Acuerdo de servicios de pago con tarjeta por Internet de PayPal (anteriormente denominado Acuerdo de Pasarela integral y Pagos por teléfono de PayPal)

 

>> Ver todos los acuerdos legales

Acuerdo de servicios de pago con tarjeta por Internet de PayPal (anteriormente denominado Acuerdo de Pasarela integral y Pagos por teléfono de PayPal)

Última actualización: 19 de agosto de 2019

Este Acuerdo de servicios de pago con tarjeta por Internet de PayPal ("Acuerdo") contiene las condiciones del acuerdo entre usted, como vendedor (en lo sucesivo, "usted", "su" o el "Vendedor") y PayPal (Europe) S.à r.l et Cie ("nosotros", "nuestro" o "PayPal").

PayPal tiene licencia como entidad de crédito de Luxemburgo y se encuentra bajo la supervisión prudencial de la autoridad supervisora de Luxemburgo, la Commission de Surveillance du Secteur Financier ("CSSF"). La CSSF tiene su domicilio social en L-1150 Luxemburgo.

 

Acerca de este Acuerdo

Este Acuerdo se aplica a usted si se encuentra registrado en PayPal como residente en España.

Usted acepta estar sujeto a los términos de estas condiciones de uso al integrar o usar cualquiera de los Productos o Servicios de pago con tarjeta por Internet.

Los Productos son:

  • Pasarela integral de PayPal: una serie de funcionalidades que consisten en la API de Pagos directos como servicio estándar y, como servicio adicional opcional, Pagos por teléfono.
  • Campos de tarjeta personalizados: un conjunto de funciones que consisten en la API de Interfaz personalizada como servicio estándar y el Filtro de administración de fraudes de la Interfaz personalizada, como un servicio adicional opcional; y
  • Pagos por teléfono: la funcionalidad de Pagos por teléfono como producto independiente.

Todos los productos incluyen uno o varios Servicios de pago con tarjeta por Internet.  Los Servicios de pago con tarjeta por Internet son:

  • API de Pagos directos: funcionalidad que permite realizar transacciones mediante tarjeta de crédito y débito, en las que el titular de la tarjeta introduce los datos de la tarjeta en Internet.
  • API de Interfaz personalizada: funcionalidad para realizar transacciones con tarjetas de crédito y débito, en las que el titular de la tarjeta introduce los datos de la tarjeta en Internet como alternativa a la API de Pagos directos.
  • Pagos por teléfono: funcionalidad proporcionada por PayPal que le permite recibir un pago con tarjeta introduciendo manualmente los Datos de la tarjeta que le haya proporcionado el titular de esta.

Las Condiciones de uso del Servicio de PayPal (que aquí denominamos las Condiciones de uso), el Acuerdo de entidad comercial y la Declaración de privacidad forman parte de este Acuerdo. Consulte la sección 5 para conocer las disposiciones relacionadas con la aplicación de estos otros documentos legales.

Podemos realizar modificaciones, eliminaciones o añadidos en este Acuerdo conforme al Proceso de cambios descrito en las Condiciones de uso. Si no está de acuerdo con algún Cambio, puede rescindir este Acuerdo según lo establecido en la sección 8 del mismo.

Consulte, descargue y guarde este Acuerdo.

 

1. Configuración y activación de su Producto

1.1 Introducción. Para obtener y utilizar su Producto, deberá realizar primero todas las acciones siguientes:

  1. Complete el proceso de solicitud de su Producto en Internet, abra una cuenta Business de PayPal (si todavía no tiene una) y siga las instrucciones indicadas en el proceso en Internet de PayPal para obtener y utilizar su Producto.
  2. Integre su Producto en el proceso de pago de su sitio web, si su Producto es una Pasarela integral de PayPal o la Interfaz personalizada. No es necesario integrar su Producto en el proceso de pago de su sitio web si tan solo utiliza Pagos por teléfono. PayPal no asume ninguna responsabilidad ante los problemas que puedan producirse al integrar su Producto en su sitio web activo. Usted es el único responsable de elegir, instalar, integrar y personalizar su Producto y de garantizar que se ajuste a sus necesidades.
  3. Active su Producto a través de una transacción de pago "real" la primera vez.

La Pasarela integral de PayPal solo se ofrece como integración alojada en PayPal. Si su producto es Interfaz personalizada, es posible que le permitamos integrar y utilizar la API de Interfaz personalizada como integración alojada en PayPal o integración propia.

Podemos definir cualquier Opción de alojamiento como predeterminada para la integración de la API de Interfaz personalizada en el proceso de pago de su sitio web.

1.2 Cancelaciones. PayPal puede rechazar su solicitud del Producto con motivo de su historial de crédito, el historial de PayPal o por cualquier otra razón que PayPal considere relevante. También reconoce y acepta que nosotros o nuestros agentes se reservan el derecho de rechazar su solicitud y la correspondiente suscripción para los Productos conforme a su criterio exclusivo, y PayPal podrá restringir asimismo su acceso a dichos Productos y el uso de los mismos sin incurrir en ningún tipo de responsabilidad frente a usted. Podemos cancelar su acceso o uso de cualquiera o todos los  Productos o rescindir este Acuerdo en cualquier momento antes de la Fecha de activación mediante notificación.

2. Tarifas

2.1 Cómo se pagan las tarifas. Acepta pagar las tarifas mencionadas en este Acuerdo conforme a su fecha de vencimiento, sin ningún tipo de compensación o descuento. Autoriza a PayPal a (y PayPal puede) cobrar las Tarifas mensuales primero de cualquier Saldo disponible en su cuenta y después de las fuentes de fondos registradas en su Cuenta, y autoriza igualmente a PayPal a (y PayPal puede) cobrar tarifas por recibir pagos que se deducirán de los importes que recibirá, antes de que dichos fondos se abonen en su cuenta. Si PayPal no puede cobrar una tarifa vencida del saldo de su Cuenta ni de las fuentes de fondos, emprenderemos acciones contra usted, tal como establece en las Condiciones de uso con relación al impago de tarifas. 

Excepto por lo dispuesto en este Acuerdo, usted acepta pagar las tarifas establecidas en estas Condiciones de uso.

Las tarifas se cargarán en la divisa del pago recibido.

2.2 Tarifas mensuales

Producto

Tarifa mensual

Pasarela integral de PayPal

15,00 EUR

Solo Pagos por teléfono

15,00 EUR

Interfaz personalizada

Ninguno

2.3 Tarifas por transacción para Pagos estándar de PayPal

La tarifa por recibir pagos nacionales (venta), según lo descrito en las Condiciones de uso, se aplica a los Pagos estándar de PayPal nacionales que reciba.

A partir del 19 de agosto de 2019 ya no se aplica la Tarifa para vendedor de PayPal. En lugar de la Tarifa para vendedor de PayPal, se aplica la tarifa por recibir pagos nacionales (venta), según lo descrito en las Condiciones de uso, a los Pagos estándar de PayPal que reciba.

2.4  Tarifas por transacción para Pagos con tarjeta

Las siguientes tarifas se aplican a cada pago nacional que reciba de los siguientes tipos de tarjetas usando los siguientes Productos:

Producto

Tipo de tarjeta

Tarifa

Pasarela integral de PayPal

Visa y Mastercard

 

Plan de tarifa Combinada

2,90 % + Tarifa fija

 

 

Plan de tarifa Interchange Plus

 

Tasa de intercambio

(varía aproximadamente del 0,20 % al 2,00 %)

 

+ 2,50 %

+ Tarifa fija

 

Pagos por teléfono

 

Visa y Mastercard

 

 

Plan de tarifa Combinada

2,90 % + Tarifa fija

 

 

Plan de tarifa Interchange Plus

 

Tasa de intercambio

(varía aproximadamente del 0,20 % al 2,00 %)

 

+ 2,50 %

+ Tarifa fija

Interfaz personalizada

 

Visa y Mastercard

 

 

Plan de tarifa Combinada

1,20 % + Tarifa fija

 

 

Plan de tarifa Interchange Plus

 

Tasa de intercambio

(varía aproximadamente del 0,20 % al 2,00 %)

 

+ 1,20 %

+ Tarifa fija

 

 

American Express

 

3,5 %

 

A partir del 19 de agosto de 2019 ya no se aplica la Tarifa para vendedor de PayPal. En lugar de la Tarifa para vendedor de PayPal, se aplica la tarifa estándar de PayPal.

 

2.5 Las Tarifas fijas se basan en la divisa recibida, de la forma siguiente:

Peso argentino:

2,00 ARS

Dólar de Nueva Zelanda:

0,45 NZD

Dólar australiano:

0,30 AUD

Corona noruega:

2,80 NOK

Real brasileño:

0,60 BRL

Peso filipino:

15,00 PHP

Dólar canadiense:

0,30 CAD

Zloty polaco:

1,35 PLN

Corona checa:

10,00 CZK

Rublo ruso

10,00 RUB

Euro:

0,35 EUR

Dólar de Singapur:

0,50 SGD

Corona danesa:

2,60 DKK

Corona sueca:

3,25 SEK

Dólar de Hong Kong:

2,35 HKD

Franco suizo:

0,55 CHF

Florín húngaro:

90 HUF

Nuevo dólar de Taiwán:

10,00 TWD

Nuevo shéquel israelí:

1,20 ILS

Baht tailandeses:

11,00 THB

Yen japonés:

¥40,00 JPY

Lira turca:

0,45 TRY

Ringitt de Malasia:

2 MYR

Libra esterlina de Reino Unido:

0,20 GBP

Peso mexicano:

4,00 MXN

Dólar estadounidense:

0,30 USD

 

2.6 Tarifa para vendedor

A partir del 19 de agosto de 2019 ya no se aplica la Tarifa para vendedor de PayPal.  En lugar de la Tarifa para vendedor de PayPal, se aplican las Tarifas por transacción descritas en las secciones 2.3 y 2.4, sin perjuicio del resto de esta sección 2.

2.7 Tarifas adicionales por transacción 

La tarifa por recibir pagos internacionales (venta) se aplica como se describe en las Condiciones de uso, excepto para los siguientes casos, en los que no se aplica:

  • Los pagos recibidos de tarjetas que utilicen los Servicios de pago con tarjeta por Internet sujetos al plan de tarifa Interchange Plus.

2.8 Informes mensuales sobre los costes de las transacciones. PayPal pondrá a su disposición informes mensuales sobre los costes de las transacciones (incluidas las tasas de intercambio) para aquellas transacciones con tarjeta que se procesen mediante pagos por Pasarela integral, Interfaz personalizada y Pagos por teléfono de PayPal. Estos informes podrán descargarse desde su cuenta PayPal. Los informes no incluyen ningún pago estándar de PayPal.

3. Elección del plan de tarifa Interchange Plus y el plan de tarifa Combinada

Puede elegir el plan de tarifa que le sea aplicable para la recepción de pagos con tarjeta a través de cualquiera de los Servicios de pago con tarjeta por Internet (incluso a través de la API de Pago directo, la API de Interfaz personalizada o Pagos por teléfono) mediante los métodos o procedimientos que PayPal pueda poner a su disposición. Si no realiza ninguna elección, seguirá utilizando el plan de tarifa existente.

Puede elegir su plan de tarifa solo para transacciones futuras, no para las pasadas.

