Acuerdo de Tratamiento de Datos

1. Partes

• Responsable del tratamiento ("el Cliente"): la persona natural o jurídica que contrata el Servicio NORA y carga datos personales de terceros al sistema en el ejercicio de su actividad gastronómica.
• Encargado del tratamiento ("NORA"): SUMYTECH, RUC 0923260772001, con domicilio fiscal en Guayaquil, Ecuador [completar dirección], proveedor del software como servicio NORA.

2. Objeto

Este Acuerdo establece las condiciones bajo las cuales NORA, en su calidad de Encargado, trata los datos personales que el Cliente, en su calidad de Responsable, decide cargar y procesar a través del Servicio. Cumple los requisitos del artículo 75 de la LOPDP y constituye prueba documental del encargo del tratamiento.

3. Naturaleza, finalidad y duración del tratamiento

• Naturaleza: almacenamiento, organización, modificación, consulta, comunicación interna y supresión de los datos cargados por el Cliente.
• Finalidad: permitir al Cliente operar su negocio gastronómico — emitir facturas, gestionar clientes y proveedores, ejecutar campañas CRM, controlar inventario, generar reportes, integrarse con el SRI.
• Duración: mientras dure la relación contractual del Cliente con NORA. Tras finalizar la suscripción, NORA conserva los datos por hasta 90 días en backups encriptados antes de eliminación segura, salvo obligación legal de conservación más extensa (ej. comprobantes fiscales, 7 años).

4. Categorías de datos y titulares

4.1 Titulares cuyos datos pueden ser tratados

• Consumidores finales del restaurante (datos para fidelización, RFM, comprobantes electrónicos).
• Empleados del Cliente (usuarios del sistema: cajeros, meseros, cocineros, administradores).
• Proveedores del Cliente (datos para órdenes de compra, gestión de cuentas por pagar).
• Conductores de delivery (datos para asignación de pedidos).

4.2 Categorías de datos personales tratados

El Cliente decide qué datos cargar. Los datos típicos son:

• De identificación: nombre, RUC/cédula/pasaporte, dirección, email, teléfono.
• Económicos: historial de consumo, valor de compras, métodos de pago.
• Laborales (empleados): turno, sucursal asignada, función, salario base si se carga.
• De preferencias (CRM): productos favoritos, frecuencia de visita, segmentación RFM.

4.3 Datos sensibles

El sistema no requiere el tratamiento de datos sensibles (datos biométricos, salud, opiniones políticas, religión, orientación sexual, origen étnico). Si el Cliente decide cargar datos sensibles, asume responsabilidad exclusiva por contar con la base legal correspondiente y notificar a los titulares.

5. Obligaciones de NORA como Encargado

NORA se obliga a:

1. Tratar los datos exclusivamente para las finalidades autorizadas por el Cliente en este Acuerdo.
2. Mantener confidencialidad absoluta sobre los datos durante y después de la relación contractual.
3. Asegurar que el personal con acceso a datos firme acuerdos de confidencialidad y reciba formación en protección de datos.
4. Aplicar las medidas técnicas y organizativas descritas en el punto 9.
5. No subcontratar el tratamiento sin autorización del Cliente, salvo a los sub-encargados listados en el punto 7. Cualquier nuevo sub-encargado será notificado con 30 días de anticipación, dando al Cliente derecho de objeción razonable.
6. Asistir al Cliente en la respuesta a solicitudes de ejercicio de derechos ARCO de los titulares.
7. Notificar al Cliente sin demora indebida (máximo 24 horas) cualquier incidente de seguridad que afecte sus datos.
8. Permitir auditorías razonables, en los términos del punto 12.
9. Devolver o eliminar los datos al término del contrato, según indicación del Cliente.
10. No utilizar los datos para fines propios, salvo agregaciones anonimizadas que no permitan re-identificar a titulares.

6. Obligaciones del Cliente como Responsable

El Cliente se obliga a:

1. Tener una base legal válida (consentimiento, contrato, interés legítimo, obligación legal) para tratar los datos que carga al sistema.
2. Informar a los titulares sobre el tratamiento — proporcionar aviso de privacidad y obtener consentimiento cuando corresponda.
3. Mantener actualizados los datos, eliminar los que ya no sean necesarios y respetar las solicitudes de los titulares.
4. No cargar al sistema datos cuyo tratamiento esté prohibido o requiera autorizaciones especiales que el Cliente no haya obtenido.
5. Respetar el carácter B2B del Servicio: NORA no es para tratamiento masivo de datos de campañas dirigidas a terceros no clientes del Cliente.
6. Notificar a NORA cuando rescinda relaciones con titulares que requieran exclusión.

