BORRADOR PARA REVISIÓN LEGAL — Este documento es una plantilla preparada por AdSpot para revisión de asesoría legal externa. No constituye asesoría legal ni debe ser utilizado sin validación previa de un abogado colegiado en República Dominicana. Versión: 2026-04-17.
ACUERDO DE PROCESAMIENTO DE DATOS PERSONALES (DPA)
Anexo al Contrato Marco de Servicios Publicitarios
ENTRE:
DE UNA PARTE: [NOMBRE_ANUNCIANTE], con RNC/Cédula No. [RNC_ANUNCIANTE], domicilio en [DOMICILIO_ANUNCIANTE], representada por [REPRESENTANTE_ANUNCIANTE], cédula [CEDULA_ANUNCIANTE], actuando en calidad de RESPONSABLE DEL TRATAMIENTO ("el RESPONSABLE");
DE OTRA PARTE: [RAZON_SOCIAL_ADSPOT], S.R.L., con RNC [RNC_ADSPOT], domicilio en [DOMICILIO_ADSPOT], Santo Domingo, D.N., representada por [REPRESENTANTE_LEGAL_ADSPOT], cédula [CEDULA_REP], actuando en calidad de ENCARGADO DEL TRATAMIENTO ("el ENCARGADO" o "ADSPOT");
Las PARTES reconocen haber suscrito un Contrato Marco de Servicios Publicitarios (el "Contrato Principal") en fecha [FECHA_MSA], y convienen suscribir el presente ACUERDO DE PROCESAMIENTO DE DATOS PERSONALES (el "DPA"), que forma parte integrante de dicho Contrato Principal, conforme a las disposiciones de la Ley No. 172-13 sobre Protección de Datos Personales de la República Dominicana y demás normativa aplicable.
ARTÍCULO PRIMERO: OBJETO
1.1. El presente DPA tiene por objeto regular las condiciones conforme a las cuales ADSPOT, en calidad de Encargado del Tratamiento, procesa datos personales por cuenta del RESPONSABLE para la prestación de los servicios publicitarios contratados, incluyendo sin limitación: segmentación de audiencias, retargeting, gestión de listas de clientes, mediciones de campañas, y tratamiento de datos de destinatarios de publicidad suministrados por el RESPONSABLE.
1.2. En los casos en que ADSPOT determine por sí misma las finalidades y medios del tratamiento, actuará como Responsable del Tratamiento, rigiéndose por su Política de Privacidad y no por el presente DPA.
ARTÍCULO SEGUNDO: DEFINICIONES
Los términos en mayúscula no definidos en el presente DPA tendrán el significado atribuido en el Contrato Principal y/o la Ley 172-13. Adicionalmente:
2.1. "Datos Personales": Toda información concerniente a personas físicas identificadas o identificables tratadas por ADSPOT por cuenta del RESPONSABLE.
2.2. "Titular": Persona física a quien se refieren los Datos Personales.
2.3. "Tratamiento": Cualquier operación o conjunto de operaciones sobre Datos Personales.
2.4. "Subprocesador" o "Subencargado": Tercero contratado por ADSPOT para procesar Datos Personales por cuenta del RESPONSABLE.
2.5. "Brecha de Seguridad": Violación de seguridad que ocasione destrucción, pérdida, alteración, divulgación o acceso no autorizado a Datos Personales.
ARTÍCULO TERCERO: NATURALEZA, FINALIDAD Y DURACIÓN DEL TRATAMIENTO
3.1. Naturaleza: Almacenamiento, estructuración, consulta, comunicación, análisis y eliminación de Datos Personales, conforme a las instrucciones del RESPONSABLE.
3.2. Finalidad: Ejecución de los servicios publicitarios contratados bajo el Contrato Principal y las OS correspondientes, incluyendo:
(a) Gestión de audiencias segmentadas (custom audiences); (b) Retargeting a visitantes del sitio del RESPONSABLE; (c) Look-alike audiences a partir de listas del RESPONSABLE; (d) Medición de conversiones y atribución; (e) Reportes de desempeño de Campañas; (f) Personalización de mensajes publicitarios.
