Contenidos
Definiciones
Principios
Identificación de los datos personales involucrados
Término y efectos de la terminación
Obligaciones de Prometeo como Procesador de Datos
Subcontratación de procesamiento de datos
Derechos del Sujeto de los Datos
Notificación de violación de seguridad
Obligaciones del Cliente como Controlador de Datos
Terminación del servicio
Responsabilidad legal y jurisdicción
La versión en inglés de este documento regirá nuestra relación. La versión traducida se proporciona únicamente como referencia y bajo ninguna circunstancia se interpretará que la versión traducida modifica la versión en inglés. Para consultar la versión en inglés, dirígete a la página DPA Prometeo.
¡Importante! Asegúrate de revisar este documento.
Alcance y aplicabilidad
Este Convenio de Procesamiento de Datos (DPA) se aplica a cualquier tratamiento de datos personales realizado en el marco del Contrato Maestro de Servicios ("MSA") entre las partes.
El procesamiento de datos personales se regirá por: las leyes de protección de datos aplicables del país en el que esté establecido el Controlador de Datos; y los términos del MSA y este DPA.
En caso de conflicto entre el MSA y este DPA, prevalecerán las disposiciones del presente DPA, pero solo con respecto al tema conflictivo.
Los términos no definidos en este APD tendrán el significado que se les asigne en el MSA.
Este DPA se aplica a las actividades de procesamiento de datos en las que Prometeo actúa como Procesador de Datos en nombre del Cliente, por ejemplo, en el suministro de la solución de Validación de Cuentas.
Definiciones
Para fines de este DPA, los siguientes términos tendrán los significados dispuestos a continuación:
Datos personales
Cualquier información relativa a una persona física identificada o identificable. En algunas jurisdicciones, esto también puede incluir datos relativos a personas morales.
Controlador de Datos (“Controlador”)
La persona física o jurídica que determina los fines y medios del procesamiento de datos personales. Cuando Prometeo actúa como Controlador, los datos personales que procesa pueden incluir: nombre, apellido, número de identificación fiscal, dirección y dirección de correo electrónico.
Procesador de Datos (“Procesador”)
La persona física o jurídica que procesa datos personales en nombre del Controlador, de acuerdo con las instrucciones del Controlador.
Subprocesador
Cualquier tercero contratado por el Procesador para realizar actividades de procesamiento específicas a nombre y bajo las instrucciones del Controlador.
Procesamiento
Cualquier operación realizada sobre datos personales, automatizada o no, incluyendo la recopilación, registro, organización, estructuración, almacenamiento, adaptación, uso, divulgación, eliminación o destrucción.
Sujeto de los Datos
La persona a la que se refieren los datos personales.
Violación de datos (también: Incidente de Seguridad o Incidente)
Cualquier evento que lleve a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales de forma accidental o ilícita.
Transferencia internacional de datos
La transmisión de datos personales a un país distinto del país en el que se recogieron originalmente, ya sea a otro Controlador o Procesador, con fines de procesamiento.
Principios
Ambas partes convienen en procesar los datos personales de acuerdo con los siguientes principios. Estos principios constituyen obligaciones vinculantes y están destinados a promover un nivel coherente y elevado de protección de datos en todas las actividades reguladas por el presente APD:
Legalidad, equidad y transparencia
Los datos personales deberán procesarse en forma lícita, justa y transparente. Una base legal válida debe apoyar cada actividad de procesamiento (por ejemplo, consentimiento, contrato, obligación legal o interés legítimo). Debe informarse claramente a los Sujetos de los Datos sobre la forma en que se recogen, utilizan y protegen sus datos.
Limitación de propósito
Los datos personales se recabarán para fines específicos, explícitos y legítimos, y no deberán ser objeto de un procesamiento posterior incompatible con dichos fines. El Procesador debe procesar los datos estrictamente de acuerdo con las instrucciones del Controlador.
Minimización de datos
Solo se pueden procesar los datos personales que sean estrictamente necesarios para lograr la finalidad declarada. No se recogerán ni conservarán datos innecesarios o excesivos.
Exactitud
Los datos personales deberán ser exactos y, en su caso, estar actualizados. Los datos inexactos o anticuados deberán corregirse o suprimirse sin demora.
Limitación de almacenamiento
Los datos solo se conservarán durante el tiempo necesario para cumplir la finalidad prevista o para cumplir con las obligaciones legales. Después de eso, deben ser borrados o anonimizados en forma segura.
Integridad, confidencialidad y seguridad
Los datos personales se procesarán de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daños accidentales o ilegales, utilizando medidas técnicas y organizacionales adecuadas.
Responsabilidad
El Controlador es responsable de garantizar el cumplimiento de estos principios y debe estar en condiciones de demostrarlo. El Procesador apoyará al Controlador implementando medidas apropiadas, tales como:
- Privacidad por diseño y por defecto
- Evaluaciones de impacto sobre la protección de datos (cuando proceda)
- Nombramiento de un Responsable de la Protección de Datos (DPO), cuando sea legalmente necesario
¡Importante!
