Acuerdo de Procesamiento de Datos Personales
Pomelo proporciona servicios de infraestructura tecnológica y/o servicios financieros para que sus clientes puedan ofertar servicios financieros de diversa índole a sus usuarios finales.
El Cliente, en virtud de la prestación de los servicios mencionados, es quien determina las finalidades y medios para el procesamiento de los datos personales de los usuarios finales, revistiendo en consecuencia el carácter de controlador / responsable de datos personales bajo las normas de protección de datos personales aplicables.
Pomelo en cambio, sigue las instrucciones impartidas por el Cliente para el tratamiento de datos personales de usuarios finales, revistiendo entonces el carácter de procesador / encargado de datos personales bajo las normas de protección de datos personales aplicables.
En virtud de la prestación de servicios mencionada, resulta necesario establecer un acuerdo que regule las obligaciones y responsabilidades de cada Parte en relación con la protección de datos personales de conformidad con las regulaciones en protección de datos personales aplicables.
Las Partes acuerdan lo siguiente:
Definiciones
a) Datos Personales: se refiere a cualquier información relacionada con una persona natural identificada o identificable que sea recopilada o procesada en virtud de los servicios prestados por Pomelo.
b) Contrato: es el acuerdo suscripto por las Partes, del cual el presente Acuerdo de Procesamiento de Datos Personales, es parte como Anexo al mismo.
c) Controlador / Responsable: hace referencia al Cliente, quien determina los fines y medios del procesamiento de datos personales.
d) Procesador / Encargado: se refiere a Pomelo, que procesa los datos personales en nombre del Controlador de acuerdo con sus instrucciones.
Procesamiento de Datos.
a) Objeto: El objeto del procesesamiento de datos bajo este Acuerdo de Procesamiento de Datos Personales (el “Acuerdo”) es la información personal y transaccional de los usuarios finales del Cliente.
b) Duración: La duración del procesamiento de datos bajo este Acuerdo será determinada por el Cliente.
c) Finalidad: La finalidad del procesamiento de datos bajo este Acuerdo es la definida en el Contrato.
d) Naturaleza del procesamiento: Recepción, procesamiento, tratamiento y almacenamiento de datos de conformidad con lo dispuesto en la documentación contractual con el Cliente.
e) Tipos de datos personales procesados: El procesamiento puede incluir alguna/s de la/s siguiente/s categorías de datos personales i) nombre y apellido, ii) dirección, iii) código postal, iv) correo electrónico, v) documento de identidad, vi) número de identificación tributaria, vii) fotografías, viii) datos de tarjetas de crédito, ix) información transaccional del usuario, x) fecha de nacimiento, xi) teléfono, xii) género.
f) Categorías de titulares de datos: Los titulares de datos pueden ser clientes y/o usuarios finales del Cliente de Pomelo.
Obligaciones del Controlador / Responsable
a) El Cliente se compromete a cumplir con todas las obligaciones establecidas en la/s ley/es de protección de datos personales aplicables, asumiendo las responsabilidades de un controlador / responsable de datos personales. En dicha calidad, el Cliente autoriza a Pomelo a acceder, utilizar, tratar y compartir con sus sub-contratistas los datos personales sobre los que el Cliente es responsable / controlador, de conformidad con las finalidades de tratamiento definidas en el Contrato.
b) El Cliente será responsable de obtener los consentimientos necesarios de los titulares de los datos para el procesamiento de los mismos. En dicha oportunidad, deberá hacer saber a los titulares de datos personales la participación de Pomelo en el procesamiento de sus datos, así como también las condiciones y formas en las que Pomelo llevará a cabo dicho procesamiento.
c) El Cliente garantizará que los datos personales proporcionados a Pomelo sean precisos, actualizados y completos.
d) El Cliente notificará a Pomelo de inmediato en caso de cualquier solicitud, consulta o reclamo relacionado con los datos personales recopilados y procesados en virtud de los servicios prestados por Pomelo.
e) El Cliente implementará medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra la pérdida, el acceso no autorizado, la divulgación, la alteración o la destrucción, de acuerdo con estándares de seguridad de la información reconocidos por la industria.
Obligaciones del Procesador
a) Pomelo procesará, tratará y almacenará los datos personales de conformidad con las finalidades de tratamiento determinadas en el Contrato. Pomelo deberá abstenerse de tratar los datos personales para finalidades distintas a las determinadas por el Cliente.
b) Pomelo implementará medidas técnicas y organizativas apropiadas para proteger los datos personales contra el acceso no autorizado, la divulgación, la alteración o la destrucción.
c) Pomelo proporcionará al Cliente toda la asistencia razonablemente necesaria para que el Cliente cumpla con sus obligaciones como controlador / responsable de datos personales.
d) Pomelo notificará al Cliente de inmediato en caso de cualquier solicitud, consulta o reclamo relacionado con los datos personales recopilados y procesados en virtud de los servicios prestados por Pomelo, siempre y cuando no exista obligación legal que le impida dicha notificación.
