Contrato de Encargo (DPA) · Ley 21.719 · Asesorías ARS ByR ↔ TimeToMarketCompleta los campos amarillos con los datos reales de la sociedad, luego imprime o guarda como PDF.
⚠️ Borrador — requiere revisión de abogado antes de firmar. Implementa las obligaciones que la Ley 21.719 exige entre un Responsable y su Encargado del tratamiento. No sustituye asesoría legal: las cláusulas 13 (responsabilidad) y 14 (jurisdicción) y el alcance de auditoría deben validarse con un abogado.

Faltan datos para poder firmar. El RUT, el domicilio comercial y el representante legal de Asesorías ARS ByR no los tenemos y están marcados como <RUT_ARS>, <DOMICILIO_ARS> y <REPRESENTANTE_LEGAL_ARS>. Deben pedirse a la empresa y completarse en los campos amarillos: no se inventan. Un RUT o un representante legal erróneo en este contrato lo vuelve inválido y expone a ambas partes.

Nota sobre la Ley 21.719: fue publicada el 13-dic-2024 y entra en vigencia el 1 de diciembre de 2026. A la fecha de este borrador aún no rige (rige la Ley 19.628); el contrato se anticipa a ella deliberadamente.

Contrato de Encargo del Tratamiento de Datos Personales

(Data Processing Agreement — DPA)

Ley N° 21.719 · República de Chile — Accesorio al contrato de servicios entre las Partes

Comparecientes

EL RESPONSABLE: Asesorías ARS ByR, RUT <RUT_ARS>, domicilio en <DOMICILIO_ARS> (calle, número, comuna, región), representada por <REPRESENTANTE_LEGAL_ARS>, cédula RUT rep., correo contacto@arsbyr.cl (en adelante, el “Responsable” o “ARS”).

EL ENCARGADO: Inversiones, Comercializadora y Servicios Tecnológicos Fravillalo SpA, RUT 78.468.135-1, domicilio en Las Condes, Región Metropolitana, correo hola@timetomarket.cl (en adelante, el “Encargado” o “TimeToMarket”).

En conjunto, las “Partes”. Este contrato de encargo (el “DPA”) es parte integrante y accesoria del contrato principal de servicios suscrito entre las Partes con fecha dd/mm/aaaa (el “Contrato Principal”), al que complementa en materia de protección de datos personales.

Cláusula 1 — Definiciones

Los términos tienen el significado que les da la Ley 21.719, en especial: Dato personal (información de una persona natural identificada o identificable); Dato sensible (salud, perfil biológico/biométrico, origen racial o étnico, afiliación sindical/política/gremial, convicciones religiosas o filosóficas, vida y orientación sexual y situación socioeconómica); Tratamiento; Responsable (decide fines y medios); Encargado (trata por cuenta del Responsable, siguiendo instrucciones); Subencargado; Titular; Brecha (destrucción, pérdida, filtración, alteración o acceso no autorizado); y APDP (Agencia de Protección de Datos Personales).

Cláusula 2 — Objeto

El Responsable encarga a TimeToMarket el tratamiento de datos personales estrictamente necesario para prestar los servicios del Contrato Principal (desarrollo, operación, alojamiento y mantención del sitio web, CRM, sistemas y/o soporte del Responsable). El detalle consta en el Anexo I.

Cláusula 3 — Duración

Rige mientras esté vigente el Contrato Principal y hasta cumplir las obligaciones de devolución o supresión de la Cláusula 12. Las obligaciones de confidencialidad y seguridad que por su naturaleza subsistan continúan tras la terminación.

Cláusula 4 — Instrucciones y finalidad

  1. TimeToMarket tratará los datos únicamente conforme a las instrucciones documentadas del Responsable y para las finalidades del Anexo I. No usará los datos para fines propios ni los cederá a terceros salvo lo previsto aquí o por obligación legal.
  2. Si una instrucción, a juicio de TimeToMarket, infringe la Ley 21.719, lo informará sin demora y podrá suspender su ejecución.

Cláusula 5 — Obligaciones de TimeToMarket (Encargado)

  1. Confidencialidad, extensiva a su personal y subencargados, que subsiste tras el término.
  2. Seguridad: aplicar las medidas del Anexo III (HTTPS, control de acceso/RLS, cifrado, respaldos, headers de seguridad, registro de accesos).
  3. Asistencia al Responsable para atender los derechos de los titulares (acceso, rectificación, supresión, oposición, portabilidad y bloqueo) y sus deberes de seguridad, brechas y evaluaciones de impacto.
  4. Notificación de brechas: avisar al Responsable sin dilación indebida y a más tardar dentro de las 24 horas de conocer la brecha, con la información necesaria para que el Responsable notifique a la APDP y a los titulares dentro de las 72 horas que exige la ley.
  5. Registro de las actividades de tratamiento realizadas por cuenta del Responsable, a su disposición.
  6. Personal obligado a confidencialidad y capacitado.

Cláusula 6 — Obligaciones del Responsable

  1. Contar con una base de licitud válida y con la información/consentimiento de los titulares para las finalidades encargadas.
  2. Entregar instrucciones lícitas y datos exactos; mantener su propia política de privacidad conforme.
  3. Responder frente a titulares y APDP en su calidad de Responsable.