Prometeo, en su calidad de Procesador de Datos, proporciona al Cliente diversas soluciones tecnológicas como parte de los servicios contratados. El uso de estos servicios implica necesariamente el procesamiento de datos personales, según lo definido en las leyes de protección de datos aplicables.
Los datos personales son proporcionados por el Cliente, actuando en su calidad de Controlador de Datos, quien autoriza a Prometeo a procesarlos en su nombre, con la única finalidad de prestar los servicios contratados y conforme a las instrucciones del Cliente.
Identificación de los datos personales involucrados
Para la correcta prestación de los servicios contratados, el Cliente deberá facilitar a Prometeo los datos personales necesarios para su ejecución.
Estos pueden incluir, por ejemplo:
- Nombre completo
- Dirección de correo electrónico
- Número de identificación fiscal
- Número de teléfono
- Número de la cuenta bancaria
- Cualquier otro dato que se requiera para cumplir con el alcance del servicio
Término y efectos de la terminación
Este DPA entra en vigor en la misma fecha que el Contrato Maestro de Servicios (MSA) y permanece vigente mientras Prometeo procese datos personales a nombre del Cliente.
Al término de la relación contractual, Prometeo deberá, a elección del Cliente:
- Devolver todos los datos personales y cualquier copia de los mismos al cliente; o
- Eliminar permanentemente los datos personales, incluidas las copias de seguridad, a menos que la ley aplicable exija su retención.
Si la ley requiere la retención, Prometeo bloqueará los datos y los almacenará de forma segura, limitando su uso estrictamente al cumplimiento de dicha obligación legal, de acuerdo con las regulaciones aplicables.
Obligaciones de Prometeo como Procesador de Datos
Prometeo, en su calidad de Procesador de Datos, se compromete a:
Cumplimiento legal: cumplir con todas las obligaciones aplicables a los procesadores de datos bajo las leyes de protección de datos relevantes y cualquier otra disposición legal vinculante.
Limitación de propósito: procesar datos personales exclusivamente para los fines establecidos en este DPA y las instrucciones documentadas del Controlador. Prometeo no utilizará los datos para sus propios fines.
Transparencia y cooperación: proporcionar al Controlador toda la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías o inspecciones razonables, según lo acordado.
Personal autorizado: asegurarse de que todo el personal autorizado para procesar datos personales:
- Está vinculado a una obligación escrita de confidencialidad;
- Ha recibido una capacitación adecuada en materia de protección de datos; y
- Procesa los datos solo de acuerdo con las instrucciones del Controlador o los requisitos legales aplicables.
Medidas de seguridad: implementar y mantener las medidas técnicas, físicas y organizacionales adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, pérdida, alteración, acceso no autorizado o divulgación. Estas medidas incluirán, como mínimo:
- Seudonimización y/o encriptado, cuando proceda.
- Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.
- La capacidad de restablecer el acceso a los datos personales en tiempo oportuno en caso de incidente.
- Pruebas y evaluación periódicas de la eficacia de las medidas de seguridad aplicadas.
Mantenimiento de registros y supervisión: mantener registros de las actividades de procesamiento según lo exigido por la ley, y ponerlos a disposición del Controlador o de la autoridad competente previa solicitud. Cooperar plenamente con cualquier auditoría o investigación reglamentaria.
Subcontratación de procesamiento de datos
Prometeo puede contratar a terceros ("Subprocesadores") para realizar actividades específicas de procesamiento de datos personales, siempre que el Cliente otorgue su consentimiento previo y por escrito.
Al suscribir el acuerdo de servicio, el Cliente otorga autorización general a Prometeo para subcontratar servicios auxiliares esenciales necesarios para la operación estándar de los servicios (por ejemplo, alojamiento en la nube, soporte técnico).
Prometeo se asegurará de que cualquier subprocesador esté vinculado a las mismas obligaciones de protección de datos que las establecidas en este DPA, incluidas las medidas técnicas y organizacionales adecuadas para garantizar la seguridad de los datos y el cumplimiento.
Prometeo sigue siendo plenamente responsable ante el Cliente por cualquier acción u omisión de sus subprocesadores que resulte en un incumplimiento de este DPA.
Derechos del Sujeto de los Datos
Prometeo implementará las medidas técnicas y organizacionales adecuadas, teniendo en cuenta la naturaleza del procesamiento, para ayudar al Controlador a responder a las solicitudes de los Sujetos de los Datos que ejercen sus derechos bajo las leyes de protección de datos aplicables.
Si Prometeo recibe directamente una solicitud del sujeto de los datos, deberá:
- Notificar al Responsable con prontitud; y
- Proporcionar toda la información pertinente necesaria para que el Controlador responda adecuadamente.
