ACUERDO DE TRATAMIENTO DE DATOS PARA SERVICIOS ALOJADOS O EN LAS INSTALACIONES

El presente Acuerdo de Tratamiento de Datos (“ATD”) forma parte del acuerdo comercial para la prestación de servicios alojados o en las instalaciones (“Servicios”) (el “Acuerdo”) celebrado por el Cliente (como se define en el Acuerdo), por una parte, y la entidad de Visa correspondiente que ha celebrado el Acuerdo (“Visa”), por otra parte.

Este ATD forma parte del Acuerdo conforme al cual Visa y sus Afiliadas Tratan Información Personal en nombre del Cliente en relación con los Servicios.

En el presente documento se puede hacer referencia a tanto Visa como el Cliente como una “Parte” y en conjunto como las “Partes”.

A. DEFINICIONES

1. A los efectos del presente ATD, aplicarán las siguientes definiciones:

“Decisión de Adecuación” significa una decisión adoptada por una autoridad competente con jurisdicción sobre la Transferencia que declara que una jurisdicción cumple un nivel adecuado de protección de Información Personal.

“Afiliadas” significa, en relación con una Parte, cualquier entidad que (directa o indirectamente) controla, está controlada por y/o está bajo control común con esa Parte. A efectos de esta definición, "control" significa la propiedad o el control de más del 50 % de los activos o participaciones con derecho a voto de la entidad.

“Leyes Aplicables de Protección de Datos” significa cualquier ley o regulación relacionada con la protección de datos, la privacidad y/o el Tratamiento de Información Personal, en la medida en que sea aplicable con respecto a las obligaciones de una parte conforme al Acuerdo y a este ATD.Con fines ilustrativos solamente, las “Leyes Aplicables de Protección de Datos” incluyen, entre otras, y en la medida en que sea aplicable, el Reglamento General de Protección de Datos \[Regulación (UE) 2016/679] (el “RGPD”), las Leyes de Protección de Datos del Reino Unido, la Ley Gramm-Leach-Bliley (“GLBA”), la Ley de Privacidad del Consumidor de California del 2018, Código Civil de California § 1798.100 et seq. modificado por la Ley de Derechos de Privacidad de California (“CCPA”), Ley de Protección de Información Personal y Documentos Electrónicos, S.C. 2000 c.5 (“PIPEDA”), Leyes de PD de Suiza, Ley de Privacidad de Australia del 1988 (incluyendo los Principios de Privacidad de Australia), Ley de Protección de Datos Personales de Singapur del 2012, Ley de Japón sobre la Protección de Información Personal, Ley de Protección de Información Personal de Corea, Ley de Protección de Información Personal de la República Popular China, Ley de Protección de Información Personal de Sudáfrica, Ordenanza de Privacidad de Datos Personales de Hong Kong (PDPO), Ley de Privacidad de Nueva Zelanda del 2020, Ley de Privacidad de Datos de Filipinas, LPD de Argentina, LGPD, LPD de Colombia, LPD de Peru, LOPDP, LPD de Uruguay , y toda regulación asociada o cualquier otra legislación o regulación que trasponga, reemplace o se considere sustancialmente similar a las anteriores.

"LPD de Argentina" se refiere a la Ley Nº 25.326 y sus reglamentos subsidiarios y otra legislación de protección de datos o privacidad vigente de vez en cuando en Argentina.

"LGPD" se refiere a la Ley de Protección de Datos de Brasil (Ley n.º 13.709/2018, la "LGPD"), sus reglamentos subsidiarios y otras leyes o regulaciones de protección de datos o privacidad vigentes de vez en cuando en Brasil, incluida cualquier regulación publicada por la Autoridad Brasileña de Protección de Datos.

"LDP de Colombia" significa la Ley 1581 de 2012; Decreto 1074 de 2015; Capítulo V de la Circular Única de la SIC; Decreto 090 de 2018; y toda la demás normativa relativa a la protección de datos en Colombia.

“LOPDP”: se refiere a la Ley Orgánica de Protección de Personales de Ecuador, el Decreto 904 of 11/2023 (Regulation) y sus reglamentos subsidiarios y otra legislación de protección de datos o privacidad vigente de vez en cuando en Ecuador.

CTT de la UE" significa las Cláusulas Contractuales Tipo de la UE (Módulo 1: Transferencia de Responsable a Responsable y Módulo 2: Transferencia de Responsable a Encargado, según corresponda) (UE 2021/914), disponibles en / eur-lex.europa.eu/legal-content e incorporadas a este ATD por referencia, incluidos los Anexos I y II adjuntos incluidos en el Apéndice 5 de este ATD.

“CCT de la RIPD " significa las Cláusulas Contractuales Modelo emitidas por la Red Iberoamericana de Protección de Datos, que han sido aprobadas por la Autoridad de Protección de Datos de Argentina a través de la Resolución 198/2023, por la Autoridad de Protección de Datos del Perú a través de la Resolución Directoral N.° 0074-2022-JUS/DGTAIPD y la Agencia de Protección de Datos de Uruguay a través de la Resolución N° 50/022 URCDP disponibles en anexo-modelos-clausulas-contractuales-es.pdf e incorporadas a este ATD por referencia, incluidos los Anexos I y II adjuntos incluidos en el Apéndice 5 de este ATD.

