DPA
El DPA (Data Processing Agreement, Acuerdo de Procesamiento de Datos) es el contrato que documenta cómo Ministrium procesa datos personales por cuenta de la iglesia. Es exigido por GDPR (Art. 28) cuando una iglesia europea contrata a Ministrium, y recomendado en cualquier jurisdicción que reconozca la distinción entre controlador y procesador de datos personales.
Cuándo solicitar el DPA
Recomendamos firmar el DPA cuando:
- La iglesia opera en la Unión Europea, Reino Unido o Suiza (GDPR).
- La iglesia opera en Brasil (LGPD).
- La iglesia opera en México y maneja datos de titulares europeos (LFPDPPP + GDPR).
- La iglesia es una denominación con presencia internacional.
- El asesor legal de la iglesia lo requiere por buenas prácticas.
Para iglesias en EE.UU. con membresía local únicamente, el BAA bajo HIPAA cubre lo necesario para datos de salud; el DPA es complementario pero no obligatorio.
Qué incluye el DPA
El DPA estándar de Ministrium documenta:
Definiciones y roles
- Iglesia = controlador.
- Ministrium = procesador.
- Datos cubiertos, propósitos del tratamiento y duración.
Obligaciones del procesador
- Procesar datos solo según instrucciones documentadas de la iglesia.
- Garantizar la confidencialidad del personal con acceso a datos.
- Implementar medidas técnicas y organizativas apropiadas (descritas en Cifrado, MFA y Auditoría).
- Asistir a la iglesia en responder solicitudes de titulares y autoridades de control.
- Notificar brechas de seguridad en menos de 72 horas.
- Devolver o eliminar los datos al final del contrato.
Subcontratistas autorizados
Lista de subprocesadores con su rol, ubicación de procesamiento y garantías:
| Subcontratista | Rol | Ubicación | Garantía |
|---|---|---|---|
| Replit | Hosting, secretos, despliegue | EE.UU. | DPA + SCCs |
| Neon | Base de datos PostgreSQL | EE.UU. (multi-región) | DPA + SCCs |
| Cloudflare | CDN, DDoS, certificados | Global | DPA + SCCs |
| Stripe | Procesamiento de donaciones | EE.UU. + global | DPA + SCCs + PCI-DSS |
| SendGrid (Twilio) | Correo transaccional | EE.UU. | DPA + SCCs |
| Twilio | WhatsApp Business y SMS | EE.UU. + global | DPA + SCCs |
Notificamos a las iglesias contratantes con al menos 30 días de anticipación cualquier cambio en la lista de subcontratistas.
Transferencias internacionales
- Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea anexadas para transferencias fuera del EEE.
- Evaluación de impacto en transferencias (TIA) disponible bajo NDA.
- Reglas Corporativas Vinculantes equivalentes con subcontratistas que las tienen.
Auditorías
- La iglesia tiene derecho a auditar el cumplimiento de Ministrium una vez al año, con previo aviso de 30 días.
- En lugar de auditoría in situ, la iglesia puede aceptar el reporte SOC 2 Type II como evidencia. Ver SOC 2.
Devolución y borrado al final del contrato
- Al terminar el contrato, la iglesia puede solicitar exportación completa de los datos en CSV o JSON.
- 30 días después del fin del contrato, todos los datos personales de la iglesia se eliminan de los sistemas operativos.
- Los backups que contienen datos eliminados se purgan en su próximo ciclo de rotación (máximo 90 días después).
- La auditoría del proceso se entrega a la iglesia.
Cómo solicitar el DPA
- Escriba a legal@ministrium.com desde un correo institucional, indicando:
- Nombre legal de la iglesia.
- Jurisdicción principal y, si aplica, jurisdicciones adicionales relevantes.
- Persona de contacto para temas legales.
- Recibirá la plantilla estándar en español o inglés en menos de 3 días hábiles.
- Si su asesor legal propone modificaciones, las revisamos y respondemos. Las modificaciones razonables se aceptan; las que cambien obligaciones materialmente se discuten.
- Firma electrónica calificada (eIDAS) o firma autógrafa, según preferencia.
- Vigencia retroactiva al inicio de la suscripción si se solicita.
La plantilla estándar de Ministrium ha sido revisada por consejeros legales en EE.UU., México y Unión Europea. Para la mayoría de las iglesias, firmarla sin modificaciones es la ruta más rápida y segura.
Diferencia entre DPA, BAA y SCCs
- DPA: marco general bajo GDPR, LGPD, LFPDPPP. Aplica al tratamiento de datos personales en general.
- BAA: específico de HIPAA (EE.UU.) cuando se procesa información médica protegida (PHI). Ver HIPAA.
- SCCs: cláusulas estándar de la Comisión Europea para transferencias internacionales fuera del EEE. Se anexan al DPA.
Una iglesia puede necesitar las tres dependiendo de su perfil. La mayoría necesita solo DPA + SCCs.
Próximos pasos
- GDPR y LGPD — el marco regulatorio que sustenta el DPA.
- HIPAA — para iglesias en EE.UU. con datos de salud.
- SOC 2 — la atestación que respalda los controles documentados en el DPA.
- legal@ministrium.com — contacto directo para solicitar el DPA.