Las Tasas de intercambio las establecen Visa y Mastercard. Van aproximadamente del 0,10% al 2,00% y dependen de los distintos tipos de tarjetas (por ejemplo, según la categoría y la marca). PayPal siempre le cargará la tasa de intercambio que hayan establecido Visa y MasterCard y tal como su adquiriente la haya comunicado. Las tasas de intercambio únicas pueden cambiar ocasionalmente. Para obtener más información sobre las Tasas de intercambio, consulte los sitios web de Mastercard y Visa, así como nuestra descripción general simplificada.

Si opta por que le cobren según el plan de tarifa Interchange Plus, acepta que, cuando PayPal reciba un pago con tarjeta a través de cualquiera de los Servicios de pago con tarjeta por Internet, PayPal puede tener esos fondos en la parte de la Cuenta de reserva de su Cuenta PayPal antes de que lleguen a la parte de la Cuenta de pago de su Cuenta PayPal. Usted indica a PayPal que pague dichos fondos a su Cuenta de pago solo el Día laborable en que PayPal reciba la información sobre la tasa de intercambio aplicable al pago con tarjeta.  Mientras los fondos se retengan en su Cuenta de reserva, la transacción aparecerá como "Pendiente" en los detalles de su Cuenta. PayPal no considera que los ingresos del pago con tarjeta en su Cuenta de reserva están a su disposición hasta que PayPal haya recibido la información sobre la tasa de intercambio aplicable procedente de nuestro Procesador (que puede ser en el plazo del día laborable siguiente al día en el que el titular de la tarjeta haya iniciado el pago).

4. Seguridad de la información y protección de datos

4.1 Cumplimiento del Programa de seguridad de datos. Acepta (como "Vendedor") cumplir el Anexo 1 siguiente, que forma parte de este Acuerdo.

4.2 Cumplimiento de la norma PCI DSS por su parte. También acepta cumplir con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), según se aplique a su caso específico. Debe proteger todos los Datos de la tarjeta en la medida que dependa de usted de acuerdo con la PCI DSS, y debe diseñar, mantener y gestionar su sitio web y otros sistemas de conformidad con la PCI DSS. Debe asegurarse de que su personal haya recibido y siga recibiendo formación suficiente para conocer la norma PCI DSS y pueda cumplir sus requisitos. PayPal no se hace responsable de los costes en que pueda incurrir en relación con el cumplimiento de la PCI DSS. Encontrará más información sobre la norma PCI DSS en el sitio web del Consejo de Estándares de Seguridad del PCI: https://www.pcisecuritystandards.org/pci_security/.

4.3 Cumplimiento de la norma PCI DSS de PayPal. PayPal garantiza que PayPal y su Producto cumplen y cumplirán la norma PCI DSS.  Sin embargo, el cumplimiento de PayPal y su Producto no es suficiente para lograr el cumplimiento de la norma PCI DSS por su parte y por la de sus sistemas y procesos.

4.4 3D Secure. Los requisitos del Banco Central Europeo y los reguladores bancarios de PayPal requieren el uso de 3D Secure en determinadas circunstancias, mientras que es posible que las asociaciones de tarjetas lo necesiten para reducir un número excesivo de transacciones con tarjeta no autorizadas por el titular de la tarjeta. Es posible que PayPal requiera que implemente 3D Secure para todas o determinadas Transacciones con tarjeta especificadas.  Acepta implementar 3D Secure si es necesario en dicho aviso, donde el emisor de una tarjeta especial admite 3D Secure para esa tarjeta.

4.5 Precio y divisa. No puede enviar transacciones de pago en las que el importe se haya obtenido mediante la conversión dinámica de divisas. Esto significa que no puede poner en venta un artículo en una divisa y, después, aceptar el pago en una divisa distinta. Si acepta pagos en más de una divisa, debe publicar el precio por separado para cada divisa.

4.6 Cumplimiento del Programa de protección de datos. Acepta (como "Vendedor") cumplir el Anexo 2 siguiente, que forma parte de este Acuerdo. Los términos del Programa de protección de datos prevalecerán sobre las condiciones de este Acuerdo relativas a la privacidad y protección de datos que entren en conflicto con dichos términos.

5. Cómo se aplican nuestros otros documentos legales

5.1 Si desea consultar este Acuerdo, las Condiciones de uso, los Acuerdos de entidades comerciales y la Declaración de privacidad, vaya a la página de acuerdos legales haciendo clic en el vínculo "Acuerdos legales" que se encuentra en la parte inferior de cualquier página web de PayPal.

5.2 Condiciones de uso. Las Condiciones de uso forman parte de este Acuerdo. En la medida de lo posible, este Acuerdo y las Condiciones de uso deben interpretarse en conjunto. Cuando surja un conflicto de interpretación, este Acuerdo anula las Condiciones de uso en lo referente al conflicto, excepto en relación con el uso de cualquiera de los Productos o Servicios de pago con tarjeta por Internet como parte de nuestra nueva solución de pago según lo establecido en las Condiciones de uso.

Los términos que comienzan con mayúscula que no estén definidos en este Acuerdo tienen el significado establecido en las Condiciones de uso. La definición de "Servicios" y "Acuerdo" en las Condiciones de uso, leída junto a estas condiciones, incluye los Productos y este Acuerdo.. Las Condiciones de uso incluyen disposiciones importantes que:

  1. Permiten a PayPal establecer una Reserva para garantizar que cumple con su obligación de pagar posibles devoluciones de cargo, cancelaciones y tarifas;
  2. Le obligan a cumplir la Política de uso aceptable de PayPal a la hora de utilizar PayPal;
  3. Otorgan efectos jurídicos a la Política de privacidad de PayPal, que rige nuestro uso y revelación de su información y de la de los Clientes compartidos; y
  4. Permiten a PayPal restringir un pago o su cuenta PayPal en las circunstancias indicadas en las Condiciones de uso.

Debe asumir su responsabilidad por las devoluciones de cargo, cancelaciones y otros pagos invalidados conforme a las Condiciones de uso, independientemente de la forma en que use y configure su Producto, incluida su tecnología de filtrado de fraude y herramientas preventivas similares (si existen). Dichas herramientas pueden resultar útiles para detectar casos de fraude y evitar problemas de impago, pero no afectan a la responsabilidad adquirida conforme a las Condiciones de uso en relación a devoluciones de cargo, cancelaciones y pagos que se hayan invalidado de cualquier otra manera.

5.3 Acuerdo de entidad comercial. Al aceptar las condiciones de este Acuerdo, también acepta los Acuerdos de entidades comerciales.  Son los acuerdos directos entre usted y las Instituciones adquirientes,  los socios bancarios de PayPal, que le permiten recibir pagos con tarjeta y pagos con tarjeta a través de PayPal.

5.4 Declaración de privacidad. Confirma que ha leído, consentido y aceptado la Declaración de privacidad de PayPal, en la que se explican los datos que obtenemos sobre usted y su empresa en Internet. En particular, acepta y consiente que PayPal pueda obtener su historial de crédito e información financiera de terceros en lo que respecta a su capacidad para cumplir sus obligaciones bajo este Acuerdo; en la Declaración de privacidad de PayPal se enumeran las empresas involucradas en este intercambio de información crediticia. PayPal revisará su crédito y otros factores de riesgo correspondientes a su cuenta (devoluciones de cargo y cancelaciones, reclamaciones de clientes, recursos, etc.) de forma periódica y también es posible que revisemos su sitio web y los productos que están en venta en él. PayPal almacenará, utilizará y revelará toda la información que tenemos sobre usted de acuerdo con la Declaración de privacidad de PayPal.

5.5 Condiciones adicionales para la aceptación de tarjetas American Express

Si le permitimos recibir pagos de tarjetas American Express, se le aplicará la presente sección 5.5.

5.5.1 Comunicaciones comerciales de marketing.  American Express puede utilizar la información obtenida en su solicitud en el momento de la configuración para analizar o supervisar sus actividades con fines administrativos y de marketing relacionados con la tarjeta.  Al aceptar estas condiciones, acepta recibir comunicaciones comerciales de marketing de American Express. Puede darse de baja mediante notificación comunicándose con nosotros. Visite nuestra página <Ayuda y Contacto>, accesible desde sus Condiciones de uso y desde la mayoría de las páginas web de PayPal, para saber cómo ponerse en contacto con nosotros.  Si opta por no recibir comunicaciones comerciales de marketing, seguirá recibiendo mensajes importantes sobre las transacciones y sobre su relación con American Express.

5.5.2 Aceptación directa de la tarjeta.  Reconoce que, si alcanza ciertos volúmenes de ventas mensuales o anuales relacionados con American Express según los determine American Express en este momento y cada cierto tiempo, American Express podría exigirle que establezca una relación contractual directa con ellos. En esta situación, American Express fijará los precios de las transacciones de American Express, y usted pagará las tarifas de las transacciones de American Express directamente a American Express.

5.5.3 Derechos de auditoría. American Express podría realizar una auditoría de sus actividades en cualquier momento con el propósito de garantizar el cumplimiento de las normas de American Express.

5.5.4 Derechos de envío de información y liquidación.  Autoriza a PayPal a enviar transacciones a American Express y a recibir liquidaciones de ella, y a revelar información sobre las transacciones y los vendedores a American Express para realizar análisis y crear informes, y para cualquier otro propósito comercial legal, incluidas las comunicaciones comerciales de marketing, y las comunicaciones importantes sobre las transacciones y sobre su relación con American Express. El vendedor puede rescindir su aceptación de American Express en cualquier momento previa notificación.

5.5.5 Tercero beneficiario.  American Express será un tercero beneficiario de este Acuerdo a efectos de la aceptación de la tarjeta American Express. Como tercero beneficiario, American Express tendrá derecho a obligarle directamente a cumplir las condiciones de este Acuerdo en relación con la aceptación de la Tarjeta American Express. Reconoce y acepta que American Express no tendrá responsabilidad alguna con respecto a las obligaciones de PayPal hacia usted en virtud de este Acuerdo.

5.5.6 Presentación de tarjeta, terminales desatendidos y quioscos de pago.  No aceptará tarjetas American Express para ningún pago cubierto por este Acuerdo cuando la tarjeta (i) se presente en el punto físico de la compra o transacción; (ii) se utilice en establecimientos desatendidos (por ejemplo, terminales activados por el cliente) o (iii) se presente en un quiosco de pago.  Además, se le prohíbe proporcionar o poner a disposición de cualquier titular de una tarjeta American Express que se encuentre en su ubicación física un ordenador o una interfaz conectada a Internet que permita al titular de la tarjeta American Express acceder a su cuenta PayPal.

6. Propiedad intelectual y códigos de identificación

6.1 Licencia. PayPal le concede por el presente documento una licencia limitada, no exclusiva, intransferible, revocable y no sublicenciable para (a) utilizar su Producto de acuerdo con la documentación proporcionada en el sitio web de PayPal; y para (b) utilizar la documentación proporcionada por PayPal para su Producto y reproducirla solo para uso interno en su empresa. La licencia de su Producto está sujeta a cambios y evolucionará junto con el resto del sistema de PayPal. Consulte la sección 9.1. Usted debe cumplir con los requisitos de implementación y uso recogidos en toda la documentación de PayPal y las instrucciones que acompañan al Producto emitidas por PayPal ocasionalmente (lo que incluye, sin limitación, cualquier requisito de implementación y uso que le impongamos para cumplir con las leyes, y las normas y regulaciones sobre tarjetas que correspondan).
6.2 Códigos de identificación. PayPal puede proporcionarle determinados códigos de identificación específicamente creados para usted. El uso de esos códigos puede ser necesario para que el sistema de PayPal procese sus instrucciones (o de su sitio web). Acepta igualmente seguir las precauciones necesarias recomendadas por PayPal periódicamente para proteger la seguridad de esos códigos de identificación; véase también el Anexo 1. Si no puede proteger la seguridad de los códigos de la forma recomendada, deberá notificarlo a PayPal en la mayor brevedad posible, de manera que PayPal pueda cancelar y volver a generar los códigos. PayPal también puede cancelar los códigos si tiene motivos para creer que se ha comprometido la seguridad de los mismos, y tras habérselo notificado si las circunstancias lo permiten.