7. Sub-encargados autorizados

El Cliente autoriza, por la sola contratación del Servicio, a los siguientes sub-encargados:

Los contratos con sub-encargados imponen obligaciones equivalentes de confidencialidad y seguridad a las asumidas por NORA frente al Cliente.

8. Transferencias internacionales

Por el uso de Google Cloud Platform, los datos pueden almacenarse en servidores fuera de Ecuador. Estos países cuentan con marcos de protección de datos reconocidos. Google Cloud aplica controles de seguridad alineados a estándares internacionales (ISO 27001, SOC 2, PCI DSS).

Conforme al artículo 56 LOPDP, las transferencias son lícitas porque (a) son necesarias para la ejecución del contrato con el Cliente, (b) el sub-encargado provee garantías adecuadas y (c) el Cliente otorga su consentimiento informado al contratar.

9. Medidas técnicas y organizativas

NORA implementa las siguientes salvaguardas:

9.1 Técnicas

• Cifrado en tránsito con TLS 1.2 o superior.
• Cifrado en reposo con AES-256 para credenciales y datos sensibles.
• Aislamiento por instancia: cada cliente opera en una base de datos lógicamente separada.
• Autenticación multifactor opcional para administradores.
• Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
• Logs de auditoría inmutables de acciones críticas (cambios de plan, accesos de soporte, eliminación de datos).
• Backups encriptados con frecuencia diaria y retención configurable.
• Firewalls y sistemas de detección de intrusos en infraestructura.
• Validación HMAC en comunicaciones entre componentes (Hub ↔ instancia POS).

9.2 Organizativas

• Política de control de accesos al entorno productivo.
• Acuerdos de confidencialidad firmados por el personal técnico.
• Capacitación periódica en protección de datos y seguridad de la información.
• Procedimiento documentado de respuesta a incidentes.
• Revisión anual de proveedores sub-encargados.
• Plan de continuidad operativa y recuperación ante desastres.

10. Notificación de brechas de seguridad

En caso de detectar una brecha de seguridad que afecte datos personales del Cliente o de sus titulares, NORA notificará al Cliente en un plazo máximo de 24 horas desde su detección. La notificación incluirá:

• Descripción de la naturaleza de la brecha.
• Categorías y volumen aproximado de datos y titulares afectados.
• Consecuencias probables.
• Medidas adoptadas y propuestas para mitigar la brecha.
• Datos del punto de contacto técnico.

Conforme al artículo 45 LOPDP, el Cliente debe notificar a la Superintendencia de Protección de Datos Personales en un plazo de 72 horas y, cuando exista riesgo elevado, también a los titulares afectados. NORA asistirá al Cliente en este proceso.

11. Asistencia para derechos de titulares

Cuando un titular de datos ejerce sus derechos ARCO directamente ante el Cliente, NORA proveerá las herramientas y asistencia necesarias para responderle dentro de los plazos legales. Esto incluye:

• Exportación de los datos del titular en formato estructurado.
• Rectificación o eliminación de datos puntuales en la base.
• Limitación o bloqueo del tratamiento cuando proceda.

Si el titular se dirige a NORA directamente, NORA redirigirá la solicitud al Cliente (Responsable) e informará al titular del redireccionamiento.

12. Auditoría

El Cliente puede solicitar evidencia razonable del cumplimiento de este Acuerdo. NORA proveerá:

• Informes de auditoría interna anuales (resumen ejecutivo).
• Certificaciones de sub-encargados (Google Cloud SOC 2, PagoPlux PCI DSS).
• Respuestas a cuestionarios de seguridad razonables, con una frecuencia máxima de una vez al año.

Auditorías presenciales o pruebas de penetración por parte del Cliente o terceros contratados por él requieren coordinación previa, justificación específica y costo a cargo del Cliente.

13. Devolución y eliminación al término del contrato

Al finalizar la relación contractual, NORA ofrecerá al Cliente, durante un plazo de 30 días naturales:

1. Acceso de solo-lectura para descargar sus datos en formato CSV/JSON.
2. Exportación asistida por correo si el Cliente lo solicita.

Vencidos esos 30 días, NORA procederá a la eliminación lógica de los datos de los entornos productivos. Los datos pueden permanecer hasta 90 días adicionales en backups encriptados antes de eliminación física definitiva.

Excepcionalmente, NORA conservará por 7 años los datos asociados a comprobantes electrónicos emitidos por el Cliente, en cumplimiento del Código Tributario.

14. Vigencia

Este Acuerdo entra en vigor con la aceptación de los Términos y Condiciones del Servicio y permanece vigente mientras dure la relación contractual entre las partes. Las obligaciones de confidencialidad, devolución/eliminación, retención fiscal y notificación de brechas sobreviven a la terminación del contrato.

15. Contacto

• Delegado de Protección de Datos: privacidad@norasistema.com
• Soporte general: soporte@norasistema.com