Convenio de Encargo del Tratamiento de Datos (DPA)

Yeira · Convenio de Encargo del Tratamiento de Datos (DPA)

Convenio de Encargo del Tratamiento de Datos Personales (DPA) · Fecha de entrada en vigor: 15 de junio de 2026 · Versión 1.0

El presente Convenio de Encargo del Tratamiento de Datos Personales (en adelante, el “Convenio” o “DPA”, por sus siglas en inglés de Data Processing Agreement) forma parte integrante de los Términos y Condiciones (los “Términos”) y se celebra entre Yeira, Inc., sociedad constituida conforme a las leyes del Estado de Delaware, Estados Unidos de América, con domicilio en 651 N Broad St, Suite 201, Middletown, DE 19709, Estados Unidos, titular y operadora de la plataforma YEIRA™ (en adelante, “Yeira” o el “Encargado”), y la Academia que ha contratado los Servicios y aceptado los Términos (en adelante, la “Academia” o el “Responsable”). En lo sucesivo, Yeira y la Academia podrán denominarse, individualmente, una “Parte”, y, conjuntamente, las “Partes”.

Este Convenio regula el tratamiento por cuenta de la Academia, en su carácter de Responsable, de los datos personales de sus Usuarios Finales (alumnos) que Yeira, como Encargado, trata para prestar los Servicios. Se entiende celebrado y aceptado en el mismo acto en que la Academia acepta los Términos. En caso de conflicto entre este Convenio y los Términos en lo relativo al tratamiento de datos personales de Usuarios Finales, prevalecerá este Convenio. Este Convenio se redacta en idioma español, versión que rige la relación entre las Partes; para la Academia de Brasil podrá ponerse a disposición una versión en portugués.

1. Marco legal y definiciones

Este Convenio se interpreta conforme a la legislación de protección de datos personales aplicable a la Academia y a sus Usuarios Finales, incluyendo de manera enunciativa la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP), la Ley 1581 de 2012 y el Decreto 1377 de 2013 de Colombia, la Ley N.° 29733 de Perú, la Ley N.° 25.326 de Argentina, la Ley N.° 21.719 de Chile y la Lei Geral de Proteção de Dados (LGPD, Lei N.° 13.709) de Brasil (conjuntamente, la “Legislación de Protección de Datos”). Cuando estos regímenes difieran entre sí, Yeira aplicará el estándar más protector para el titular.

Para efectos de este Convenio, los términos definidos en los Términos conservan su significado, y adicionalmente:

• Responsable / controlador. La Academia, que determina las finalidades y los medios del tratamiento de los datos personales de sus Usuarios Finales. En Colombia y Brasil, “controlador”.
• Encargado / procesador / operador. Yeira, que trata los datos personales de los Usuarios Finales por cuenta y conforme a las instrucciones documentadas de la Academia. En Colombia, “encargado”; en Brasil bajo la LGPD, “operador”.
• Datos Personales. Cualquier información concerniente a una persona física identificada o identificable (el “titular”) que la Academia o sus Usuarios Finales carguen, generen o gestionen en la Plataforma y que Yeira trate por cuenta de la Academia (los “Datos de Usuarios Finales”).
• Titular. El Usuario Final (alumno) a quien pertenecen los Datos Personales.
• Tratamiento. Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios manuales o automatizados (obtención, uso, almacenamiento, divulgación, supresión, entre otras).
• Subencargado / subprocesador. El tercero contratado por Yeira que trata Datos de Usuarios Finales por cuenta de Yeira para la prestación de los Servicios.
• Vulneración de Seguridad. Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o el acceso, divulgación o tratamiento no autorizados, de Datos Personales tratados por Yeira.
• Instrucciones Documentadas. Las instrucciones de la Academia respecto del tratamiento, integradas por los Términos, este Convenio, el Aviso de Privacidad y las opciones de configuración y funcionalidades que la Academia elija y utilice dentro de la Plataforma.