6.3 Propiedad de la Pasarela integral de PayPal e información y materiales de la Interfaz personalizada.  Como parte del acceso y uso de la Pasarela integral de PayPal y la Interfaz personalizada se le proporcionará información y materiales (los "Materiales de productos") para que los use con los Productos.  Todos los derechos de propiedad intelectual asociados a estos materiales siguen siendo propiedad de PayPal o la Institución adquiriente (como puede ser el caso).  Acepta no dar, transferir, asignar, renovar, vender ni revender (en parte o en su totalidad) los Materiales Pro a cualquier persona.

6.4 Pasarela integral de PayPal y su propiedad intelectual. Por el presente concede a PayPal una licencia mundial, no exclusiva y libre de derechos de autor para utilizar su nombre, imágenes, logotipo, marca comercial, marca de servicio o nombre de servicio, o los de sus filiales, de la forma en que los haya proporcionado a PayPal al utilizar los Productos ("Sus marcas") y con el único propósito de permitirle el uso de dichos Productos (incluida, entre otros, la personalización de su Producto alojado). La titularidad y propiedad de Sus marcas, y de todos los fondos de comercio derivados del uso que se haga de ellas en virtud de este documento seguirán perteneciéndole. Usted declara y garantiza que dispone de la autoridad para conceder a PayPal el derecho a utilizar Sus marcas y que eximirá a PayPal de cualquier reclamación o pérdida que pueda sufrir derivada del uso de Sus marcas en relación a los Productos.

7. Filtro de administración de fraudes de la Interfaz personalizada

Si se le ofrece y decide usar el Filtro de administración de fraudes de la Interfaz personalizada, se aplicarán las condiciones del Anexo 3 al uso de esa funcionalidad.

8. Rescisión y suspensión

8.1 Por su parte. Usted puede rescindir este Acuerdo notificando con 30 días de antelación al Servicio de atención al cliente de PayPal su intención de:

  1. rescindir únicamente este Acuerdo. En segundo caso, el Servicio de Atención al Cliente de PayPal confirmará la rescisión por correo electrónico. Esta opción le permite dejar de utilizar y pagar sus Productos, pero su cuenta PayPal permanecerá abierta con las respectivas Condiciones de uso aplicables en vigor; o
  2. Cerrar la cuenta PayPal que utiliza con su Producto (consulte las Condiciones de uso para obtener más información). Esta opción rescinde el presente Acuerdo, permitiéndole dejar de utilizar y pagar sus Productos, e inicia el proceso de cierre de su Cuenta PayPal.  Su cuenta PayPal permanecerá abierta y las Condiciones de uso en vigor hasta que el cierre de la Cuenta PayPal surta efecto, sujeto al resto de disposiciones relacionadas con el cierre de la Cuenta incluidas en las Condiciones de uso.

Si usa solamente la Interfaz personalizada, puede informar de inmediato al Servicio de atención al cliente de PayPal para rescindir este Acuerdo o cerrar la Cuenta PayPal que usa con la Interfaz personalizada, tal y como se describe en las secciones a. y b. anteriores.

Puede dejar de usar la Interfaz personalizada en cualquier momento mediante notificación previa al Servicio de atención al cliente de PayPal de su intención de dejar de usar únicamente la Interfaz personalizada.  El Servicio de atención al cliente de PayPal le confirmará la detención del servicio por correo electrónico. Esta opción le permite dejar de utilizar la Interfaz personalizada y pagar cualquier transacción futura, pero su Cuenta PayPal permanecerá abierta, y este Acuerdo y las Condiciones de uso seguirán en vigor. Puede volver a usar la Interfaz personalizada en cualquier momento ateniéndose a este Acuerdo, con las enmiendas correspondientes. 

Puede dejar de aceptar pagos con la tarjeta American Express usando los Productos en cualquier momento mediante notificación previa al Servicio de atención al cliente de PayPal. 

Visite nuestra página <Ayuda y Contacto>, accesible desde sus Condiciones de uso y desde la mayoría de las páginas web de PayPal, para saber cómo ponerse en contacto con nosotros para poder adoptar las medidas descritas anteriormente.

8.2 Por PayPal. PayPal puede rescindir el presente Acuerdo o cualquier parte concreta del Producto si realiza cualquiera de las siguientes acciones:

  1. Notificándole con dos meses de antelación por correo electrónico a la dirección de correo electrónico registrada asociada a su Cuenta la intención de PayPal de rescindir este Acuerdo o cualquier parte concreta del Producto. A no ser que se notifique de otro modo, esta opción no afecta a sus Condiciones de uso y su cuenta PayPal permanecerá abierta.
  2. Rescindiendo las Condiciones de uso correspondientes a la cuenta PayPal que utilice con su Producto. Su cuenta PayPal permanecerá abierta y las Condiciones de uso en vigor hasta que el cierre de la Cuenta PayPal surta efecto, sujeto al resto de disposiciones relacionadas con el cierre de la Cuenta incluidas en las Condiciones de uso.

8.3 Por sucesos. PayPal puede terminar este Acuerdo inmediatamente sin previo aviso si:

  1. Incumple este Acuerdo o las Condiciones de uso;
  2. No puede cumplir el pago o las obligaciones en su fecha de vencimiento;
  3. Queda sujeto a un acto concursal, tras haber enviado PayPal un requerimiento al administrador por correo postal con acuse de recibo sin obtener respuesta, de acuerdo con la ley aplicable;
  4. Se produce un cambio negativo importante en su empresa, en las operaciones o en su situación financiera; o
  5. Proporciona información poco precisa a la hora de solicitar su Producto o en los trámites realizados con nosotros.

8.4. Efectos de la rescisión. Cuando se rescindan estas Condiciones de uso o cualquier parte de las mismas, deberá dejar de usar los Productos rescindidos de inmediato y, por tanto, PayPal puede impedir su uso después de la rescisión. Si a pesar de todo utiliza un Producto tras la rescisión de este Acuerdo, éste se seguirá aplicando a su uso de ese Producto hasta que haga efectiva la rescisión dejando de utilizarlo. Las siguientes cláusulas de este Acuerdo sobrevivirán a la rescisión del presente Acuerdo y seguirán teniendo validez: cláusulas 2, 4.1, 8.2, 8.4. La rescisión de este Acuerdo o cualquier parte del mismo no afectará a ningún derecho, recurso u obligación de las partes que haya devengado o vencido antes de la rescisión y usted no tendrá derecho al reembolso de ninguna Tarifa mensual aplicable a cualquier período previo a la rescisión.

8.5 Incumplimiento y suspensión. Si incumple este Acuerdo, las Condiciones de uso o un requisito de seguridad impuesto por el estándar DSS de la PCI, PayPal suspenderá inmediatamente el uso de este Producto por su parte. PayPal puede exigirle que lleve a cabo acciones correctivas específicas para subsanar la infracción cometida y eliminar la suspensión, a pesar de que ninguna de las disposiciones de este Acuerdo impide a PayPal recurrir a cualquier otro remedio disponible para solucionar el incumplimiento. Además, si PayPal tiene sospechas razonables de que puede haber incumplido este Acuerdo o el estándar DSS de la PCI, PayPal podrá suspender su uso del Producto hasta que se investigue más a fondo.

Si PayPal suspende su acceso o uso de la Pasarela integral de PayPal o la Interfaz personalizada, PayPal le notificará y explicará la base de las acciones de PayPal para suspender el uso de su Producto, y puede especificar acciones correctivas para solucionar el incumplimiento y revocar la suspensión. La suspensión por parte de PayPal del acceso del Vendedor a la Pasarela Integral de PayPal o la Interfaz personalizada, o su uso de estos, se mantendrá hasta el momento en que PayPal considere que el Vendedor ha subsanado las infracciones relevantes.

9. Varios

9.1 Futuro de los Productos. PayPal se reserva el derecho exclusivo y a su entera discreción de determinar (a) la evolución y el desarrollo de los Productos, (b) las mejoras que vaya a realizar en ellos y el momento en que lo haga, y (c) la decisión de corregir posibles defectos y el momento de hacerlo, así como la implementación de nuevas funciones. PayPal agradecerá cualquier opinión de los usuarios para planificar el desarrollo de los Productos, pero no tiene la obligación de actuar conforme a ninguna de las opiniones recibidas. Al proporcionarnos sus comentarios, acepta no reclamar ningún interés de propiedad intelectual por los mismos.

9.2 Exclusión de garantía. Su Producto y toda la documentación incluida con el mismo se proporcionarán en su estado actual.

Dentro de los límites permitidos por la ley pertinente, PayPal no otorga ni ofrece ninguna garantía, explícita ni implícita, por intervención legal o de otro modo, en relación con:

  • su Producto;
  • el software con licencia; y
  • la documentación proporcionada al usuario.

Nada de lo que le proporciona PayPal para su Producto, en virtud de este Acuerdo o de otra manera, tiene la autorización de PayPal para incluir una garantía.

La prestación de los siguientes servicios no implicará ninguna obligación ni responsabilidad por parte de PayPal:

  • asesoría técnica;
  • asesoramiento en la programación; u
  • otro asesoramiento o servicio,

en relación con cualquier Producto, software con licencia y documentación proporcionada al usuario.  Esto incluye, entre otros aspectos, servicios que pueden ayudarle con la personalización de su Producto.

PayPal le recomienda que pruebe la implementación de su Producto de forma exhaustiva, ya que no asumiremos responsabilidad alguna ante cualquier pérdida o daño causado por defectos en él.

Si PayPal aloja su Producto (es decir, ejecutamos el software por usted como servicio web), PayPal no garantiza un acceso continuo, ininterrumpido o seguro a su Producto alojado.

PayPal no será responsable de ningún retraso o error en el alojamiento de su Producto.

Entiende que la disponibilidad de su Producto para su uso puede verse limitada ocasionalmente para poder efectuar reparaciones, trabajos de mantenimiento o la introducción de nuevas funcionalidades o servicios.

Algunos países no permiten la renuncia de responsabilidad de garantías implícitas, por lo que es posible que las renuncias de responsabilidad anteriores no se apliquen a usted.

9.3 Indemnización. Acepta indemnizar a PayPal y eximirlo de toda responsabilidad por cualquier pérdida, responsabilidad o daño directos, y por cualquier reclamación, demanda o coste (incluidos los honorarios razonables de un abogado) en que incurra, en relación a un tercero (incluidos los Clientes compartidos) y que se deriven del incumplimiento de este Acuerdo, las Condiciones de uso y los documentos incorporados al mismo por referencia (incluida la Política de uso aceptable), o de la infracción de cualquier ley.

9.4 Cesión, modificación y renuncia. No puede ceder este Acuerdo sin previo consentimiento por escrito de PayPal. PayPal puede ceder, renovar o transferir de otro modo este Acuerdo sin su consentimiento, previa notificación. Ninguna parte podrá modificar este Acuerdo ni renunciar a los derechos adquiridos bajo el mismo, a no ser que se establezca de tal manera en un documento por escrito firmado por las dos partes.