3.3. Duración: Durante la vigencia del Contrato Principal y el tiempo necesario para la ejecución de las OS, sujeto a las obligaciones de devolución/destrucción del Artículo Undécimo.
ARTÍCULO CUARTO: TIPOS DE DATOS Y CATEGORÍAS DE TITULARES
4.1. Tipos de Datos Personales tratados:
| Categoría | Ejemplos |
|---|---|
| Identificadores online | Email hasheado, ID de dispositivo, cookie ID, Mobile Advertising ID (MAID), IP |
| Datos de contacto | Email, teléfono (generalmente hasheados) |
| Datos de comportamiento | Páginas visitadas, productos consultados, eventos de conversión |
| Datos demográficos | Edad, género, ubicación geográfica (cuando sean suministrados) |
| Datos de interacción publicitaria | Impresiones, clics, conversiones |
ADSPOT NO tratará categorías especiales de datos (salud, origen racial, orientación sexual, opinión política, creencia religiosa, datos de menores) salvo autorización expresa y escrita del RESPONSABLE y cumplimiento reforzado de las salvaguardas correspondientes.
4.2. Categorías de Titulares: (a) Clientes actuales y potenciales del RESPONSABLE; (b) Visitantes del sitio web del RESPONSABLE; (c) Suscriptores de newsletters del RESPONSABLE; (d) Audiencias objetivo definidas por el RESPONSABLE.
ARTÍCULO QUINTO: OBLIGACIONES DEL ENCARGADO (ADSPOT)
ADSPOT se obliga a:
5.1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del RESPONSABLE, contenidas en el Contrato Principal, el presente DPA, las OS o instrucciones escritas adicionales. ADSPOT informará al RESPONSABLE si considera que una instrucción infringe la legislación aplicable.
5.2. Confidencialidad. Garantizar que el personal autorizado para tratar Datos Personales se comprometa a la confidencialidad o esté sujeto a obligación legal equivalente.
5.3. Medidas de seguridad. Implementar medidas técnicas y organizativas apropiadas al riesgo, incluyendo:
(a) Cifrado en tránsito (TLS 1.2+) y reposo (AES-256); (b) Control de acceso basado en roles; (c) Autenticación multifactor para accesos administrativos; (d) Registro y monitoreo de accesos; (e) Respaldos cifrados y plan de continuidad; (f) Gestión de vulnerabilidades y parches; (g) Segregación de entornos; (h) Capacitación del personal; (i) Evaluación periódica de seguridad.
5.4. Subprocesadores. Contratar subprocesadores únicamente bajo obligaciones de protección equivalentes a las del presente DPA, conforme al Artículo Sexto.
5.5. Asistencia al RESPONSABLE. Asistir al RESPONSABLE, en la medida de lo posible y mediante medidas razonables, para:
(a) Atender solicitudes de ejercicio de derechos ARCOP de los Titulares; (b) Cumplir obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad de control; (c) Responder requerimientos de autoridades competentes.
5.6. Notificación de brechas. Notificar al RESPONSABLE sin dilación indebida y, en todo caso, dentro de las setenta y dos (72) horas siguientes a tener conocimiento de una Brecha de Seguridad, indicando:
(a) Naturaleza de la brecha; (b) Categorías y número estimado de Titulares y registros afectados; (c) Datos de contacto del DPO de ADSPOT; (d) Consecuencias probables; (e) Medidas adoptadas o propuestas.
5.7. Registro de actividades. Mantener un registro escrito de las categorías de actividades de tratamiento realizadas por cuenta del RESPONSABLE.