2. Objeto y roles de las Partes

YEIRA™ es una plataforma de aprendizaje en línea (LMS) multi–inquilino ofrecida bajo modelo de software como servicio (SaaS). Respecto de los Datos de Usuarios Finales:

• La Academia es el Responsable (controlador): determina por qué y cómo se tratan los Datos de sus Usuarios Finales, decide qué datos cargar y configura las funcionalidades de la Plataforma.
• Yeira es el Encargado (procesador / operador): trata los Datos de Usuarios Finales exclusivamente por cuenta de la Academia y conforme a sus Instrucciones Documentadas.

Este Convenio no rige el tratamiento de los datos de cuenta, facturación, contacto y soporte del propio Administrador, respecto de los cuales Yeira actúa como Responsable conforme a su Aviso de Privacidad. Tampoco rige los datos de pago de los compradores en las ventas que la Academia realice a sus Usuarios Finales a través de su propia cuenta de Stripe y/o PayPal (cláusula 9.1 de los Términos): en esas transacciones la Academia es el Responsable de dichos datos de pago, que fluyen a través de su propio procesador y bajo su control, y Yeira no es parte ni Encargado de esa relación.

3. Detalles del tratamiento

Las Partes acuerdan los parámetros del tratamiento que Yeira realiza por cuenta de la Academia, los cuales se describen de forma detallada en el Anexo I — Descripción del Tratamiento de este Convenio.

4. Obligaciones de Yeira como Encargado

Yeira se obliga, respecto de los Datos de Usuarios Finales, a:

1. Tratamiento limitado. Tratar los Datos Personales únicamente para prestar los Servicios y conforme a las Instrucciones Documentadas de la Academia. Yeira no usará los Datos para finalidades propias, no los venderá, ni los empleará para publicidad o para entrenar modelos de inteligencia artificial.
2. Instrucciones ilícitas. Informar a la Academia, sin dilación indebida, si en su opinión una instrucción infringe la Legislación de Protección de Datos, pudiendo suspender la ejecución de la instrucción afectada hasta que sea confirmada, modificada o retirada.
3. Confidencialidad. Mantener la confidencialidad de los Datos Personales y exigir que su personal y colaboradores autorizados estén sujetos a deberes de confidencialidad que sobreviven a la terminación, limitando el acceso a quienes lo requieran para prestar los Servicios bajo el principio de mínimo privilegio.
4. Seguridad. Implementar y mantener las medidas de seguridad descritas en la cláusula 5 y en el Anexo II.
5. Subencargados. Contratar subencargados únicamente conforme a la cláusula 6 y al Anexo III.
6. Asistencia en derechos de los titulares. Asistir a la Academia conforme a la cláusula 7.
7. Notificación de vulneraciones. Notificar las Vulneraciones de Seguridad conforme a la cláusula 8.
8. Asistencia adicional. Asistir razonablemente a la Academia en evaluaciones de impacto, consultas previas a la autoridad y demás obligaciones que la Legislación de Protección de Datos imponga al Responsable, en la medida en que dicha asistencia sea proporcional a la naturaleza del tratamiento y a la información disponible para Yeira.
9. Responsabilidad demostrada. Poner a disposición de la Academia la información razonablemente necesaria para acreditar el cumplimiento de este Convenio y permitir verificaciones conforme a la cláusula 9.
10. Devolución y supresión. Devolver y/o suprimir los Datos Personales conforme a la cláusula 11.

5. Medidas de seguridad

Yeira aplica medidas de seguridad administrativas, técnicas y físicas apropiadas al riesgo para proteger los Datos Personales contra daño, pérdida, alteración, destrucción o tratamiento, acceso o uso no autorizados. Estas medidas se describen en el Anexo II — Medidas Técnicas y Organizativas de este Convenio.

Yeira podrá actualizar las medidas de seguridad de tiempo en tiempo, siempre que el nivel de protección no se vea disminuido. La Academia reconoce que es la única responsable de configurar adecuadamente sus controles dentro de la Plataforma (por ejemplo, la gestión de cuentas de administradores y permisos) y de mantener la confidencialidad de sus credenciales.

6. Subencargados (subprocesadores)

La Academia otorga a Yeira autorización general por escrito para contratar subencargados a fin de prestar los Servicios. Yeira se obliga a que, respecto de cada subencargado, Yeira: (a) le impondrá, mediante contrato, obligaciones de protección de datos no menos protectoras que las asumidas en este Convenio; (b) permanecerá responsable frente a la Academia por los actos y omisiones de sus subencargados como si fueran propios; y (c) mantendrá una lista actualizada de subencargados, la cual se incorpora en el Anexo III — Subencargados de este Convenio.