"CCT de Brasil" significa las Cláusulas Contractuales Estándar aprobadas por la Autoridad Brasileña de Protección de Datos (ANPD) a través de la Resolución CD/ANPD No. 19 del 23 de agosto de 2024 disponibles en regulation-on-international-transfer-of-personal-data.pdf a e incorporadas a este ATD.

“Información Personal” significa todo dato o información, en cualquier forma o formato, que identifica, se relaciona con, describe, puede asociarse o podría razonablemente vincularse, directa o indirectamente, con un consumidor o individuo en particular (“Interesado”) o que está regulado como “dato personal”, “información personal”, o de otra manera bajo las Leyes Aplicables de Protección de Datos.Para evitar dudas, esto incluye cualquier información relacionada con un Interesado según se define en el Acuerdo y según se describe en el Apéndice 3 de este ATD.

"LPD del Perú" se refiere a la Ley de Protección de Datos Personales del Perú N° 29733, (actualizada, enmendada y reemplazada de vez en cuando), incluidas todas las regulaciones o instrumentos de implementación y asociados.

“Tratar” o “Tratado(a)/s” o “Tratamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Información Personal, ya sea por medios automáticos o no, tales como acceso, recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, divulgación o de otra manera poner a disposición, duplicación, transmisión, combinación, bloqueo, redacción, borrado o destrucción.

“Violación de Seguridad” significa una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, Información Personal de manera accidental o ilegal.Una Violación de Seguridad incluye una “violación de datos personales” (como se define en el RGPD), una “violación de la seguridad de un sistema”, una “violación de las protecciones de seguridad” (como se define en la Ley PIPEDA) o un término similar (como se define en cualquier otra ley de privacidad aplicable).

“Leyes de PD de Suiza” significa la Ley Federal de Protección de Datos del 25 de septiembre del 2020 (y sus modificaciones, enmiendas y reemplazos que se realicen de vez en cuando), incluyendo todas las ordenanzas de implementación.

“Transferencia” significa transmitir o de otro modo poner a disposición la Información Personal del Cliente a través de las fronteras nacionales en circunstancias que están restringidas por las Leyes Aplicables de Protección de Datos.

"Leyes de Protección de Datos del Reino Unido" significa el RGPD del Reino Unido como se define en la sección 3(10) y en la sección 205(4) de la Ley de Protección de Datos del 2018 ("RGPD del Reino Unido"), junto con la Ley de Protección de Datos del 2018 y otras leyes de protección de datos o privacidad vigentes de vez en cuando en el Reino Unido.

En este APD, en circunstancias en las que y únicamente en la medida en que sea aplicable el RGPD del Reino Unido, las referencias al RGPD y a sus disposiciones se interpretarán como referencias al RGPD del Reino Unido y a sus disposiciones correspondientes.

“Adenda de las CCT del Reino Unido” significa la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE, Versión B1.0, en vigor a partir del 21 de marzo del 2022, incluyendo la Parte 2 “Cláusulas Obligatorias”.

"LPD de Uruguay" significa la Ley de Protección de Datos N° 18.331 de 2008; 414 2009, 19.670 2018, Nº 64 2020 (actualizados, modificados y reemplazados de vez en cuando), incluidos todos los reglamentos o instrumentos de implementación y asociados.

2. A menos que se defina lo contrario en el Acuerdo o en este ATD, todos los términos de este ATD tendrán las definiciones que se les dan en las Leyes Aplicables de Protección de Datos y los términos “responsable” y “encargado” incluirán cualquier término equivalente o análogo en otras Leyes Aplicables de Protección de Datos tales como “negocio” y “proveedor de servicios”.

B. TRATAMIENTO DE INFORMACIÓN PERSONAL DEL CLIENTE

1. Designación.Las partes reconocen y aceptan que, con respecto a la Información Personal que Visa Trata en nombre del Cliente (“Información Personal del Cliente”) para prestar los Servicios, Visa es un “encargado” y el Cliente es un “responsable”. El objeto, la duración y el propósito del tratamiento, incluyendo el tipo de Información Personal involucrada y las categorías de Interesado se establecen en el Apéndice 3 de este ATD.

2. No obstante lo anterior, el Cliente reconoce que Visa puede realizar ciertas actividades de Tratamiento de Información Personal del Cliente en su calidad de responsable independiente a los efectos de cumplir con sus propias obligaciones legales, incluyendo en relación con el control de sanciones y los controles Contra el Lavado de Dinero/Contra el Financiamiento del Terrorismo (AML/ATF).

