Contáctenos
Contáctenos
Última actualización: noviembre 27, 2025.

ACUERDO DE TRATAMIENTO DE DATOS

Este Acuerdo de Tratamiento de Datos (“ATD“) es un acuerdo entre usted y la entidad que usted representa (“Cliente“), por una parte, y la entidad contratante correspondiente de Pismo (“Pismo“), por la otra parte. El ATD forma parte del acuerdo para la prestación de servicios de procesamiento, bancarios, de pagos, emisión y gestión de tarjetas y/o servicios financieros relacionados (“Servicios“, “Acuerdo“). Pismo y el Cliente podrán ser referidos individualmente como “Parte” y, conjuntamente, como las “Partes”.

A. DEFINICIONES

A efectos del presente ATD, se aplicarán las siguientes definiciones:
“Leyes de Protección de Datos Aplicables” se refiere a cualquier ley o reglamento relativo al Tratamiento de Datos Personales, en la medida en que sea aplicable con respecto a las obligaciones de una de las partes en virtud del Acuerdo y del presente ATD. A efectos meramente ilustrativos, las “Leyes de Protección de Datos Aplicables” incluyen, sin limitación, y en la medida en que sean aplicables, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 (el “GDPR“), las Leyes de Protección de Datos del Reino Unido, la Ley Gramm-Leach-Bliley de 1999 y los reglamentos aplicables en virtud de la misma (conjuntamente, “GLBA“), la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Código § 1798.100 et seq. y sus reglamentos de aplicación, modificados o sustituidos de vez en cuando (colectivamente, “CCPA“), Personal Information Protection and Electronic Documents Act, S.C. 2000, c. 5 (“PIPEDA“), las leyes suizas de protección de datos personales, la Ley australiana de privacidad de 1988 (incluidos los Principios australianos de privacidad), la Ley de protección de datos personales de Singapur de 2012, la Ley japonesa de protección de datos personales, la Ley coreana de protección de datos personales, la Ley sudafricana de protección de datos personales, la Ordenanza de privacidad de datos personales de Hong Kong (“PDPO“), la Ley de privacidad de Nueva Zelanda de 2020, la Ley filipina de privacidad de datos, la Ley de Protección de Datos de Argentina, la Ley de Protección de Datos de Brasil y cualquier normativa asociada o cualquier otra legislación o normativa que transponga, sustituya o se considere sustancialmente similar a las anteriores.
“Leyes de Protección de Datos de Argentina” se refiere a la Ley N° 25.326 y sus reglamentaciones subsidiarias, así como cualquier otra legislación de protección de datos o privacidad vigente en Argentina.
“Leyes de Protección de Datos de Brasil” se refiere a la Ley General de Protección de Datos de Brasil (Ley N° 13.709/2018, la “LGPD“), sus reglamentaciones subsidiarias y cualquier otra legislación o regulación de protección de datos o privacidad vigente en Brasil, incluyendo cualquier regulación publicada por la Autoridad Nacional de Protección de Datos de Brasil (“ANPD“).
“Leyes de Protección de Datos de Chile” se refiere a la Ley N° 19.628 sobre Protección de la Vida Privada (según sea actualizada, modificada o reemplazada periódicamente), incluyendo todas las reglamentaciones o instrumentos asociados y de implementación.
“Leyes de Protección de Datos de Colombia” se refiere a la Ley 1581 de 2012; el Decreto 1074 de 2015; el Capítulo V de la Circular Única de la SIC; el Decreto 090 de 2018; y toda otra regulación relacionada con la protección de datos en Colombia.
“Leyes de Protección de Datos de Costa Rica” se refiere a la Ley N° 8968, su reglamento y cualquier otra legislación de protección de datos o privacidad vigente en Costa Rica.
“Leyes de Protección de Datos del Reino Unido” se refiere al GDPR transpuesto a la legislación nacional del Reino Unido por operación de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 y modificado por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (“GDPR del Reino Unido“), junto con la Ley de Protección de Datos de 2018, el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 y otra legislación de protección de datos o privacidad vigente de vez en cuando en el Reino Unido. En la presente ATD, en circunstancias en las que y únicamente en la medida en que se aplique el GDPR del Reino Unido, las referencias al GDPR y sus disposiciones se interpretarán como referencias al GDPR del Reino Unido y sus disposiciones correspondientes.
“Leyes de Protección de Datos de Suiza” se refiere a la Ley Federal de Protección de Datos de 19 de junio de 1992 (actualizada, modificada y sustituida de vez en cuando), incluidas todas las ordenanzas de aplicación.
“Datos Personales” significa todos los datos o información, en cualquier forma o formato, que identifique, se refiera, describa, sea susceptible de ser asociada, o pueda ser razonablemente vinculada, directa o indirectamente, con un consumidor o individuo en particular (“Titular de Datos“) u hogar, o que esté regulada como “datos personales”, “información personal”, o de otro modo bajo las Leyes de Protección de Datos Aplicables. Para evitar dudas, esto incluye cualquier información relativa a un Titular de Datos según se define en el Acuerdo y según se describe en el Anexo 3 de este ATD.
“Tratamiento” o “Procesado” o “Procesamiento” significa cualquier operación o conjunto de operaciones que se realizan sobre los Datos Personales, ya sea o no por medios automáticos, como el acceso, recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, divulgación o cualquier otra forma de puesta a disposición, duplicación, transmisión, combinación, bloqueo, redacción, borrado o destrucción, o según se defina de otro modo en las Leyes de Protección de Datos Aplicables.
“Incidente de Seguridad” significa una violación confirmada de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a Datos Personales. Un Incidente de Seguridad incluye una “violación de datos personales” (como se define en el GDPR), una “violación de la seguridad de un sistema”, una “violación de las salvaguardias de seguridad” (como se define en la PIPEDA) o un término similar (como se define en cualquier otra Ley de Protección de Datos Aplicable), así como cualquier otro evento que comprometa la seguridad, confidencialidad o integridad de los Datos Personales o que esté regulado de manera similar en virtud de las Leyes de Protección de Datos Aplicables.
“Transferencia” significa transmitir o poner a disposición de otro modo Datos Personales del Cliente a través de fronteras nacionales en circunstancias restringidas por las Leyes de Protección de Datos Aplicables.
A menos que se defina de otro modo en el Acuerdo (incluido el presente ATD), todos los términos del presente ATD tendrán las definiciones que se les atribuyen en las Leyes de Protección de Datos Aplicables.

