Pay - CM Payments - Data Processing Addendum (DPA)

Versión: 1 de abril de 2023

El presente Anexo de Tratamiento de Datos (“ATD”) forma parte integrante del Acuerdo entre el Comercio y CMP que cubre el uso de los Servicios de CMP por parte del Comercio.

1. Definiciones e interpretación

1.1. Los términos contenidos en estos Términos y Condiciones escritos con mayúscula inicial se definen y tienen el significado establecido en esta Cláusula.

Encargado del Tratamiento: una persona física o jurídica, autoridad pública, servicio u otro organismo que trate Datos Personales por cuenta del Responsable del Tratamiento.

Interesado: persona física identificada o identificable en relación con Datos Personales.

Medidas Técnicas y Organizativas: medidas para proteger los Datos Personales contra la destrucción accidental o ilícita, o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, y contra cualquier otra forma ilícita de Tratamiento.

Responsable del Tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de Datos Personales.

Subencargado del Tratamiento: una parte contratada por CMP para las actividades de tratamiento para las que CMP es un Encargado del Tratamiento en virtud del presente ATD, como se indica en: www.cm.com/trust-center/privacy/.

Tratamiento/Tratar: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Violación de la Seguridad de los Datos Personales: una violación de la seguridad que accidental o ilícitamente conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales transmitidos, almacenados o Tratados de cualquier otro modo.

1.2. Las referencias a las Leyes de Protección de Datos Aplicables se sustituirán o incorporarán referencias a cualquier ley que sustituya o modifique dichas Leyes de Protección de Datos Aplicables, así como los términos equivalentes definidos en dichas leyes, una vez que estén en vigor y sean aplicables.

La expresión “Evaluación de impacto relativa a la protección de datos” tendrá el significado que se les atribuye en la Ley de Protección de Datos Aplicable.

1.3. Los presentes Términos y Condiciones del Tratamiento de Datos se aplicarán exclusivamente al tratamiento de Datos Personales por parte de CMP como Encargado del Tratamiento en nombre del Comercio. En caso de conflicto, las disposiciones los presentes Términos y Condiciones del Tratamiento de Datos relativos al Tratamiento de Datos Personales prevalecerán sobre las disposiciones del Acuerdo de Términos y Condiciones Generales. En caso de que alguna de las disposiciones individuales de estos Términos y Condiciones del Tratamiento de Datos sea inválida o inaplicable, ello no afectará a la validez y aplicabilidad de las demás disposiciones. Centro de confianza: www.cm.com/trust-center/.

2. Alcance y aplicabilidad

2.1 Los presentes ATD se aplicarán a las actividades de tratamiento de Datos Personales de las que CMP sea Encargado del Tratamiento con sujeción a las Leyes de Protección de Datos Aplicables.

2.2 CMP es Encargado del Tratamiento para las actividades de tratamiento descritas en la cláusula 6 de los presentes ATD.

3. Obligaciones del Comercio

3.1 El Comercio, en su uso del Servicio de CMP, deberá Tratar los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables. Las instrucciones del Comercio aplicables al Tratamiento de Datos Personales deberán ajustarse a las Leyes de Protección de Datos Aplicables. El Comercio será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Comercio adquirió los Datos Personales. El Comercio se asegurará de que cumple todos los requisitos para el tratamiento y la transferencia de los Datos Personales en virtud de la Legislación Aplicable, lo que incluye, entre otros, garantizar una base legal para el tratamiento y/o las transferencias transfronterizas. El Comercio informará a CMP sin demora indebida en caso de que ya no pueda cumplir sus obligaciones en relación con el tratamiento de Datos Personales en virtud de la Legislación Aplicable y/o el Acuerdo.

3.2 Sin limitar la generalidad de cualquier otra disposición del Acuerdo, antes de utilizar el Servicio de CMP, el Comercio deberá obtener el consentimiento informado verificable de los Usuarios Finales o ser capaz de proporcionar confirmación de cualquier otra base jurídica aplicable para el Tratamiento, y deberá mantener un registro de cada uno de dichos consentimientos o bases jurídicas. Previa notificación razonable por escrito, el Comercio deberá facilitar la información solicitada o requerida por CMP, cualquier Red de pago, regulador u otra autoridad competente.