9.5 Legislación y jurisdicción española. Este acuerdo se rige por la legislación española. Usted y nosotros nos sometemos a la jurisdicción no exclusiva de los tribunales de España.

10. Definiciones

Los términos que comiencen por mayúscula que no aparezcan en esta sección tendrán el significado establecido en las Condiciones de uso.

3D Secure:  procedimiento de seguridad que permite al banco emisor de la tarjeta autentificar al titular de la tarjeta para autorizar una Transacción con tarjeta en el momento en que se realiza el pago.  3D Secure tiene otras marcas que dependen de la Asociación de tarjetas cuya marca aparece en la tarjeta; las marcas para 3D Secure incluyen Verified by Visa y Mastercard SecureCode.

Institución adquirente: se refiere a una institución financiera o un banco que le proporciona servicios a usted para permitirle (a) aceptar el pago por parte de Titulares de tarjetas que usan tarjetas y (b) recibir valor en relación a Transacciones de tarjetas.

Fecha de activación: fecha en que complete todos los pasos para "empezar" según lo indicado en la sección 1.

Filtros de administración de fraudes avanzados : tecnología proporcionada por PayPal que le permite (a) comprobar el pago con tarjeta frente a criterios como la dirección de facturación del titular (servicio de verificación de direcciones o AVS), los datos CVV2 de la tarjeta y las bases de datos de direcciones, identificadores y patrones sospechosos. Consulte el sitio web de PayPal y la documentación del producto para obtener más información. Los Filtros de administración de fraudes avanzados ofrecen un mayor nivel de verificación de transacciones, y las transacciones pueden marcarse, revisarse o rechazarse automáticamente según la forma en que configura los filtros.

Datos de AVS:  información devuelta por el sistema de verificación de direcciones operado por o en nombre de las asociaciones de tarjetas, que compara los datos de la dirección facilitados por un titular de tarjeta aparente con los datos de la dirección archivados para la tarjeta en el emisor de la tarjeta.

Asociación de tarjetas: una empresa o consorcio de instituciones financieras que dictan las normativas que regulan las Transacciones con tarjeta que ostentan la marca de la empresa o el consorcio. Entre los ejemplos de estas asociaciones se incluyen Visa USA, Visa Europe y otras regiones de Visa; MasterCard International Incorporated; American Express Company y organizaciones similares.

Datos de la tarjeta: toda la información personal y financiera relevante de una Transacción con tarjeta, incluida la información registrada en la tarjeta en sí (tanto en formato legible a simple vista o digitalmente).

Transacción con tarjeta: un pago realizado mediante una tarjeta de crédito o débito, o cualquier otra forma de pago en la que se emplee un soporte físico que contenga datos y que deba estar en posesión del pagador. Los Productos solo admiten determinados tipos de Transacciones con tarjeta; visite el sitio web de PayPal para obtener más información.

Sistemas críticos:  la tecnología de la información (hardware y software) que emplea para gestionar sus Productos, protegerlos y sus puntos de venta en Internet frente a la intrusión y la interferencia, así como para almacenar datos personales y relacionados con el pago, incluidos todos los Datos de la tarjeta que retenga y todos los datos personales sobre los Clientes compartidos.

API de Interfaz personalizada: Servicio de pago con tarjeta por Internet, tal como se define en la sección Acerca de su Acuerdo.

Filtro de administración de fraudes de Interfaz personalizada: tecnología proporcionada por PayPal que le permite (a) comprobar el pago con tarjeta frente a criterios como la dirección de facturación del titular (servicio de verificación de direcciones o AVS), los datos CVV2 de la tarjeta y las bases de datos de direcciones, identificadores y patrones sospechosos, ofrecida junto con la API de Interfaz personalizada como alternativa a los Filtros de administración de fraudes avanzados.

Interfaz personalizada: Producto definido en la sección Acerca de su Acuerdo.

Datos CVV2: el número de tres dígitos impreso a la derecha del número de la tarjeta en el área de la firma que se encuentra en la parte posterior de la tarjeta. (Para las tarjetas American Express, el código es un número de cuatro dígitos sin relieve impreso sobre el número de la tarjeta en la parte frontal de la tarjeta American Express.) Los Datos CVV2 se asocian exclusivamente a cada tarjeta de plástico individual y fijan el número de cuenta de la tarjeta al plástico.

Vulneración de datos:  una intrusión o mal funcionamiento de un sistema informático en el que se almacenan los datos de la tarjeta, y cuya intrusión o funcionamiento defectuoso (a) expone, modifica o destruye la totalidad o parte de los datos de la tarjeta en el sistema, o (b) corre un riesgo significativo, en opinión de un experto calificado en seguridad de la información, de exponer, modificar o destruir la totalidad o parte de los datos de la tarjeta en el sistema.  Los datos de la tarjeta se exponen cuando se liberan de los controles de acceso normales del sistema sin autorización, o cuando se divulgan a una o más personas no autorizadas.

Reglamento general de protección de datos:  Reglamento (UE) 2016/679 (Reglamento General de protección de datos) o cualquier sucesor del mismo, junto con todas las demás leyes relativas a la privacidad de los ciudadanos o residentes del estado miembro del Espacio Económico Europeo en el cual reside o se establece como empresa comercial.

API de Pagos directos: Servicio de pago con tarjeta por Internet, tal como se define en la sección Acerca de su Acuerdo.

Pagos por teléfono: funcionalidad proporcionada por PayPal que le permite recibir un pago con tarjeta introduciendo manualmente los Datos de la tarjeta que le haya proporcionado el titular de esta. Pagos por teléfono es uno de los Servicios de pago con tarjeta por Internet y un Producto independiente, tal como se define en la sección Acerca de su Acuerdo.

Pago exprés: función para agilizar el pago minorista en línea utilizando la información que le proporciona PayPal. Los detalles sobre Pago exprés aparecen en el sitio web de PayPal y en la documentación que PayPal ofrece para Pasarela Integral de PayPal e Interfaz personalizada.

Opción de alojamiento:  cualquiera de los siguientes: (i) integración alojada en PayPal; o (ii) una integración propia.

Tarifa mensual: una tarifa que se paga mensualmente según se requiere en la sección 2 anterior.

Servicios de pago con tarjeta por Internet: funcionalidad proporcionada en Internet por PayPal que permite que los vendedores reciban pagos directamente desde la tarjeta de un pagador (sin que los fondos pasen a través de la cuenta PayPal del pagador) sin la presencia de la tarjeta en el sitio web u otro punto de venta. Los Servicios de pago con tarjeta por Internet forman parte de Productos. Los Servicios de pago con tarjeta en Internet se muestran y se definen en la sección Acerca de su Acuerdo.

Integración alojada en PayPal: la API de Pagos directos o la API de Interfaz personalizada se integraron en el proceso de pago de su sitio web conforme a la sección 1 con esa funcionalidad operada (incluido el campo de entrada de la tarjeta alojada) en su totalidad en el servidor de PayPal (en lugar de en su sitio web).

Pasarela Integral de PayPal: Producto definido en la sección Acerca de su Acuerdo.

Sitio web de PayPal: el sitio web proporcionado por PayPal para el país en el que usted reside. En el caso de España, el sitio web de PayPal se encuentra actualmente en http://www.paypal.es. Puede encontrar referencias a los sitios web de PayPal de otros países a través de un vínculo disponible en cualquiera de los sitios web de PayPal.

Producto(s): "Su Producto" hace referencia a cualquiera de los Productos a los que obtenga acceso y utilice tras aceptar este Acuerdo. Los Productos se muestran y se definen en la sección Acerca de su Acuerdo.

El Asesor de seguridad cualificado tiene el significado que se le da en la PCI DSS.

Integración propia: La API de Pagos directos de PayPal o la API de Interfaz personalizada integrada en el proceso de pago de su sitio web conforme a la sección 1 con esa funcionalidad operada (incluido el campo de entrada de la tarjeta alojada), como mínimo parcialmente en su sitio web.

Cliente compartido: persona que tiene una Cuenta PayPal y es, además, su cliente.

Pagos estándar de PayPal: todos los pagos que reciba de otra cuenta PayPal o de pagos a través del Servicio opcional de cuenta PayPal o de Formas de pago locales.

Condiciones de uso: el acuerdo contraído en Internet como parte del proceso de registro en Internet necesario para abrir una Cuenta PayPal. Puede consultar las Condiciones de uso actuales a través del vínculo que aparece en el pie de página de prácticamente todas las páginas del sitio web de PayPal. Incluyen una serie de políticas, entre las que destacan la Política de uso aceptable, que también encontrará en el Sitio web de PayPal.

 

Anexo 1

Requisitos de seguridad de datos

Pasarela integral de PayPal, Interfaz personalizada y Pagos por teléfono le permiten aceptar pagos por Internet directamente con tarjetas de débito y crédito, que son instrumentos de pago cuya seguridad depende del control de la revelación de los Datos de la tarjeta. Una persona con datos de la tarjeta detallados puede enviar o recibir un pago con tarjeta cargado a la cuenta del titular de la tarjeta sin tener necesariamente la autorización del titular de la tarjeta del pago. Para evitar el mal uso de los datos de las tarjetas de sus Clientes compartidos, debe mantenerlos en secreto en todo momento. El Reglamento general de protección de datos también requiere que mantenga seguros los datos personales de un Cliente compartido.

PayPal recomienda encarecidamente que obtenga los servicios de un experto profesional competente en seguridad de la información para informarle y ayudarle a proteger su sitio web y cualquier otro punto de venta.

