Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 10 de junio de 2026

Este Acuerdo de Tratamiento de Datos ("DPA") complementa los Términos y Condiciones y regula el tratamiento de datos personales que Revenuu efectúa por cuenta del Comerciante en el marco del Servicio. Se enmarca en el Reglamento (UE) 2016/679 ("RGPD"), la Ley Nº 19.628 sobre Protección de la Vida Privada y la Ley Nº 21.719 que la moderniza.

1. Definiciones

• Comerciante: persona natural o jurídica que contrata el Servicio para su tienda Shopify.
• Revenuu: prestador del Servicio que actúa como encargado del tratamiento de los Datos Personales que el Comerciante somete al Servicio.
• Datos Personales: cualquier información referida a personas naturales identificadas o identificables que el Comerciante someta a tratamiento mediante el Servicio.
• Tratamiento: cualquier operación realizada sobre Datos Personales (recopilación, almacenamiento, consulta, eliminación, etc.).
• Sub-encargado: tercero contratado por Revenuu para auxiliar en la prestación del Servicio.

2. Roles y responsabilidades

El Comerciante actúa como responsable del tratamiento de los Datos Personales de sus clientes finales y de los influencers que registra en el Servicio. Revenuu actúa exclusivamente como encargado del tratamiento, procesando dichos datos siguiendo las instrucciones del Comerciante derivadas del uso del Servicio y conforme a lo establecido en este DPA.

3. Detalles del tratamiento

3.1. Objeto y naturaleza

Atribución de ventas a influencers mediante cupones de descuento únicos, generación de reportes de revenue por campaña e influencer, y operación general de la plataforma para uso del Comerciante.

3.2. Categorías de Datos Personales

• Identificadores de pedidos generados por Shopify (número de orden, ID interno).
• Datos de transacción (monto, fecha, productos, descuentos y reembolsos aplicados).
• Códigos de descuento utilizados y la asociación cupón-influencer definida por el Comerciante.
• Identificadores y handles de influencers que el Comerciante registra voluntariamente en el Servicio.
• Datos técnicos del Comerciante necesarios para operar el Servicio (correo electrónico de contacto, dominio de la tienda, identificador de Shopify).

3.3. Categorías de titulares

• Clientes finales del Comerciante que realizan compras en la tienda Shopify.
• Influencers que el Comerciante identifica e ingresa al Servicio.
• Personas de contacto del Comerciante con acceso al Servicio.

3.4. Duración del tratamiento

Por el período en que el Servicio se encuentre activo para el Comerciante, más un plazo adicional de hasta 30 días para los procedimientos de devolución o eliminación de datos posteriores a la terminación.

4. Obligaciones de Revenuu como encargado

Revenuu se compromete a:

• Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Comerciante, incluidas las derivadas de su uso del Servicio y de este DPA.
• Garantizar que el personal autorizado para tratar Datos Personales se obligue por escrito a respetar la confidencialidad.
• Aplicar medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad adecuado al riesgo.
• No recurrir a sub-encargados sin la autorización previa establecida en este DPA y notificar cualquier cambio en la lista de sub-encargados.
• Asistir al Comerciante, en la medida de lo razonable, para que pueda cumplir con sus propias obligaciones frente a titulares y autoridades de protección de datos.
• Devolver o eliminar los Datos Personales tratados al terminar la relación contractual, en los términos descritos en este DPA.
• Poner a disposición del Comerciante la información razonable necesaria para demostrar el cumplimiento de las obligaciones aquí establecidas.

5. Sub-encargados autorizados

El Comerciante autoriza con carácter general que Revenuu contrate a los siguientes sub-encargados para la prestación del Servicio:

• Shopify Inc. (Canadá) — provisión de la plataforma de comercio electrónico desde la cual el Servicio obtiene los datos de pedidos y cupones.
• Vercel Inc. (Estados Unidos) — alojamiento del sitio web y de la infraestructura de la aplicación.
• Railway Inc. (Estados Unidos) — alojamiento del backend del Servicio.
• Supabase Inc. (Estados Unidos) — provisión y alojamiento de la base de datos PostgreSQL del Servicio.
• PostHog Inc. (Estados Unidos) — analítica de producto, monitoreo de errores y telemetría.
• Microsoft Corporation (Estados Unidos) — grabación y análisis de sesiones a través del producto Microsoft Clarity.

