencia del Contrato Principal, prorrogándose automáticamente, o mientras el Encargado trate datos personales por cuenta del Responsable, lo que ocurra último.
15.2 Devolución de datos al término del Servicio SaaS. A la terminación del Contrato Principal por cualquier causa, el Encargado pondrá a disposición del Responsable, dentro de un plazo máximo de treinta (30) días calendario desde la terminación:
15.3 Una vez completada la entrega, el Encargado procederá a la eliminación segura de toda copia de los datos del Responsable en su infraestructura, incluyendo respaldos, archivos temporales y datos en ambientes de prueba, dentro de un plazo máximo de sesenta (60) días calendario desde la terminación. El Encargado acreditará la eliminación mediante Acta o Certificación suscrita por su representante técnico.
15.4 Los servicios de exportación, migración asistida, transferencia de conocimiento y apoyo técnico para la transición a otro proveedor que excedan el alcance del Servicio SaaS podrán ser facturados por el Encargado conforme a sus tarifas vigentes.
15.5 Devolución recíproca de información del Encargado. El Responsable deberá devolver o destruir, dentro de los quince (15) días hábiles siguientes a la terminación del Contrato, toda la Información Confidencial del Encargado que obre en su poder, en cualquier forma en que se la posea. El Responsable acreditará la devolución o destrucción mediante oficio suscrito por su Representante Legal.
15.6 El Encargado podrá conservar una copia bloqueada de los datos del Responsable por el plazo en que puedan derivarse responsabilidades de la ejecución del Servicio o por obligaciones legales, sin utilizarla para finalidad distinta.
16.1 Toda información, Base de Datos, documentación institucional, archivo y datos personales del Responsable son de propiedad del Responsable, con independencia de que estén alojados en la infraestructura del Encargado. El Encargado no adquiere ningún derecho sobre los datos del Responsable por el hecho de administrar la infraestructura donde residen.
16.2 Todo el software, código fuente, algoritmos, metodologías, configuraciones, desarrollos, mejoras, módulos, integraciones, manuales técnicos, know-how y cualquier otro elemento de propiedad intelectual del Encargado son de exclusiva propiedad del Encargado. El Responsable adquiere únicamente una licencia de uso no exclusiva en modalidad SaaS, intransferible y limitada al objeto del Contrato Principal, que se extingue a su terminación.
16.3 No renuncia a derechos del Encargado. Ninguna disposición del presente Contrato se interpretará como: (a) una renuncia del Encargado a sus derechos sobre información confidencial que constituya derechos de autor, patentes, marcas o secretos comerciales; (b) una liberación del Responsable de no apropiarse indebidamente de la propiedad intelectual del Encargado; ni (c) un límite en ninguno de los derechos del Encargado no expresamente renunciados en el presente Contrato.
16.4 Desarrollos conjuntos. Cuando las Partes generen o desarrollen conjuntamente parametrizaciones especiales, integraciones a medida o módulos complementarios, la propiedad intelectual es y seguirá siendo de exclusiva propiedad del Encargado.
16.5 Protección de marcas. Ninguna de las Partes podrá usar marcas, nombres comerciales, lemas, logos, certificaciones ni propiedad intelectual de su contraparte sin autorización expresa y por escrita de esta última.
Obligaciones de confidencialidad recíproca.
17.1 Obligación de confidencialidad del Encargado sobre datos del Responsable. El Encargado guardará reserva y confidencialidad sobre los datos e información del Responsable alojados en su infraestructura, durante la vigencia del Contrato y hasta la eliminación efectiva de dichos datos conforme a la Cláusula Décima Quinta.
17.2 Obligación de confidencialidad del Responsable sobre el Sistema y la Propiedad Intelectual del Encargado. El Responsable guardará reserva y confidencialidad respecto de toda la Información Confidencial del Encargado a la que acceda con ocasión de la relación contractual, incluyendo sin limitación: la interfaz, lógica de negocio, flujos, parametrizaciones, metodologías, arquitectura y funcionamiento del Sistema AS2 ERP. Esta obligación tiene carácter indefinido y sobrevive a la terminación del Contrato por cualquier causa, dado que el conocimiento adquirido sobre el Sistema no desaparece con la terminación de la relación contractual.
17.3 Ninguna de las Partes usará la información confidencial de la otra para crear, desarrollar o derivar productos, servicios o tecnología propios, salvo autorización expresa y por escrita. En particular, el Responsable no podrá utilizar el conocimiento del Sistema para evaluar, desarrollar, asesorar o facilitar el desarrollo de sistemas competidores.
Duración.
17.4 Las obligaciones de confidencialidad se aplicarán de forma diferenciada según su naturaleza: (a) La confidencialidad del Encargado sobre datos del Responsable: durante la vigencia del Contrato y hasta la eliminación efectiva conforme a la Cláusula Décima Quinta. (b) La confidencialidad del Responsable sobre la Información Confidencial del Encargado, incluyendo el Sistema y su propiedad intelectual: de forma indefinida, mientras dicha información conserve carácter confidencial o constituya un secreto comercial, sin que la terminación del Contrato extinga esta obligación.
Excepciones.
17.5 Las obligaciones de confidencialidad no aplicarán cuando:
17.6 La violación de las obligaciones de confidencialidad puede causar daños irreparables, por lo que la Parte afectada podrá solicitar medidas cautelares de urgencia ante la autoridad competente sin necesidad de agotar el proceso de mediación previo.
18.1 En caso de incumplimiento, la Parte afectada notificará por escrito a la Parte incumplida otorgando un plazo de diez (10) días hábiles para subsanar. Solo si transcurrido dicho plazo el incumplimiento persiste, la Parte afectada podrá dar por terminado el Contrato.
