Documento en revisión legal
Última actualización . La versión definitiva será provista por nuestro equipo legal antes del lanzamiento público. Para consultas escribinos a info@atlyo-fitness.com.
Data Processing Agreement (DPA) — Atlyo
Fecha de celebración: 18 de julio de 2026 Vigencia mínima: 12 meses, renovable automáticamente por períodos iguales salvo notificación con 60 días de anticipación.
1. Partes
- Controlador: Razón social del Cliente, en adelante "el Controlador" o "el Cliente".
- Procesador: Atlyo (en adelante "el Procesador" o "Atlyo"), titular de la plataforma SaaS objeto de este acuerdo. Email de contacto: info@atlyo-fitness.com.
2. Objeto
El presente Acuerdo regula el tratamiento de datos personales realizado por Atlyo en nombre y por cuenta del Controlador en el marco del servicio SaaS contratado, conforme a:
- Ley argentina 25.326 de Protección de Datos Personales y disposiciones complementarias de la AAIP.
- Reglamento General de Protección de Datos (UE) 2016/679 ("GDPR") cuando aplica por extraterritorialidad.
- LGPD (Brasil) y leyes análogas de jurisdicciones donde opere el Controlador, cuando corresponda.
3. Alcance del tratamiento
3.1 Categorías de datos
Atlyo procesa, por cuenta del Controlador, las siguientes categorías de datos personales de los titulares (alumnos, entrenadores y personal del Controlador):
- Datos identificatorios de alumnos (nombre, email, teléfono).
- Datos de asistencia, reservas y consumo de clases.
- Datos de pago tokenizados (a través de pasarelas certificadas).
- Métricas de progreso opcionales (peso, mediciones) cuando el Controlador las habilite.
3.2 Finalidad
El tratamiento se realiza con la única finalidad de proveer al Controlador la funcionalidad contratada (gestión de alumnos, clases, reservas, pagos, comunicaciones, analítica y reportería) según los términos de uso de la plataforma.
3.3 Duración
El tratamiento se mantiene mientras dure la relación contractual entre las partes y por los plazos de retención adicionales establecidos en la sección 8.
4. Obligaciones del Procesador
Atlyo se obliga a:
- Tratar los datos personales únicamente conforme a instrucciones documentadas del Controlador (incluidas las contenidas en este DPA y en los términos de uso de la plataforma).
- Garantizar que el personal con acceso a los datos personales esté sometido a deber de confidencialidad mediante acuerdos contractuales.
- Implementar las medidas técnicas y organizativas detalladas en el Anexo I.
- Asistir al Controlador en el cumplimiento de sus obligaciones frente a los titulares (derechos de acceso, rectificación, supresión, portabilidad, oposición), proveyendo herramientas técnicas (
/me/data-export,/me/delete-account). - Notificar al Controlador sin demora indebida (y a más tardar dentro de las 72 horas del conocimiento del evento) cualquier brecha de seguridad que afecte los datos del Controlador.
- A petición del Controlador, suprimir o devolver todos los datos personales tras la terminación del servicio, con las excepciones legales aplicables (datos fiscales con retención obligatoria de hasta 10 años conforme RG AFIP 4291).
5. Sub-procesadores
El Controlador autoriza a Atlyo a recurrir a los siguientes sub-procesadores:
| Nombre | Rol | Ubicación | Salvaguardas |
|---|---|---|---|
| Vercel Inc. | Hosting de la aplicación (compute + edge) | Estados Unidos (regiones múltiples) | DPA propio de Vercel + Standard Contractual Clauses (SCC) UE |
| Neon Inc. | Base de datos Postgres managed | Estados Unidos / Unión Europea (a elección de Atlyo) | DPA propio + cifrado en reposo (AES-256) y en tránsito (TLS 1.2+) |
| Cloudflare Inc. | Storage R2 + edge proxy | Global | DPA propio + SCC + cifrado AES-256 |
| Stripe, Inc. | Procesamiento de pagos con tarjeta | Estados Unidos / Europa (subsidiaria Stripe Payments Europe Ltd. para UE) | PCI-DSS Level 1 + DPA propio + SCC |
| Resend Inc. | Envío de email transaccional | Estados Unidos | DPA propio + cifrado en tránsito (TLS 1.2+) |
| Sentry (Functional Software Inc.) | Error monitoring y observabilidad | Estados Unidos / Europa | DPA propio + SCC + opción de auto-host on-prem si el cliente lo exige |
| Anthropic, PBC | Modelos de lenguaje (Claude API) para features de IA — opt-in del tenant | Estados Unidos | DPA propio + cláusula de no-training-with-customer-data (estándar enterprise) |
Atlyo notificará al Controlador con al menos 30 días de anticipación cualquier alta o cambio de sub-procesador. El Controlador podrá objetar fundadamente la incorporación, en cuyo caso Atlyo podrá rescindir el servicio sin penalidad si la objeción es irresoluble.
