Adenda de Procesamiento de Datos

Última actualización: mayo 2026

Esta Adenda de Procesamiento de Datos ("APD") forma parte de los Términos y Condiciones entre Frust SpA ("Encargado") y el Cliente ("Responsable") y regula el tratamiento de datos personales realizado por Frust en nombre del Cliente. Esta APD cumple con la Ley 21.719 de Chile, el Reglamento General de Protección de Datos de la UE (RGPD Art. 28) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP).

1. Definiciones

"Datos Personales" significa toda información relativa a una persona natural identificada o identificable. "Tratamiento" significa cualquier operación realizada sobre datos personales. "Responsable" significa el Cliente que determina los fines y medios del tratamiento. "Encargado" significa Frust, quien trata los datos personales en nombre del Responsable. "Subencargado" significa cualquier tercero contratado por Frust para tratar datos personales.

2. Objeto y Duración

Frust trata los datos personales exclusivamente para prestar los servicios de optimización de costos en la nube descritos en los Términos y Condiciones. El tratamiento comienza en la fecha de entrada en vigor del acuerdo de servicio y continúa hasta su terminación, tras la cual Frust eliminará o devolverá todos los datos personales según se especifica en la Sección 12.

3. Naturaleza y Finalidad del Tratamiento

  • Naturaleza: recopilación, almacenamiento, análisis y transmisión de metadatos de facturación y uso de AWS.
  • Finalidad: optimizar el gasto en AWS del Responsable mediante Instancias Reservadas y Savings Plans administrados por Frust.
  • Base legal: ejecución de un contrato (Ley 21.719 Art. 13 lit. b; RGPD Art. 6(1)(b)); interés legítimo para analíticas agregadas.

4. Categorías de Datos y Titulares

Datos tratados: identificadores de cuenta AWS, metadatos de roles IAM, datos de uso de Cost Explorer, líneas de facturación, etiquetas de recursos e información de contacto de administradores del Cliente (nombre, correo corporativo, cargo).

Titulares de los datos: empleados y contratistas del Responsable identificados en los metadatos de cuentas AWS o en los registros de contacto de facturación.

Frust no trata bajo ninguna circunstancia categorías especiales de datos personales (salud, biométricos, origen racial, opiniones políticas, etc.).

5. Obligaciones del Responsable

El Responsable declara y garantiza que:

  • ·Cuenta con una base legal para los datos personales que entrega a Frust y ha informado a los titulares afectados según la normativa aplicable.
  • ·Proporcionará a Frust toda la información y cooperación necesarias para cumplir con la legislación de protección de datos aplicable.
  • ·Informará oportunamente a Frust de cualquier cambio en solicitudes de derechos de titulares o consultas regulatorias que afecten el tratamiento.
  • ·Verificará que sus instrucciones a Frust cumplan con la normativa aplicable y no instruirá a Frust a realizar ningún tratamiento que vulnere las obligaciones de protección de datos.

6. Obligaciones del Encargado (Frust)

Frust deberá:

  • ·Tratar los datos personales únicamente según las instrucciones documentadas del Responsable, salvo que la ley aplicable exija lo contrario.
  • ·Garantizar que el personal autorizado esté sujeto a compromisos de confidencialidad adecuados.
  • ·Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en la Sección 8.
  • ·No contratar a un subencargado sin autorización previa por escrito del Responsable, conforme a la Sección 7.
  • ·Asistir al Responsable para responder a solicitudes de derechos de titulares según se describe en la Sección 9.
  • ·Notificar al Responsable una violación de seguridad de datos personales sin demora injustificada y a más tardar 72 horas después de tener conocimiento, según se describe en la Sección 10.
  • ·Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de esta APD y permitir auditorías según se describe en la Sección 13.
  • ·Informar oportunamente al Responsable si, en opinión de Frust, una instrucción infringe la normativa de protección de datos aplicable.

7. Subencargados

El Responsable otorga autorización general por escrito para contratar a los siguientes subencargados. Frust notificará al Responsable con al menos 30 días de antelación cualquier cambio previsto (adiciones o sustituciones), dando al Responsable la oportunidad de objetar.

Amazon Web Services, Inc. (AWS)

Infraestructura cloud y almacenamiento de datos. Región: us-east-1 (principal). APD: aws.amazon.com/compliance/gdpr-center

Neon Tech

Hosting de base de datos PostgreSQL gestionada. Región: AWS us-east-1. Política de privacidad disponible en neon.tech/privacy.

Twilio SendGrid

Envío de correos transaccionales. Política de privacidad disponible en sendgrid.com/privacy.

