Contenidos
Definiciones
Principios
Identificación de los datos personales objeto de tratamiento
Vigencia y efectos de la terminación
Obligaciones de Prometeo como Encargado del Tratamiento
Subcontratación del tratamiento de datos personales
Derechos de los Titulares de los Datos Personales
Notificación de incidentes de seguridad relativos a datos personales
Obligaciones del Cliente como Responsable del Tratamiento
Efectos de la finalización del servicio
Responsabilidad y jurisdicción aplicable
La versión en inglés de este documento regirá nuestra relación. La versión traducida se proporciona únicamente como referencia y bajo ninguna circunstancia se interpretará que la versión traducida modifica la versión en inglés. Para consultar la versión en inglés, dirígete a la página DPA Prometeo.
¡Importante! Asegúrate de revisar este documento.
Alcance y aplicabilidad
Este Acuerdo de Tratamiento de Datos Personales (DPA) se aplica a cualquier tratamiento de datos personales que se realice en el marco del Contrato Maestro de Servicios (“MSA”) celebrado entre las partes.
El procesamiento de datos personales se regirá por: las leyes de protección de datos aplicables del país en el que esté establecido el Controlador de Datos; y los términos del MSA y este DPA.
En caso de conflicto entre el MSA y este DPA, prevalecerán las disposiciones de este DPA, pero únicamente en relación con el objeto del conflicto.
Los términos no definidos en este DPA tendrán el significado que se les asigne en el MSA.
Este DPA se aplica a las actividades de procesamiento de datos en las que Prometeo actúa como Procesador de Datos en nombre del Cliente, por ejemplo, en el suministro de la solución de Validación de Cuentas.
Definiciones
Para fines de este DPA, los siguientes términos tendrán los significados dispuestos a continuación:
Datos personales
Responsable del Tratamiento
Encargado del Tratamiento (“Encargado”)
Subencargado
Procesamiento
Sujeto de los Datos
Incidente de Seguridad o Incidente
Transferencia internacional de datos
Cualquier información relativa a una persona física identificada o identificable. En algunas jurisdicciones, esto también puede incluir datos relativos a personas morales.
La persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Cuando Prometeo actúa como Responsable del Tratamiento, los datos personales que procesa pueden incluir: nombre, apellido, número de identificación fiscal, dirección y correo electrónico.
La persona física o jurídica que trata datos personales por cuenta del Responsable, conforme a sus instrucciones documentadas.
Cualquier tercero contratado por el Encargado del Tratamiento para llevar a cabo actividades específicas de tratamiento por cuenta y bajo las instrucciones del Responsable del Tratamiento.
Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, incluyendo, entre otras: la recopilación, registro, organización, estructuración, conservación, adaptación, consulta, uso, comunicación, difusión, limitación, supresión o destrucción.
La persona a la que se refieren los datos personales.
Cualquier incidente de seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales, de forma accidental o ilícita.
La transmisión de datos personales a un país distinto de aquel en el que fueron recolectados originalmente, ya sea a otro Responsable o Encargado del Tratamiento, con fines de tratamiento.
Principios
Ambas partes acuerdan tratar los datos personales conforme a los siguientes principios. Estos principios constituyen obligaciones vinculantes y están destinados a promover un nivel coherente y elevado de protección de datos en todas las actividades reguladas por el presente DPA:
Licitud, lealtad y transparencia
Limitación de propósito
Minimización de datos
Exactitud
Limitación de almacenamiento
Integridad, confidencialidad y seguridad
Responsabilidad
Los datos personales deberán procesarse en forma lícita, justa y transparente. Una base legal válida debe apoyar cada actividad de procesamiento (por ejemplo, consentimiento, contrato, obligación legal o interés legítimo). Debe informarse claramente a los Sujetos de los Datos sobre la forma en que se recogen, utilizan y protegen sus datos.
Los datos personales deberán recogerse con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. El Encargado del Tratamiento solo tratará los datos conforme a las instrucciones documentadas del Responsable.
Solo deberán tratarse los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. No se recogerán ni conservarán datos innecesarios o excesivos.
Los datos personales deberán ser exactos y, cuando sea necesario, estar actualizados. Los datos inexactos o desactualizados deberán corregirse o suprimirse sin demora.
Los datos personales deberán conservarse únicamente durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos o para dar cumplimiento a una obligación legal. Una vez cumplida dicha finalidad o extinguida la obligación, deberán ser suprimidos o anonimizados de forma segura.
Los datos personales deberán ser tratados de forma que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas.
El Responsable del Tratamiento es el encargado de garantizar el cumplimiento de estos principios y debe poder demostrarlo. El Encargado del Tratamiento apoyará al Responsable mediante la implementación de medidas adecuadas, tales como:
- Aplicación de los principios de protección de datos desde el diseño y por defecto.
- Realización de evaluaciones de impacto en protección de datos, cuando corresponda.
- Designación de un Delegado de Protección de Datos (DPO), cuando así lo exija la normativa aplicable.