3. Autorización para el Tratamiento. Visa Tratará la Información Personal del Cliente para prestar los Servicios, y el Cliente autoriza a Visa a Tratar la Información Personal del Cliente únicamente en relación con las siguientes actividades:

1. de conformidad con el Acuerdo y cualquier otro acuerdo aplicable, incluyendo, entre otros, cualquier documento, apéndice y tabla de precios aplicable, para prestar los Servicios y cualquier Tratamiento requerido conforme a las leyes o regulaciones aplicables;
2. la transferencia de Información Personal del Cliente a bancos, operadores de billeteras, agregadores de billeteras y/o redes de compensación ulteriores para completar una transacción de pago; y
3. según sea razonablemente necesario para permitir que Visa cumpla con cualquier otra indicación o instrucción proporcionada por el Cliente.
4. El Cliente reconoce que Visa puede Tratar datos del Cliente (incluyendo Información Personal del Cliente) por su propia cuenta, como un responsable cuando corresponda, para los fines y de la manera descritos en el Aviso de Privacidad Global de Visa, incluyendo para generar conjuntos de datos desidentificados, anonimizados o agregados, o para otros fines siempre que dicho tratamiento sea relevante y no incompatible con la prestación, seguridad y mejora de los Servicios y otros servicios relacionados ofrecidos por Visa y sus Afiliadas. www.visa.co.uk/legal/global-privacy-notice.html

4. Cumplimiento de la Ley. Visa, en su prestación de Servicios al Cliente, y el Cliente, en su uso de los Servicios, Tratarán la Información Personal del Cliente de conformidad con las Leyes Aplicables de Protección de Datos. En la medida necesaria para permitir que cada parte cumpla con sus obligaciones conforme a las Leyes Aplicables de Protección de Datos, cada parte acepta además cumplir con todas las disposiciones requeridas del Apéndice 1 (Ley de Privacidad del Consumidor de California) y/o Apéndice 2 (Reglamento General de Protección de Datos) de este ATD, cada una, en la medida que corresponda.

5. Aviso de Privacidad. El Cliente proporcionará o procurará que sus clientes proporcionen a los Titulares de Datos todos los avisos de privacidad, información y cualquier opción necesaria y obtendrá todos los consentimientos necesarios para permitir que Visa cumpla con las Leyes Aplicables de Protección de Datos y Trate la Información Personal del Cliente para los fines previstos en este ATD.

6. Derechos del Interesado. En la medida en que lo permita la ley, Visa proporcionará asistencia razonable al Cliente para responder a las solicitudes de los Titulares de Datos de ejercer sus derechos conforme a las Leyes Aplicables de Protección de Datos (por ejemplo, derechos a acceder o eliminar Información Personal) de una manera que sea coherente con la naturaleza y funcionalidad de los Servicios.Cuando Visa reciba alguna solicitud de este tipo, informará al Interesado que el Cliente es responsable de gestionar dichas solicitudes por parte de un Interesado de conformidad con las Leyes Aplicables de Protección de Datos.

7. Interacción con Subencargados. Visa se asegurará de que cuando se interactúe con otro encargado (un “Subencargado”) para fines de realizar actividades de Tratamiento específicas en nombre del Cliente, haya un acuerdo por escrito entre Visa y el Subencargado correspondiente que proporcione, en esencia, el mismo nivel de protección para la Información Personal del Cliente que se establece en este ATD.

8. Demostrar el Cumplimiento de este ATD. Visa pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones conforme a este ATD y permitirá (y contribuirá a) auditorías (hasta una vez al año, excepto en caso de una Violación de Seguridad real que afecte a la Información Personal del Cliente, donde aplicará la Cláusula 14), incluyendo inspecciones realizadas por el Cliente u otro auditor bajo la instrucción del Cliente con el mismo fin de demostrar el cumplimiento de las obligaciones establecidas en este ATD siempre que:

1. el Cliente da aviso razonable a Visa con anterioridad a cualquier auditoría (donde lo permitan las leyes o regulaciones);
2. la auditoría se llevará a cabo de la manera que cause la menor interrupción posible a las operaciones del Encargado (incluso en lo que respecta a la duración de la auditoría, y la cantidad y antigüedad del personal del Encargado requerido para participar en la auditoría); y
3. el Cliente y su auditor externo están sujetos a las obligaciones de confidencialidad y a las políticas del Encargado correspondientes.

Al reconocer el tiempo, los gastos y la perturbación de las operaciones relacionados con la realización de auditorías e inspecciones que implican entrevistas y visitas a las instalaciones, el Cliente acepta solamente realizar dichas auditorías e inspecciones con la condición de que el Cliente pueda demostrar que dicha auditoría o inspección es necesaria más allá de la información puesta a disposición por Visa en virtud de esta sección.

Por ejemplo, en la medida en que Visa pueda demostrar el cumplimiento de sus obligaciones establecidas en este ATD al adherirse a un código de conducta aprobado, al obtener una certificación aprobada o al proporcionar al Cliente un informe de auditoría emitido por un auditor tercero independiente (siempre que el Cliente cumpla con las obligaciones de confidencialidad correspondientes establecidas en este ATD y el Acuerdo y no use dicho informe de auditoría para ningún otro fin), el Cliente acepta que no realizará una auditoría ni inspección conforme a esta sección.

9. Transferencia Transfronteriza. Visa solamente transferirá toda Información Personal del Cliente fuera de la jurisdicción aplicable del Cliente, incluyendo, entre otros, fuera del Espacio Económico Europeo (“EEE”), el Reino Unido o Suiza, Argentina, Brazil, Colombia, Ecuador, Peru, Uruguay y otros países de LAC, en cumplimiento de las Leyes Aplicables de Protección de Datos. El Cliente acepta y reconoce que Visa Transfiere y almacena cierta Información Personal del Cliente (incluyendo información relacionada con personas ubicadas en el EEE, Suiza y/o el Reino Unido) Argentina, Brazil, Colombia, Ecuador, Peru, Uruguay y otros países de LAC en Estados Unidos. Cuando así lo exijan las Leyes Aplicables de Protección de Datos, el Cliente acepta aplicar las protecciones, medidas o mecanismos apropiados, ejecutar cualquier notificación, obtener aprobación regulatoria y/o completar cualquier revisión necesaria para permitir las Transferencias por parte de Visa y/o sus Subencargados conforme a este ATD.