B. TRATAMIENTO DE LOS DATOS PERSONALES DEL CLIENTE

Designación

Las Partes reconocen y aceptan que, con respecto a los Datos Personales que Pismo procesa en nombre del Cliente (“Datos Personales del Cliente“) para prestar los Servicios, Pismo es un “encargado” o “proveedor de servicios” y el Cliente es un “responsable” u otro término equivalente en virtud de las Leyes de Protección de Datos Aplicables, si las hubiera. El objeto, la duración y la finalidad del tratamiento, incluido el tipo de Información Personal de que se trata y las categorías de Titular de Datos, figuran en el Anexo 3 de la presente ATD.

Instrucciones de Tratamiento

Pismo tratará los Datos Personales del Cliente para prestar los Servicios, y el Cliente autoriza a Pismo a tratar los Datos Personales del Cliente únicamente en relación con las siguientes actividades (en conjunto, “Instrucciones de Tratamiento“):
  • de conformidad con el Acuerdo y cualquier otro acuerdo aplicable, incluidos, entre otros, los anexos, los apéndices y las listas de precios aplicables, para prestar los Servicios, y cualquier Tratamiento exigido o permitido por las leyes o normativas aplicables;
  • la transferencia de Datos Personales del Cliente a bancos, operadores de monederos, agregadores de monederos y/o redes de compensación para completar una operación de pago;
  • mejorar y desarrollar productos y servicios de beneficio potencial para el Cliente o el cliente del Cliente;
  • identificar, prevenir y mitigar el fraude, incluyendo la evaluación, el análisis, el desarrollo, la mejora y la potenciación de las capacidades de Pismo y sus filiales en materia de fraude y riesgo en general, y/o
  • según sea razonablemente necesario, para permitir a Pismo cumplir con cualquier otra dirección o instrucción proporcionada por el Cliente.

Cumplimiento de la Ley

Pismo, en su prestación de los Servicios al Cliente, y el Cliente, en su utilización de los Servicios, tratarán los Datos Personales del Cliente de conformidad con las Leyes de Protección de Datos Aplicables. En la medida en que sea necesario para permitir a cada una de las partes cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables, cada una de las partes se compromete además a cumplir con las disposiciones del Anexo 1 (Cumplimiento de la legislación estadounidense en materia de privacidad) y/o del Anexo 2 (Reglamento General de Protección de Datos) del presente ATD, cada uno de ellos en la medida en que sea aplicable.

Divulgaciones y Permisos de Privacidad

El Cliente proporcionará, o hará que sus clientes proporcionen, a los Titulares de Datos todos los avisos de privacidad, la información y todas las opciones necesarias, y obtendrá todos los consentimientos necesarios para permitir a Pismo cumplir con las Leyes de Protección de Datos Aplicables y con las Instrucciones de Tratamiento de la Sección 4.

Derechos del Titular de Datos

En la medida en que la ley lo permita, Pismo prestará asistencia razonable al Cliente para responder a las solicitudes de los Titulares de Datos para ejercer sus derechos en virtud de las Leyes de Protección de Datos Aplicables (por ejemplo, los derechos de acceso o supresión de Datos Personales) de forma coherente con la naturaleza y la funcionalidad del Servicio. Cuando Pismo reciba e identifique cualquier solicitud de este tipo como relativa a los Datos Personales del Cliente, advertirá al Titular de Datos de que el Cliente es responsable de gestionar dichas solicitudes de un Titular de Datos de conformidad con las Leyes de Protección de Datos Aplicables.

Compromiso con los Subprocesadores

Pismo se asegurará de que, cuando contrate a otro encargado de datos (un “Subprocesador“) con el fin de llevar a cabo actividades específicas de Tratamiento en nombre del Cliente, exista un acuerdo por escrito entre Pismo y el Subprocesador pertinente que proporcione, en esencia, el mismo nivel de protección de los Datos Personales del Cliente que el establecido en el presente ATD o que el exigido por las Leyes de Protección de Datos Aplicables.