6. Transferencias internacionales
Cuando Atlyo o sus sub-procesadores transfieran datos personales fuera de la República Argentina o del Espacio Económico Europeo, lo harán al amparo de:
- Decisiones de adecuación, cuando existan; o
- Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea y/o la AAIP; o
- Mecanismos alternativos legalmente válidos al momento de la transferencia.
7. Auditoría
El Controlador podrá auditar el cumplimiento por parte de Atlyo, mediante:
- Solicitud anual de la atestación SOC 2 vigente (Type 2 a partir del Año 2 — ver roadmap interno).
- Cuestionarios de seguridad (SIG / CAIQ) respondidos por Atlyo.
- Auditoría in situ con preaviso de 60 días y a costa del Controlador, sujeto a confidencialidad reforzada.
8. Retención y supresión
| Categoría | Retención post-terminación |
|---|---|
| Datos transaccionales (bookings, attendance) | 30 días (luego se anonimizan; FKs preservadas) |
| Datos fiscales (facturas, pagos) | 10 años (RG AFIP 4291) |
| Audit logs | 7 años |
| Backups | 90 días (rolling window) |
9. Brechas de seguridad
Atlyo notificará al Controlador via el email registrado, dentro de las 72 horas siguientes al conocimiento del evento, con:
- Naturaleza de la brecha.
- Categorías y volumen aproximado de datos afectados.
- Medidas adoptadas.
- Recomendaciones para mitigar efectos adversos.
Documento marco interno: docs/ops/disaster-recovery-plan.md (procedimiento 4.4 cross-tenant leak y 4.5 credential breach).
10. Responsabilidad
Cada Parte responderá frente a la otra por los incumplimientos imputables conforme a la legislación aplicable. La responsabilidad agregada de Atlyo bajo este DPA está limitada al monto pagado por el Controlador en los 12 meses previos al evento que origine el reclamo, salvo dolo o culpa grave.
11. Vigencia y terminación
Este Acuerdo entra en vigor en la fecha indicada al inicio y se mantiene mientras dure el servicio. La terminación del servicio principal implica la terminación de este DPA, sin perjuicio de las obligaciones de retención del Anexo I y la sección 8.
12. Ley aplicable y jurisdicción
Este DPA se rige por las leyes de la República Argentina. Las controversias se someten a los tribunales ordinarios de la Ciudad Autónoma de Buenos Aires, salvo cuando el Controlador esté establecido en la UE, en cuyo caso podrá optar por la jurisdicción de los tribunales de su domicilio.
Anexo I — Medidas técnicas y organizativas
Seguridad de la información
- Cifrado en tránsito: TLS 1.2+ en todas las conexiones (HTTPS exclusivo, HSTS habilitado).
- Cifrado en reposo: AES-256 en base de datos (Neon) y storage (Cloudflare R2).
- Gestión de secretos: env vars en vault del proveedor (Vercel), nunca en repositorio.
- Acceso lógico: autenticación con Better-Auth, MFA TOTP para owners (opt-in V1, mandatorio V2), RBAC granular con permisos a nivel de rol y de membership.
Aislamiento multi-tenant
- Modelo single-database con
tenant_idobligatorio en todas las tablas. - Helper
tenantScoped()de uso obligatorio (lint rule + tests de regresión). - Audit log de acciones administrativas con
tenant_id+actor_user_id.
Continuidad operativa
- RPO < 1 hora (PITR continuo en Neon + dump lógico semanal a R2 con credenciales separadas).
- RTO < 4 horas para escenarios de desastre estándar.
- Disaster Recovery Plan publicado internamente (
docs/ops/disaster-recovery-plan.md). - Simulacros trimestrales (game days) de cada escenario crítico.
Logging y monitoreo
- Logging estructurado con
tenant_idpor línea (pino). - Audit log inmutable en tabla append-only (sin UPDATE / DELETE desde la app).
- Error monitoring vía Sentry (gated por DSN, separación por environment).
- Rate limiting in-memory por IP, user y tenant.
Gestión de incidentes
- Severidad P0/P1/P2/P3 documentada con tiempos de respuesta.
- Notificación a Controladores afectados en < 72 horas.
- Postmortem blameless para todo P0/P1.
Firma del Controlador: ___________________________ Email: email del Cliente Fecha: 18 de julio de 2026
Firma de Atlyo: ___________________________ Email: info@atlyo-fitness.com Fecha: 18 de julio de 2026
¿Necesitás una versión firmable con tus datos? Escribinos a info@atlyo-fitness.com y te enviamos el PDF personalizado en 24-48hs hábiles.

