Tinka

Acuerdo de procesamiento de datos

Versión 1.0.0

Acuerdo de Encargado del Tratamiento (DPA) — Tinka

Versión: v1.0
Fecha de entrada en vigor: [FECHA DE ENTRADA EN VIGOR]
Idioma del contrato: Español (Ecuador)

El presente Acuerdo de Encargado del Tratamiento (en adelante, "DPA" o "Acuerdo") se celebra en el marco de la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP) y de la normativa secundaria emitida por la Superintendencia de Protección de Datos Personales (SPDP), en particular la Resolución SPDP-SPD-2025-0006-R, entre:

  • El Responsable del Tratamiento: el Usuario contador (en adelante, "el Responsable" o "el Contador") titular de la cuenta en Tinka, identificado en el registro de la plataforma con su nombre completo y RUC.
  • El Encargado del Tratamiento: LUIS ANDRÉS ARCE CÁRDENAS, con RUC 0953352929001, domicilio en Coronel Marcelino Maridueña (San Carlos), provincia del Guayas, Ecuador, en su calidad de proveedor del Servicio Tinka (en adelante, "Tinka" o "el Encargado").

El Responsable acepta este DPA al momento del registro en la plataforma, en el mismo wizard en que acepta los Términos y Condiciones. Este DPA se considera parte integrante e indivisible del contrato principal y prevalece sobre cualquier disposición contraria de los Términos y Condiciones en lo relativo al tratamiento de datos personales de terceros gestionados por el Responsable a través del Servicio.

1. Identificación de las partes y rol asignado

1.1. Responsable del Tratamiento — el Contador

El Contador, persona natural o jurídica titular de la cuenta en Tinka, actúa como Responsable del Tratamiento respecto de los datos personales de terceros (empleados, clientes finales, proveedores) que carga, procesa, almacena y/o transmite a través del Servicio en el marco de su relación profesional con cada organización gestionada.

Cuando la organización gestionada sea una persona jurídica distinta del Contador y mantenga decisión propia sobre los fines y medios del tratamiento, el Contador y la organización podrán ser considerados Corresponsables del Tratamiento entre sí. La relación contractual y la distribución de responsabilidades entre Contador y organización es ajena a este DPA y debe regularse por separado.

1.2. Encargado del Tratamiento — Tinka

Tinka actúa como Encargado del Tratamiento respecto de los datos personales descritos en la sección 2, tratándolos exclusivamente por cuenta y según las instrucciones del Responsable.

1.3. Responsable respecto de los datos del Contador

Para evitar dudas: respecto de los datos personales del propio Contador (nombre, correo, RUC, datos de pago, etc.), Tinka actúa como Responsable, no como Encargado. Ese tratamiento se rige por la Política de Privacidad y queda fuera del alcance de este DPA.

2. Descripción del tratamiento

2.1. Categorías de titulares

  • Empleados de las organizaciones gestionadas por el Contador.
  • Clientes finales de dichas organizaciones (cuando se les emiten comprobantes electrónicos).
  • Proveedores de dichas organizaciones (cuando se descargan o procesan comprobantes recibidos).
  • Representantes legales y firmantes de las organizaciones (cuando aplique).

2.2. Categorías de datos personales

2.2.1. Datos de empleados

  • Nombres y apellidos.
  • Cédula de identidad o documento equivalente.
  • Dirección domiciliaria.
  • Cargo, fecha de ingreso, fecha de salida.
  • Salario, deducciones, anticipos, préstamos, fondos de reserva.
  • Datos de afiliación al IESS.
  • Datos bancarios para pago de nómina.

2.2.2. Datos de clientes finales y proveedores

  • RUC o cédula.
  • Razón social o nombres y apellidos.
  • Dirección, correo electrónico, teléfono cuando consten en los comprobantes.

2.2.3. Comprobantes electrónicos

  • XMLs y PDFs de facturas, notas de crédito, notas de débito, comprobantes de retención y guías de remisión, emitidos o recibidos.
  • Metadatos asociados (clave de acceso, fecha de emisión, autorización del SRI).

2.2.4. Credenciales de la organización

  • Firma electrónica .p12 y su contraseña.
  • Usuario y contraseña del portal del SRI.

Estas credenciales se tratan con encriptación reforzada y nunca se exponen al personal del Encargado.

2.3. Finalidad

El Encargado tratará los datos descritos exclusivamente para:

a. Permitir al Responsable gestionar la contabilidad, nómina y obligaciones tributarias de las organizaciones bajo su cartera.

b. Emitir comprobantes electrónicos al SRI por cuenta del Responsable y de la organización titular.

c. Descargar y archivar comprobantes recibidos del portal del SRI.

d. Calcular y registrar nómina, IESS, décimos y fondos de reserva.

e. Generar reportes y exportaciones a solicitud del Responsable.

f. Cumplir requerimientos legales aplicables.