4. Obligaciones del Encargado del Tratamiento

4.1 Instrucciones

4.1.1 CMP deberá Tratar los Datos Personales de conformidad con el presente ATD y el Acuerdo, y para los fines y en la forma especificada por el Comercio de forma oportuna en el Acuerdo e instrucciones adicionales dentro del alcance del Acuerdo.

4.2 Medidas Técnicas y Organizativas

4.2.1 Teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como la probabilidad y gravedad de los diversos riesgos para los derechos y libertades de las personas físicas, CMP implementará Medidas Técnicas y Organizativas adecuadas (incluidas medidas contra el Tratamiento no autorizado o ilícito, y contra la destrucción, pérdida o alteración accidental o ilícita, o el daño, la difusión o el acceso no autorizados a los Datos Personales) para garantizar un nivel de seguridad adecuado al riesgo. Puede encontrarse información actualizada sobre las Medidas Técnicas y Organizativas en www.cm.com/trust-center/security/.

4.2.2 CMP deberá probar, valorar y evaluar de forma continua la eficacia de las Medidas Técnicas y Organizativas para garantizar la seguridad del Tratamiento. CMP deberá perfeccionar y mejorar continuamente las Medidas Técnicas y Organizativas cuando proceda.

4.3 Requisitos del personal

CMP garantiza que las personas autorizadas para Tratar los Datos Personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad. El acceso a los Datos Personales está restringido al personal que requiera acceso para prestar los Servicios de CMP en virtud del Acuerdo.

4.4. Confidencialidad

CMP acuerda que mantendrá la confidencialidad de los Datos Personales. En concreto, CMP acuerda que no divulgará ningún Dato Personal suministrado a CMP por, para o en nombre del Comercio a ningún tercero sin el consentimiento previo del Comercio, excepto según lo previsto y requerido para la prestación del Servicio de CMP en virtud del Acuerdo o la legislación imperativa.

4.5 Derechos del Interesado

4.5.1 Cuando el Comercio así lo indique a CMP, CMP deberá transferir, corregir, eliminar o bloquear los Datos Personales si el Comercio recibe una solicitud de un Interesado para ejercer el derecho de acceso, el derecho de rectificación, de restricción del Tratamiento, supresión (“derecho al olvido”), a la portabilidad de los datos, oposición al Tratamiento o su derecho a no ser objeto de una toma de decisiones individual automatizada (“Solicitud del Interesado”).

4.5.2 CMP notificará al Comercio si CMP recibe una Solicitud del Interesado. Teniendo en cuenta la naturaleza del Tratamiento, CMP ayudará al Comercio a responder a una Solicitud del Interesado en virtud de las Leyes de Protección de Datos Aplicables. CMP ayudará al Comercio en la medida en que CMP esté legalmente autorizada a hacerlo y la respuesta a dicha Solicitud del Interesado se requiera en virtud de las Leyes de Protección de Datos.

4.6 Asistencia al cumplimiento del Comercio

CMP prestará al Comercio la asistencia adicional que se requiera de forma razonable para garantizar el cumplimiento de las obligaciones del Comercio en virtud de las Leyes de Protección de Datos, incluido con respecto a:

(a) la evaluación de impacto relativa a la protección de datos, proporcionando la información y cooperación que el Comercio pueda requerir con el fin de ayudar al Comercio a realizar una evaluación de impacto relativa a la protección de datos y revisiones periódicas para evaluar si el Tratamiento de Datos Personales se realiza en cumplimiento de la evaluación de impacto relativa a la protección de datos;

(b) la consulta previa con una autoridad de control de protección de datos en relación con el Tratamiento de alto riesgo.

4.7 Cumplimiento, información y auditoría

4.7.1 CMP ha obtenido certificaciones de terceros expuestas en el Centro de confianza en la página web de CMP, disponible en www.cm.com/trust-center/, que proporciona información sobre Medidas Técnicas y Organizativas, privacidad, cumplimiento, gestión de riesgos y seguridad de los datos. Previa solicitud por escrito del Comercio, y con sujeción a las obligaciones de confidencialidad establecidas en el Acuerdo, CMP deberá poner a disposición del Comercio, que no sea un competidor de CMP (o el auditor externo independiente del Comercio que no sea un competidor de CMP), una copia de las certificaciones de terceros que CMP haya obtenido más recientemente y de la información sobre la arquitectura y seguridad de TI, según proceda y se solicite razonablemente. El Comercio es responsable de evaluar la información que CMP pone a su disposición y de determinar si cumple con los requisitos y obligaciones del Comercio en virtud de las Leyes de Protección de Datos Aplicables. El Comercio acepta que la información proporcionada en virtud del presente documento servirá para cumplir con los derechos de auditoría del Comercio en virtud de las Leyes de Protección de Datos Aplicables.