1. Las CCT de la UE aplicarán a cualquier Transferencia de Información Personal del Cliente a Visa que esté sujeta al RGPD (o que haya estado sujeta al RGPD antes de su Transferencia a Visa) y que no esté sujeta de otra manera a una Decisión de Adecuación.Las Partes aceptan que las CCT de la UE se completan e incorporan por referencia a este ATD de la siguiente manera:
   1. Cuando Visa actúe como responsable de conformidad con la Sección B de este ATD, aplicará el Módulo 1 de las CCT de la UE (Responsable a Responsable).
   2. Cuando Visa actúe como encargado conforme a este ATD, aplicará el Módulo 2 de las CCT de la UE (Responsable a Encargado).
   3. Se mantiene la Cláusula 7 (Cláusula de Incorporación).
   4. A efectos del Módulo 2 de las CCT de la UE, en la Cláusula 9, las Partes aceptan que la Opción 2 (Autorización General por Escrito) aplicará de conformidad con la Cláusula 9 y la Cláusula 1.2 del Apéndice 2 de este ATD.
   5. No aplicará la disposición opcional de la Cláusula 11(a) de las CCT de la UE.
   6. En la Cláusula 17, las CCT de la UE se regirán por las leyes de Irlanda.
   7. En la Cláusula 18, toda controversia que surja de las CCT de la UE será resuelta por los tribunales de Irlanda que tengan jurisdicción para controversias que surjan en las CCT de la UE.
   8. A los efectos del Anexo I.C. de las CCT de la UE, las Partes aceptan que la Comisión de Protección de Datos Irlandesa es la Autoridad de Supervisión competente para las Transferencias de Información Personal sujetas al RGPD.
   9. Los Anexos I y II de las CCT de la UE figuran en el Apéndice 5 del presente ATD.
2. Las CCT de la UE, tal como se modifican en esta cláusula, aplicarán a cualquier Transferencia de Información Personal del Cliente a Visa que esté sujeta a las Leyes de PD de Suiza (o que haya estado sujeta a las Leyes de PD de Suiza antes de su Transferencia a Visa) y que no esté sujeta de otra manera a una Decisión de Adecuación:
   1. El término “Estado Miembro de la UE” no debe interpretarse de tal manera que excluya a los Titulares de Datos en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c).
   2. Las referencias al RGPD deben entenderse como referencias a las Leyes de PD de Suiza.
   3. En la Cláusula 17, las CCT de la UE se regirán por las leyes de Suiza.
   4. En el Anexo I.C., el Comisionado Federal Suizo de Protección de Datos e Información es la Autoridad de Supervisión competente.
3. La Adenda de las CCT del Reino Unido, tal como se incorpora por referencia en este ATD, aplicará a cualquier Transferencia de Información Personal del Cliente a Visa que esté sujeta al RGPD del Reino Unido (o que haya estado sujeto al RGPD del Reino Unido antes de su Transferencia a Visa) y que no esté sujeta de otra manera a una Decisión de Adecuación.En tales casos, las Partes aceptan lo siguiente:
   1. La Adenda de las CCT del Reino Unido, incluyendo la Parte 2, "Cláusulas Obligatorias", se incorpora al presente documento por referencia y aplicará en su totalidad;
   2. En la Tabla 1 de la Adenda de las CCT del Reino Unido, los nombres de las Partes, sus funciones y sus detalles se indicarán en el Anexo I, Apéndice 5, del presente ATD;
   3. En las Tablas 2 y 3 de la Adenda de las CCT del Reino Unido, aplicará la versión de las CCT de la UE incorporadas en la Cláusula I.1 del presente ATD, incluida la información que figura en los Anexos de las CCT de la UE; y
   4. En la Tabla 4 de la Adenda de las CCT del Reino Unido, ninguna de las Partes puede dar por terminada la Adenda de las CCT del Reino Unido.
4. Las CCT de la RIPD  aplicarán a cualquier Transferencia de Información Personal del Cliente a Visa que esté sujeta a la LPD de Argentina la LPD de, Colombia, la LPD de Peru, LOPDP, la LPD de Uruguay u otra Ley de Protección de Datos Aplicable en Latinoamerica en la medida en que la misma apruebe el uso de las CCT de la RIPD  (o que haya estado sujeta a las mismas antes de su Transferencia a Visa) y que no esté sujeta de otra manera a una Decisión de Adecuación.
   1. Las Partes aceptan que las CCT de la RIPD  se completan e incorporan por referencia a este ATD de la siguiente manera:
   2. Cuando Visa actúe como responsable de conformidad con la Sección B de este ATD, aplicará el Módulo Responsable a Responsable de las CCT de la RIPD .
   3. Cuando Visa actúe como encargado conforme a este ATD, aplicará el Módulo Responsable a Encargado de las CCT de la RIPD.
   4. Se mantiene la Cláusula 5 (Cláusula de Incorporación).
   5. A efectos del Módulo Responsable a Encargado, en la Cláusula 9 de las CCT de la RIPD , las Partes aceptan que la Opción 2 (Autorización General por Escrito) aplicará de conformidad con la Cláusula 9 y la Cláusula 1.2 del Apéndice 2 de este ATD.
   6. No aplicará la disposición opcional de la Cláusula 8(a) de las CCT de la RIPD
   7. La identificación de las Partes y los Anexos B y C de las CCT de la RIPD  figuran en el Apéndice 5 del presente ATD.
5. Las CCT de Brasil se aplicarán a cualquier Transferencia de Información Personal del Cliente a Visa que esté sujeta a LGPD (o que estuviera sujeta a la misma antes de su Transferencia a Visa) y que no esté sujeta a una Decisión de Adecuación.
   1. Las Partes aceptan que las CCT de Brasil se completan e incorporan por referencia a este ATD de la siguiente manera:
   2. Cuando Visa actúe como responsable de conformidad con la Sección B de este ATD, aplicarán las Cláusula de Responsable a Responsable de las CCT de Brasil disponibles en esta página.
   3. Cuando Visa actúe como encargado conforme a este ATD, aplicarán las Cláusulas de Responsable a Encargado de las las CCT de Brasil disponibles en esta página.