Altas o sustituciones. Yeira notificará a la Academia, con antelación razonable, las altas o sustituciones previstas de subencargados, mediante publicación en www.yeira.io y/o aviso dentro de la Plataforma o por correo electrónico a la dirección asociada a la cuenta. La Academia tendrá un derecho de objeción por motivos razonables y demostrables de protección de datos dentro de los treinta (30) días siguientes a la notificación. Si la objeción es fundada y no puede resolverse razonablemente, la Academia podrá, como único remedio, terminar la parte de los Servicios que no pueda prestarse sin el subencargado objetado, sin que ello genere reembolso conforme a los Términos.

7. Asistencia en el ejercicio de derechos de los titulares

Conforme a la Legislación de Protección de Datos, los Usuarios Finales pueden ejercer sus derechos de acceso, rectificación, cancelación o supresión, oposición, limitación del uso o divulgación, portabilidad y revocación del consentimiento. Respecto de dichos derechos:

• El obligado a responder a las solicitudes de los Usuarios Finales es la Academia, en su carácter de Responsable.
• Yeira pondrá a disposición de la Academia las herramientas de autoservicio de la Plataforma (exportación, edición, bloqueo y eliminación de usuarios) para que pueda atender, dentro de los plazos legales de su jurisdicción, las solicitudes de sus titulares.
• Si Yeira recibe directamente una solicitud de un Usuario Final, no responderá por cuenta propia; la reenviará a la Academia correspondiente y, en su caso, le asistirá razonablemente conforme a la ley.

A título referencial, y para que la Academia dimensione los plazos en los que Yeira debe brindar asistencia oportuna, la Legislación de Protección de Datos contempla, entre otros: México, 20 días hábiles para responder y 15 días para hacer efectivo el derecho; Perú, hasta 20 días para acceso y 10 días para los demás derechos; Argentina, 10 días corridos para acceso y 5 días hábiles para rectificación o supresión; Colombia, 10 días hábiles para consultas y 15 días hábiles para reclamos (en ambos casos prorrogables conforme a la ley). Para Chile (Ley N.° 21.719) y Brasil (LGPD), así como para cualquier otra jurisdicción cuyo plazo no se enuncie expresamente arriba, aplicará el plazo legal que corresponda conforme a la ley de esa jurisdicción; la enumeración anterior es meramente referencial y no constituye una lista cerrada. Yeira prestará su asistencia con la diligencia necesaria para que la Academia pueda cumplir el plazo más breve exigible según su jurisdicción.

8. Notificación de vulneraciones de seguridad

En caso de una Vulneración de Seguridad que afecte Datos de Usuarios Finales, Yeira notificará a la Academia afectada (Responsable) sin dilación indebida tras tener conocimiento de la misma. La notificación incluirá, en la medida en que la información esté disponible: la naturaleza del incidente; las categorías y, cuando sea posible, el volumen aproximado de titulares y de registros afectados; las posibles consecuencias; las medidas adoptadas o propuestas para mitigarlo; y un punto de contacto para obtener más información. Yeira proporcionará información adicional de forma progresiva conforme avance la investigación.

Corresponde a la Academia, como Responsable, evaluar el incidente y, cuando proceda, notificar a sus Usuarios Finales y a la autoridad de control competente en los términos y plazos que su jurisdicción exija. La notificación de Yeira a la Academia no constituye un reconocimiento de culpa ni de responsabilidad respecto del incidente.

9. Auditoría y verificación de cumplimiento

Yeira pondrá a disposición de la Academia la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de este Convenio. Cuando la Academia tenga motivos fundados para considerar que dicha información es insuficiente, podrá solicitar una verificación, sujeta a las siguientes condiciones: (a) se realizará con un aviso previo razonable (no menor a treinta (30) días naturales, salvo requerimiento de autoridad); (b) no más de una vez por año calendario, salvo requerimiento de autoridad competente o investigación de una Vulneración de Seguridad; (c) en horario hábil y sin interrumpir indebidamente las operaciones de Yeira; (d) bajo estricta confidencialidad; y (e) sin acceso a datos de otras Academias, a secretos comerciales ni a la infraestructura de terceros subencargados. Yeira podrá satisfacer las solicitudes de verificación mediante políticas, descripciones de controles, certificaciones o informes de auditoría de terceros que tenga disponibles.