Transferencia Transfronteriza

Pismo sólo transferirá los Datos Personales del Cliente fuera de la jurisdicción aplicable al Cliente, incluyendo, sin limitación, fuera del Espacio Económico Europeo (“EEE“), el Reino Unido o Suiza, de conformidad con las Leyes de Protección de Datos Aplicables. El Cliente acepta y reconoce que Pismo transfiere y almacena determinados Datos Personales del Cliente (incluidos los relativos a personas ubicadas en el EEE, Suiza, el Reino Unido y otros países de Latinoamérica como Argentina, Brasil, Chile, Colombia, Costa Rica, México y/o Perú) en los Estados Unidos y otros lugares seleccionados. Cuando así lo exija las Leyes de Protección de Datos Aplicables, el Cliente se compromete a aplicar las salvaguardias, medidas o mecanismos adecuados, obtener el consentimiento explícito para la transferencia transfronteriza, realizar los registros o notificaciones, obtener la aprobación de las autoridades reguladoras, completar las evaluaciones o certificaciones de seguridad y/o llevar a cabo cualquier revisión necesaria para permitir las transferencias por parte de Pismo y/o sus Subprocesadores en virtud de la presente ATD, incluidas, a título meramente enunciativo y no limitativo, las normas específicas para las transferencias relativas a categorías de datos sensibles o especiales (si procede).

Transferencias

1. Transferencias sujetas a la PDPL de Arabia Saudita

En caso de que Pismo Procese Información Personal del Cliente sujeta a la PDPL de Arabia Saudita, se aplicarán las Cláusulas Contractuales Estándar emitidas por la Autoridad Saudí de IA y Datos (SDAIA) (“KSA SCCs“) de la siguiente manera:
  • Segundo Modelo: Responsable a Encargado aplicará para las Transferencias del Cliente (como Exportador de Datos Personales) a Pismo (como Importador de Datos Personales).
  • Con respecto a cualquier Transferencia posterior realizada por Pismo, el Tercer Modelo: Encargado a Encargado aplicará entre Pismo (como Exportador de Datos Personales) y cualquier Subencargado (como Importador de Datos Personales).
  • Para efectos de las KSA SCCs, el Anexo 1 – Lista de Partes será el Exportador e Importador de Datos Personales descritos en esta Sección 10.1 (a) o 10.1 (b), según corresponda; el Anexo 2 – Descripción de los Datos Personales Transferidos será el establecido en el Anexo 3 – Detalles del Tratamiento; y el Anexo 3 – Medidas de Seguridad serán las medidas establecidas en la Sección 10.1.1 a continuación.

1.1. Localización de Datos específica para India

En caso de que Pismo Procese Información Personal del Cliente relacionada con individuos ubicados en India, y dicha Información Personal esté sujeta a las leyes de India, el Cliente reconoce que Pismo transfiere y almacena dicha Información Personal dentro de India.

2. Transferencias sujetas a las Leyes de Protección de Datos de Argentina, Colombia, Perú o Uruguay

En caso de que Pismo Procese Información Personal del Cliente sujeta a las Leyes de Protección de Datos de Argentina, Colombia, Perú o Uruguay, se aplicarán las Cláusulas Contractuales Estándar emitidas por la Red Iberoamericana de Protección de Datos, aprobadas por la Autoridad de Protección de Datos de Argentina mediante Resolución 198/2023, por la Autoridad de Protección de Datos de Perú mediante Resolución Directoral N.° 0074-2022-JUS/DGTAIPD y por la Agencia de Protección de Datos de Uruguay mediante Resolución N° 50/022 URCDP, disponibles en la página web de la RIPD (las “Cláusulas Contractuales Estándar RIPD“), de la siguiente manera:
  • Las Cláusulas de Responsable a Encargado aplicarán para las Transferencias del Cliente (como Exportador de Datos Personales) a Pismo (como Importador de Datos Personales).
  • Con respecto a cualquier Transferencia posterior realizada por Pismo, las Cláusulas de Encargado a Encargado aplicarán entre Pismo (como Exportador de Datos Personales) y cualquier Subencargado (como Importador de Datos Personales).
Para efectos de las Cláusulas RIPD:
  • Se aplicará la Cláusula 5 (Cláusula de Adhesión) de las Cláusulas RIPD.
  • La Cláusula 7.1 Autorización de Subencargados de las Cláusulas RIPD aplicables de Responsable a Encargado se reemplaza por la Sección 8. Contratación de Subencargados y las disposiciones del Anexo 2.
  • La Cláusula 9 Reparación de las Cláusulas RIPD de Responsable a Encargado se leerá como sigue: “a. El Importador de Datos informará a los Titulares de los Datos, en un formato transparente y fácilmente accesible, mediante aviso individual o en su sitio web, un punto de contacto autorizado para atender reclamaciones, el cual gestionará las reclamaciones recibidas de los Titulares de los Datos lo más rápido posible.”
  • Las Partes serán el Exportador e Importador de Datos Personales descritos en esta Sección 10.2 (a) o 10.2 (b), según corresponda; el Anexo 2 – Descripción de los Datos Personales Transferidos será el establecido en el Anexo 3 – Detalles del Tratamiento; y el Anexo 3 – Medidas de Seguridad serán las medidas establecidas en el Anexo 5.
En caso de conflicto o inconsistencia entre un término del cuerpo de este ATD y un término de las Cláusulas Contractuales Estándar aplicables incorporadas en este Contrato, prevalecerán los términos de las Cláusulas Contractuales Estándar correspondientes.