18.2 Terminación inmediata: únicamente por: (a) violación grave y comprobada de confidencialidad; (b) incidente de seguridad grave atribuible directamente al Encargado que comprometa significativamente los datos del Responsable; (c) sanción firme de la Autoridad por actuación dolosa del Encargado; o (d) disolución, liquidación o insolvencia de cualquiera de las Partes.
18.3 La terminación por voluntad unilateral sin causa de incumplimiento se notificará con treinta (30) días calendario de anticipación.
18.4 La terminación activa de inmediato las obligaciones de devolución de datos previstas en la Cláusula Décima Quinta. Durante el periodo de preaviso, el Encargado mantendrá el Servicio SaaS en condiciones normales. Los servicios adicionales de salida (exportación, migración, transferencia de conocimiento) podrán ser facturados conforme a las tarifas vigentes del Encargado.
19.1 En la modalidad SaaS, el Encargado asume compromisos de disponibilidad, rendimiento y soporte del Sistema conforme a los niveles de servicio (SLA) pactados en el Contrato Principal y sus anexos.
19.2 La disponibilidad del Sistema está sujeta a: (a) ventanas de mantenimiento programadas, comunicadas al Responsable con al menos 2 horas de anticipación por los Canales Autorizados; (b) eventos de fuerza mayor o caso fortuito; (c) fallas de proveedores de telecomunicaciones ajenos al control del Encargado; y (d) fallas causadas por el uso del Sistema fuera de las condiciones establecidas en el Contrato Principal.
19.3 El presente Contrato no modifica los SLA pactados en el Contrato Principal. Cualquier reclamación relacionada con niveles de servicio se sujetará exclusivamente a lo previsto en el Contrato Principal.
20.1 Cada Parte asumirá responsabilidad exclusivamente respecto de los actos, omisiones e instrucciones que se encuentren bajo su respectivo control y que le sean atribuibles conforme a la legislación ecuatoriana.
20.2 En caso de reclamaciones relacionadas con el tratamiento de datos personales, las Partes cooperarán razonablemente en la atención y defensa dentro del ámbito de sus competencias.
20.3 Ninguna disposición del presente Contrato podrá interpretarse como aceptación anticipada de responsabilidad automática, solidaridad ni asunción integral de daños por cualquiera de las Partes.
Las Partes declaran que el Contrato Principal y el presente Contrato son de naturaleza civil/mercantil, no laboral. No existirá relación laboral entre el Responsable y el personal del Encargado. El Encargado será el único responsable de sus obligaciones laborales y de seguridad social respecto de su personal, manteniendo indemne al Responsable frente a cualquier reclamo derivado de tales obligaciones.
22.1 Todas las comunicaciones formales se realizarán a través de:
| Por el Responsable | Por el Encargado (ASINFO SOFTWARE & DESARROLLO S.A.) |
| Persona de contacto / DPD: [NOMBRE] Correo electrónico: [CORREO] Dirección: [DIRECCIÓN] Teléfono: [TELÉFONO] | Persona de contacto / DPD: [NOMBRE ASINFO] Correo electrónico: [CORREO ASINFO] Dirección: Quito, Ecuador Teléfono: [TELÉFONO ASINFO] |
22.2 Las Partes notificarán cualquier cambio de datos de contacto dentro de los diez (10) días hábiles siguientes.
23.1 Ley aplicable: el presente Contrato se rige por las leyes de la República del Ecuador, incluyendo la Constitución de la República, la LOPDP, su Reglamento General, el Código Civil, el Código Orgánico Integral Penal y demás normativa aplicable.
23.2 Solución amistosa: en caso de controversia, las Partes buscarán primero una solución amistosa por un plazo mínimo de treinta (30) días. Se exceptúan las solicitudes de medidas cautelares urgentes por violaciones de confidencialidad o propiedad intelectual.
23.3 Arbitraje. De no lograrse solución amistosa, toda divergencia será resuelta en única y definitiva instancia mediante Arbitraje de Derecho ante el Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito. Las Partes: (a) renuncian expresamente a la jurisdicción ordinaria; (b) reconocen efectos definitivos e inapelables al laudo; (c) el arbitraje será en derecho, con un árbitro, y será confidencial; (d) el árbitro está facultado para dictar medidas cautelares sin recurrir a juez ordinario; y (e) el laudo tendrá valor de sentencia ejecutoriada.
23.4 La Autoridad de Protección de Datos Personales conserva su competencia administrativa para conocer denuncias por infracciones a la LOPDP.
24.1 Acuerdo integral: el presente Contrato, junto con el Contrato Principal y sus Anexos, constituye el acuerdo integral entre las Partes en materia de protección de datos personales y confidencialidad.
24.2 Modificaciones: por escrito, suscritas por los representantes legales de ambas Partes.
24.3 Independencia de cláusulas: la nulidad de una disposición no afecta la vigencia de las demás.
24.4 Cesión: ninguna Parte podrá ceder derechos u obligaciones de este Contrato sin autorización previa y por escrita de la otra, salvo en casos de reorganización societaria, fusión o adquisición donde la entidad resultante asuma íntegramente las obligaciones del cedente.
24.5 Las obligaciones de confidencialidad del Responsable sobre la Información Confidencial del Encargado y las de no renuncia a derechos de propiedad intelectual subsistirán indefinidamente. Las obligaciones del Encargado sobre los datos del Responsable subsistirán conforme al plazo establecido en la Cláusula 17.4(a).