¡Importante!
Prometeo, en su calidad de Encargado del Tratamiento, proporciona al Cliente diversas soluciones tecnológicas como parte de los servicios contratados. El uso de estos servicios implica necesariamente el tratamiento de datos personales, conforme a lo establecido en la normativa de protección de datos aplicable.
Los datos personales son proporcionados por el Cliente, en su calidad de Responsable del Tratamiento, quien autoriza a Prometeo a tratarlos por su cuenta, con la única finalidad de prestar los servicios contratados y conforme a sus instrucciones documentadas.
Identificación de los datos personales objeto de tratamiento
Para la adecuada prestación de los servicios contratados, el Cliente deberá proporcionar a Prometeo los datos personales necesarios para su ejecución.
Estos pueden incluir, por ejemplo:
- Nombre completo
- Correo electrónico
- Número de identificación fiscal
- Número de teléfono
- Número de cuenta bancaria
- Cualquier otro dato necesario para la prestación del servicio contratado
Vigencia y efectos de la terminación
Este DPA entrará en vigor en la misma fecha de entrada en vigencia del Contrato Marco de Servicios (MSA) y permanecerá vigente mientras Prometeo trate datos personales por cuenta del Cliente.
Al finalizar la relación contractual, Prometeo deberá, a elección del Cliente:
- Devolver todos los datos personales y cualquier copia de los mismos al Cliente; o
- Eliminar de forma permanente los datos personales, incluidas las copias de respaldo, salvo que la normativa aplicable exija su conservación.
Si la normativa aplicable exige su conservación, Prometeo deberá bloquear los datos y almacenarlos de forma segura, limitando su uso exclusivamente al cumplimiento de dicha obligación legal.
Obligaciones de Prometeo como Encargado del Tratamiento
Prometeo, en su calidad de Procesador de Datos, se compromete a:
Cumplimiento legal: Cumplir con todas las obligaciones aplicables a los Encargados del Tratamiento conforme a la normativa de protección de datos vigente y cualquier otra disposición legal vinculante.
Limitación de propósito: Tratar los datos personales exclusivamente para los fines establecidos en este DPA y conforme a las instrucciones documentadas del Responsable del Tratamiento. Prometeo no utilizará los datos para fines propios.
Transparencia y cooperación: Proporcionar al Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías o inspecciones razonables, según lo acordado entre las partes.
Personal autorizado: Asegurarse de que todo el personal autorizado para tratar datos personales:
- Esté sujeto a una obligación escrita de confidencialidad;
- Haya recibido una capacitación adecuada en materia de protección de datos; y
- Trate los datos únicamente conforme a las instrucciones documentadas del Responsable o a los requisitos legales aplicables.
Medidas de seguridad: Implementar y mantener medidas técnicas y organizativas apropiadas para proteger los datos personales frente a la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizado. Estas medidas incluirán, al menos:
- Seudonimización y/o cifrado, cuando corresponda.
- Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Capacidad de restablecer el acceso a los datos personales de forma oportuna en caso de incidente.
- Pruebas y evaluaciones periódicas de la eficacia de las medidas de seguridad aplicadas.
Mantenimiento de registros y supervisión: Mantener un registro de las actividades de tratamiento conforme a lo establecido por la normativa aplicable, y ponerlo a disposición del Responsable del Tratamiento o de la autoridad competente previa solicitud. Cooperar plenamente con cualquier auditoría o investigación regulatoria.
Subcontratación del tratamiento de datos personales
Prometeo podrá contratar a terceros (“Subencargados”) para llevar a cabo actividades específicas de tratamiento de datos personales, siempre que cuente con el consentimiento previo y por escrito del Cliente.
Al suscribir el acuerdo de servicios, el Cliente otorga a Prometeo una autorización general para subcontratar servicios auxiliares esenciales necesarios para la operación estándar de los servicios (por ejemplo, servicios de alojamiento en la nube o soporte técnico).
Prometeo se asegurará de que todo Subencargado quede vinculado por las mismas obligaciones en materia de protección de datos que las previstas en este DPA, incluidas medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos y el cumplimiento normativo.
Prometeo seguirá siendo plenamente responsable frente al Cliente por cualquier acción u omisión de sus Subencargados que implique un incumplimiento de este DPA.
Derechos de los Titulares de los Datos Personales
Prometeo implementará las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, para asistir al Responsable del Tratamiento en la atención de las solicitudes de los Titulares de los Datos que ejerzan sus derechos conforme a la normativa de protección de datos aplicable.
Si Prometeo recibe directamente una solicitud del Titular de los Datos, deberá:
- Notificar al Responsable del Tratamiento sin demora indebida; y
- Proporcionar toda la información relevante que sea necesaria para que el Responsable pueda atenderla adecuadamente.
Si los datos se tratan exclusivamente a través de sistemas gestionados por Prometeo, y conforme a la autorización del Responsable del Tratamiento, Prometeo podrá responder directamente a la solicitud en nombre de este, cumpliendo con los plazos legales aplicables. El Responsable deberá ser informado tanto de la solicitud como de la respuesta proporcionada.