10. Transferencias internacionales

La prestación de los Servicios requiere tratar y almacenar los Datos de Usuarios Finales en Estados Unidos de América (región principal de la infraestructura, AWS us–east–1) y en otras jurisdicciones donde Yeira y sus subencargados operan, por lo que los datos pueden salir del país del titular. La transmisión de los Datos de Usuarios Finales desde la Academia hacia Yeira (Encargado) y sus subencargados autorizados constituye una remisión por cuenta de la Academia, que la Academia debe informar en su propio aviso o política de privacidad. Esta cláusula debe leerse de forma armónica con la cláusula 14.3 de los Términos y con la cláusula 10 del Aviso de Privacidad, relativas a transferencias y remisiones internacionales.

Estas transferencias y remisiones se realizan al amparo de salvaguardas apropiadas, incluyendo cláusulas contractuales de protección de datos equivalentes a las exigidas por la Legislación de Protección de Datos y, donde el proveedor las ofrece, Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCC) incorporadas en los acuerdos de tratamiento de datos que Yeira procura suscribir y conservar con sus subencargados (entre ellos AWS, Stripe, Brevo y Google). A solicitud de la Academia, Yeira facilitará información razonable sobre dichas salvaguardas.

La Academia, como Responsable, es la obligada a contar con una base de transferencia válida respecto de cualquier dato personal sujeto al Reglamento General de Protección de Datos de la Unión Europea (RGPD) o al régimen del Reino Unido (UK GDPR), cuando alguno de sus Usuarios Finales sea un interesado en dichas jurisdicciones. En la medida en que resulten aplicables las Cláusulas Contractuales Tipo de la Unión Europea o del Reino Unido (UE/RU), las Partes acuerdan que el módulo aplicable y los roles de las Partes serán los establecidos en las SCC pertinentes (por regla general, el módulo Responsable–a–Encargado, con la Academia como exportadora de datos y Yeira como importadora), las cuales se incorporarán y prevalecerán respecto de dichas transferencias en lo que corresponda.

11. Devolución y supresión de los datos

Tras la terminación de los Servicios, y salvo el caso de impago no regularizado, la Academia dispondrá de una ventana razonable de treinta (30) días para exportar Su Contenido y los Datos de sus Usuarios Finales mediante las herramientas de autoservicio de la Plataforma, antes de su depuración. Transcurrida dicha ventana, Yeira procederá a suprimir los Datos de Usuarios Finales, incluyendo las copias residuales en respaldos dentro de su ciclo normal de rotación, salvo la información que Yeira deba conservar por obligación legal, fiscal o para la prevención de fraude, en cuyo caso continuará protegiéndola conforme a este Convenio durante el periodo de conservación.

En los casos de impago, la ventana de exportación de treinta (30) días no corre: a la cuenta suspendida por falta de pago le aplica únicamente la depuración por inactividad o impago prevista en los Términos, que se realiza transcurridos tres (3) meses y previo aviso por correo electrónico a la dirección asociada a la cuenta. Se recomienda a la Academia realizar copias de seguridad de Su Información con regularidad.