10. Personal. Visa se asegurará de que las personas autorizadas a Tratar Información Personal del Cliente estén bajo una obligación apropiada de confidencialidad de conformidad con las leyes o regulaciones aplicables que las rigen.

11. Seguridad del Procesamiento. Visa cumplirá con el Apéndice 4 del Acuerdo (Adenda de Seguridad de Visa) al prestar los Servicios.Teniendo en cuenta los últimos avances, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo para los derechos y libertades de personas naturales, Visa implementará medidas físicas, técnicas y organizativas para garantizar un nivel de seguridad apropiado para dicho riesgo

Al evaluar el nivel adecuado de seguridad, Visa tendrá en cuenta, en particular, la sensibilidad de la Información Personal y los riesgos que presenta el Tratamiento, en particular por el Tratamiento no autorizado o ilegal, destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada de, o el acceso a Información Personal del Cliente transmitida, almacenada o Tratada de alguna otra manera.

Visa proporcionará asistencia razonable al Cliente para garantizar que el Cliente cumpla sus propias obligaciones de cumplimiento con respecto a estas mismas medidas de seguridad.

12. Violación de Seguridad.

1. En caso de una Violación de Seguridad real (definida anteriormente) que afecte la Información Personal del Cliente contenida en los sistemas de Visa, Visa (i) investigará las circunstancias, alcance y causas de la Violación de Seguridad e informará los resultados al Cliente cuando sea legalmente permisible y continuará manteniendo al Cliente informado periódicamente del progreso de la investigación de Visa hasta que Visa determine que el problema se ha resuelto eficazmente.
2. Visa notificará al Cliente sin demora injustificada cuando Visa se dé cuenta de una Violación de Seguridad real que afecte la Información Personal del Cliente, proporcionando al Cliente información suficiente y asistencia razonable para permitir que el Cliente cumpla con sus obligaciones conforme a las Leyes Aplicables de Protección de Datos para:
   1. notificar a una Autoridad de Supervisión (como se define en las Leyes Aplicables de Protección de Datos) acerca de la Violación de Seguridad; y (ii) comunicar la Violación de Seguridad a los Titulares de Datos relevantes.
3. El aviso o la respuesta de Visa a una Violación de Seguridad no constituirá un reconocimiento o la admisión por parte de Visa de alguna falta o responsabilidad con respecto a la Violación de Seguridad.
4. En la medida en que una Violación de Seguridad haya sido causada por el Cliente (incluyendo sus directivos, empleados, agentes, Afiliadas, socios comerciales, representantes y/o proveedores) o sus clientes, el Cliente será responsable de los costos derivados de la prestación de asistencia por parte de Visa conforme a este párrafo.

13. Eliminación y Retención. A elección del Cliente, Visa eliminará o devolverá toda la Información Personal del Cliente al rescindirse el Acuerdo y eliminará las copias existentes a menos y en la medida en que las leyes o regulaciones aplicables exijan su almacenamiento.

14. Responsabilidad del Cliente como Responsable. Con respecto a la función del Cliente como responsable con respecto a los Servicios, tiene que hacer todo lo siguiente:

1. asegurarse de cumplir plenamente con todas las Leyes Aplicables de Protección de Datos y regulaciones en lo que respecta a los Datos Personales que recopila, almacena, transfiere, o de otro modo Trata;
2. proporcionar a los Titulares de Datos la información previa correspondiente acerca del Tratamiento de Datos Personales que el Cliente y Visa tienen previsto;
3. proporcionar a Visa datos precisos respecto a los Titulares de Datos, incluyendo informar a Visa cuando es necesario corregir, actualizar o eliminar Información Personal;
4. asegurarse de que tiene una base legal para el tratamiento de cualquier Información Personal, incluyendo el tratamiento de cualquier Información Personal por parte de Visa;
5. notificar a Visa, tras haber sido contactado por una determinada autoridad regulatoria acerca de datos Tratados por Visa, a menos que las leyes o regulaciones aplicables prohíban dicha notificación.