Principios de seguridad de datos

  1. Diseño y desarrollo. Debe diseñar y desarrollar sus Sistemas críticos y todos los procesos relacionados con el pago de modo que estén seguros frente a la intrusión e interferencia de personas no autorizadas. Se debe exigir que todos los usuarios de sus sistemas se autentiquen ellos mismos en sus Sistemas críticos y dichos Sistemas deben limitar el acceso y poderes de sus usuarios. Debe organizar su empresa para segregar deberes fundamentales y crear controles y puntos de comprobación en sus operaciones, en lugar de otorgar demasiado poder sin control sobre sus sistemas y operaciones a una persona. No dé nunca más poder a un usuario sobre sus sistemas y procesos que el mínimo necesario para que este realice su función asignada.
  2. Protección frente a intrusiones. Debe dividir sus operaciones en dos categorías básicas, (1) aquellas funciones disponibles para todos los usuarios, incluidas las externas a su organización y (2) aquellas disponibles solo para miembros de confianza de su organización. Debe emplear un cortafuegos para impedir que usuarios que no sean de confianza usen funciones solamente internas de sus Sistemas críticos. Sus servidores web y otras partes externas de sus Sistemas críticos deben usar tecnología bien desarrollada y minuciosamente probada y poner a disposición solo de forma externa aquellas funciones que son necesarias para su uso por parte de los Clientes compartidos y otros usuarios externos. Elimine todas las funciones superfluas de sus servidores externos para protegerlos (endurecerlos) y reducir su vulnerabilidad frente a ataques externos.
  3. Controles de acceso. Sus Sistemas críticos deben restringir el acceso a los datos de la tarjeta y al resto de datos personales o importantes solo a miembros de confianza de su organización y ninguno de dichos miembros debe tener mayor acceso a esos datos que lo necesario para que realice su función. Sus sistemas deben realizar un seguimiento y registrar todo acceso, uso, modificación y eliminación de los datos de la tarjeta y otros datos personales o importantes para que mantenga un registro de auditoría de todas esas acciones. También debe limitar el acceso a sus Sistemas críticos y los recursos de los que dependen tales como redes, cortafuegos y bases de datos.
  4. Minimización de datos. Como principio general, no debe reunir ni retener más datos de la tarjeta u otros datos confidenciales de lo necesario. La conservación de los datos de la tarjeta y los datos personales le crea a usted un riesgo de responsabilidad que puede reducir recabando y conservando menos datos. Si almacena datos de las tarjetas, considere atentamente la necesidad de hacerlo: PayPal debe reembolsar un pago sin la autorización de su pagador y si el usuario autoriza un futuro pago, también le volverá a proporcionar de forma general los datos de la tarjeta actualizados, por lo que es posible que tenga la pequeña necesidad de almacenar los datos de la tarjeta para utilizarlos en el futuro. Los datos de la tarjeta que no tenga son datos que no podrá divulgar si sufre un fallo en la seguridad de los datos.
  5. Cambios y pruebas.  Salvo en caso de emergencia, evite cambiar los Sistemas críticos sin planificar, probar y documentar en primer lugar el cambio, a menos que el cambio sea rutinario (p. ej., adición de un usuario, cambio de una contraseña, actualización de inventario y precios). En el caso de los cambios sistémicos principales o aquellos que puedan afectar a la seguridad o disponibilidad de sus Sistemas críticos, los cambios planificados deben escalarse para la aprobación por parte de administradores de alto rango distintos de los planificadores de dichos cambios. Implemente los cambios planificados en sus sistemas de producción solo después de que se hayan probado minuciosamente en un entorno de no producción. Realice todas esas pruebas bajo supervisión de su departamento de administración de riesgos o de otros de su empresa con una responsabilidad especial por sus pérdidas.
  6. Auditorías. Debe realizar la auditoría de las operaciones y la seguridad de sus Sistemas críticos al menos una vez al año. Esta auditoría de los sistemas debe ser distinta de cualquier auditoría de sus finanzas. Use expertos de confianza e independientes para realizar la auditoría de sus Sistemas críticos y si utiliza a sus empleados como auditores, garantice su independencia protegiendo su trabajo de represalias y aislándolos del trabajo de administración, operación, cambio y prueba de sus Sistemas críticos.
  7. Subcontratación y control organizativo. Debe asegurarse de que todas las personas que tengan acceso a sus Sistemas críticos o que diseñen, desarrollen, operen, mantengan, cambien, prueben y realicen la auditoría de sus Sistemas críticos cumplan este Acuerdo y la norma PCI DSS. Es responsable de garantizar el cumplimiento incluso si esas personas no son sus empleados.

Qué hacer en caso de un fallo en la seguridad de los datos

  1. Vulneración de datos. Si experimenta una Vulneración de datos, acepta hacer todo lo siguiente:
    1. Tomar las medidas necesarias para solucionar la Vulneración de datos y mitigar sus consecuencias inmediatamente después de su descubrimiento.
    2. Informe a PayPal lo antes posible tras el descubrimiento de la Vulneración de datos poniéndose en contacto con el administrador de su cuenta (si se le asigna alguno) o con nuestro Servicio de atención al cliente (los detalles de cómo ponerse en contacto con nosotros están en la página "Contactar"). Si no puede actuar (a) e informar a PayPal de forma simultánea, actúe (a) primero y, a continuación, informe a PayPal.
    3. Informar a todos los Clientes compartidos cuyos Datos de la tarjeta se hayan expuesto o que tengan posibilidades de haberse expuesto, de modo que puedan tomar medidas para evitar el uso indebido de los Datos de la tarjeta. Acepta llevar a cabo esta notificación inmediatamente después de realizar (a) y (b) anteriormente para informar a PayPal cuando la haya llevado a cabo y para proporcionar una lista de los Clientes compartidos a los que ha informado de este asunto. Si no completa este paso inmediatamente después de la Vulneración de datos, PayPal puede informar a los Clientes compartidos e identificará a los Clientes compartidos a partir de los registros de su Cuenta PayPal de quienes hayan pagado usando una tarjeta.
    4. En caso de que PayPal lo solicite, tener un auditor externo independiente, aprobado por PayPal, realizar una auditoría de seguridad de sus Sistemas críticos y emitir un informe. Acepta cumplir el requisito de PayPal establecido en esta sección asumiendo los gastos por cuenta propia. Debe proporcionar una copia del informe del auditor a PayPal, y PayPal proporcionará copias de este a los bancos (lo que incluye, con carácter enunciativo pero no limitativo, Instituciones adquirientes) y las Asociaciones de tarjetas implicadas en el procesamiento de transacciones con tarjeta para PayPal. Si no inicia una auditoría de seguridad transcurridos 10 días laborables desde la fecha de la solicitud de PayPal, emprenderemos u obtendremos dicha auditoría a su costa. Consulte también el anexo 1 de la auditoría.
    5. Cooperar con PayPal y seguir todas las instrucciones razonables de PayPal para evitar o mitigar las consecuencias de la Vulneración de datos, para mejorar sus Sistemas críticos de modo que cumplan los requisitos de este Acuerdo y ayudar a evitar futuras Vulneraciones de datos. Sin embargo, PayPal no le pedirá que haga más de lo que requiera este Acuerdo, a menos que las medidas adicionales sean razonables ante el riesgo a los Clientes compartidos y las prácticas recomendadas de la venta al por menor en Internet.
    6. Reanudar el funcionamiento normal de sus Sistemas críticos solo cuando haya determinado cómo se produjo la Vulneración de datos y seguido todos los pasos razonables para eliminar las vulnerabilidades que hicieron posible la Vulneración de datos o que pudieron hacer posibles otras;
    7. Informar de la Vulneración de datos a las autoridades del orden y cooperar en cualquier investigación que lleven a cabo para identificar y detener al autor de la Vulneración de datos.
    8. Abstenerse de usar los Datos de la tarjeta que se hayan expuesto o modificado en la Vulneración de datos. Sin embargo, esta sección no le impide obtener y usar de nuevo los Datos de las tarjetas de los Clientes compartidos afectados por la Vulneración de datos después de haberse subsanado las vulnerabilidades de sus Sistemas críticos de acuerdo con la sección (f) anterior.

Protección de datos

  1. Consulte el Anexo 2 para ver las condiciones de la Protección de datos.
  2. En blanco intencionadamente.

Datos de la tarjeta y PCI DSS

  1. Retención de los datos de la tarjeta. No puede conservar, controlar ni almacenar ningún Dato de la tarjeta a menos que reciba y registre el consentimiento explícito del titular de la tarjeta. Debe destruir por completo y de forma segura todos los datos de la tarjeta que retenga en un plazo de 24 horas tras recibir una decisión de autorización del emisor relevante a los datos de esa tarjeta.

    Si, con el consentimiento del titular de la tarjeta, conserva brevemente los datos de esta, solo podrá hacerlo en la medida en que los Datos de la tarjeta sean necesarios para procesar sus transacciones de pago con la autorización del titular de la tarjeta. Nunca deberá proporcionar ni revelar los datos de las tarjetas almacenados a ninguna persona, ni siquiera como parte de la venta de su negocio. Además e independientemente de cualquier disposición contraria, nunca debe retener ni revelar los datos de verificación e identificación de la tarjeta impresos en el área de firma del reverso de la tarjeta (es decir, los Datos CVV2), ni siquiera con el consentimiento del titular de la tarjeta.
  2. Datos de la tarjeta que no debe almacenar. Independientemente de la sección inmediatamente anterior, acepta no almacenar ningún dato referente al número de identificación personal (PIN), datos del AVS, datos CVV2 u otros datos obtenido de la banda magnética u otro servicio de almacenamiento digital de la tarjeta (a menos que los datos aparezcan también impresos o con relieve en el anverso de la tarjeta) de cualquier titular de la tarjeta. Las asociaciones de tarjetas pueden imponer multas si infringe esta sección, lo que refleja las reglas de la asociación de tarjetas.  En esta sección "almacenar" significa retener de cualquier forma, ya sea digital, electrónica, basada en papel o de otro tipo, pero no incluye la captura temporal ni retención de datos mientras se está procesando de manera activa (pero no después).
  3. Uso del vendedor de los datos de la tarjeta.  Acepta no usar ni revelar los Datos de la tarjeta excepto para obtener la autorización del emisor de la tarjeta, completar y liquidar la Transacción con tarjeta cuyos datos se le proporcionaron, además de resolver cualquier Devolución de cargo o Disputa por cancelación, o problemas similares relativos a las Transacciones con tarjeta. PayPal está obligado por las leyes bancarias a reembolsar pagos sin autorización del pagador, de modo que su uso de los datos de la tarjeta para realizar una transacción con tarjeta debe autorizarlo el titular de la tarjeta o estará sujeto a cancelación.
  4. Almacenamiento seguro y cancelación de los Datos de la tarjeta.  Acepta:
    1. establecer y mantener controles suficientes para limitar el acceso a todos los registros que contienen los Datos de la tarjeta;
    2. no vender ni revelar a terceros ningún Dato de la tarjeta ni información obtenida en relación con una Transacción con tarjeta;
    3. no guardar los Datos de la tarjeta en papel ni en dispositivos de almacenamiento digital portátiles como, por ejemplo, dispositivos de memoria USB o discos extraíbles;
    4. no reproducir ninguna firma del titular de una tarjeta capturada de forma electrónica a no ser que lo solicite expresamente PayPal; y
    5. destruir los Datos de la tarjeta destruyendo el soporte en el que se almacenan, o bien borrándolos o procesándolos completa e irreversiblemente para que sean ininteligibles y carentes de sentido.

      Si transfiere su empresa, los Datos de las tarjetas y cualquier información que tenga sobre las Transacciones con tarjeta no son transferibles en virtud de las reglas de la Asociación de tarjetas como activo de la empresa. En tales casos, acepta proporcionar los datos de las tarjetas y cualquier dato transaccional a PayPal si lo solicita. Si PayPal no solicita dichos datos, debe destruirlos al transferirse su empresa.

Auditoría de la norma PCI DSS.  Si PayPal lo solicita, acepta que un Asesor de seguridad cualificado pueda realizar una auditoría de seguridad de sus sistemas, controles y servicios y emitir un informe a PayPal y las Asociaciones. Acepta cooperar totalmente en la realización de esta auditoría y proporcionar cualquier información y acceso a sus sistemas que solicite el auditor para la realización de la auditoría. Asimismo, acepta incurrir los gastos razonables de esta auditoría. Si no inicia dicha auditoría tras solicitárselo PayPal, autoriza a PayPal a emprender tales acciones por cuenta del Vendedor; de lo contrario, PayPal puede suspender inmediatamente el uso que usted haga de su Producto. Recibirá una copia del informe de la auditoría y PayPal también debe recibir una y proporcionársela a cualquier Institución adquiriente o Asociación de tarjetas que la solicite.

 

Anexo 2

PROGRAMA DE PROTECCIÓN DE DATOS

Este Programa de protección de datos se aplica solo en la medida en que PayPal actúa como procesador o Subencargado del tratamiento para el Vendedor. Los términos en mayúsculas utilizados pero no definidos en este Anexo tendrán el significado establecido en el Acuerdo.