12. Obligaciones de la Academia como Responsable

La Academia, como Responsable, se obliga a: (a) contar con base de licitud o consentimiento válido para recabar y cargar los Datos de sus Usuarios Finales en la Plataforma; (b) mantener y poner a disposición de sus Usuarios Finales su propio aviso o política de privacidad que, como mínimo, divulgue que Yeira actúa como Encargado, las transferencias internacionales y los subencargados descritos en este Convenio, las finalidades del tratamiento y los derechos de los titulares y cómo ejercerlos; (c) abstenerse de cargar datos personales sensibles o datos de menores de edad sin la base de licitud o el consentimiento parental adicionales que la ley exija —incluido, en el caso de Brasil, el consentimiento parental específico y destacado— actuando siempre en el interés superior del menor; (d) impartir únicamente instrucciones lícitas y conformes a la Legislación de Protección de Datos; (e) mantener actualizada la dirección de correo electrónico y los datos de contacto de notificación asociados a su cuenta, dado que las notificaciones de Vulneraciones de Seguridad, de altas o sustituciones de subencargados y de depuración de datos se envían a la dirección asociada a la cuenta, siendo de la Academia la responsabilidad de cualquier consecuencia derivada de una dirección desactualizada o inválida; y (f) indemnizar a Yeira por el incumplimiento de estas obligaciones, conforme a la cláusula 13.2 de los Términos.

13. Responsabilidad

La responsabilidad de cada Parte derivada de o relacionada con este Convenio se rige por las cláusulas de limitación de responsabilidad e indemnización de los Términos (cláusula 13 de los Términos), las cuales se incorporan a este Convenio por referencia. Nada en este Convenio limita la responsabilidad que no pueda excluirse o limitarse conforme a la Legislación de Protección de Datos imperativa aplicable.

14. Vigencia y terminación

Este Convenio entra en vigor al aceptarse los Términos y permanece vigente mientras Yeira trate Datos de Usuarios Finales por cuenta de la Academia. Las obligaciones que por su naturaleza deban subsistir —en particular las de confidencialidad, devolución y supresión, y las relativas a la información que Yeira conserve por obligación legal— sobrevivirán a la terminación de los Servicios.

15. Autoridades de control

Sin perjuicio del derecho de los titulares a contactar a la Academia, podrán presentar reclamaciones ante la autoridad de protección de datos competente de su país, entre ellas: en México, la Secretaría Anticorrupción y Buen Gobierno (autoridad a la que se transfirieron las competencias del extinto INAI); en Colombia, la Superintendencia de Industria y Comercio (SIC); en Argentina, la Agencia de Acceso a la Información Pública (AAIP); en Chile, la Agencia de Protección de Datos Personales; en Perú, la Autoridad Nacional de Protección de Datos Personales (MINJUS); y en Brasil, la Autoridade Nacional de Proteção de Dados (ANPD).

16. Ley aplicable y resolución de controversias

Este Convenio se regirá e interpretará de conformidad con las leyes del Estado de Delaware, Estados Unidos de América, sin dar efecto a sus normas sobre conflicto de leyes, y se someterá al mecanismo de negociación previa y arbitraje vinculante, confidencial e individual administrado por el Centro Internacional de Resolución de Disputas de la American Arbitration Association (AAA–ICDR), con sede en Wilmington, Delaware, en idioma español, ante un único árbitro, conforme a la cláusula 16 de los Términos, que se incorpora por referencia. No obstante, esta elección de ley y foro no priva al titular ni a la Academia, cuando actúe como consumidor o cuando la ley local así lo disponga, de la protección de las disposiciones imperativas (de orden público o no renunciables) de la Legislación de Protección de Datos de su país de residencia, ni del derecho de acudir a su autoridad de control o a sus tribunales locales cuando dicho foro no pueda renunciarse.

17. Modificaciones

Yeira podrá actualizar este Convenio, notificándolo oportunamente y publicando la versión vigente en www.yeira.io. Tratándose de cambios materiales en los subencargados o en las transferencias internacionales, Yeira dará aviso previo y otorgará el derecho de oposición previsto en la cláusula 6, de forma independiente al mecanismo general de aceptación por uso continuado de los Servicios.

18. Disposiciones finales

Este Convenio forma parte integrante de los Términos y se interpreta de forma conjunta y armónica con ellos y con el Aviso de Privacidad. En lo no previsto expresamente aquí en materia de tratamiento de Datos de Usuarios Finales, se estará a lo dispuesto en los Términos. Si alguna autoridad facultada determina que una disposición de este Convenio carece de aplicabilidad bajo la Legislación de Protección de Datos imperativa, dicha disposición se separará únicamente en la medida mínima necesaria y solo respecto de la persona o jurisdicción afectada, permaneciendo en vigor las demás disposiciones.