3. Transferencias sujetas a las Leyes de Protección de Datos de Brasil

En caso de que exista una transferencia de Información Personal del Cliente (como Exportador de Datos Personales, ubicado en Brasil) a Pismo (como Importador de Datos Personales, ubicado en el extranjero), se aplicarán las Cláusulas Contractuales Estándar aprobadas por la Autoridad Nacional de Protección de Datos de Brasil (ANPD) mediante Resolución CD/ANPD N° 19 del 23 de agosto de 2024 (las “Cláusulas Contractuales Estándar Brasileñas“), disponibles en la RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 – DOU – Imprensa Nacional. En caso de conflicto o inconsistencia entre este ATD y las Cláusulas Contractuales Estándar Brasileñas incorporadas en el presente, prevalecerán los términos de las Cláusulas Contractuales Estándar Brasileñas.

4. Personal

Pismo garantizará que las personas autorizadas para Tratar Información Personal del Cliente estén sujetas a una obligación adecuada de confidencialidad conforme a las leyes o regulaciones aplicables.

Seguridad del Tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo para los derechos y libertades de las personas físicas, Pismo aplicará medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado a dicho riesgo. A la hora de evaluar el nivel de seguridad adecuado, Pismo tendrá en cuenta, en particular, la sensibilidad de los Datos Personales y los riesgos que presenta el Tratamiento, en particular los derivados del Tratamiento no autorizado o ilícito, la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales del Cliente transmitidos, almacenados o Tratados de otro modo. Pismo proporcionará asistencia razonable al Cliente para garantizar que éste cumpla sus propias obligaciones de conformidad con estas mismas medidas de seguridad.

Incidente de Seguridad

  • En caso de que se produzca un Incidente de Seguridad que afecte a los Datos Personales del Cliente contenidos en los sistemas de Pismo, Pismo deberá (i) investigar las circunstancias, el alcance y las causas del Incidente de Seguridad e informar de los resultados al Cliente y seguir manteniendo informado al Cliente de forma periódica sobre el progreso de la investigación de Pismo hasta que el problema se haya resuelto de forma efectiva; y (ii) cooperar con el Cliente en cualquier notificación legalmente exigida por el Cliente a los Titulares de Datos afectados.
  • Pismo notificará al Cliente sin demora indebida cuando Pismo o cualquier Subprocesador tenga conocimiento de un Incidente de Seguridad que afecte a los Datos Personales del Cliente, proporcionando al Cliente información suficiente y asistencia razonable para que el Cliente pueda cumplir sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables para: (i) notificar el Incidente de Seguridad a una Autoridad de Control (tal como se define en las Leyes de Protección de Datos Aplicables); y (ii) comunicar el Incidente de Seguridad a los Titulares de Datos pertinentes.
  • En la medida en que un Incidente de Seguridad haya sido causado por el Cliente (incluidos sus directivos, empleados, agentes, socios comerciales, representantes y/o proveedores) o sus clientes, el Cliente será responsable de los costes derivados de la prestación de asistencia por parte de Pismo en virtud de la presente Sección 12.

Eliminación y Conservación

Pismo eliminará todos los Datos Personales del Cliente a la terminación del Acuerdo y borrará las copias existentes, a menos y en la medida en que el almacenamiento sea requerido o esté permitido por la legislación o normativa aplicable.

Responsabilidad del Cliente como Responsable

Con respecto a la función del Cliente como responsable de datos en relación con el Servicio, debe hacer todo lo siguiente:
  • asegurarse de que cumple plenamente todas las Leyes de Protección de Datos Aplicables y reglamentos con respecto a los Datos Personales que recopila, almacena, transfiere o trata de cualquier otra forma;
  • garantizar la ejecución de todas las inscripciones reglamentarias, notificaciones, presentaciones, revisiones y/o cualquier otra acción requerida en virtud de todas las Leyes de Protección de Datos Aplicables para que el Cliente pueda recibir el Servicio y para que Pismo pueda prestar el Servicio de conformidad con el Acuerdo;
  • proporcionar información previa adecuada a los Titulares de Datos sobre el Tratamiento de Datos Personales previsto por el Cliente y Pismo, incluido lo dispuesto en la Sección 4;
  • proporcionar a Pismo datos exactos relativos a los Titulares de Datos pertinentes, incluida la información a Pismo cuando los Datos Personales deban ser corregidos, actualizados o suprimidos;
  • garantizar que dispone de una base legal para el tratamiento de cualquier Dato Personal, incluido el tratamiento de cualquier Dato Personal por parte de Pismo; y
  • notificar a Pismo, tras el contacto de cualquier autoridad reguladora dada en relación con los datos procesados por Pismo, a menos que las leyes o reglamentos aplicables prohíban dicha notificación.