1 DEFINICIONES E INTERPRETACIÓN

1.1 Los términos detallados a continuación tienen los significados siguientes cuando se utilizan en este Anexo:

"Información de la tarjeta" se define en la sección 2.15 de este Anexo.

"Cliente" se refiere a un cliente de la Unión Europea de un Vendedor que utilice los servicios de PayPal y que, a efectos de este Anexo, sea un interesado.

"Datos de cliente" se refiere a los datos personales que el cliente proporciona al Vendedor y el Vendedor transfiere a PayPal cuando el Vendedor utiliza los servicios de PayPal.

"Controlador de datos" (o simplemente "controlador") y "encargado del tratamiento de datos" (o simplemente "encargado del tratamiento") e "interesado" tienen el significado que se les da en las Leyes de protección de datos.

"Leyes de protección de datos" se refiere al Reglamento General de Protección de Datos de la Unión Europea 2016/679 (RGPD) y todas las normas o instrumentos relacionados, así como cualquier otra ley, reglamento, requisito normativo y código de conducta de los Estados Miembros de la Unión Europea aplicables a la prestación de los servicios de PayPal.

"Destinatario de los datos" se define en la sección 2.15 de este anexo.

"Grupo PayPal" se refiere a PayPal y a todas las empresas que PayPal o su sucesor posea o controle, directa o indirectamente, de vez en cuando.

"Datos personales" tiene el significado que se le otorga en las Leyes de protección de datos.

"Procesamiento" tiene el significado que se le otorga en las Leyes de protección de datos y "proceso", "procesos" y "procesado(s)" se interpretarán en consecuencia.

"Subencargado del tratamiento" se refiere a cualquier procesador a quien PayPal o sus empresas afiliadas encarguen el procesamiento de datos personales.

1.2 Anexo. Este Anexo se compone de (i) las secciones 1 a 2, que son el cuerpo principal del Anexo; (ii) el Adjunto 1; (iii) el Adjunto 2; y (iv) el Adjunto 3 (con sus apéndices).

 

2 PROCESAMIENTO DE DATOS PERSONALES EN RELACIÓN CON LOS SERVICIOS

2.1 Controlador de datos del Vendedor. Con respecto a los Datos de clientes que PayPal deba procesar en relación con este Acuerdo, el Vendedor será un controlador y PayPal un procesador con respecto a dicho procesamiento. El Vendedor será el único responsable de determinar los fines y la forma en la que los Datos del cliente se procesan o se van a procesar.

2.2 Instrucciones del Vendedor plasmadas por escrito. PayPal solo procesará Datos de clientes en nombre de y conforme a las instrucciones por escrito del Vendedor. Las Partes acuerdan que este Anexo contiene las instrucciones por escrito completas y definitivas del Vendedor para PayPal en relación con los Datos de clientes. Instrucciones adicionales fuera del ámbito de este Anexo (si las hay) requieren un acuerdo previo por escrito entre PayPal y el Vendedor, lo que incluye el acuerdo sobre tarifas adicionales que el Vendedor deberá pagar a PayPal para llevar a cabo dichas instrucciones adicionales. El Vendedor se asegurará de que estas instrucciones cumplan con todas las leyes aplicables, incluidas las Leyes de protección de datos, y que el procesamiento de Datos de clientes acordes con las instrucciones del Vendedor no provoque el incumplimiento de las Leyes de protección de datos por parte de PayPal. Las disposiciones de esta sección están sujetas a las disposiciones de la sección 2.14 sobre seguridad. Por el presente documento el Vendedor solicita a PayPal que procese Datos de clientes para los fines siguientes:

2.2.1 según sea razonablemente necesario para prestar los servicios de PayPal al Vendedor y a su Cliente;

2.2.2 después de anonimizar los Datos de cliente, para usar dichos Datos de cliente anonimizados, directa o indirectamente, los cuales ya no son datos personales identificables, con cualquier finalidad.

2.3 Colaboración de PayPal. En relación con los Datos de cliente procesados por PayPal en virtud de este acuerdo, PayPal cooperará con el Vendedor en la medida razonable necesaria para permitir al Vendedor cumplir con su responsabilidad como controlador en virtud de las Leyes de protección de datos, incluyendo todo aquello que el Vendedor necesite para:

2.3.1. ayudar al Vendedor a preparar evaluaciones del impacto de la protección de datos en la medida que necesite el Vendedor según las Leyes de protección de datos; y

2.3.2 responder a solicitudes vinculantes de autoridades de protección de datos para la divulgación de Datos de clientes según lo exija la legislación vigente.

2.4 Alcance y detalles de los Datos de cliente procesados por PayPal. El objetivo del procesamiento de Datos de clientes por parte de PayPal es la prestación de servicios de PayPal de conformidad con el Acuerdo. PayPal procesará los Datos de clientes de acuerdo con las especificaciones de duración, objetivo, tipo y categorías de interesados tal como se describen en el Adjunto 2 (procesamiento de Datos de clientes).

2.5 Cumplimiento de la legislación. Las Partes cumplirán las Leyes de protección de datos en todo momento.

2.6 Corrección, bloqueo y eliminación. En la medida en que el Vendedor, al utilizar los servicios de PayPal, no tiene la capacidad de corregir, modificar, bloquear ni eliminar Datos de clientes, según las Leyes de protección de datos lo requieran, PayPal deberá cumplir con todas las solicitudes comercialmente razonables por parte del Vendedor para facilitar dichas acciones en la medida en que la ley permita a PayPal realizarlo. En la medida en que la ley lo permita, el Vendedor será responsable de los costes que procedan de la prestación de dicha asistencia por parte de PayPal.

2.7 Solicitudes de interesados. PayPal, en la medida en que la ley lo permita, notificará al Vendedor a la mayor brevedad si recibe una solicitud de un Cliente para acceder a sus datos, corregirlos, modificarlos o cancelarlos. El Vendedor será responsable de responder a estas solicitudes. Si la ley lo permite, PayPal deberá prestar al Vendedor la cooperación y asistencia comercialmente razonables en relación con tal solicitud del cliente y el Vendedor, a su vez, será responsable de los costes que procedan de la asistencia de PayPal.

2.8 Formación. PayPal se compromete a proporcionar, cada cierto tiempo, la formación necesaria al personal de PayPal en relación con las obligaciones de PayPal conforme a este Anexo para asegurarse de que el personal de PayPal conozca dichas obligaciones y las cumpla.

2.9 Limitación de acceso. PayPal se asegurará de que el acceso del personal de PayPal a los Datos de clientes se limite al personal que preste los servicios de PayPal conforme al Acuerdo.

2.10 Subencargados del tratamiento.  El Vendedor autoriza específicamente la participación de los miembros del Grupo PayPal como Subencargados del tratamiento en relación con la prestación de servicios de PayPal. Además, el Vendedor autoriza, en general, la contratación de otros terceros, como los Subencargados del tratamiento en relación con la prestación de los servicios de PayPal. Al emplear a cualquier Subencargado del tratamiento, PayPal suscribirá un contrato por escrito con el Subencargado del tratamiento, el cual deberá contener términos de protección de los Datos de clientes que no ofrezcan menor protección que la que proporcionan las condiciones expuestas en este Anexo. PayPal pondrá a disposición del Vendedor una lista actualizada de los Subencargados del tratamiento para cada servicio de PayPal con las identidades de dichos Subprocesadores.

2.11 Auditorías y certificaciones. Cuando el Vendedor lo solicite, sin perjuicio de las obligaciones de confidencialidad establecidas en el Acuerdo, PayPal pondrá a disposición del Vendedor (o auditor tercero independiente del Vendedor que no sea un competidor de PayPal ni usuario de PayPal ni del Grupo PayPal) información relativa al cumplimiento por parte de PayPal de las obligaciones establecidas en este Adjunto en forma de certificaciones y auditorías de terceros (si las hubiere) establecidas en la Declaración de privacidad presente en nuestro sitio web. El Vendedor puede ponerse en contacto con PayPal sobre el Acuerdo para solicitar una auditoría in situ de los procedimientos pertinentes a la protección de datos personales. El Vendedor deberá reembolsar a PayPal el tiempo dedicado a dicha auditoría in situ conforme a las tarifas de servicios profesionales de PayPal actuales, que pondrá a disposición del Vendedor a petición suya. Antes del comienzo de dicha auditoría in situ, el Vendedor y PayPal acordarán el ámbito, el calendario y la duración de la auditoría, así como la tarifa de reembolso de la que el Vendedor será responsable. Todas las tarifas de reembolso serán razonables, teniendo en cuenta los recursos desembolsados por PayPal. El Vendedor deberá notificar a la mayor brevedad a PayPal la información relativa a cualquier incumplimiento descubierto durante el desarrollo de una auditoría.

2.12 Seguridad. PayPal deberá, como mínimo, implementar y mantener las medidas técnicas y organizativas apropiadas según lo descrito en el Adjunto 1 a este Anexo para mantener seguros y protegidos los Datos de cliente frente a procesamientos no autorizados o ilegales así como frente a pérdidas, destrucción o daños accidentales en relación con la prestación de los servicios de PayPal. Puesto que PayPal ofrece los servicios de PayPal a todos los Vendedores de manera uniforme a través de una aplicación alojada y basada en web, todas las medidas técnicas y organizativas apropiadas y vigentes en cada momento se aplicarán a toda la base de clientes de PayPal alojada en el mismo centro de datos y suscrita al mismo servicio. El Vendedor entiende y acepta que las medidas técnicas y organizativas están sujetas al desarrollo y al progreso técnico. En este sentido, PayPal tiene autorización expresa para implementar las medidas alternativas adecuadas, siempre que se mantenga el nivel de seguridad de dichas medidas en relación con la prestación de los servicios de PayPal.
 
2.13 Notificación de incidentes de seguridad. En el caso de que PayPal recibiese notificación sobre un Incidente de seguridad relacionado con el procesamiento de Datos de clientes, PayPal, de acuerdo con las Leyes de protección de datos: (a) notificará al Vendedor el Incidente de seguridad a la mayor brevedad y sin demoras indebidas; (b) adoptará medidas razonables para minimizar los daños y proteger los Datos de cliente con rapidez; (c) describirá, en la medida de lo posible, detalles razonables del Incidente de seguridad, lo que incluye las medidas tomadas para mitigar los riesgos; y (d) proporcionará una notificación a los administradores del Vendedor por cualquier medio que PayPal considere conveniente, incluido el correo electrónico. El Vendedor es el único responsable de mantener la exactitud de la información de contacto y de asegurarse de que esté actualizada y resulte válida.

2.14 Eliminación. Tras la finalización o el vencimiento del Acuerdo, PayPal eliminará o devolverá al Vendedor todos los Datos de cliente procesados en nombre del Vendedor y eliminará todas las copias existentes de dichos Datos de cliente, excepto cuando sea necesario conservar dichos Datos de cliente estrictamente con fines de conformidad con la legislación aplicable.