Google LLC

Google Analytics (anonimizado) y Google Tag Manager. Enmienda de Procesamiento de Datos disponible en business.safety.google/adsprocessorterms.

Todos los subencargados están obligados a proporcionar al menos el mismo nivel de protección de datos que esta APD.

8. Medidas de Seguridad

Frust implementa las siguientes medidas técnicas y organizativas:

  • Control de acceso: roles AWS IAM con permisos de solo lectura de mínimo privilegio; MFA obligatorio para todo el personal de Frust con acceso a sistemas productivos.
  • Cifrado: datos cifrados en tránsito (TLS 1.2+) y en reposo (AES-256 vía AWS KMS).
  • Aislamiento: los datos de cada Cliente están aislados lógicamente mediante esquemas de base de datos separados y condiciones IAM ExternalId.
  • Registro de auditoría: todos los accesos a los roles AWS del Cliente se registran vía AWS CloudTrail y se conservan 90 días.
  • Gestión de vulnerabilidades: análisis de dependencias, parches de seguridad y pruebas de penetración anuales por terceros.
  • Respuesta a incidentes: procedimiento documentado con rutas de escalamiento definidas y SLA de notificación de 72 horas.

9. Derechos de los Titulares

Frust asistirá al Responsable en el cumplimiento de solicitudes de derechos de titulares (acceso, rectificación, supresión, portabilidad, limitación, oposición) en un plazo de 5 días hábiles desde la recepción de la solicitud del Responsable. Frust no responderá directamente a los titulares en nombre del Responsable salvo autorización expresa por escrito.

10. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad de datos personales que afecte datos del Responsable, Frust notificará al Responsable sin demora injustificada y a más tardar 72 horas después de tener conocimiento. La notificación incluirá: (a) la naturaleza de la brecha; (b) categorías y número aproximado de titulares y registros afectados; (c) consecuencias probables; (d) medidas adoptadas o propuestas para abordar la brecha y mitigar sus efectos. Este plazo se aplica independientemente de si la brecha ha sido resuelta.

11. Transferencias Internacionales de Datos

La infraestructura principal de Frust se encuentra en AWS us-east-1 (Estados Unidos). Las transferencias desde el Espacio Económico Europeo (EEE) hacia Frust se rigen por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea para transferencias Responsable-Encargado (Módulo 2), incorporadas por referencia. Para transferencias desde Chile, Frust cumple con el Capítulo V de la Ley 21.719 sobre transferencias internacionales. Para México, las transferencias cumplen con los artículos 36-37 de la LFPDPPP.

Los clientes del EEE pueden solicitar una copia firmada de las CCT enviando un correo a privacy@frust.co.

12. Devolución y Eliminación de Datos

Tras la terminación del acuerdo de servicio, Frust, a elección del Responsable: (a) devolverá todos los datos personales en formato legible por máquina (CSV/JSON) en un plazo de 30 días; o (b) eliminará de forma segura todos los datos personales y proporcionará confirmación escrita de la eliminación en un plazo de 30 días. Frust podrá conservar los datos exigidos por la legislación aplicable durante el período mínimo obligatorio, tras el cual serán eliminados.

13. Derecho de Auditoría

El Responsable podrá auditar el cumplimiento de esta APD por parte de Frust una vez por año calendario, con un preaviso escrito de 30 días. Las auditorías se realizarán en horario comercial y no deberán perturbar irrazonablemente las operaciones de Frust. Frust podrá satisfacer las solicitudes de auditoría proporcionando su documentación de seguridad más reciente disponible o evaluación por terceros en lugar de una auditoría presencial.

14. Ley Aplicable y Jurisdicción

Esta APD se rige por la legislación chilena (Ley 21.719 y normativa complementaria). Para los Clientes de la Unión Europea, el RGPD prevalece en la medida en que entre en conflicto con la legislación chilena. Para los Clientes de México, se aplica la LFPDPPP. Las controversias se resolverán conforme a la cláusula de resolución de disputas de los Términos y Condiciones.

15. Contacto

Las preguntas sobre esta APD o las prácticas de protección de datos deben dirigirse a: privacy@frust.co. El domicilio registrado de Frust es: Callao 2911, of 4144, Santiago, Región Metropolitana, Chile, 7550285.

← Volver a Términos y Condiciones
frust
un@frust.co🇨🇱 Callao 2911, of 4144, Santiago, RM, 7550285🇺🇸 1111B S Governors Ave STE 29963, Dover, DE 19904
Más informaciónTérminos y condicionesAnexo TécnicoAdenda de Procesamiento de DatosPolítica de privacidad
LinkedInAWS PartnerAWS Qualified Software