2.4. Naturaleza y operaciones del tratamiento

Recolección, registro, organización, estructuración, conservación, consulta, modificación, extracción, comunicación a las autoridades pertinentes (SRI, IESS), transmisión cifrada y supresión, todo ello mediante medios automatizados.

2.5. Duración

El tratamiento se mantiene durante toda la vigencia de la suscripción del Responsable y los plazos posteriores previstos en este DPA y en la legislación aplicable (ver sección 9).

3. Instrucciones del Responsable

3.1. El Encargado tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, salvo que una obligación legal le exija proceder de otro modo, en cuyo caso lo notificará al Responsable salvo que dicha notificación esté prohibida por ley.

3.2. Las instrucciones documentadas del Responsable incluyen:

  • Las acciones que el Responsable realiza dentro del Servicio (cargas, edición, emisión, descarga, exportación, eliminación).
  • La configuración por organización (módulos activados, preferencias de nómina, ambiente SRI).
  • Las solicitudes específicas comunicadas al Encargado por canales escritos (correo a soporte o al DPO).

3.3. Cualquier tratamiento adicional no comprendido en las instrucciones anteriores requiere autorización expresa del Responsable. Si el Encargado considera que una instrucción del Responsable infringe la LOPDP, lo notificará y podrá suspender la ejecución hasta su resolución.

3.4. El Encargado no utilizará los datos personales del Responsable para finalidades propias (incluido entrenamiento de modelos, marketing o comercialización), salvo en forma agregada y anonimizada cuando dicha anonimización impida razonablemente la reidentificación.

4. Deber de confidencialidad

4.1. El Encargado garantiza que las personas autorizadas para tratar los datos personales (personal interno y, en su caso, contratistas) están sujetas a un deber de confidencialidad mediante contrato laboral, contrato civil o acuerdo de confidencialidad (NDA) específicamente aplicable.

4.2. El acceso al entorno de producción y a los datos del Responsable se limita al personal estrictamente necesario para la operación, mantenimiento y soporte del Servicio.

4.3. La obligación de confidencialidad subsiste tras la terminación del vínculo laboral o contractual de la persona afectada.

5. Medidas técnicas y organizativas de seguridad

El Encargado implementa, a su cargo y conforme al estado del arte, las siguientes medidas mínimas:

5.1. Medidas técnicas

  • Encriptación en reposo de credenciales sensibles (firma .p12, contraseña de la firma, contraseña del portal SRI, tokens del procesador de pagos) mediante el componente Crypt del framework con casts encrypted.
  • Encriptación en tránsito (TLS 1.2 o superior) en todas las comunicaciones cliente-servidor y servidor-terceros (SRI, SMTP, procesador de pagos).
  • Hash criptográfico de las contraseñas de acceso (Bcrypt / Argon2).
  • Segregación multi-tenant estricta a nivel de aplicación mediante un global scope que filtra todas las consultas por tenant_id. Está prohibido a nivel de código pasar tenant_id manualmente, lo que evita fugas por consultas mal aisladas.
  • Almacenamiento privado por tenant: los archivos sensibles (firmas .p12, XMLs y PDFs con datos personales) se conservan en un disco privado, segregados por tenant en la ruta storage/app/private/{tenant_id}/.... No se sirven por el disco público.
  • Control de accesos basado en membresía: un middleware valida en cada request del panel que el usuario autenticado tenga membresía activa con la organización del path; cualquier intento de acceso cruzado retorna 403.
  • Logs de auditoría: se registran los eventos de seguridad relevantes (inicios de sesión, cambios de credenciales, accesos a recursos sensibles, exportaciones).
  • Copias de seguridad cifradas de la base de datos y de los archivos sensibles, con plan de restauración periódico verificado.

5.2. Medidas organizativas

  • Política interna de manejo seguro de credenciales y secretos.
  • NDA aplicable al personal con acceso al entorno de producción.
  • Procedimiento documentado de gestión de incidentes y notificación de brechas.
  • Procedimiento documentado de atención de solicitudes ARCO+.
  • Plan de continuidad y recuperación ante desastres.
  • Revisión periódica de las medidas y actualización conforme a la evolución del estado del arte.

5.3. Pruebas y auditorías internas

El Encargado verifica periódicamente la eficacia de las medidas implementadas mediante pruebas de aislamiento multi-tenant, revisión de logs y análisis de vulnerabilidades.