2.15 Portabilidad de datos. En caso de finalización o vencimiento del presente Acuerdo, PayPal acuerda, previa solicitud escrita del Vendedor, proporcionar al nuevo banco adquiriente del Vendedor o al proveedor de servicios de pago ("Receptor de datos"), toda la información disponible sobre tarjetas de crédito, incluidos los datos personales, correspondientes a los Clientes del Vendedor ("Información de tarjetas"). Para ello, el Vendedor debe proporcionar a PayPal toda la información solicitada, incluyendo una prueba de que el Destinatario de los datos cumple con los requisitos de la DSS de la Asociación PCI y cumple con los requisitos de nivel 1 de la PCI. PayPal acepta transferir la Información de tarjetas al Destinatario de los datos, siempre y cuando se cumpla lo siguiente: (a) el Vendedor proporcione a PayPal una prueba de que el Destinatario de los datos cumple con los requisitos de la DSS de la Asociación PCI (conforme al nivel 1 de PCI), proporcionando a PayPal un certificado o informe sobre el cumplimiento de los requisitos de la DSS de la PCI emitido por un proveedor cualificado y cualquier otra información solicitada razonablemente por PayPal; (b) la transmisión de dicha Información de tarjetas debe cumplir con los requisitos de la versión más reciente de la DSS de la Asociación PCI; y (c) el traspaso de dicha Información de tarjetas está permitido según las Reglas de asociación aplicables y las leyes, normativas o regulaciones aplicables (incluyendo las Leyes de protección de datos).

3 CONDICIONES RELATIVAS A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UNIÓN EUROPEA

3.1 Aplicación. Las cláusulas contractuales estándar de la Unión Europea se describen en el Adjunto 3 (las "Cláusulas contractuales estándar de la UE"). Las Cláusulas contractuales estándar de la Unión Europea se aplican solo a los Datos de cliente transferidos por los Vendedores establecidos en el Espacio Económico Europeo ("EEE") o Suiza a cualquier país fuera del EEE que esté reconocido por la Comisión Europea como país que proporciona un nivel adecuado de protección de los datos personales (según se describe en el RGPD) donde PayPal pueda almacenar y procesar Datos de cliente.

3.2 Instrucciones. Este Anexo y el Acuerdo son las instrucciones completas y definitivas del Exportador de datos al Importador de datos para el procesamiento de Datos de clientes. Cualquier instrucción adicional o alternativa debe ser acordada por separado. Para los propósitos de la cláusula 5(a) de las Cláusulas contractuales estándar de la Unión Europea, el Exportador de datos proporciona las instrucciones siguientes: (a) procesar los Datos de cliente conforme al Acuerdo; y (b) procesar los Datos de cliente iniciados por el Vendedor en su uso de los Servicios durante el Período de vigencia. Estas instrucciones también describen la duración, el objeto, el alcance y el propósito del procesamiento.

3.3 Auditorías y certificaciones. Las Partes acuerdan que se cumplan las auditorías descritas en la cláusula 5(f), la cláusula 11 y la cláusula 12(2) de las Cláusulas contractuales estándar de la UE del modo siguiente: las disposiciones del párrafo 2.11 de este Anexo también se aplicarán al Importador de datos como si se tratase de PayPal.

3.4 Certificación de eliminación. Las Partes aceptan que el Importador de datos proporcione la certificación de eliminación de datos personales que se describe en la cláusula 12(1) al Exportador de datos solo bajo petición del Exportador de datos.

3.5 Responsabilidad. Las Partes acuerdan que todas las responsabilidades que existen entre ellos (y con respecto al Importador de datos, tales responsabilidades se acumularán a las de PayPal, por lo que su responsabilidad acumulada conjunta estará limitada en el nivel establecido en el Acuerdo) en este Anexo y en las Cláusulas contractuales estándar de la UE estarán sujetas a los términos del Acuerdo (incluyendo las limitaciones de responsabilidad), a menos que dichas limitaciones de responsabilidad no sean aplicables a responsabilidades que pudiera tener el Importador de datos respecto a los interesados en virtud de las disposiciones de terceros de las Cláusulas contractuales estándar de la UE.

3.6 Exclusión de derechos de terceros. Sin perjuicio de lo estipulado en el párrafo 4.6, se concederán a PayPal los derechos de terceros en relación con las obligaciones que se expresen en beneficio del Importador de datos o de PayPal en este Anexo y se concederán a los interesados los derechos de terceros conforme a las Cláusulas contractuales estándar de la UE. Todos los demás derechos de terceros están excluidos.

Vendedor
Nombre y representación de (introducir el nombre legal del Vendedor).......
Firma……………………………………………
Nombre del firmante……………………………………. Título del firmante……………………………………
Fecha………………………………………………..

PayPal
En nombre y representación de PayPal (Europe) S.á.r.l. et Cie, S.C.A.
Firma…………………………………………….
Nombre del firmante……………………………………..Título del firmante…………………………………… Fecha………………………………………………..

ADJUNTO 1
Medidas técnicas y organizativas

Se implementarán las medidas técnicas y organizativas siguientes:

  1. Medidas para evitar que cualquier persona no autorizada pueda acceder a las instalaciones utilizadas para el procesamiento de datos;
  2. Medidas para evitar la lectura, copia, modificación o traslado de los soportes de datos por parte de personas no autorizadas;
  3. Medidas para evitar la introducción no autorizada de datos en el sistema de información, así como cualquier operación no autorizada de conocimiento, modificación o eliminación de los datos registrados;
  4. Medidas para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas empleando instalaciones de transmisión de datos;
  5. Medidas para garantizar que las personas autorizadas que utilicen un sistema automatizado de procesamiento de datos puedan acceder solo a los datos que sean de su competencia;
  6. Medidas para garantizar la comprobación y el registro de la identidad de los terceros a quienes las instalaciones de transmisión puedan transmitir los datos;
  7. Medidas para garantizar que se pueda comprobar la identidad de las personas que hayan tenido acceso al sistema de información y los datos introducidos en el sistema con posterioridad, en cualquier momento y por parte de cualquier persona autorizada;
  8. Medidas para evitar la lectura, copia, modificación o traslado de los datos de forma no autorizada al revelar los datos y transportar el soporte de datos;
  9. Medidas para proteger los datos creando copias de seguridad.

ARCHIVO ADJUNTO 2
Procesamiento de Datos de cliente

Categorías de interesados

Datos de cliente: datos personales que el Cliente proporciona al Vendedor y el Vendedor transfiere a PayPal cuando el Cliente utiliza los servicios de PayPal.

Objeto del procesamiento

Los servicios de procesamiento de pagos ofrecidos por PayPal que proporcionan al Vendedor la capacidad de aceptar tarjetas de crédito, tarjetas de débito y otras formas de pago de clientes en un sitio web o una aplicación móvil.

Naturaleza y propósito del procesamiento

PayPal procesa los Datos de cliente enviados por el Vendedor a PayPal a fin de obtener la verificación o autorización de la forma de pago del Cliente para pagar bienes o servicios al Vendedor.

Tipo de datos personales

Datos de cliente: el Vendedor deberá informar a PayPal del tipo de Datos de cliente que PayPal deberá procesar en virtud de este Acuerdo. Si se produce algún cambio en el tipo de Datos de cliente que PayPal deba procesar, el Vendedor deberá notificarlo a PayPal inmediatamente. PayPal procesa aquellos Datos de cliente que el Vendedor proporcione a PayPal de vez en cuando:

 

Pagos por teléfono

Solución alojada

Interfaz personalizada

Nombre completo

x

x

x

Dirección de envío

x

x

x

Dirección de facturación

x

x

x

Dirección de correo electrónico

x

x

x

Número de teléfono

x

x

x

Tarjeta o tipo de instrumento de pago (opcional)

x

x

x

Número de cuenta principal de la tarjeta (PAN)

x

x

x

Código de verificación de la tarjeta (CVV)

x

x

x

Fecha de vencimiento de la tarjeta

x

x

x

 

 

Categorías especiales de datos (si procede)

No se prevé la transferencia de categorías especiales de datos.

Duración del procesamiento

Período de vigencia del Acuerdo.

ADJUNTO 3
CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UE

Exportación de datos personales de Controlador a Encargado del tratamiento (desde países del Espacio Económico Europeo)

Para los fines del artículo 26(2) de la Directiva 95/46/CE sobre la transferencia de datos personales a encargados de tratamiento establecidos en terceros países que no garanticen un nivel suficiente de protección de datos
Nombre de la organización exportadora de los datos: ………………………………………..
Dirección: …………………………………………….
Tel.: ……………………………………………….
Fax: ………………………………………………..
Correo electrónico: ……………………………………………..
Otra información necesaria para identificar la organización: …………………………… (el exportador de datos)
Y
Nombre de la organización importadora de los datos: Paypal, Inc.
Dirección: 2211 North First Street, San Jose, CA 95131
Otra información necesaria para identificar la organización: …………………………… (el importador de datos)
cada una de ellas es una "parte"; juntas son "las partes",
HAN ACORDADO las Cláusulas contractuales siguientes (las Cláusulas) con el fin de alegar salvaguardias suficientes con respecto a la protección de privacidad y los derechos fundamentales y libertades de las personas en la transferencia de los datos personales especificados en el Anexo 1 realizada por el exportador de datos al importador de datos.

 


Cláusula 1
Definiciones

A efectos de las Cláusulas:

  • (a) "datos personales", "categorías especiales de datos", "proceso/proceso", "controlador", "encargado del tratamiento", "interesado" y "autoridad supervisora" tendrán el mismo significado que en la Directiva 95/46/EC del Parlamento Europeo y del Consejo del 24 de octubre de 1995 sobre la protección de las personas en relación con el procesamiento de datos personales y de la libre circulación de dichos datos;
  • (b) "exportador de datos" se refiere al controlador que transfiere los datos personales;
  • (c) "importador de datos" se refiere al procesador que acepta recibir datos personales del exportador de datos con el fin de procesarlos en su nombre después de la transferencia de los mismos, de acuerdo con sus instrucciones y con los términos de las Cláusulas, no estando sujeto al sistema de un tercer país, garantizando la protección adecuada, tal como se define en el artículo 25(1) de la Directiva 95/46/CE;
  • (d) "subencargado del tratamiento" se refiere a cualquier encargado del procesamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento designado por el importador de datos que acepte recibir, del importador de datos o de cualquier otro subencargado designado por el importador de datos, datos personales utilizados exclusivamente para realizar actividades de procesamiento en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
  • (e) "ley de protección de datos aplicable" se refiere a la legislación de protección de los derechos y libertades fundamentales de los individuos y, en particular, a su derecho a la privacidad en relación con el procesamiento de datos personales aplicable a un controlador de datos del Estado Miembro en el que está establecido el exportador de datos;
  • (f) "medidas de seguridad técnicas y organizativas" se refiere a las medidas destinadas a proteger los datos personales frente a destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizados, en particular en los casos en que el procesamiento conlleva la transmisión de los datos por una red y frente a todas las demás formas ilegales de procesamiento.

Cláusula 2
Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Cláusula 3
Cláusula sobre terceros beneficiarios

  1. El interesado puede hacer valer frente al exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como tercero beneficiario.
  2. El interesado puede hacer valer frente al importador de datos esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por ley, en cuyo caso el interesado puede hacer valer dichas cláusulas frente a dicha entidad.
  3. El interesado puede hacer valer frente al subencargado del tratamiento esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por ley y, como resultado de ello, haya asumido los derechos y las obligaciones del exportador de datos, en cuyo caso el interesado puede hacer valer dichas cláusulas frente a dicha entidad. Tal responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
  4. Las partes no objetan que un interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y la legislación nacional lo permite.