Notificación de incidentes de seguridad relativos a datos personales
En caso de que Prometeo detecte una violación de la seguridad que afecte datos personales tratados bajo este DPA, deberá notificar al Responsable del Tratamiento sin demora indebida, a fin de permitir la adopción de medidas de mitigación y respuesta adecuadas.
La notificación deberá incluir, como mínimo:
- Una descripción del incidente y del modo en que fue detectado.
- Las categorías y el número aproximado de Titulares de los Datos y registros afectados.
- Las posibles consecuencias de la violación.
- Las medidas adoptadas o previstas para contener y mitigar la violación.
- Los datos de contacto para obtener información adicional o coordinar acciones.
Cuando así lo exija la normativa aplicable, Prometeo cooperará con el Responsable del Tratamiento para notificar a la autoridad de control competente y a los Titulares de los Datos afectados.
Obligaciones del Cliente como Responsable del Tratamiento
El Cliente, en su calidad de Responsable del Tratamiento, será el único responsable de las siguientes obligaciones:
Base legal para el tratamiento
Garantizar que todos los datos personales proporcionados a Prometeo se procesan sobre una base legal válida, de conformidad con las leyes de protección de datos aplicables. El Cliente deberá ser capaz de demostrar esta base previa solicitud.
Instrucciones al Encargado del Tratamiento
Proporcionar a Prometeo instrucciones claras, lícitas y documentadas sobre el tratamiento de datos personales. Las instrucciones deberán incluir:
- La finalidad y el alcance del tratamiento.
- La duración del encargo de tratamiento.
- La naturaleza y las categorías de los datos personales.
- Las categorías de los Titulares de los Datos.
- Las obligaciones y derechos específicos del Cliente que Prometeo deberá respaldar.
Obligaciones de información y transparencia
Informar a los Titulares de los Datos, de forma clara y lícita, sobre el tratamiento de sus datos personales, en cumplimiento de las obligaciones de transparencia establecidas por la normativa aplicable.
Derechos de los Titulares de los Datos
Implementar procedimientos y canales adecuados que permitan a los Titulares de los Datos ejercer sus derechos. Informar a Prometeo sobre cualquier solicitud relacionada con datos que este trate, y proporcionar las instrucciones necesarias para su atención.
Monitoreo y supervisión
Supervisar activamente el cumplimiento por parte de Prometeo de este DPA y de la normativa aplicable. Esto incluye el derecho a realizar auditorías o designar un auditor independiente, previa notificación con antelación razonable.
Notificación de violaciones de datos personales
En caso de una violación de la seguridad de los datos personales, el Cliente será responsable de evaluar si corresponde realizar una notificación y, en caso afirmativo, notificar a la autoridad de control competente y a los Titulares de los Datos afectados. Prometeo prestará el apoyo necesario en dicho proceso.
Evaluaciones de impacto y DPO
Cuando así lo requiera la normativa aplicable, el Cliente deberá realizar evaluaciones de impacto en protección de datos y designar un Delegado de Protección de Datos (DPO).
Efectos de la finalización del servicio
Una vez finalizados los servicios, Prometeo deberá devolver al Cliente todos los datos personales, así como cualquier documento o soporte que los contenga, incluidas todas sus copias.
Una vez devueltos los datos, Prometeo procederá a su supresión definitiva, salvo que su conservación sea requerida por la normativa aplicable.
Si la normativa aplicable exige su conservación, Prometeo deberá:
- Almacenar los datos de forma segura;
- Bloquear cualquier tratamiento posterior; y
- Utilizarlos exclusivamente para el cumplimiento de la obligación legal correspondiente.
Las obligaciones de confidencialidad previstas en este DPA permanecerán vigentes incluso después de la finalización de los servicios.
Responsabilidad y jurisdicción aplicable
Responsabilidad legal
Indemnización
Responsabilidad del Controlador
Ley gobernante
Jurisdicción
Cada parte será responsable de las multas, daños o pérdidas resultantes del incumplimiento de sus obligaciones en virtud de las leyes de protección de datos aplicables.
Cada una de las partes se compromete a indemnizar y a mantener en paz y a salvo a la otra parte de cualquier reclamación, penalización, pérdida o procedimiento derivado del incumplimiento por su parte de las obligaciones aplicables en materia de protección de datos.
El Cliente reconoce expresamente que Prometeo no será responsable de las infracciones que recaigan bajo la responsabilidad del Cliente como Controlador de Datos, ya sea que dichas obligaciones se establezcan expresamente en este DPA o se deriven de las leyes de protección de datos aplicables.
Este DPA se regirá por las leyes del país en el que esté establecido el Controlador del Tratamiento.
Cualquier controversia que surja o se relacione con el tratamiento de datos personales en el marco de este DPA se someterá a la jurisdicción exclusiva de los tribunales del país en el que esté establecido el Responsable del Tratamiento.