6. Subencargados

6.1. Autorización general

El Responsable autoriza expresamente la subcontratación de los siguientes subencargados, necesarios para la prestación del Servicio:

Subencargado Servicio prestado Ubicación / Región
Hetzner Online GmbH Alojamiento de la aplicación, base de datos y almacenamiento de archivos. Alemania (Unión Europea)
Resend, Inc. Envío de correo transaccional (notificaciones, soporte). Estados Unidos de América
Laravel Nightwatch Observabilidad y registro de eventos técnicos del Servicio. Estados Unidos de América
Procesador de pagos local ecuatoriano (PlaceToPay, Nuvei o Kushki — pendiente de integración) Procesamiento de cobros de la suscripción. Ecuador

La autorización del Responsable se otorga por adhesión al presente DPA en el momento del registro.

6.2. Obligaciones aplicables a los subencargados

El Encargado garantiza que cada subencargado:

a. Está sujeto a obligaciones de protección de datos equivalentes a las del presente DPA mediante contrato escrito.

b. Aplica medidas técnicas y organizativas adecuadas.

c. Respeta el deber de confidencialidad.

d. Comunica al Encargado cualquier incidente que afecte a los datos del Responsable.

6.3. Cambios en la lista de subencargados

6.3.1. El Encargado notificará al Responsable, con al menos 30 días naturales de anticipación, cualquier incorporación, sustitución o cambio material en la lista de subencargados.

6.3.2. El Responsable podrá oponerse motivadamente al cambio dentro de los 15 días siguientes a la notificación. Si el Encargado no puede acomodar la oposición, el Responsable podrá resolver el contrato sin penalización por causa de protección de datos.

6.4. Responsabilidad

El Encargado responde frente al Responsable del cumplimiento por parte de los subencargados de las obligaciones que les son aplicables.

7. Asistencia para el ejercicio de derechos de los titulares

7.1. Cuando un titular de los datos (empleado, cliente final, proveedor) ejerza ante el Responsable alguno de sus derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación, decisiones automatizadas), el Encargado asistirá al Responsable proporcionando:

a. Las funcionalidades de la plataforma necesarias (consulta, exportación, edición, eliminación) para que el Responsable pueda atender la solicitud directamente.

b. Cuando la atención requiera intervención técnica del Encargado, esta se prestará dentro de plazos compatibles con los plazos legales del Responsable (15 días naturales, prorrogables 15 más, conforme a la LOPDP).

7.2. Si el titular dirige su solicitud directamente al Encargado, el Encargado redirigirá al titular hacia el Responsable correspondiente y notificará al Responsable la existencia de la solicitud, sin asumir la atención sustantiva.

8. Notificación de brechas de seguridad

8.1. El Encargado notificará al Responsable, sin dilación injustificada y en un plazo máximo de cinco (5) días naturales desde el momento en que tenga conocimiento, cualquier brecha de seguridad que afecte los datos personales tratados por cuenta del Responsable.

8.2. Canal de notificación: correo electrónico al contacto registrado del Responsable, con copia al dpo@tinka.app.

8.3. Contenido mínimo de la notificación:

a. Naturaleza de la brecha.
b. Categorías y volumen aproximado de titulares y datos afectados.
c. Posibles consecuencias.
d. Medidas adoptadas o propuestas para mitigar los efectos.
e. Datos de contacto del DPO o persona responsable para obtener más información.

8.4. Si la información completa no está disponible al momento de la notificación inicial, podrá comunicarse de forma escalonada, sin dilaciones injustificadas adicionales.

8.5. El Encargado asistirá al Responsable en el cumplimiento de su obligación de notificar la brecha a la SPDP y, cuando corresponda, a los titulares afectados.

9. Devolución o supresión de datos al término del contrato

9.1. Periodo de exportación. Al término del contrato (por cancelación, terminación o no renovación), el Responsable dispondrá de 30 días naturales para exportar los datos personales tratados a través del Servicio en formato estándar (CSV / JSON / XML según corresponda al tipo de dato).

9.2. Supresión segura. Transcurrido el periodo de exportación, el Encargado procederá a la supresión segura de los datos personales, salvo aquellos que deba conservar por obligación legal, en cuyo caso continuará protegiéndolos con las medidas de este DPA hasta el cumplimiento del plazo legal.

9.3. Constancia. A solicitud del Responsable, el Encargado emitirá una constancia escrita de la supresión realizada.

9.4. Copias de respaldo. Las copias de seguridad cifradas que contengan datos del Responsable serán sobrescritas conforme al ciclo natural de rotación de respaldos del Encargado, no superior a 12 meses.