C. VARIOS

De conformidad con los términos del Acuerdo, Pismo permitirá al Cliente tomar las medidas apropiadas para garantizar que Pismo procese los Datos Personales del Cliente de conformidad con el Acuerdo y las Leyes de Protección de Datos Aplicables. Los términos de este ATD se aplicarán únicamente en la medida exigida por las Leyes de Protección de Datos Aplicables. En la medida en que no sean incompatibles con el presente, las disposiciones aplicables del Acuerdo (incluidas, entre otras, las indemnizaciones, las limitaciones de responsabilidad, la ejecución y la interpretación) se aplicarán al presente ATD. En caso de conflicto entre el presente ATD y los términos del Acuerdo, prevalecerán los términos del presente ATD únicamente en lo que respecta a los términos del tratamiento de datos cuando así lo exijan las Leyes de Protección de Datos Aplicables, y, en todos los demás aspectos, prevalecerán los términos del Acuerdo. A pesar de cualquier término o condición de este ATD, este ATD no se aplica a ningún dato o información que no esté regulado bajo las Leyes de Protección de Datos Aplicables. Esto incluye Datos Personales que han sido agregados o desidentificados de acuerdo con las Leyes de Protección de Datos Aplicables. Además, el presente ATD no se aplicará en la medida en que Pismo y el Cliente hayan suscrito condiciones de tratamiento de datos independientes que aborden el objeto del mismo. El Cliente acepta que Pismo podrá, sin necesidad de obtener ningún otro consentimiento o notificarlo al Cliente, utilizar, distribuir, transferir o sublicenciar cualquier forma agregada y anonimizada de los datos proporcionados en virtud del presente Acuerdo, según lo permita o exija las Leyes de Protección de Datos Aplicables. No obstante cualquier disposición del ATD, el mismo no será aplicable a datos o información que no se refiera a personas identificables conforme a las Leyes de Protección de Datos Aplicables, tales como datos agregados, desidentificados o anonimizados, ni cuando Pismo y el Cliente hayan suscrito términos de tratamiento de datos separados que regulen la materia aquí tratada.

ANEXO 1 – CUMPLIMIENTO DE LA LEGISLACIÓN ESTATAL DE LOS EE.UU. EN MATERIA DE PRIVACIDAD

Este Anexo se aplica además de cualquier término establecido en el cuerpo del ATD (y se incorpora al mismo) cuando la Ley de Privacidad del Consumidor de California de 2018 y sus reglamentos de implementación, en su versión modificada o sustituida de vez en cuando (Código Civil de California §§ 1798.100 a 1798.199) (colectivamente, la “CCPA“) o leyes estatales similares (“Leyes de Privacidad del Estado de EE. UU.“) se aplican al uso de los Servicios por parte del Cliente.

1. APLICABILIDAD

1.1 El presente Anexo se aplica únicamente en la medida en que los Datos Personales del Cliente tratados por Pismo en el marco de la prestación de los Servicios estén sujetos a las Leyes de Privacidad del Estado de E.E. U.U. aplicables. Nada de lo dispuesto en este Anexo indica el reconocimiento por cualquiera de las partes de que está sujeta a las Leyes de Privacidad del Estado de EE.UU. aplicables para cualquier propósito, incluida la prestación de Servicios, ni nada de lo dispuesto en este Anexo renuncia al derecho de cualquiera de las partes a oponerse a la aplicación de las Leyes de Privacidad del Estado de EE.UU.. Sin perjuicio de cualquier otra disposición en contrario, las Partes acuerdan que el presente Anexo no se aplica a ninguna información recopilada, procesada, vendida o divulgada por las Partes con arreglo a la Ley Gramm Leach Bliley (“GLBA“). 1.2 Los términos en mayúsculas utilizados, pero no definidos en este Anexo, tendrán el significado asignado a dichos términos en el Acuerdo, el ATD o, si no se definen en los mismos, en las Leyes de Privacidad del Estado de EE.UU. aplicables. En caso de conflicto entre el presente Anexo y el Acuerdo, prevalecerá el presente Anexo, en la medida necesaria para garantizar el cumplimiento de las Leyes de Privacidad del Estado de EE.UU.. Los considerandos anteriores se incorporan por referencia al presente Anexo.

2. FUNCIONES Y OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS

2.1 A los efectos del presente Anexo, las Partes reconocen que, con respecto a los Datos Personales del Cliente que Pismo procesa por cuenta del Cliente en virtud del Acuerdo y que no se procesan de conformidad con la GLBA (a) el Cliente actúa como Empresa y Pismo actúa como Proveedor de Servicios, tal como se definen dichos términos en la CCPA; y (b) el Cliente actúa como Responsable y Pismo actúa como Encargado en el sentido previsto por otras Leyes de Privacidad del Estado de E.E. U.U.. 2.2 Para evitar cualquier duda, Pismo no está actuando como Tercero, ni está proporcionando Publicidad Conductual Cross-Contextual en virtud del presente Anexo. 2.3 Cada una de las partes cumplirá con sus obligaciones en virtud de las Leyes de Privacidad del Estado de EE.UU. aplicables con respecto a cualquier Dato Personal del Cliente procesado en virtud de este Anexo. El Cliente reconoce y acepta específicamente que su uso de los Servicios no violará los derechos de ningún Consumidor, incluidos aquellos que hayan optado por no participar en las ventas u otras divulgaciones de Datos Personales del Cliente, en la medida en que sea aplicable en virtud de las Leyes de Privacidad del Estado de EE. UU..