C. DISPOSICIONES VARIAS

15. Todo aviso de rescisión de este ATD deberá hacerse por escrito y cumplir con los procedimientos de rescisión establecidos en el Acuerdo.

En cualquier caso, a menos que las Partes acuerden lo contrario por escrito, este ATD seguirá vigente hasta (i) el vencimiento o la rescisión del Acuerdo; y (ii) el cese del Tratamiento, por parte de Visa, de la Información Personal del Cliente en nombre del Cliente en relación con los Servicios, lo que ocurra último.

16. Los términos de este ATD solo aplicarán en la medida en que lo exijan las Leyes Aplicables de Protección de Datos. En la medida en que no sea incompatible con lo aquí dispuesto, las disposiciones aplicables del Acuerdo (incluyendo, entre otras, indemnizaciones, limitaciones de responsabilidad, cumplimiento e interpretación) aplicarán a este ATD.

En caso de cualquier conflicto entre este ATD y los términos del Acuerdo, los términos de este ATD regirán únicamente con respecto a los términos de tratamiento de datos cuando así lo exijan las Leyes Aplicables de Protección de Datos, y, en todos los demás aspectos, regirán los términos del Acuerdo. Sin perjuicio de cualquier término o condición de este ATD, este ATD no aplica a ningún dato o información que no sea Información Personal, que haya sido agregada, anonimizada o desidentificada de acuerdo con las Leyes Aplicables de Protección de Datos, o en la medida en que Visa y el Cliente hayan celebrado términos de tratamiento de datos por separado que abordan el objeto de este documento.

17. El Cliente acepta que Visa podrá, sin necesidad de obtener ningún otro consentimiento o notificar al Cliente, usar, distribuir, transferir o sublicenciar cualquier forma agregada, desidentificada o anonimizada de datos proporcionados en virtud de este ATD o del Acuerdo.

Sin perjuicio de cualquier término o condición de este ATD, este ATD no aplica a ningún dato o información que no esté relacionado con una o más personas vivas identificables conforme a las Leyes Aplicables de Protección de Datos.

Este Apéndice complementa el ATD para abordar ciertas disposiciones de la Ley de Privacidad del Consumidor de California del 2018 y sus regulaciones de implementación, según se enmienden o reemplacen de vez en cuando (Código Civil de California §§ 1798.100 a 1798.199) (en conjunto, la “CCPA”) y otras leyes estatales aplicables de privacidad del consumidor de EE. UU. (junto con la Ley CCPA, “Leyes Estatales de Privacidad del Consumidor”).

1. APLICACIÓN

1.1 Este Apéndice aplica además de cualquier término establecido en el cuerpo del ATD (y se incorpora al mismo) cuando las Leyes Estatales de Privacidad del Consumidor aplican al uso de los Servicios por parte del Cliente (los “Servicios”).

Sin perjuicio de cualquier otra disposición en sentido contrario, las partes aceptan que este Apéndice no aplica a ninguna información que sea recopilada, procesada, vendida o divulgada por las partes, sujeto a la Ley Gramm-Leach-Bliley (“GLBA”).

1.2 Los términos en mayúscula no definidos en el presente documento tienen el significado que se les asigna conforme al ATD o al Acuerdo o, si no se definen allí, en las Leyes Estatales de Privacidad del Consumidor, según corresponda.

1.3 En caso de algún conflicto entre este Apéndice y el Acuerdo o el ATD, este Apéndice regirá, en la medida necesaria para garantizar el cumplimiento de las Leyes Estatales de Privacidad del Consumidor.

2. FUNCIONES Y OBLIGACIONES CON RESPECTO A LA PRIVACIDAD DE DATOS

2.1 A los fines de este Apéndice, las Partes reconocen que, con respecto a la Información Personal que Visa trata en nombre del Cliente conforme al Acuerdo que no se trata conforme a la Ley GLBA (a) el Cliente actúa como un Negocio o Responsable dentro del significado proporcionado por las Leyes Estatales de Privacidad del Consumidor y este Apéndice; y (b) Visa actúa como Proveedor de Servicios o Encargado dentro de los significados proporcionados por las Leyes Estatales de Privacidad del Consumidor.

2.2 Cada Parte cumplirá sus obligaciones conforme a las Leyes Estatales de Privacidad del Consumidor con respecto a cualquier Información Personal Tratada en virtud de este Apéndice.

El Cliente reconoce y acepta específicamente que el uso que haga de los Servicios no violará los derechos de ningún Consumidor, incluidos los que hayan optado por no dar su consentimiento a la venta u otras divulgaciones de Información Personal, en la medida en que sean aplicables conforme a las Leyes Estatales de Privacidad del Consumidor.