ARTÍCULO SEXTO: SUBPROCESADORES AUTORIZADOS
6.1. El RESPONSABLE autoriza a ADSPOT a contratar a los siguientes subprocesadores para el tratamiento de Datos Personales, bajo las condiciones del Artículo Quinto:
| Subprocesador | País | Servicio | Categorías de datos |
|---|---|---|---|
| Supabase Inc. | EE.UU. | Base de datos, autenticación, storage | Todos |
| Amazon Web Services, Inc. | EE.UU./UE | Infraestructura cloud, CDN | Todos |
| Google LLC (Ads, Analytics) | EE.UU. | Plataforma publicitaria, medición | Audiencias, identificadores, comportamiento |
| Meta Platforms, Inc. | EE.UU. | Plataforma publicitaria (Facebook/Instagram) | Audiencias, identificadores |
| The Trade Desk / DV360 | EE.UU. | Compra programática | Audiencias, identificadores, comportamiento |
| Cloudflare, Inc. | EE.UU. | CDN, seguridad web | Logs, IPs |
| Sendgrid / Resend | EE.UU. | Envío de emails transaccionales | |
| Netlify / Render | EE.UU. | Hosting de aplicaciones | Todos |
6.2. ADSPOT mantendrá actualizada la lista de subprocesadores en la PLATAFORMA (adspot.do/legal/subprocesadores).
6.3. Cambios en subprocesadores. ADSPOT notificará al RESPONSABLE, con al menos treinta (30) días calendario de antelación, la incorporación o sustitución de subprocesadores. El RESPONSABLE podrá objetar motivadamente dentro de quince (15) días. Si la objeción es razonable y no puede resolverse, cualquiera de las PARTES podrá resolver el contrato afectado sin penalidad, sin perjuicio de obligaciones devengadas.
6.4. ADSPOT responde frente al RESPONSABLE por el cumplimiento de los subprocesadores.
ARTÍCULO SÉPTIMO: TRANSFERENCIAS INTERNACIONALES
7.1. El RESPONSABLE autoriza a ADSPOT y a sus subprocesadores a realizar transferencias internacionales de Datos Personales a países que puedan no ofrecer nivel de protección equivalente al de la República Dominicana, incluyendo Estados Unidos y Unión Europea, siempre que se apliquen salvaguardas apropiadas.
7.2. Salvaguardas apropiadas incluyen:
(a) Cláusulas contractuales de protección de datos con los subprocesadores; (b) Acuerdos de procesamiento de datos (DPA) específicos; (c) Medidas técnicas de seguridad (cifrado, pseudonimización); (d) Compromisos de los subprocesadores sobre derechos de los Titulares.
7.3. ADSPOT proveerá al RESPONSABLE, cuando sea requerido, información razonable sobre las salvaguardas aplicadas.
ARTÍCULO OCTAVO: DERECHOS DE LOS TITULARES
8.1. ADSPOT asistirá al RESPONSABLE, mediante medidas técnicas y organizativas razonables, en la atención de solicitudes de ejercicio de derechos ARCOP (acceso, rectificación, cancelación, oposición, portabilidad).
8.2. Si ADSPOT recibe directamente una solicitud de un Titular, la remitirá al RESPONSABLE dentro de los diez (10) días hábiles siguientes, sin responder por sí misma salvo instrucción del RESPONSABLE o requerimiento legal.
ARTÍCULO NOVENO: AUDITORÍA
9.1. ADSPOT pondrá a disposición del RESPONSABLE la información razonable necesaria para demostrar el cumplimiento del presente DPA, incluyendo reportes de auditoría de terceros independientes cuando estén disponibles (p. ej., SOC 2, ISO 27001 de subprocesadores).
9.2. El RESPONSABLE podrá realizar auditorías, directamente o mediante auditor externo independiente, previo aviso escrito de al menos treinta (30) días calendario, limitadas a horario laboral, con frecuencia máxima de una (1) por año calendario, y sujetas a:
(a) Suscripción de acuerdo de confidencialidad razonable; (b) No interferencia con la operación de ADSPOT; (c) Exclusión de información confidencial de otros clientes de ADSPOT; (d) Asunción por el RESPONSABLE de los costos, salvo que la auditoría evidencie incumplimientos materiales imputables a ADSPOT.
9.3. Auditorías extraordinarias procederán únicamente tras Brechas de Seguridad materiales o requerimiento de autoridad competente.
ARTÍCULO DÉCIMO: NOTIFICACIÓN DE BRECHAS
Sin perjuicio de lo dispuesto en el Numeral 5.6, ADSPOT cooperará con el RESPONSABLE en la atención de Brechas de Seguridad, incluyendo:
(a) Provisión de información razonable sobre la brecha; (b) Apoyo en la notificación a autoridades y Titulares cuando aplique; (c) Adopción de medidas correctivas y preventivas; (d) Análisis de causa raíz.
