Alcance
Esta politica describe criterios generales para tratamiento de datos personales, operativos y tecnicos cuando Opendex participa en procesos comerciales, soporte, evaluacion, comunicacion o servicios empresariales.
No reemplaza un acuerdo de tratamiento de datos firmado. Cuando exista un DPA, anexo contractual, contrato principal, orden de servicio o documento regional obligatorio, ese documento prevalecera en el alcance aplicable.
Esta politica busca explicar responsabilidades generales, controles esperados y criterios de manejo sin revelar informacion operativa sensible.
Roles
Segun el contexto, Opendex puede actuar como responsable, encargado, proveedor tecnologico, subprocesador, receptor de informacion enviada por usuarios o prestador de servicios de soporte.
El rol exacto depende del producto, contrato, finalidad, instrucciones del cliente, tipo de informacion tratada, region y control real sobre la finalidad del tratamiento.
Instrucciones y finalidad
El tratamiento debe limitarse a instrucciones documentadas, finalidades declaradas, operacion del servicio, seguridad, soporte, cumplimiento legal o controles acordados.
No deben usarse datos del cliente para finalidades incompatibles con el alcance acordado.
Categorias de datos
Las categorias pueden incluir datos de contacto, datos profesionales, informacion enviada en solicitudes, registros tecnicos, eventos de seguridad, metadatos operativos, informacion de soporte, archivos o datos configurados por una organizacion.
Opendex no debe solicitar datos sensibles cuando no sean necesarios. Si una organizacion envia datos sensibles sin necesidad, Opendex puede pedir reduccion, eliminacion o uso de un canal adecuado.
Confidencialidad
El personal, proveedores o sistemas con acceso a informacion deben operar bajo obligaciones de confidencialidad, necesidad de acceso y finalidad definida.
La informacion no debe compartirse fuera del alcance autorizado, salvo obligacion legal, instruccion valida, necesidad operativa documentada o proteccion de derechos y seguridad.
Seguridad del tratamiento
Los controles pueden incluir acceso limitado, revision de permisos, registros operativos, separacion de funciones, minimizacion de datos, monitoreo, gestion de incidentes, evaluacion de proveedores y medidas tecnicas razonables.
La seguridad aplicable depende del tipo de informacion, producto, contrato, region, proveedor y riesgo. Ningun sistema puede garantizar seguridad absoluta.
Subprocesadores
Cuando se usen subprocesadores, deben apoyar funciones como infraestructura, comunicacion, soporte, seguridad, observabilidad o almacenamiento.
La lista especifica de subprocesadores puede publicarse en una politica separada o entregarse dentro del proceso contractual correspondiente.
Los subprocesadores deben recibir solo la informacion necesaria para cumplir su funcion y operar bajo controles razonables de confidencialidad y seguridad.
Contacto regional de politica
Las consultas globales de politica se reciben en ows-policy@opendex.dev. Para Mexico, las consultas regionales se reciben en ows-policy-mexico@opendex.dev. Para Brazil, se reciben en ows-policy-brazil@opendex.dev.
Para otros paises, el patron operativo es ows-policy-[pais]@opendex.dev, usando el nombre del pais en minusculas y sin espacios.
Transferencias
Las transferencias internacionales o regionales deben evaluarse de acuerdo con los requisitos legales aplicables, el tipo de informacion y el alcance del servicio.
Cuando sea necesario, se usaran mecanismos contractuales, tecnicos u organizativos razonables para proteger la informacion.
Solicitudes del cliente
Cuando Opendex actue bajo instrucciones de un cliente, las solicitudes de acceso, eliminacion, exportacion, correccion o limitacion pueden requerir validacion de autoridad y alcance contractual.
Opendex puede pedir informacion adicional para verificar que la solicitud proviene de una persona u organizacion autorizada.
Eliminacion y devolucion
Al terminar una finalidad, contrato o instruccion valida, los datos deben eliminarse, devolverse, anonimizarse o conservarse solo si existe obligacion legal, seguridad, disputa, auditoria o base legitima.
Algunas copias residuales pueden permanecer temporalmente en respaldos, logs o registros tecnicos hasta completar ciclos razonables.
Auditoria y evidencia
Opendex puede conservar evidencia razonable de instrucciones, solicitudes, preferencias, eventos de seguridad, acciones de soporte y cambios operativos para proteger derechos, cumplir obligaciones y mantener trazabilidad.
La evidencia debe limitarse al alcance necesario y evitar secretos innecesarios.




