El presente anexo tiene por objeto regular las condiciones en que el Encargado tratará datos personales por cuenta del Responsable, en el marco del contrato principal, de conformidad con lo establecido en el artículo 15 bis de la Ley 21.719.

a) Objeto del encargo: [Describir el servicio: ej. "Procesamiento de nóminas", "Hosting y almacenamiento de datos", "Soporte técnico"]

b) Duración: El tratamiento se realizará durante la vigencia del contrato principal y hasta [plazo] después de su término para efectos de devolución o supresión de datos.

c) Finalidad: [Describir la finalidad específica del tratamiento]

d) Tipos de datos personales: [Ej. nombre, RUT, email, datos de remuneraciones, datos de salud, etc.]

e) Categorías de titulares: [Ej. trabajadores del Responsable, clientes del Responsable]

El Encargado se obliga a:

1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable y exclusivamente para la finalidad del encargo.
2. No ceder, comunicar ni transferir los datos a terceros sin autorización previa, expresa y por escrito del Responsable.
3. No subcontratar total o parcialmente el tratamiento sin autorización específica y por escrito del Responsable.
4. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
5. Adoptar las medidas técnicas y organizativas de seguridad establecidas en el artículo 14 quinquies de la Ley 21.719, incluyendo como mínimo:
   • Cifrado de datos personales en tránsito y en reposo
   • Control de acceso basado en roles
   • Registro de accesos y operaciones sobre los datos
   • Respaldos periódicos
   • Procedimientos de restauración ante incidentes
6. Notificar al Responsable sin dilación indebida, y en un plazo máximo de 48 horas, cualquier vulneración de seguridad que afecte los datos personales tratados.
7. Asistir al Responsable en el cumplimiento de sus obligaciones de respuesta a solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, oposición, portabilidad y bloqueo).
8. Asistir al Responsable en la realización de evaluaciones de impacto en protección de datos cuando corresponda.
9. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este anexo.
10. Permitir y contribuir a las auditorías e inspecciones que realice el Responsable o un auditor designado por éste.

El Responsable se obliga a:

1. Proporcionar al Encargado instrucciones documentadas sobre el tratamiento de datos.
2. Garantizar que cuenta con la base de licitud necesaria para el tratamiento de los datos que encarga.
3. Informar al Encargado sobre cualquier cambio en las instrucciones de tratamiento.
4. Verificar que el Encargado cumple con las medidas de seguridad acordadas.

El Encargado no podrá delegar total o parcialmente el tratamiento a un subencargado sin autorización previa, específica y por escrito del Responsable.

En caso de autorización, el Encargado deberá:

1. Celebrar un contrato con el subencargado que imponga las mismas obligaciones de protección de datos establecidas en este anexo.
2. Responder solidariamente ante el Responsable por los actos del subencargado, conforme al artículo 15 bis de la Ley 21.719.

El Encargado no realizará transferencias internacionales de datos personales sin autorización previa y por escrito del Responsable, y solo cuando se cumplan las condiciones establecidas en los artículos 27 y 28 de la Ley 21.719.

[Si aplica: "Se autoriza la transferencia a [país/proveedor] bajo las siguientes garantías: [cláusulas contractuales tipo / país adecuado / consentimiento del titular]"]

Una vez finalizado el contrato principal o el encargo de tratamiento, el Encargado deberá, a elección del Responsable:

1. Devolver todos los datos personales al Responsable en un formato electrónico estructurado y de uso común, o
2. Suprimir de forma segura e irreversible todos los datos personales y las copias existentes.

El Encargado certificará por escrito la devolución o supresión de los datos dentro de los 30 días siguientes al término del encargo.

Si el Encargado trata los datos con un objeto distinto del encargo convenido, o los cede o entrega sin autorización, será considerado como responsable de datos para todos los efectos legales, debiendo responder personalmente por las infracciones y solidariamente con el Responsable por los daños ocasionados, conforme al artículo 15 bis de la Ley 21.719.

El presente anexo tendrá la misma vigencia que el contrato principal. Las obligaciones de confidencialidad y seguridad subsistirán después de la terminación del contrato mientras el Encargado mantenga datos personales en su poder.