3. OBLIGACIONES DE VISA

3.1 En su función como Encargado, Visa:

1. Protegerá y resguardará la Información Personal del Cliente de conformidad con las Leyes Estatales de Privacidad del Consumidor y proporcionará el mismo nivel de protección de privacidad que exigen dichas leyes;
2. Tratará la Información Personal del Cliente solamente para los fines comerciales específicos establecidos en el Acuerdo;
3. Excepto según lo permitan las Leyes Estatales de Privacidad del Consumidor, no venderá ni compartirá, dentro de los significados proporcionados por las Leyes Estatales de Privacidad del Consumidor, Información Personal del Cliente ni retendrá, usará ni divulgará Información Personal del Cliente (i) para ningún propósito que no sea necesario para cumplir los propósitos comerciales establecidos en el Acuerdo, incluyendo retener, usar o divulgar Información Personal del Cliente para un propósito comercial que no sea el propósito comercial establecido en el Acuerdo; o (ii) fuera de la relación comercial directa entre Visa y el Cliente;
4. No combinará la Información Personal del Cliente con la Información Personal que reciba de o en nombre de cualquier otra persona o entidad, ni que recopile de su propia interacción con un individuo, salvo que las Leyes Estatales de Privacidad del Consumidor permitan lo contrario;
5. Implementará procedimientos y prácticas de seguridad razonables, adecuados a la naturaleza de la Información Personal del Cliente, diseñados para proteger la Información Personal del Cliente contra el acceso, destrucción, uso, modificación o divulgación no autorizados o ilegales;
6. Notificará al Cliente de cualquier cambio importante en la capacidad de Visa para cumplir con sus obligaciones conforme a las Leyes Estatales de Privacidad del Consumidor, incluyendo, entre otros, cualquier determinación de que Visa ya no puede cumplir con sus obligaciones conforme a este Apéndice;
7. Celebrará acuerdos con cualquier subencargado utilizado para Tratar la Información Personal del Cliente que cumpla con las Leyes Estatales de Privacidad del Consumidor, incluyendo, entre otros, cualquier requisito contractual para Proveedores de Servicios y contratistas;
8. Ofrecerá una cooperación razonable al Cliente, a solicitud, para permitir que el Cliente cumpla con las solicitudes de consumidores hechas conforme a las Leyes Estatales de Privacidad del Consumidor;
9. Otorga al Cliente el derecho a tomar medidas razonables y adecuadas de conformidad con el Acuerdo para garantizar que Visa use la Información Personal del Cliente de una manera coherente con las obligaciones del Cliente conforme a las Leyes Estatales de Privacidad del Consumidor; y
10. Otorga al Cliente el derecho, previa notificación y de conformidad con el Acuerdo, a tomar medidas razonables y adecuadas para detener y remediar el uso no autorizado de la Información Personal del Cliente por parte de Visa.

Visa certifica que comprende sus obligaciones, incluidas las restricciones, que le imponen las Leyes Estatales de Privacidad del Consumidor con respecto a la Información Personal del Cliente y las cumplirá.

3.2  Sin perjuicio de lo anterior, Visa puede retener, usar o divulgar Información Personal del Cliente según lo permitido por las Leyes Estatales de Privacidad del Consumidor, incluyendo:

1. Para contratar y emplear a otro Proveedor de Servicios o contratista como subcontratista de conformidad con este Apéndice y cualquier otro término aplicable del Acuerdo cuando el subcontratista cumpla los requisitos para un Proveedor de Servicios, contratista o subcontratista conforme a las Leyes Estatales de Privacidad del Consumidor;
2. Para su uso interno a fin de crear o mejorar la calidad de los Servicios, siempre y cuando Visa no use la Información Personal del Cliente para prestar servicios en nombre de otra persona;
3. Para prevenir, detectar o investigar incidentes de seguridad de datos o proteger contra actividades maliciosas, engañosas, fraudulentas o ilegales;
4. Para cualquier otro fin expresamente contemplado o permitido por las Leyes Estatales de Privacidad del Consumidor u otras leyes aplicables.

Este Anexo del Reglamento General de Protección de Datos (RGPD) aplica además de cualquier término establecido en el cuerpo del ATD (y se incorpora al mismo) cuando (i) Visa Procesa Información Personal del Cliente en nombre del Cliente para prestar los Servicios; y (ii) el RGPD aplica al uso de los Servicios por parte del Cliente o en la medida en que las Leyes Aplicables de Protección de Datos (que no sean el RGPD) impongan un requisito comparable al descrito en este Anexo 2.Los términos en mayúscula no definidos en el presente documento tienen el significado que se les asigna conforme al ATD.En la medida en que haya algún conflicto entre este Apéndice del RGPD y el ATD, prevalecerá este Apéndice del RGPD. De acuerdo con el párrafo 3 de este ATD y a los fines de este Apéndice 2, el término "Encargado" se refiere a Visa.

1. Obligaciones Adicionales del Encargado

1.1 Tratamiento de Información Personal del Cliente.

El Encargado Tratará la Información Personal del Cliente conforme solamente a las instrucciones razonables documentadas del Cliente (incluyendo instrucciones con respecto a Transferencias de Información Personal del Cliente a un tercer país, si corresponde) a menos que las Leyes Aplicables de Protección de Datos exijan que el Encargado Trate de otro modo la Información Personal del Cliente. En tales circunstancias, el Encargado informará al Cliente de dicho requisito legal antes del Tratamiento, a menos que la ley aplicable lo prohíba, por razones importantes de interés público.

1.2 Uso de un Subencargado

1.2.1 El Encargado no contratará a ningún Subencargado sin la autorización por escrito específica o general del Cliente. De acuerdo con esta sección 1.2 de este Apéndice del RGPD, el Cliente proporciona autorización para que el Encargado se ponga en contacto con los Subencargados que se detallan en la lista de Subencargados del Encargado como se proporciona en el Apéndice 4 de este ATD.