Seguridad de los Datos Personales
a) Pomelo y el Cliente implementarán medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra la pérdida, el acceso no autorizado, la divulgación, la alteración o la destrucción, de acuerdo con estándares de seguridad de la información reconocidos por la industria.
b) Pomelo realizará evaluaciones periódicas de riesgos y auditorías de seguridad para garantizar la eficacia de las medidas de seguridad implementadas.
c) Pomelo notificará al Cliente de inmediato en caso de cualquier brecha de seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos personales, y cooperará con el Cliente en la gestión de dicha brecha.
Subprocesadores
a) Pomelo puede involucrar a subprocesadores para el procesamiento de datos personales en nombre del Cliente con el objeto de proveer los servicios contratados. En este caso, Pomelo garantizará que dichos subprocesadores cumplan con las medidas de seguridad y protección de datos requeridas en este Acuerdo y en las leyes de protección de datos personales aplicables al caso.
b) Pomelo será responsable de la conducta y el cumplimiento de sus subprocesadores en relación con la protección de datos personales.
c) El Cliente autoriza expresamente a Pomelo a compartir los datos personales con los proveedores y/o subcontratistas que resulten necesarios a fin de lograr la correcta prestación de servicios contratada por el Cliente siempre y cuando Pomelo cumpla con las obligaciones y requisitos señalados a lo largo de esta sección.
Transferencia Internacional de Datos
a) La infraestructura digital de Pomelo se encuentra alojada en servicios de nube que pueden estar distribuidos en distintos puntos del globo.. Por ende, durante la provisión de los servicios de Pomelo, se realizarán transferencias internacionales de datos personales. Pomelo garantizará al Cliente en todo momento que estas transferencias de datos cumplan los requisitos legales para dicha transferencia, incluyendo la adopción de las cláusulas contractuales estándar y/o el cumplimiento de otros mecanismos de transferencia legalmente reconocidos.
b) El Cliente otorga su consentimiento para la transferencia internacional de datos personales de acuerdo con las disposiciones del presente acuerdo.
Confidencialidad y Propiedad de los Datos
a) Pomelo mantendrá la confidencialidad de los datos personales procesados en virtud de los servicios prestados, y solo los divulgará en la medida en que sea necesario para cumplir con los servicios contratados por el Cliente, obligaciones legales, buenas prácticas y estándares de seguridad y/o las instrucciones documentadas del Cliente.
b) Los datos personales procesados y almacenados por Pomelo son y seguirán siendo propiedad exclusiva del Cliente.
Retención de Datos Personales
a) Una vez finalizada la vinculación comercial entre Pomelo y el Cliente, Pomelo procederá a la devolución y/o destrucción de los datos personales procesados en su calidad de encargado / procesador. Esto así, salvo que exista alguna obligación legal que obligue a Pomelo a retener los datos personales por un período mayor. Mientras Pomelo tenga en su poder datos personales de usuarios finales del Cliente, subsistirán las obligaciones de confidencialidad acordadas.
b) La destrucción de los datos personales deberá realizarse utilizando mecanismos seguros de borrado de datos para que los mismos sean irrecuperables. Una vez eliminados los datos personales en forma segura, Pomelo deberá entregar un certificado al Cliente en el cual conste que se ha realizado en debida forma la supresión de los datos personales.
Duración y Terminación
a) El presente Acuerdo entrará en vigor en la fecha de su firma y continuará en vigencia mientras dure la relación controlador-procesador de datos entre las Partes.
Ley Aplicable y Jurisdicción
a) El presente acuerdo se regirá e interpretará de acuerdo con las leyes establecidas en el Contrato.
b) Cualquier controversia derivada del presente acuerdo será sometida a la jurisdicción establecida en el Contrato.
Este Acuerdo es parte integral del Contrato entre Pomelo y el Cliente, y tiene la intención de establecer las responsabilidades y requisitos específicos en relación con la protección de datos personales de conformidad con las leyes de protección de datos personales que resulten de aplicación.
Ambas Partes acuerdan cumplir con las disposiciones establecidas en este acuerdo y cooperar de buena fe para garantizar el cumplimiento de las obligaciones de protección de datos personales.