El RESPONSABLE, como Responsable del Tratamiento, es quien determinará la pertinencia y contenido de la notificación a Titulares y autoridades.
ARTÍCULO UNDÉCIMO: DEVOLUCIÓN O DESTRUCCIÓN DE DATOS
11.1. A la terminación del Contrato Principal o del presente DPA, por cualquier causa, ADSPOT, a elección del RESPONSABLE notificada por escrito:
(a) Devolverá los Datos Personales al RESPONSABLE en formato estructurado y de uso común; o
(b) Eliminará los Datos Personales de forma segura e irreversible;
dentro de los noventa (90) días calendario siguientes a la terminación, salvo obligación legal de conservación, en cuyo caso se mantendrán únicamente los datos estrictamente necesarios, por el plazo estrictamente necesario, bajo las mismas obligaciones de confidencialidad y seguridad.
11.2. A solicitud razonable del RESPONSABLE, ADSPOT emitirá certificación escrita de la devolución o destrucción.
11.3. ADSPOT podrá conservar copias en respaldos técnicos hasta su rotación conforme a su política de retención técnica, bajo las obligaciones del presente DPA.
ARTÍCULO DÉCIMO SEGUNDO: RESPONSABILIDAD
12.1. Cada PARTE será responsable por los daños y perjuicios que cause a la otra PARTE o a terceros con motivo del incumplimiento de sus obligaciones bajo el presente DPA.
12.2. Límite de responsabilidad. La responsabilidad de cada PARTE bajo el presente DPA se sujeta a los límites establecidos en el Artículo Décimo Tercero del Contrato Principal, salvo que la ley aplicable establezca un régimen específico de responsabilidad en materia de protección de datos.
12.3. Multas regulatorias. Cada PARTE asumirá las multas que le sean directamente imputables por la autoridad de control.
12.4. Indemnidad cruzada. Cada PARTE mantendrá indemne a la otra frente a reclamaciones de terceros o sanciones regulatorias causadas por el incumplimiento imputable de la primera respecto a sus obligaciones bajo el presente DPA.
ARTÍCULO DÉCIMO TERCERO: DISPOSICIONES GENERALES
13.1. Prevalencia. En caso de conflicto entre el presente DPA y el Contrato Principal en materia de tratamiento de Datos Personales, prevalecerá el presente DPA.
13.2. Ley aplicable y jurisdicción. El presente DPA se rige por las leyes de la República Dominicana. Las controversias se resolverán conforme al Artículo Décimo Octavo del Contrato Principal.
13.3. Modificaciones. Cualquier modificación del presente DPA requerirá acuerdo escrito entre las PARTES, sin perjuicio de actualizaciones necesarias para adaptarse a cambios regulatorios, que serán notificadas con antelación razonable.
13.4. Supervivencia. Las obligaciones que por su naturaleza deban sobrevivir a la terminación (confidencialidad, devolución/destrucción, responsabilidad) permanecerán vigentes.
Hecho y firmado en [CIUDAD], a los [DÍAS] días del mes de [MES] del año [AÑO], en dos (2) ejemplares originales de idéntico tenor y valor legal, uno para cada PARTE, o mediante firma electrónica conforme a la Ley 126-02.
POR EL RESPONSABLE (ANUNCIANTE):
[NOMBRE_ANUNCIANTE]
Nombre: [REPRESENTANTE_ANUNCIANTE] Cédula / Pasaporte: [CEDULA_ANUNCIANTE] Cargo: [CARGO_ANUNCIANTE] RNC: [RNC_ANUNCIANTE]
POR EL ENCARGADO (ADSPOT):
[RAZON_SOCIAL_ADSPOT], S.R.L.
Nombre: [REPRESENTANTE_LEGAL_ADSPOT] Cédula: [CEDULA_REP] Cargo: [CARGO_REP] RNC: [RNC_ADSPOT]
DPO designado: [DPO_NOMBRE] Contacto DPO: [DPO_EMAIL]
Última actualización del archivo: 29 de abril de 2026