Cláusula 7 — Subencargados (subcontratación)

  1. El Responsable autoriza a los subencargados del Anexo II (infraestructura, alojamiento, correo transaccional, pagos y analítica).
  2. TimeToMarket no incorporará nuevos subencargados sin autorización previa, informando con antelación razonable para permitir la oposición.
  3. Impondrá a cada subencargado, por escrito, las mismas obligaciones de este DPA, y responderá solidariamente por sus incumplimientos.

Cláusula 8 — Transferencias internacionales

Parte de la infraestructura opera fuera de Chile (Anexo II). El Responsable reconoce y autoriza dichas transferencias, amparadas en alguna vía de la Ley 21.719: país con nivel adecuado declarado por la APDP, garantías apropiadas (cláusulas contractuales tipo o acuerdos de tratamiento de los proveedores, normas corporativas vinculantes o certificaciones) o consentimiento del titular. TimeToMarket mantendrá disponibles los acuerdos de tratamiento de sus proveedores como evidencia.

Cláusula 9 — Seguridad de la información

Las medidas mínimas constan en el Anexo III. Las Partes revisarán su idoneidad periódicamente y ante cambios de riesgo. La provisión de seguridad no traslada al Encargado la responsabilidad del Responsable sobre la licitud del tratamiento.

Cláusula 10 — Derechos de los titulares

Si un titular dirige una solicitud a TimeToMarket, ésta se derivará al Responsable sin demora, con asistencia técnica para responder en plazo (regla general 30 días hábiles; bloqueo temporal en 2 días hábiles).

Cláusula 11 — Auditoría

El Responsable podrá verificar el cumplimiento mediante requerimientos de información razonables o auditorías acordadas con antelación, sin afectar la operación ni la seguridad de otros clientes de TimeToMarket, y sujeto a confidencialidad.

Cláusula 12 — Devolución o supresión al terminar

Terminado el servicio, TimeToMarket, a elección del Responsable, devolverá o suprimirá los datos y sus copias, salvo obligación legal de conservación, dejando constancia. Plazo: 30 días corridos desde la solicitud o el término del Contrato Principal.

Cláusula 13 — Responsabilidad

Cada Parte responde por los daños que cause por incumplimiento de sus obligaciones legales y contractuales. Límites de responsabilidad / indemnización — DEFINIR CON ABOGADO.

Cláusula 14 — Ley aplicable y jurisdicción

Se rige por la ley chilena. Domicilio / tribunales o arbitraje — DEFINIR CON ABOGADO.

Cláusula 15 — Vigencia

Entra en vigor a la fecha de su firma y se entiende parte del Contrato Principal.

Firman en dos ejemplares de igual tenor, en Ciudad, a fecha.

<REPRESENTANTE_LEGAL_ARS> Asesorías ARS ByR
RUT <RUT_ARS>
EL RESPONSABLE
Representante TimeToMarket Inversiones, Comercializadora y Servicios Tecnológicos Fravillalo SpA
RUT 78.468.135-1
EL ENCARGADO

Anexo I — Descripción del tratamiento

Nota: este anexo describe la operación verificada a la fecha del borrador. Si se activan formularios web, CRM, correo transaccional o pagos en línea, debe actualizarse este Anexo I y el Anexo II antes de ponerlos en marcha (ver Cláusula 7.2: los nuevos subencargados requieren autorización previa del Responsable).

Anexo II — Subencargados autorizados

Lista acotada a los proveedores que realmente intervienen hoy en el sitio del Responsable. No se incluyen proveedores que no se usan: autorizar transferencias que no ocurren es tan incorrecto como omitir las que sí ocurren.

SubencargadoRol / servicioUbicación de datosGarantía de transferencia
HostingerAlojamiento del sitio web y registros de servidorFuera de Chile (UE / global) — confirmar regiónDPA del proveedor
Google LLC (Analytics 4)Analítica web — solo si la persona visitante consienteEE.UU. / globalConsent Mode v2 + DPA del proveedor + cláusulas tipo

No aplican hoy (no autorizados por este anexo): Supabase, Vercel, Resend y MercadoPago. Solo procederá incorporarlos —con la autorización previa y escrita que exige la Cláusula 7.2— si el Responsable activa base de datos, formularios, correo transaccional o pagos en línea.
Fuera de este encargo: WhatsApp / Meta Platforms es un canal de contacto que el Responsable administra directamente con sus clientes; TimeToMarket no lo subcontrata ni accede a esas conversaciones. Está declarado en la política de privacidad del Responsable, no como subencargado de TimeToMarket.

Anexo III — Medidas de seguridad (técnicas y organizativas)

Borrador para Asesorías ARS ByR, generado desde la plantilla de TimeToMarket (v1.0) y adaptado a su operación el 17 de julio de 2026, conforme a la Ley 21.719. Sin firmar y con datos pendientes (<RUT_ARS>, <DOMICILIO_ARS>, <REPRESENTANTE_LEGAL_ARS>). No constituye asesoría legal; validar con abogado antes de firmar. Guardar copia firmada como evidencia de cumplimiento (responsabilidad proactiva).