4.7.2 En caso de que la información proporcionada por CMP sea insuficiente para demostrar el cumplimiento de este ATD, el Comercio tiene derecho a designar a un experto externo acreditado como máximo una vez al año para que audite los procedimientos relativos al Tratamiento de datos para el Comercio. CMP cooperará con dicha auditoría previa notificación por escrito con una antelación razonable de como mínimo diez Días laborables. El Comercio reembolsará a CMP el tiempo empleado por CMP en dicha auditoría según las tarifas de Servicios de CMP profesionales vigentes en ese momento, que se pondrán a disposición del Comercio previa solicitud. Antes del inicio de dicha auditoría, las Partes acordarán mutuamente el alcance, el momento y la duración de la auditoría, además de la tarifa de reembolso de la que será responsable el Comercio.

4.7.3 CMP tiene derecho a solicitar que el experto externo firme una declaración de confidencialidad en favor de CMP. La declaración de confidencialidad deberá contener los términos y condiciones que son habituales en este tipo de declaraciones. Cualquier informe o declaración que proporcione el experto externo deberá ponerse a disposición de CMP. El Comercio se asegurará de que la auditoría entorpezca las operaciones de CMP lo menos posible.

4.8 Registros

CMP mantendrá unos registros completos, exactos y actualizados de las actividades de Tratamiento llevadas a cabo en nombre de sus Comercios.

4.9 Filiales y Subencargados del Tratamiento

4.9.1 Algunas de las obligaciones de CMP en virtud del Acuerdo pueden ser ejecutadas por filiales de CMP. CMP es responsable del cumplimiento de este Acuerdo por parte de sus filiales.

4.9.2 El Comercio reconoce y acepta que (a) las filiales de CMP pueden ser contratadas como Subencargados del Tratamiento de datos; y (b) CMP y las filiales de CMP respectivamente pueden contratar a Subencargados del Tratamiento de datos externos en relación con la prestación de los Servicios de CMP. Siempre que CMP o una filial de CMP haya celebrado un acuerdo por escrito con cada Subencargado del Tratamiento que contenga obligaciones de protección de datos como mínimo igual de protectoras que las contenidas en el Acuerdo con respecto a la protección de Datos Personales en la medida aplicable a la naturaleza del Servicio de CMP prestado por dicho Subencargado del Tratamiento y CMP mantenga una lista actualizada de Subencargados del Tratamiento. La lista actual de Subencargados del Tratamiento de CMP está disponible en: www.cm.com/trust-center/privacy/. CMP informará al Comercio treinta (30) días antes de cualquier cambio con respecto a la lista de Subencargados. Dentro de ese plazo, el Comercio podrá oponerse al cambio de la lista de Subencargados del Tratamiento, siempre que dicha oposición se presente por escrito y se base en motivos razonables con respecto a las Leyes de Protección de Datos Aplicables. Las Partes harán un esfuerzo de buena fe para resolver la objeción del Comercio. Si la objeción no se resuelve en un plazo de treinta (30) días, cualquiera de las Partes podrá rescindir el Acuerdo.

4.9.3 CMP será responsable de cada uno de sus Subencargados del Tratamiento en la misma medida en que CMP sería responsable si prestase directamente los servicios de cada Subencargado del Tratamiento en virtud de los términos del Acuerdo.

4.10 Notificación de incumplimiento

Respecto a una Violación de la Seguridad de los Datos Personales, CMP deberá:

(a) notificar al Comercio una Violación de la Seguridad de los Datos Personales que implique a CMP o a un subcontratista sin demora indebida (pero en ningún caso más tarde de cuarenta y ocho horas después de tener conocimiento de la Violación de la Seguridad de los Datos Personales).

(b) prestar la cooperación y asistencia razonables al Comercio con respecto a cualquier acción que deba emprenderse en respuesta a una Violación de la Seguridad de los Datos Personales conforme a las Leyes de Protección de Datos Aplicables, como los artículos 33(3) y 34(3) del RGPD, incluida cualquier comunicación de la Violación de la Seguridad de los Datos Personales al Interesado y a las autoridades de protección de datos.

