✦ Lanzamiento próximo

YAPI está llegando.
Y vale la espera.

Estamos en los últimos detalles del sistema de fidelización más completo para negocios en Ecuador.

Los primeros en la lista de espera obtienen precio de fundador, onboarding personalizado y acceso prioritario el día que abramos puertas.

Reservar mi lugar ahora →

Sin compromiso · Gratis para empezar

← Volver al inicio
Documento legal · v1.0

Acuerdo de Encargo de Tratamiento de Datos

Anexo al contrato entre el Cliente y YAPI S.A.S. que formaliza a YAPI como Encargado del Tratamiento conforme al artículo 48 de la LOPDP del Ecuador.

Última actualización: 22 de abril de 2026

01

Preámbulo y objeto

Este Acuerdo de Encargo de Tratamiento (en adelante, el "DPA") forma parte integrante del contrato celebrado entre el Cliente (Responsable del Tratamiento) y YAPI S.A.S. (Encargado del Tratamiento, en adelante "YAPI") por la prestación de la plataforma YAPI Loyalty (en adelante, el "Servicio").

El DPA regula el tratamiento de datos personales de los Clientes Finales (consumidores del Cliente) que YAPI procesa por cuenta del Cliente en el marco del Servicio, conforme al artículo 48 de la LOPDP y a las Resoluciones SPDP-SPD-2026-0004 y SPDP-SPD-2026-0005-R.

La aceptación de los Términos y Condiciones por parte del Cliente implica la aceptación íntegra de este DPA.

02

Definiciones

Los términos en mayúsculas tienen el significado que les asigna la LOPDP. Además:

  • Responsable: el Cliente (comercio contratante del Servicio).
  • Encargado: YAPI.
  • Datos: los datos personales de los Clientes Finales y cualquier otro dato personal que el Responsable cargue o haga procesar al Encargado a través del Servicio.
  • Subencargado: tercero contratado por el Encargado para procesar Datos por cuenta de éste (hosting, mensajería, etc.).
  • Autoridad de Control: la Superintendencia de Protección de Datos Personales del Ecuador (SPDP).

03

Roles de las partes

Las partes reconocen expresamente que, para efectos de los Datos cubiertos por este DPA:

  • El Cliente actúa como Responsable: determina las finalidades y medios del tratamiento, recoge el consentimiento de sus Clientes Finales y es el primer punto de contacto de éstos.
  • YAPI actúa como Encargado: procesa los Datos únicamente para prestar el Servicio, conforme a las instrucciones del Responsable y al presente DPA.

Respecto de los datos propios del Cliente (cuenta, facturación), YAPI actúa como Responsable y aplica la Política de Privacidad.

04

Alcance del tratamiento

Objeto
Prestación de servicios de fidelización digital (sellos, cartillas, comunicaciones).
Duración
Mientras el Cliente mantenga una suscripción activa al Servicio, más el plazo de retención post-terminación indicado en los Términos.
Naturaleza y finalidad
Almacenamiento, consulta, modificación, comunicación por WhatsApp, emisión de cartillas digitales, generación de métricas agregadas.
Categorías de Titulares
Clientes Finales (consumidores) del Cliente.
Categorías de Datos
Nombre, número de WhatsApp, correo (opcional), historial de sellos y canjes, fecha de última visita.
Datos sensibles
Ninguno. El Cliente se abstiene de cargar categorías especiales (salud, ideología, biométricos identificatorios, etc.).

05

Instrucciones del Responsable

YAPI tratará los Datos únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal en contrario, en cuyo caso YAPI informará al Responsable antes del tratamiento, excepto si la ley prohíbe dicha comunicación.

Se consideran instrucciones documentadas: (i) los Términos y Condiciones; (ii) este DPA; (iii) la configuración del Servicio realizada por el Responsable desde su panel; (iv) instrucciones adicionales enviadas por escrito al DPO de YAPI.

Si YAPI considera que una instrucción infringe la LOPDP u otra norma aplicable, lo notificará al Responsable sin demora indebida.

06

Confidencialidad

YAPI se asegurará de que las personas autorizadas a tratar los Datos estén sujetas a un deber de confidencialidad contractual o legal, y que dicho deber sobreviva a la terminación de sus funciones o del contrato.

07

Medidas de seguridad

YAPI implementará medidas técnicas y organizativas apropiadas al riesgo, que incluyen, al menos:

  • Cifrado en tránsito (TLS) y en reposo para bases de datos y copias de seguridad.
  • Control de acceso basado en roles y principio de mínimo privilegio.
  • Registros de auditoría de accesos y cambios sensibles.
  • Gestión de vulnerabilidades y actualización periódica de dependencias.
  • Copias de seguridad cifradas y procedimiento probado de restauración.
  • Procedimiento formal de respuesta a incidentes.
  • Capacitación de personal y revisiones internas de cumplimiento.

Las medidas serán revisadas y actualizadas periódicamente conforme evolucione el estado del arte, la naturaleza del tratamiento y los riesgos identificados.

08

Subencargados

El Responsable autoriza de forma general al Encargado a contratar subencargados necesarios para prestar el Servicio (hosting, mensajería, analítica, pasarela de pagos, facturación, soporte). YAPI mantiene un listado actualizado de subencargados, disponible a solicitud del Responsable.