1.2.2 Cuando el Encargado contrate a un Subencargado, el Encargado se asegurará de que se notifique al Cliente de dicha contratación.El Encargado proporcionará al Cliente un plazo razonable para que el Cliente objete razonablemente la contratación de dicho Subencargado y el Cliente acepta, y por el presente da su consentimiento para, que el Encargado contrate al Subencargado correspondiente cuando el Cliente no presente objeciones razonables dentro del plazo correspondiente.Si el Cliente objeta razonablemente la contratación de un Subencargado dentro del plazo correspondiente, el Encargado puede optar por una de las siguientes acciones:(i) decidir no usar el Subencargado para esa actividad de tratamiento; (ii) tomar las medidas correctivas comercialmente razonables solicitadas por el Cliente en su objeción (que eliminan la objeción del Cliente) y proceder a usar el Subencargado; o (iii) suspender o terminar la prestación de los servicios que requieren el uso del Subencargado.

2. Evaluaciones del Impacto en la Protección de Datos y Consulta Previa con el Ente Regulador

2.1 El Encargado informará inmediatamente al Cliente si, en opinión del Encargado, las instrucciones del Cliente infringirían las Leyes Aplicables de Protección de Datos. El Cliente acepta que el Encargado no tendrá obligación alguna de tomar medidas diseñadas para formar tal opinión.

2.2 El Encargado proporcionará asistencia razonable al Cliente con cualquier requisito legal de:(a) evaluaciones del impacto en la protección de datos; y (b) consultas previas iniciadas por el Cliente con su ente regulador en relación con dichas evaluaciones del impacto en la protección de datos. Dicha asistencia se limitará estrictamente al Tratamiento de Información Personal del

Cliente por parte del Encargado en nombre del Cliente conforme al Acuerdo, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado.

Duración:

La duración del Tratamiento es el período durante el cual Visa presta los Servicios al Cliente y cualquier período adicional requerido para cumplir las obligaciones contractuales de Visa con el Cliente o las leyes aplicables. Visa puede retener datos para fines de mantenimiento de archivos de acuerdo con las leyes aplicables y las políticas de administración de registros de Visa.

A. LISTA DE PARTES

Exportador(es) de datos: [Identidad y detalles de contacto del/de los exportador(es) de datos y, cuando corresponda, de su director de protección de datos y/o representante en la Unión Europea]

1. Nombre: Cliente

Dirección:Ver el Acuerdo

Nombre, cargo y detalles de contacto de la persona de contacto:

Actividades relevantes para los datos transferidos conforme a estas Cláusulas:

Recepción de Servicios conforme al Acuerdo

Función (responsable/encargado): Responsable

Firma y fecha:

Importador(es) de datos: [Identidad y datos de contacto del/de los importador(es) de datos, incluida cualquier persona de contacto responsable de la protección de datos]

1. Nombre: Visa

Dirección: Ver el Acuerdo

Contacto: [email protected]

Actividades relevantes para los datos transferidos conforme a estas Cláusulas: Prestación de Servicios en virtud del Acuerdo

Función (responsable/encargado): Encargado en cuanto a los Servicios prestados conforme al Acuerdo.

Firma y fecha:

B. DESCRIPCIÓN DE TRANSFERENCIA

Categorías de Titulares de Datos cuyos datos personales se transfieren

Los clientes del Cliente, lo que significa:

un cliente directo del Cliente o cualquier cliente posterior del cliente directo del Cliente al que el Cliente haya optado por enrutar los pagos realizados en nombre de su cliente a través de los Servicios

Categorías de datos personales transferidos

Nombres de clientes, direcciones de clientes, fechas de nacimiento de clientes, números de teléfono de clientes, tarjetas de clientes, transacciones y comportamiento de clientes, como se describe con más detalle en el esquema de datos aplicable para los Servicios

Datos sensibles transferidos (si corresponde) y restricciones o protecciones aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, una limitación estricta de los fines, restricciones de acceso (incluyendo acceso solamente para el personal que haya seguido una capacitación especializada), llevar un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

N/A

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

Continua.

Naturaleza del tratamiento

Recopilar, revisar, analizar, almacenar y tratar de otro modo Información Personal para prestar los Servicios como se describe en el Acuerdo.

Propósito(s) de la transferencia de datos y tratamiento adicional

Según sea necesario para la prestación de los Servicios que se describen en el Acuerdo.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar dicho período

El plazo del Acuerdo o según lo permitan las Leyes Aplicables de Protección de Datos y por un período a partir de entonces en el entorno de producción y en los entornos de respaldo a menos que la Información Personal se elimine antes de la rescisión o el vencimiento del Acuerdo de conformidad con las instrucciones del Cliente.

Para transferencias a (sub)encargados, también especifique el objeto, la naturaleza y la duración del tratamiento

Con el fin de prestar los Servicios al Cliente durante la vigencia del Acuerdo, a menos que la Información Personal se elimine antes de la rescisión o el vencimiento del Acuerdo de conformidad con las instrucciones del Cliente.

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS QUE INCLUYEN MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas implementadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento, así como los riesgos para los derechos y libertades de las personas naturales.
 

EU-527351
Confidencial
EU-527351