3. OBLIGACIONES DE PISMO

3.1 En su papel de Proveedor de Servicios o Encargado, Pismo:
  • Protegerá y asegurará los Datos Personales del Cliente de acuerdo con las Leyes de Privacidad del Estado de EE.UU. aplicables, incluyendo la provisión del mismo nivel de protección de la privacidad requerido por la CCPA u otras Leyes de Privacidad del Estado de EE.UU. aplicables;
  • Tratará los Datos Personales del Cliente únicamente para los fines comerciales específicos establecidos en las Instrucciones de Tratamiento, el Acuerdo y/o el Anexo 3;
  • Salvo en la medida en que lo permita las Leyes de Privacidad del Estado de E.E. U.U., Pismo no venderá ni compartirá los Datos Personales del Cliente, ni conservará, utilizará o divulgará los Datos Personales del Cliente (i) con fines distintos de los necesarios para cumplir los objetivos comerciales establecidos en el Acuerdo y/o el Anexo 3, incluidos la conservación, utilización o divulgación de Datos Personales con fines comerciales distintos de los establecidos en el Acuerdo y/o el Anexo 3; o (ii) fuera de la relación comercial directa entre Pismo y el Cliente;
  • No combinará los Datos Personales del Cliente con Datos Personales que reciba de o en nombre de otra(s) persona(s) o entidad(es), o que recopile de su propia interacción con un individuo, salvo que las Leyes de Privacidad del Estado de EE.UU. permitan lo contrario;
  • Aplicará procedimientos y prácticas de seguridad razonables, adecuados a la naturaleza de los Datos Personales del Cliente, para proteger los Datos Personales contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados o ilegales;
  • Notificará inmediatamente al Cliente cualquier cambio sustancial en la capacidad de Pismo para cumplir con sus obligaciones en virtud de las Leyes de Privacidad del Estado de EE.UU. aplicables, incluida, entre otras, cualquier determinación de que Pismo ya no puede cumplir con sus obligaciones en virtud de este Anexo;
  • Garantizará que el personal de Pismo que participe en el tratamiento de los Datos Personales del Cliente esté sujeto al deber de confidencialidad y se asegurará de que el acuerdo de Pismo con cualquier subprocesador utilizado para el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Privacidad del Estado de EE.UU., incluidos, entre otros, los requisitos contractuales para Proveedores de Servicios y Contratistas;
  • Proporcionará una cooperación razonable al Cliente, previa solicitud, para permitirle cumplir con las solicitudes de los consumidores realizadas de conformidad con las Leyes de Privacidad del Estado de EE.UU. aplicables;
  • Proporcionará la información razonable necesaria para que el Cliente lleve a cabo y documente las evaluaciones de protección de datos;
  • Concede al Cliente el derecho a tomar las medidas razonables y apropiadas, de conformidad con el Acuerdo, para garantizar que Pismo utilice los Datos Personales del Cliente de forma coherente con las obligaciones del Cliente en virtud de las Leyes de Privacidad del Estado de EE.UU. aplicables;
  • Concede al Cliente el derecho, previa notificación, y de conformidad con el Acuerdo, a tomar las medidas razonables y adecuadas para detener y remediar el uso no autorizado por parte de Pismo de los Datos Personales del Cliente; y
  • Eliminará los Datos Personales del Cliente al finalizar la prestación de los Servicios en virtud del Acuerdo, a menos que la conservación de los Datos Personales del Cliente sea obligatoria o esté autorizada en virtud del Acuerdo o de las Leyes de Privacidad del Estado de E.E. U.U..
Pismo certifica que comprende las obligaciones, incluidas las restricciones, que le impone la CCPA con respecto a los Datos Personales y que las cumplirá. 3.2 Sin perjuicio de lo anterior, Pismo podrá conservar, utilizar o divulgar los Datos Personales del Cliente en la medida en que lo permitan las Leyes de Privacidad del Estado de EE.UU. aplicables, incluyendo:
  • Retener y emplear a otro Proveedor de Servicios o Contratista como subcontratista de conformidad con la Sección 3.1(g) del presente Anexo y cualesquiera otros términos aplicables del Acuerdo cuando el subcontratista cumpla los requisitos para ser Proveedor de Servicios o Contratista o un término similar en virtud de las Leyes de Privacidad del Estado de EE.UU. aplicables;
  • Para su uso interno con el fin de crear o mejorar la calidad de los Servicios, siempre que Pismo no utilice los Datos Personales del Cliente para prestar servicios en nombre de otra persona;
  • Para prevenir, detectar o investigar incidentes de seguridad de los datos o proteger contra actividades maliciosas, engañosas, fraudulentas o ilegales;
  • Para los fines enumerados en el Código Civil de California § 1798.145(a)(1) a §1798.145(a)(7); y/o
  • Para cualquier otro propósito expresamente contemplado o permitido por las Leyes de Privacidad del Estado de EE.UU. u otra Ley de Protección de Datos Aplicable.