CMP investigará de inmediato cualquier Violación de la Seguridad de los Datos Personales y tomará las medidas razonables para identificar las causas principales y evitar que se repita. A medida que la información se recoja o se ponga a disposición de otro modo, a menos que se prohíba por la ley, CMP proporcionará al Comercio una descripción de la Violación de la Seguridad de los Datos Personales, el tipo de datos que fue objeto de la Violación de la Seguridad de los Datos Personales y la demás información que el Comercio pueda solicitar de manera razonable. Las Partes acuerdan de buena fe coordinar el desarrollo del contenido de cualquier declaración pública relacionada o notificación requerida para los Interesados afectados o las autoridades de protección de datos pertinentes.

5. Transferencia transfronteriza de datos

5.1 En la medida en que la contratación de un Subencargado del Tratamiento en virtud del art. 4.9 requiera un mecanismo de transferencia transfronteriza conforme a las Leyes de Protección de Datos Aplicables para transferir legalmente Datos Personales desde una jurisdicción (es decir, el Espacio Económico Europeo, el Reino Unido o cualquier otra jurisdicción pertinente) a un tercero situado fuera de esa jurisdicción, se aplicarán los siguientes términos.

5.2. El Comercio autoriza a CMP a transferir Datos Personales fuera de la jurisdicción en la que se encuentra CMP y en la que los Datos Personales se recibieron por primera vez, siempre que CMP se asegure de que dichas transferencias se ejecuten de acuerdo con este ATD y con un mecanismo legal de transferencia de datos que proporcione un nivel adecuado de protección en virtud de las Leyes de Protección de Datos Aplicables.

6. Almacenamiento, conservación y supresión de Datos Personales

6.1 CMP deberá Tratar y conservar datos, incluidos Datos Personales, de conformidad con la Legislación Aplicable y los reglamentos, incluidas, entre otras, la legislación nacional en materia de telecomunicaciones y las Leyes de Protección de Datos Aplicables. Los datos, incluidos los Datos Personales, que se envíen a la plataforma de CMP se Tratarán y almacenarán de acuerdo con la política de conservación de datos de CMP. Los Datos Personales no se conservarán durante más tiempo del necesario para la prestación de los Servicios de CMP conforme al Acuerdo, para los fines establecidos en el Acuerdo y en la medida en que lo exija o lo permita la Legislación Aplicable. CMP deberá desidentificar o despersonalizar los datos en datos anonimizados después del período de conservación correspondiente. Esto da lugar a datos que no contienen Datos Personales ni identificadores únicos que podrían utilizarse posteriormente para referirse a los Datos Personales a los que estaban vinculados.

7. Descripción del Tratamiento

7.1 Naturaleza y finalidad del Tratamiento

CMP Tratará los Datos Personales en la medida en que sea necesario para prestar los Servicios de CMP de conformidad con el Acuerdo, según se especifique con más detalle en el Acuerdo, y según lo indique el Comercio en el ámbito del Acuerdo.

7.2 Duración del Tratamiento

CMP tratará los Datos Personales durante la vigencia del Acuerdo y de conformidad con la cláusula 6 del presente ATD.

7.3 Categorías de Interesados

El Comercio puede enviar datos a CMP al utilizar el Servicio, cuyo contenido es determinado y controlado por el Comercio a su sola discreción, y que puede incluir, entre otros, Datos Personales relacionados con las categorías de Interesados que se enumeran en el Anexo 1.

7.4 Tipos de Datos Personales

El Comercio puede enviar Datos Personales a los Servicios de CMP, cuyo alcance determina y controla el Comercio a su sola discreción, y que pueden incluir, entre otras, las categorías de Datos Personales que se enumeran en el Anexo 1.

Anexo 1: Descripción de los interesados y categorías de Datos Personales

Interesados:

• Clientes o Clientes potenciales (que sean personas físicas) del Comercio o de sus clientes.;

• empleados, contratistas, asesores, autónomos o personas contratadas por (Clientes del) Comercio;

• personas de contacto de los Comercios potenciales, Comercios actuales y socios comerciales del Comercio;

• usuarios del Comercio autorizados por el Comercio para utilizar los Servicios de CMP.

Categorías de Datos Personales:

• Nombre del Cliente;

• Correo electrónico y/o número de teléfono del Cliente;

• Forma de Pago;

• Datos de la tarjeta;

• Datos de consumo;

• Datos de la Transacción;

• Datos de probabilidad de fraude.