Revenuu notificará al Comerciante por correo electrónico cualquier incorporación o sustitución de sub-encargados con al menos 30 días corridos de anticipación. El Comerciante podrá objetar dentro de dicho plazo por motivos razonables vinculados a protección de datos; de no resolverse la objeción de buena fe, el Comerciante podrá terminar el Servicio sin penalidad.

6. Transferencias internacionales

Los sub-encargados listados pueden tratar Datos Personales en Estados Unidos, Canadá u otros países fuera del Espacio Económico Europeo, el Reino Unido y Chile. Revenuu adopta medidas razonables para que dichas transferencias se realicen al amparo de mecanismos legales reconocidos, incluyendo Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, certificaciones equivalentes o decisiones de adecuación cuando resulten aplicables.

7. Medidas de seguridad

Revenuu mantiene medidas técnicas y organizativas apropiadas al riesgo del tratamiento, incluyendo:

• Cifrado de los datos en tránsito (TLS) y en reposo.
• Control de acceso basado en roles y autenticación reforzada para personal con acceso a sistemas productivos.
• Segregación de los entornos de desarrollo, prueba y producción.
• Registros de actividad relevante para auditoría e investigación de incidentes.
• Respaldos periódicos con cifrado y procedimientos de restauración probados.
• Actualizaciones de seguridad periódicas del software y de la infraestructura.
• Procedimientos formales para gestión y respuesta a incidentes de seguridad.

8. Notificación de brechas de seguridad

Ante una violación de seguridad que afecte Datos Personales tratados por cuenta del Comerciante, Revenuu lo notificará sin demora indebida y, a más tardar, dentro de las 72 horas siguientes a tener conocimiento del incidente, indicando la naturaleza del incidente, las categorías y volumen aproximado de datos afectados, las consecuencias probables y las medidas adoptadas o propuestas para mitigarlo. Puedes reportar o consultar sobre brechas escribiendo a jorge@revenuu.app.

9. Asistencia con derechos de titulares

Revenuu asistirá razonablemente al Comerciante en la respuesta a solicitudes de titulares relativas al ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, en la medida en que los Datos Personales involucrados se encuentren bajo la administración del Servicio. El Comerciante mantiene la responsabilidad primaria frente a sus titulares.

10. Retención y eliminación de datos

Al terminar la relación contractual con el Comerciante, Revenuu eliminará los Datos Personales tratados por su cuenta dentro de los 30 días corridos siguientes, salvo cuando la conservación sea exigida por la ley aplicable. El Comerciante puede solicitar la exportación de sus datos antes de la eliminación contactándonos.

11. Auditoría

Una vez al año, o de manera excepcional ante una sospecha razonable de incumplimiento, el Comerciante (o un auditor independiente designado de mutuo acuerdo y sujeto a confidencialidad) podrá solicitar información razonable para verificar el cumplimiento de este DPA. La auditoría se realizará con aviso previo de al menos 30 días, en horario laboral y de modo que no interrumpa la operación del Servicio. Los costos asociados serán asumidos por el Comerciante salvo que la auditoría revele un incumplimiento material por parte de Revenuu.

12. Confidencialidad

Revenuu obliga a su personal autorizado y a sus sub-encargados a guardar confidencialidad sobre los Datos Personales tratados, durante la vigencia del contrato y con posterioridad a su terminación.

13. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República de Chile, en particular la Ley Nº 19.628 sobre Protección de la Vida Privada y la Ley Nº 21.719 que la moderniza, sin perjuicio de las obligaciones que correspondan a Revenuu bajo el Reglamento (UE) 2016/679 (RGPD) respecto de Datos Personales de titulares en el Espacio Económico Europeo. Para la resolución de cualquier controversia derivada de este DPA, las partes se someten a la jurisdicción de los tribunales ordinarios de Santiago de Chile, sin perjuicio de los derechos que pudieran corresponder al Comerciante o a los titulares de los datos en virtud de la legislación de su país de residencia.

14. Contacto

Para cualquier consulta sobre este DPA o sobre el tratamiento de Datos Personales en el Servicio, escríbenos a jorge@revenuu.app.