ANEXO 2 – REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Este Anexo del GDPR se aplica además de cualquier término establecido en el cuerpo del ATD (y se incorpora al mismo) cuando el GDPR se aplica al uso del Servicio por parte del Cliente o en la medida en que las Leyes de Protección de Datos Aplicables impongan un requisito comparable descrito en el Anexo 2. Los términos en mayúsculas no definidos en el presente documento tienen el significado que se les asigna en el ATD. En la medida en que existan conflictos entre el presente Anexo GDPR y el ATD, prevalecerá el presente Anexo GDPR. De conformidad con la Sección 3 del presente ATD y a efectos del presente Anexo 2, el término “Encargado” designa a Pismo.

1. OBLIGACIONES ADICIONALES DEL ENCARGADO

1.1 Tratamiento de los Datos Personales del Cliente. El Encargado procesará los Datos Personales del Cliente únicamente de conformidad con las instrucciones razonables documentadas del Cliente (incluidas las Instrucciones de Tratamiento establecidas en la Sección 4, con respecto a las Transferencias de Datos Personales del Cliente a un tercer país, si procede), a menos que el Encargado esté obligado a procesar los Datos Personales del Cliente de otro modo en virtud de las Leyes de Protección de Datos Aplicables. En tales circunstancias, el Encargado informará al Cliente de dicho requisito legal antes del Tratamiento, salvo que la legislación aplicable lo prohíba por motivos importantes de interés público.

2. USO DE SUBPROCESADOR

2.1 El Encargado no contratará a ningún Subprocesador sin la autorización específica o general por escrito del Cliente. De conformidad con esta sección 2.1 de este Anexo GDPR, el Cliente autoriza al Encargado a contratar a los Subprocesadores detallados en la lista de Subprocesadores del Encargado, actualizada periódicamente y puesta a disposición del Cliente a través del portal en línea de Pismo. 2.2 Cuando el Encargado contrate a un Subprocesador, éste se asegurará de que se notifique dicha contratación al Cliente. El Encargado proporcionará al Cliente un plazo razonable para oponerse a la contratación de dicho Subprocesador y el Cliente acepta y consiente por la presente que el Encargado contrate al Subprocesador pertinente cuando el Cliente no presente objeciones dentro del plazo aplicable. Si el Cliente se opone a la contratación de un Subprocesador dentro del plazo aplicable, el Encargado podrá optar por una de las siguientes opciones: (i) decidir no utilizar al Subprocesador para esa actividad de tratamiento; (ii) adoptar las medidas correctoras solicitadas por el Cliente en su objeción (que eliminen la objeción del Cliente) y utilizar al Subprocesador; o (iii) suspender o finalizar la prestación de los servicios que requieren el uso del Subprocesador.

3. EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA AL REGULADOR

3.1 El Encargado informará inmediatamente al Cliente si, en opinión del Encargado, las Instrucciones de Tratamiento del Cliente infringen las Leyes de Protección de Datos Aplicables. El Cliente acepta que el Encargado no tendrá obligación alguna de tomar medidas encaminadas a formarse tal opinión. 3.2 El Encargado proporcionará asistencia razonable al Cliente con cualquier requerimiento legal: (a) evaluaciones de impacto de protección de datos; y (b) consultas previas iniciadas por el Cliente con su regulador en relación con dichas evaluaciones de impacto de protección de datos. Dicha asistencia se limitará estrictamente al Tratamiento de los Datos Personales del Cliente por parte del Encargado en nombre del Cliente en virtud del Acuerdo, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado.

4. DEMOSTRAR EL CUMPLIMIENTO DE ESTA ATD

4.1 El Encargado pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud del presente ATD y permitirá (y contribuirá a) las auditorías, incluidas las inspecciones realizadas por el Cliente u otro auditor bajo las instrucciones del Cliente con los mismos fines de demostrar el cumplimiento de las obligaciones establecidas en el presente ATD siempre que:
  • el Cliente avise al Encargado con una antelación razonable de cualquier auditoría (cuando lo permitan las leyes o reglamentos);
  • la auditoría se lleve a cabo de forma que cause el menor trastorno posible a la actividad del Encargado (incluso con respecto a la duración de la auditoría y al número y antigüedad del personal del Encargado necesario para ayudar en la auditoría); y
  • el Cliente y su auditor externo están sujetos a las políticas aplicables del Encargado y a las obligaciones de confidencialidad.
4.2 Reconociendo el tiempo, los gastos y la interrupción del negocio asociados a la realización de auditorías e inspecciones que impliquen entrevistas y visitas in situ, el Cliente acepta realizar dichas auditorías e inspecciones únicamente a condición de que el Cliente pueda demostrar que dicha auditoría o inspección es necesaria más allá de la información facilitada por el Encargado en virtud de la sección 4.1 anterior. Por ejemplo, en la medida en que el Encargado pueda demostrar el cumplimiento de sus obligaciones establecidas en el presente ATD mediante la adhesión a un código de conducta aprobado, mediante la obtención de una certificación aprobada o mediante la entrega al Cliente de un informe de auditoría emitido por un auditor externo independiente (siempre que el Cliente cumpla con las obligaciones de confidencialidad adecuadas establecidas en el Acuerdo y no utilice dicho informe de auditoría para ningún otro fin), el Cliente acepta que no llevará a cabo una auditoría o inspección en virtud de la sección 4.1 anterior.