Respecto de cada subencargado, YAPI se compromete a:

  • Seleccionarlo con la diligencia debida.
  • Suscribir con él un acuerdo escrito con garantías no menores que las del presente DPA.
  • Notificar al Responsable con antelación razonable cualquier incorporación o sustitución de subencargados. El Responsable podrá objetar dicha sustitución, caso en el cual las partes buscarán una solución razonable; de no lograrse, el Responsable podrá terminar el Servicio sin penalidades.

YAPI responde frente al Responsable por las actuaciones de sus subencargados en los términos de la LOPDP.

09

Derechos de los titulares

Cuando un Cliente Final ejerza algún derecho ARSULIPO (acceso, rectificación, eliminación, oposición, portabilidad, limitación, no decisión automatizada) directamente ante YAPI, ésta:

  • Reenviará la solicitud al Responsable sin demora indebida.
  • Asistirá técnicamente al Responsable, en la medida de lo posible y proporcional, a responder a la solicitud.

El Responsable es quien evalúa y responde al titular en los plazos establecidos por la LOPDP.

10

Brechas de seguridad

En caso de vulneración de seguridad de Datos, YAPI notificará al Responsable sin demora indebida luego de tener conocimiento, proveyendo al menos:

  • Naturaleza de la brecha, categorías y volumen aproximado de Titulares afectados.
  • Consecuencias probables.
  • Medidas adoptadas o previstas para mitigar efectos.
  • Datos de contacto del DPO para seguimiento.

La notificación a la SPDP y, en su caso, a los Titulares, es obligación del Responsable, con el apoyo razonable de YAPI. YAPI mantendrá un registro interno de incidentes.

11

Evaluaciones de impacto y auditorías

YAPI colaborará razonablemente con el Responsable cuando éste deba realizar evaluaciones de impacto en protección de datos (DPIA) o consultas previas a la SPDP.

El Responsable podrá auditar el cumplimiento de YAPI en relación con este DPA mediante: (i) informe anual de cumplimiento que YAPI ponga a disposición; (ii) cuestionarios razonables; (iii) auditoría in situ, con aviso previo de al menos treinta (30) días, a costa del Responsable, en horario laboral, por auditor independiente sujeto a confidencialidad, siempre que no comprometa la seguridad o los datos de otros clientes de YAPI.

12

Transferencias internacionales

Las transferencias de Datos fuera del Ecuador se realizan únicamente a países con nivel adecuado de protección o bajo garantías apropiadas (cláusulas contractuales tipo, reglas corporativas vinculantes u otros instrumentos previstos por la Resolución SPDP-SPD-2026-0004 del 28 de enero de 2026).

YAPI informará al Responsable, a solicitud, de los países hacia los cuales se realizan transferencias y del mecanismo de protección aplicado en cada caso.

13

Devolución o eliminación de datos

Terminado el Servicio por cualquier causa, el Responsable puede optar, dentro del plazo de treinta (30) días posteriores a la terminación, por:

  • Recibir una exportación de los Datos en formato estructurado y de uso común.
  • Solicitar la eliminación irreversible de los Datos.

Transcurrido dicho plazo sin instrucción expresa, YAPI procederá a la eliminación salvo obligación legal de conservación (registros contables, evidencia de cumplimiento). Los logs y copias de seguridad se rotarán conforme a los plazos normales de retención del Servicio.

14

Responsabilidad e indemnidad

Cada parte responderá por los daños que cause por incumplimiento de sus obligaciones bajo la LOPDP y este DPA. La responsabilidad total acumulada de YAPI frente al Responsable por cualquier reclamación derivada de este DPA se sujeta a la limitación establecida en los Términos y Condiciones.

El Responsable indemnizará a YAPI frente a reclamaciones de Titulares o autoridades que tengan origen en incumplimientos imputables exclusivamente al Responsable (falta de consentimiento válido, instrucciones ilícitas, datos inexactos o inapropiadamente recabados, entre otros).

15

Vigencia y terminación

Este DPA entra en vigor junto con los Términos y Condiciones y se mantendrá mientras exista tratamiento de Datos del Responsable por parte de YAPI. Las obligaciones de confidencialidad, seguridad y eliminación sobrevivirán a la terminación hasta que todos los Datos hayan sido devueltos o eliminados.

16

Disposiciones varias

  • Orden de prelación: en caso de conflicto entre los Términos y este DPA respecto del tratamiento de Datos, prevalece este DPA.
  • Modificaciones: YAPI podrá actualizar este DPA por razones legales o de seguridad, con notificación al Responsable con al menos quince (15) días de antelación.
  • Legislación aplicable y jurisdicción: las mismas que los Términos y Condiciones (leyes de la República del Ecuador, jurisdicción en Atuntaqui, cantón Antonio Ante, provincia de Imbabura, República del Ecuador).

Contacto del DPO

Canal oficial para este DPA

Delegado de Protección de Datos
info.yapi.ec@gmail.com
Domicilio
Calle Bolívar s/n y Arturo Pérez, Edificio Julio Miguel Aguinaga, Piso 1, Atuntaqui, cantón Antonio Ante, provincia de Imbabura, Ecuador

Versión 1.0 · Vigente desde el 22 de abril de 2026. Ver también: Términos · Privacidad.