Si los datos se procesan exclusivamente a través de sistemas gestionados por Prometeo, y de acuerdo con el Controlador, Prometeo puede responder directamente a la solicitud en nombre del Controlador, de conformidad con los plazos legales aplicables. El Controlador deberá ser informado de la solicitud y de la respuesta dada.
Notificación de violación de seguridad
En el caso de que Prometeo detecte una violación de datos personales que afecte a los datos procesados bajo este DPA, notificará al Controlador sin demora injustificada, para permitir acciones de mitigación y respuesta adecuadas.
La notificación de violación incluirá, como mínimo:
- Una descripción del incidente y de cómo se detectó.
- Las categorías y el número estimado de sujetos de datos y registros afectados.
- Las consecuencias probables de la violación.
- Las medidas adoptadas o previstas para hacer frente a la violación y mitigarla.
- Datos de contacto para más información o coordinación.
Si lo requiere la ley, Prometeo también cooperará con el Controlador para notificar a la autoridad supervisora pertinente y a los sujetos de los datos afectados.
Obligaciones del Cliente como Controlador de Datos
El Cliente, en su calidad de Controlador de Datos, será el único responsable de las siguientes obligaciones:
Base legal para el procesamiento
Garantizar que todos los datos personales proporcionados a Prometeo se procesan sobre una base legal válida, de conformidad con las leyes de protección de datos aplicables. El Cliente deberá ser capaz de demostrar esta base previa solicitud.
Instrucciones al Procesador
Proporcionar a Prometeo instrucciones claras, legales y por escrito sobre el procesamiento de datos personales. Las instrucciones deben incluir:
- El propósito y alcance del procesamiento.
- La duración del procesamiento.
- La naturaleza y las categorías de los datos personales.
- Las categorías de los sujetos de los datos.
- Las obligaciones y los derechos específicos del Cliente que Prometeo debe apoyar.
Obligaciones de transparencia e información
Informar a los sujetos de los datos, en forma clara y lícita, sobre el procesamiento de sus datos personales, en cumplimiento con los requisitos de transparencia aplicables.
Derechos del Sujeto de los Datos
Aplicar procedimientos y canales que permitan a los sujetos de los datos ejercer sus derechos. Informar a Prometeo de cualquier solicitud que implique datos que procesa, y proporcionar las instrucciones necesarias para la respuesta.
Monitoreo y supervisión
Monitorear activamente el cumplimiento de Prometeo con este DPA y las leyes aplicables. Esto incluye el derecho a realizar auditorías o asignar un auditor independiente, mediante una notificación con antelación razonable.
Notificación de violaciones de datos personales
En caso de violación de datos, el Cliente es responsable de evaluar si se requiere notificación y, en caso afirmativo, notificar a la autoridad pertinente y a los sujetos de los datos afectados. Prometeo apoyará este proceso según sea necesario.
Evaluaciones de impacto y DPO
Cuando lo exija la ley, el Cliente llevará a cabo evaluaciones de impacto sobre la protección de datos y nombrará un Responsable de la Protección de Datos.
Terminación del servicio
Al finalizar los servicios, Prometeo devolverá al Cliente todos los datos personales y cualquier documento o medio relacionado, incluyendo todas las copias.
Una vez que los datos hayan sido devueltos, Prometeo procederá a su eliminación permanente, a menos que la retención sea legalmente requerida.
Si la ley exige la retención, Prometeo deberá:
- Almacenar los datos de forma segura;
- Bloquear el tratamiento posterior; y
- Utilizar los datos únicamente para cumplir con la obligación legal.
Las obligaciones de confidencialidad establecidas en este DPA sobrevivirán a la terminación de los servicios.
Responsabilidad legal y jurisdicción
Responsabilidad legal
Cada parte será responsable de las multas, daños o pérdidas resultantes del incumplimiento de sus obligaciones en virtud de las leyes de protección de datos aplicables.
Indemnización
Cada una de las partes se compromete a indemnizar y a mantener en paz y a salvo a la otra parte de cualquier reclamación, penalización, pérdida o procedimiento derivado del incumplimiento por su parte de las obligaciones aplicables en materia de protección de datos.
Responsabilidad del Controlador
El Cliente reconoce expresamente que Prometeo no será responsable de las infracciones que recaigan bajo la responsabilidad del Cliente como Controlador de Datos, ya sea que dichas obligaciones se establezcan expresamente en este DPA o se deriven de las leyes de protección de datos aplicables.
Ley gobernante
Este DPA se regirá por las leyes del país en el que esté establecido el Controlador de Datos.
Jurisdicción
Cualquier disputa que surja o esté relacionada con el procesamiento de datos personales bajo este DPA será sometida a la jurisdicción exclusiva de los tribunales del país donde se encuentre el Controlador de Datos.