10. Auditorías

10.1. El Responsable tiene derecho a auditar las medidas técnicas y organizativas declaradas en este DPA, conforme a las siguientes condiciones:

a. Preaviso: mínimo 30 días naturales.
b. Frecuencia: una vez al año como máximo, salvo causa justificada (incidente de seguridad confirmado, requerimiento de autoridad).
c. Alcance: limitado a la verificación del cumplimiento de este DPA; no podrá comprometer la confidencialidad de datos de otros clientes del Encargado ni el secreto comercial.
d. Costo: a cargo del Responsable que solicita la auditoría, salvo que la auditoría revele incumplimientos materiales del Encargado, en cuyo caso el costo razonable lo asume el Encargado.
e. Modalidad: la auditoría podrá realizarse mediante revisión documental, cuestionarios estandarizados o, cuando el caso lo justifique, visitas concertadas. El Encargado podrá proporcionar certificaciones independientes vigentes (ISO 27001, SOC 2, u otras equivalentes) como evidencia sustitutiva, total o parcial, del derecho de auditoría.

11. Transferencias internacionales

11.1. El Responsable reconoce y acepta que la prestación del Servicio puede implicar la transferencia internacional de datos personales hacia los subencargados listados en la sección 6.

11.2. El Encargado garantiza que dichas transferencias cuentan con una o varias de las siguientes salvaguardas:

a. Suscripción de cláusulas contractuales tipo aprobadas por la SPDP.
b. Certificaciones del proveedor receptor (ISO 27001, SOC 2 Type II, u otras equivalentes).
c. Selección de regiones geográficas con marcos de protección reconocidos cuando sea posible.

11.3. El Responsable puede solicitar al DPO copia de las garantías aplicables vigentes.

12. Responsabilidades y reparto de obligaciones

12.1. El Responsable se compromete a:

a. Tratar y a haber recolectado los datos personales conforme a la LOPDP, contando con la base legal adecuada para su tratamiento.
b. Proporcionar a los titulares la información obligatoria sobre el tratamiento.
c. Mantener actualizada y exacta la información cargada al Servicio.
d. Atender en primera instancia las solicitudes de derechos de los titulares.
e. No cargar datos para los cuales no esté autorizado.

12.2. El Encargado se compromete a cumplir las obligaciones previstas en este DPA y en la LOPDP aplicables a su rol.

12.3. Cada parte responde frente a la otra y frente a los titulares por los daños causados por el incumplimiento de sus respectivas obligaciones.

13. Vigencia y aceptación

13.1. Este DPA entra en vigor para cada Responsable en la fecha en que acepte el documento mediante el wizard de registro en la plataforma.

13.2. Permanece vigente mientras el Responsable mantenga una suscripción activa y subsiste, en lo aplicable, tras su terminación, conforme a la sección 9.

13.3. El Responsable que requiera una versión firmada digitalmente del DPA podrá solicitarla al dpo@tinka.app; el Encargado pondrá a disposición un PDF descargable y, a petición, lo firmará electrónicamente.

14. Modificaciones a este DPA

14.1. El Encargado podrá actualizar este DPA para reflejar cambios normativos, ajustes en la lista de subencargados o mejoras en las medidas de seguridad. Los cambios materiales se notificarán al Responsable con al menos 30 días naturales de anticipación.

14.2. La continuidad en el uso del Servicio tras la entrada en vigor de los cambios implica aceptación. En caso de desacuerdo, el Responsable podrá cancelar la suscripción conforme a los Términos y Condiciones; si la causa de la cancelación es un cambio sustantivo y desfavorable a la protección de datos, no se aplicarán penalizaciones contractuales.

15. Contacto

  • Delegado de Protección de Datos (DPO): dpo@tinka.app
  • Razón social: LUIS ANDRÉS ARCE CÁRDENAS
  • RUC: 0953352929001
  • Domicilio: Coronel Marcelino Maridueña (San Carlos), provincia del Guayas, Ecuador

Disclaimer

Este documento es un borrador técnico redactado con base en la Ley Orgánica de Protección de Datos Personales del Ecuador y en la Resolución SPDP-SPD-2025-0006-R, aplicada al modelo de negocio de Tinka. No constituye asesoramiento legal y debe ser revisado y validado por un abogado ecuatoriano especializado en LOPDP, derecho digital y SaaS antes de su publicación oficial o de su uso como contrato vinculante con clientes.

Tu privacidad importa

Usamos cookies esenciales para que Tinka funcione y, con tu permiso, otras para mejorar tu experiencia. Puedes aceptar todo, rechazar todo, o elegir por categoría.