19. Contacto

Para cualquier asunto relacionado con este Convenio, con la protección de datos personales o con el ejercicio de derechos, contáctenos en: hello@yeira.io.

Anexo I — Descripción del Tratamiento

Este Anexo I describe el tratamiento que Yeira (Encargado) realiza por cuenta de la Academia (Responsable) y complementa la cláusula 3 de este Convenio.

• Partes. Responsable (exportador de datos): la Academia que ha contratado los Servicios y aceptado los Términos. Encargado (importador de datos): Yeira, Inc., sociedad de Delaware con domicilio en 651 N Broad St, Suite 201, Middletown, DE 19709, Estados Unidos; contacto: hello@yeira.io.
• Objeto y naturaleza del tratamiento: alojamiento, cómputo, almacenamiento, respaldo, transmisión, visualización, procesamiento y operación de los Datos de Usuarios Finales en la medida necesaria para prestar los Servicios del LMS.
• Finalidad del tratamiento: única y exclusivamente prestar los Servicios contratados y permitir a la Academia administrar a sus Usuarios Finales, sus cursos, inscripciones, avance, evaluaciones, calificaciones y certificados.
• Duración del tratamiento: mientras estén vigentes los Términos, sin perjuicio de las obligaciones de devolución y supresión de la cláusula 11.
• Categorías de titulares: los Usuarios Finales (alumnos) que la Academia inscriba o gestione, y, en su caso, el personal docente o administrativo que la Academia dé de alta.
• Categorías de Datos Personales: datos de identificación y contacto (nombre, correo electrónico, teléfono); datos de cuenta y credenciales (nombre de usuario y contraseña cifrada); datos de uso y aprendizaje (cursos, avance, calificaciones, certificados, actividad y registros de interacción); y datos técnicos (dirección IP, identificadores de dispositivo y navegador, y registros de acceso).
• Datos sensibles: la Plataforma no está diseñada para recabar datos personales sensibles (salud, biométricos, origen étnico, creencias, opiniones políticas, vida u orientación sexual). La Academia se obliga a no cargarlos salvo que cuente con la base de licitud o el consentimiento expreso y reforzado que la ley exija, en cuyo caso será la única responsable de dicho cumplimiento.

Anexo II — Medidas Técnicas y Organizativas

Este Anexo II detalla las medidas de seguridad referidas en la cláusula 5. Yeira aplica medidas de seguridad administrativas, técnicas y físicas apropiadas al riesgo para proteger los Datos Personales contra daño, pérdida, alteración, destrucción o tratamiento, acceso o uso no autorizados. Estas medidas incluyen, de manera enunciativa:

• Cifrado en tránsito (TLS) y en reposo.
• Controles de acceso bajo el principio de mínimo privilegio y autenticación de usuarios.
• Aislamiento y segregación de datos por Academia (arquitectura multi–inquilino).
• Registro y monitoreo de actividad y de accesos (logs).
• Respaldos periódicos y capacidad de recuperación.
• Un proceso documentado de gestión de incidentes de seguridad.
• Obligaciones de confidencialidad para el personal, proveedores y colaboradores con acceso a Datos Personales.

Anexo III — Subencargados

Este Anexo III contiene la lista actualizada de subencargados autorizados conforme a la cláusula 6. Los subencargados actuales son:

• Amazon Web Services, Inc. (AWS — S3, CloudFront, ECS) — alojamiento, almacenamiento de archivos y cursos, cómputo y entrega de contenido. Región principal: us–east–1, Estados Unidos.
• Stripe, Inc. — procesamiento de pagos y facturación de la suscripción del Administrador. Estados Unidos.
• Brevo (Sendinblue SAS) — envío de correo transaccional y de mercadotecnia. Unión Europea, con tratamiento que puede involucrar Estados Unidos.
• Google LLC (Google Analytics 4) — analítica de uso de la Plataforma. Estados Unidos.

Yeira, Inc. — sociedad constituida en Delaware, Estados Unidos de América. © 2026 Yeira, Inc. · 651 N Broad St, Suite 201, Middletown, DE 19709, Estados Unidos · Última actualización: 15 de junio de 2026 — Versión 1.0

Última actualización: 15 de junio de 2026 — Versión 1.0