ACUERDO DE ENCARGADO DE TRATAMIENTO DE DATOS PERSONALES (DPA)

Última actualización: 25 de febrero de 2026

Índice

• 1. Objeto
• 2. Definiciones
• 3. Alcance del tratamiento
• 4. Obligaciones del Encargado
• 5. Obligaciones del Responsable
• 6. Datos especialmente protegidos e inferencias
• 7. Subencargados y transferencias internacionales
• 8. Medidas de seguridad
• 9. Derechos de los titulares
• 10. Incidentes de seguridad
• 11. Conservación, exportación y eliminación
• 12. Cooperación con URCDP
• 13. Limitación de responsabilidad
• 14. Vigencia
• 15. Ley aplicable

Entre:

[Club Cannábico], en su calidad de Responsable del Tratamiento (el “Responsable”),

y

ISKRA SAS, RUT 220705550017, con domicilio en Montevideo, República Oriental del Uruguay, en su calidad de Encargado del Tratamiento (el “Encargado”),

se celebra el presente Acuerdo, que forma parte integrante del contrato de prestación del servicio SaaS CannabisOne.

1. Objeto

Regular el tratamiento de datos personales realizado por el Encargado por cuenta del Responsable en el marco del servicio CannabisOne, conforme a la Ley N.º 18.331, Decreto N.º 414/009 y normativa aplicable.

2. Definiciones

• Datos Personales: información referida a personas físicas identificadas o identificables.
• Tratamiento: operaciones realizadas sobre datos personales.
• Responsable: quien decide finalidad y medios del tratamiento.
• Encargado: quien trata datos por cuenta del Responsable.

3. Alcance del tratamiento

El Encargado podrá tratar, por cuenta del Responsable, datos vinculados a:

• Datos identificatorios y de contacto de socios/usuarios.
• Datos de autenticación y roles.
• Pedidos/órdenes, ítems y cantidades asociadas.
• Productos, stock, compras, gastos y registros administrativos del Club.
• Configuración del Club.
• Registros técnicos (logs) necesarios para operación y seguridad (fecha/hora/IP/acciones relevantes).

El tratamiento se limitará a la prestación del servicio contratado, soporte, mantenimiento y seguridad.

4. Obligaciones del Encargado

El Encargado se obliga a:

1. Tratar los datos únicamente conforme a instrucciones documentadas del Responsable.
2. No utilizar los datos con fines propios ni distintos del servicio.
3. No comunicar/ceder datos a terceros sin autorización del Responsable, salvo obligación legal.
4. Garantizar confidencialidad del personal autorizado.
5. Implementar medidas técnicas y organizativas razonables.
6. Mantener registros técnicos necesarios para seguridad y auditoría.
7. Asistir razonablemente al Responsable en solicitudes de titulares y obligaciones legales vinculadas al tratamiento.
8. Notificar incidentes conforme a la cláusula 10.

5. Obligaciones del Responsable

El Responsable declara y garantiza que:

1. Cuenta con base legal suficiente para el tratamiento de los datos que ingresa.
2. Ha informado a los titulares conforme a la Ley 18.331.
3. Es responsable del cumplimiento normativo aplicable a su actividad.
4. Los datos ingresados son lícitos y veraces.
5. Gestiona adecuadamente usuarios/permisos y revocaciones internas.
6. Para los socios que no acceden al sistema (no tienen usuario en CannabisOne), el Responsable es responsable de recabar el consentimiento informado de dichos titulares antes de cargar sus datos en el sistema, por ejemplo mediante formularios de afiliación física o digital. CannabisOne actúa exclusivamente como Encargado; el Responsable garantiza haber informado y obtenido el consentimiento de dichos titulares.

6. Datos especialmente protegidos e inferencias

El Responsable reconoce que ciertos datos operativos (por ejemplo, historial de pedidos/cantidades) pueden permitir inferencias sobre hábitos o patrones, y declara contar con base legal suficiente y medidas internas adecuadas.

El Encargado aplicará medidas de seguridad razonables y tratará los datos exclusivamente por cuenta del Responsable y para las finalidades del servicio.

7. Subencargados y transferencias internacionales

El Encargado podrá utilizar subencargados (proveedores de infraestructura/servicios) para prestar el servicio.

• El Encargado impondrá obligaciones de confidencialidad y seguridad razonables a dichos subencargados.
• El Encargado seguirá siendo responsable frente al Responsable por el cumplimiento de este Acuerdo por parte de los subencargados.
• Cuando el uso de subencargados implique transferencias internacionales de datos, el Encargado aplicará salvaguardas contractuales y técnicas razonables.

Mecanismo de información: a solicitud del Responsable, ISKRA podrá informar subencargados relevantes o el canal donde se mantiene un listado actualizado (anexo, documento publicado o comunicación escrita).

8. Medidas de seguridad

El Encargado implementa medidas razonables, incluyendo:

• Autenticación individual y control de roles.
• HTTPS para datos en tránsito.
• Segmentación lógica por club cuando aplique según modalidad de despliegue.
• Backups periódicos.
• Restricción de acceso interno y principio de mínimo privilegio.

9. Derechos de los titulares

El Encargado asistirá razonablemente al Responsable para atender solicitudes de acceso, rectificación, actualización, inclusión o supresión.

Las solicitudes deberán ser canalizadas ante el Responsable.

10. Incidentes de seguridad

El Encargado notificará al Responsable dentro de las 72 horas desde que tome conocimiento de un incidente de seguridad que afecte datos personales tratados por cuenta del Responsable.

La notificación incluirá, en la medida de lo razonable: naturaleza del incidente, alcance estimado, medidas de mitigación y recomendaciones operativas.

11. Conservación, exportación y eliminación

Al finalizar el contrato principal:

1. El Responsable podrá solicitar exportación de los datos dentro de 30 días.
2. Formato de exportación: CSV y/o JSON (o formato técnicamente equivalente disponible).
3. El Encargado podrá cobrar una tarifa razonable si la exportación requiere trabajo extraordinario fuera de lo estándar.
4. Transcurrido el plazo, el Encargado podrá eliminar los datos de los entornos activos.
5. Podrán conservarse copias de respaldo por un período técnico limitado por motivos de integridad/continuidad o obligación legal; vencido ese período, podrán ser sobreescritas/eliminadas conforme a ciclos operativos.

12. Cooperación con URCDP

En caso de requerimientos legítimos de la URCDP relativos al tratamiento realizado por cuenta del Responsable, el Encargado cooperará razonablemente dentro de sus competencias técnicas, coordinando con el Responsable cuando corresponda.

13. Limitación de responsabilidad

La responsabilidad total y acumulada del Encargado derivada de este DPA no podrá exceder el monto efectivamente abonado por el Responsable en los tres (3) meses anteriores al evento que origine el reclamo.

Se excluyen daños indirectos y lucro cesante, en los términos pactados en los Términos y Condiciones y/o contrato principal.

14. Vigencia

El presente DPA permanecerá vigente mientras el Encargado trate datos personales por cuenta del Responsable en el marco del servicio CannabisOne.

15. Ley aplicable

República Oriental del Uruguay.