ANEXO 3 – DETALLES DEL TRATAMIENTO

Servicio Naturaleza y Finalidad del Tratamiento Tipos de Datos Personales Categorías de Titulares de Datos
Core Banking Un conjunto de servicios de Pismo (accesibles a través de API) que pueden gestionar diversas funciones internas y de terceros/socios para permitir a los clientes bancarios y fintech de Pismo ofrecer productos financieros a sus clientes, incluida la gestión bancaria, las cuentas remuneradas y los depósitos a plazo fijo, los pagos de facturas, los pagos instantáneos y los informes reglamentarios. Número de teléfono; Número de documento; Transacción; fecha/hora/lugar/importe; CNPJ – registro de entidades; Número de factura; Serie de facturas; Clave de acceso; Autorización; Dirección de correo electrónico; Dirección postal; Número de móvil; Número de teléfono; Nombre Identificadores de dispositivos; Dirección IP; Servidor / registros de actividad; Información de facturación y envío; Fecha de caducidad de la tarjeta; Información del comerciante; Datos de verificación del PIN y CVV; Número de cuenta de pago (PAN); Token de referencia de cuenta de pago (PAR); Transacción; fecha/hora/lugar/importe. Clientes del cliente, incluidos consumidores, titulares de tarjetas y comerciantes.
Procesador de Emisión de Tarjetas Las capacidades de emisión de tarjetas de la plataforma Pismo también pueden facilitar el procesamiento fluido y seguro de las transacciones de pago electrónico entre fintechs, bancos, comerciantes, instituciones financieras, etc. La plataforma permite a los clientes gestionar los complejos procesos de autorización, compensación y liquidación de las transacciones. Clientes del cliente, incluidos consumidores, titulares de tarjetas y comerciantes.
Transacciones Bancarias Pismo Transaction Banking es una plataforma bancaria central basada en API, nacida en la nube y nativa de la nube, que proporciona capacidades clave para la banca transaccional y el procesamiento de pagos. Entre los servicios clave que ofrece Pismo se incluyen la estructura jerárquica para apoyar las jerarquías organizativas, la gestión completa del ciclo de vida de las cuentas, la gestión de las asignaciones y la gestión de la latencia, entre otros. Clientes del cliente, incluidos consumidores, titulares de tarjetas y comerciantes.
Plataforma de Gestión de Vendedores Comprende servicios (a través de API) para la gestión de vendedores/comerciantes, desde su registro hasta aspectos financieros como la programación y liquidación de pagos. Clientes del cliente, incluidos consumidores, titulares de tarjetas y comerciantes.
Plataforma de Gestión de Préstamos Una función tecnológica diseñada para ayudar a los prestamistas (es decir, bancos, sociedades de crédito hipotecario, cooperativas de crédito o sociedades financieras no bancarias) a automatizar y ofrecer capacidades de gestión y administración de préstamos altamente escalables para sus operaciones de back-office de préstamos. Clientes del cliente, incluidos consumidores, titulares de tarjetas y comerciantes.
Duración y Frecuencia: La duración del Tratamiento es el periodo durante el cual Pismo presta el/los Servicio(s) al Cliente y cualquier periodo adicional necesario para cumplir las obligaciones contractuales de Pismo con el Cliente o la legislación aplicable. Los datos se transfieren periódicamente. Pismo podrá conservar los datos con fines de archivo de conformidad con la legislación aplicable y las políticas de gestión de registros de Pismo.

ANEXO 4 – LISTA DE SUBPROCESADORES

Empresa Funciones Desempeñadas Ubicación Servicio Aplicable
Servicios web de Amazon Alojamiento, seguridad y resistencia de los datos. Estados Unidos Todos los Servicios de Pismo

Plataforma

Resumen de la plataforma

Tarjetas

Core Banking
Préstamos
Billeteras Digitales
Seller Management

Insights

Blog
Knowledge
Videos
Eventos

Quiénes somos

Pismo
Inversionistas
News
Boletín

Security and Compliance

Privacy Notice
Data Privacy
Code of Conduct and Ethics
Vulnerability Disclosure

Developers​

Careers​

Contact us​

¡Suscríbete a nuestras actualizaciones!

Recibe las últimas novedades, tendencias y contenidos exclusivos de Pismo. Nada de spam, solo información útil y relevante.

[hubspot type=form portal=19991203 id=8130298f-cfb2-47a4-9db8-a43073e8c407]
Linkedin logo
X logo
Pismo • All rights reserved • Cookie PolicyYour Privacy Rights