Cláusula 4
Obligaciones del exportador de datos

El exportador de datos acepta y garantiza que:

  • (a) el procesamiento, incluyendo a la transferencia de los datos personales propiamente dicha, se ha realizado y seguirá realizándose conforme a las disposiciones pertinentes de las leyes de protección de datos aplicables (y, si procede, se ha informado a las autoridades pertinentes del Estado Miembro donde está establecido el exportador de datos) y no infringe las disposiciones de dicho Estado;
  • (b) ha pedido y seguirá instruyendo durante la existencia de los servicios de procesamiento de datos personales al importador de datos que procese los datos personales solo en nombre del exportador de los datos y conforme a la ley de protección de datos y las Cláusulas aplicables;
  • (c) el importador de datos ofrecerá garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;
  • (d) una vez realizada la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad serán adecuadas para proteger los datos personales frente a la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el procesamiento implique la transmisión de datos a través de una red y frente a todas las demás formas ilegales de procesamiento, garantizando estas medidas un nivel de seguridad adecuado frente a los riesgos presentados por el procesamiento y la naturaleza de los datos que deban protegerse, considerando el estado de la situación y el coste de su implementación;
  • (e) garantizará el cumplimiento de las medidas de seguridad;
  • (f) si la transferencia afecta a categorías especiales de datos, se ha notificado o notificará al interesado o dicha notificación se realizará a la mayor brevedad acerca de la transferencia a un tercer país que no proporcione una protección adecuada, tal como se define en la Directiva 95/46/CE;
  • (g) reenviará cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos, si el exportador de datos decide continuar la transferencia o anular la suspensión;
  • (h) pondrá a disposición de los interesados, si así lo solicitan, una copia de las Cláusulas, a excepción del Anexo 2, así como una descripción resumida de las medidas de seguridad y una copia de todos los contratos de servicios de subprocesamiento necesarios conforme a las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
  • (i) en caso de subprocesamiento, la actividad de procesamiento se realiza conforme a la Cláusula 11 y de ello se ocupa un subencargado del tratamiento que ofrece por lo menos el mismo nivel de protección de los datos personales y de los derechos de los interesados que el importador de datos en virtud de las Cláusulas; y
  • (j) asegurará el cumplimiento de la Cláusula 4(a) a (i).

Cláusula 5
Obligaciones del importador de datos

El importador de datos acepta y garantiza que:

  • (a) procesará los datos personales solo en nombre del exportador de datos y conforme a sus instrucciones y las Cláusulas. Si no puede asegurar dicho cumplimiento por algún motivo, acepta informar al exportador de datos a la mayor brevedad de su imposibilidad de cumplir, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o rescindir el contrato;
  • (b) no tiene ningún motivo para creer que la legislación aplicable le impida cumplir con las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y, si se produce algún cambio en esta legislación que pueda tener una efecto adverso apreciable en las garantías y las obligaciones proporcionadas por las Cláusulas, notificará a la mayor brevedad el cambio al exportador de datos una vez tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o cancelar el contrato;
  • (c) ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 antes de procesar los datos personales transferidos;
  • (d) notificará con prontitud al exportador de datos los elementos siguientes:

o (i) cualquier solicitud legalmente vinculante relativa a la revelación de los datos personales procedente de una autoridad de aplicación de la ley, a menos que esté prohibido de algún otro modo, como pueda ser una prohibición del código penal para proteger la confidencialidad de una investigación policial,
o (ii) cualquier acceso accidental o no autorizado, y
o (iii) cualquier solicitud recibida directamente de un interesado sin responder a dicha solicitud, a menos que haya recibido autorización para hacerlo;

  • (e) tramitará con rapidez y correctamente todas las consultas del exportador de datos relacionadas con su procesamiento de datos personales sujetos a transferencia y acatará el consejo de la autoridad supervisora en relación con el procesamiento de los datos transferidos;
  • (f) a petición del exportador de datos, ofrecerá sus instalaciones de procesamiento de datos para realizar auditorías de las actividades de procesamiento cubiertas por las Cláusulas, las cuales pueden ser realizadas por el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de la cualificación profesional necesaria sujetos a una obligación de confidencialidad, seleccionado por el exportador de datos, si procede, de acuerdo con la autoridad supervisora;
  • (g) pondrá a disposición del interesado, si lo solicita, una copia de las Cláusulas, o de cualquier contrato vigente de subprocesamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Anexo 2, que podrá ser sustituido por una breve descripción de las medidas de seguridad en los casos en que el interesado no pueda obtener una copia del exportador de datos;
  • (h) en caso de subprocesamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;
  • (i) los servicios de procesamiento realizados por el subencargado del tratamiento se realizarán conforme a la Cláusula 11;
  • (j) enviará a la mayor brevedad al exportador de datos una copia de todos los acuerdos que establezca con subencargados del tratamiento en virtud de las Cláusulas.

Cláusula 6
Responsabilidad

  1. Las partes acuerdan que cualquier interesado que haya sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del tratamiento tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
  2. Si un interesado no puede presentar una reclamación de compensación conforme al párrafo 1 frente al exportador de datos, procedente de un incumplimiento del importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir legalmente o se ha declarado insolvente, el importador de datos acepta que el interesado emita una reclamación contra el importador de datos como si del exportador de datos se tratase, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ley, en cuyo caso el interesado puede hacer valer sus derechos frente a dicha entidad. El importador de datos no puede confiar en un incumplimiento por parte de un subencargado del tratamiento de sus obligaciones con el fin de evitar su propia responsabilidad.
  3. Si un interesado no puede presentar una reclamación frente al exportador de datos o al importador de datos mencionados en los apartados 1 y 2, a causa de un incumplimiento por parte del subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o dejado de existir legalmente o se hayan declarado insolventes, el subencargado del tratamiento acepta que el interesado emita una reclamación contra el subencargado del tratamiento con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas, como si del exportador de datos o el importador de datos se tratase, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley, en cuyo caso el interesado puede hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento está limitada a sus propias operaciones de procesamiento en virtud de las Cláusulas.

Cláusula 7
Mediación y jurisdicción

      1. El importador de datos acepta que, si el interesado invoca frente a él derechos de terceros beneficiarios y/o solicita una compensación por daños en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

o (a) de someter la disputa a la mediación, por parte de una persona independiente o, si procede, por parte de una autoridad supervisora;
o (b) de someter la disputa a los tribunales del Estado Miembro donde esté establecido el exportador de datos.

      2. Las partes aceptan que la elección realizada por el interesado no influirá en los derechos sustantivos ni de procedimiento a buscar compensaciones conforme a otras disposiciones de las leyes nacionales o internacionales.

Cláusula 8
Cooperación con las autoridades de supervisión

  1. El exportador de datos se compromete a depositar una copia de este contrato en la autoridad supervisora si esta lo solicita, o si dicho depósito es necesario en virtud de la ley de protección de datos aplicable.
  2. Las partes aceptan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos y de cualquier subencargado del tratamiento, con el mismo alcance y las mismas condiciones que se aplican a una auditoría del exportador de datos en virtud de la ley de protección de datos aplicable.
  3. El importador de datos deberá informar con prontitud al exportador de datos sobre la existencia de legislación aplicable o a cualquier subencargado del tratamiento que pueda evitar la realización de una auditoría del importador de datos o cualquier subencargado del tratamiento, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9
Ley aplicable

Las cláusulas se regirán por la legislación del Estado Miembro en el cual esté establecido el exportador de datos.

Cláusula 10
Variación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide a las partes añadir las cláusulas relativas a cuestiones empresariales que sean necesarias, siempre que no contradigan la Cláusula.

Cláusula 11
Subprocesamiento

  1. El importador de datos no podrá subcontratar ninguna de las operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo y por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones según las Cláusulas, con el consentimiento del exportador de datos, solo podrá hacerlo mediante un acuerdo por escrito con el subencargado del tratamiento que imponga las mismas obligaciones sobre el subencargado del tratamiento que se impongan al importador de datos en virtud de las Cláusulas. Si el subencargado del tratamiento incumple sus obligaciones de protección de datos en virtud de dicho acuerdo por escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos para la ejecución de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
  2. El contrato previo por escrito entre el importador de datos y el subencargado del tratamiento también deberá incluir una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3 para los casos en que el interesado no pueda presentar una reclamación de compensación mencionada en el párrafo 1 de la Cláusula 6 frente al exportador de datos o el importador de datos, debido a su desaparición de facto o porque hayan dejado de existir legalmente o se hayan declarado insolventes y no haya ninguna entidad sucesora que haya asumido todas las obligaciones legales del exportador de datos o el importador de datos por contrato o por ley. Tal responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
  3. Las disposiciones relativas a aspectos de la protección de datos para el subprocesamiento del contrato mencionado en el párrafo 1 se regirán por la ley del Estado Miembro donde esté establecido el exportador de datos.
  4. El exportador de datos mantendrá una lista de acuerdos de subprocesamiento suscritos en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará disponible para la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 12
Obligaciones después de la finalización de los servicios de procesamiento de datos personales

  1. Las partes acuerdan que, al finalizar la prestación de servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, según decida el exportador de datos, devolver todos los datos personales transferidos y las copias derivadas al exportador de datos o destruir todos los datos personales y certificar dicha acción al exportador de datos, a menos que la legislación que rija sobre el importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y que los datos personales transferidos dejarán de procesarse activamente.
  2. El importador de datos y el subencargado del tratamiento garantizan que, si la autoridad supervisora o el exportador de datos lo solicitan, pondrá a disposición sus instalaciones de procesamiento de datos para una auditoría de las medidas a las que se hace referencia en el párrafo 1.

 


En nombre del exportador de datos:
Nombre (escrito en su totalidad): …………………………………………….
Cargo: …………………………………………….
Dirección: …………………………………………….
Otra información necesaria para que el contrato sea vinculante (si procede):
Firma…………………………………………….(sello de la organización)

En nombre del importador de datos (Paypal, Inc.):
Nombre (escrito en su totalidad): …………………………………………….
Cargo: …………………………………………….
Dirección: 2211 North First Street, San Jose, CA 95131
Firma……………………………………………. (sello de la organización)


 

APÉNDICE 1 A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UE

Este Apéndice forma parte de las Cláusulas y se debe cumplimentar.

Los Estados Miembros deben aportar o especificar, según los procedimientos nacionales, toda la información adicional necesaria que debe figurar en este Apéndice.

Exportador de datos
El exportador de datos es: el Vendedor
Una entidad que usa los servicios del Importador de datos con respecto a sus clientes
Importador de datos
El importador de datos es: Paypal, Inc.
Proveedor de servicios de pago que, en relación con los servicios de Braintree, proporciona una pasarela de pagos para que el Vendedor pueda proporcionar datos de tarjetas de crédito y otros datos de Clientes a bancos y otros proveedores de servicios de pago para procesar los pagos de Clientes
Interesados
Los datos personales transferidos se refieren a las siguientes categorías de interesados:
Clientes del exportador de datos
Categorías de datos
Los datos personales transferidos se refieren a las categorías de datos siguientes:
nombre del cliente, importe del cargo, código postal, número de tarjeta, CSV, código postal, dirección, dirección de correo electrónico, fax, teléfono, sitio web, fecha de caducidad, datos de envío, situación fiscal
Categorías especiales de datos (si procede)
Los datos personales transferidos se refieren a las categorías especiales de datos siguientes (especificar):
No aplicable, a menos que el Vendedor configure el servicio para capturar dichos datos.
Operaciones de procesamiento
Los datos personales transferidos estarán sujetos a las actividades de procesamiento básico siguientes:
La recepción y el almacenamiento de Datos personales como parte de la prestación de servicios durante la vigencia del Acuerdo.
 



APÉNDICE 2 A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UE
 

Este Apéndice forma parte de las Cláusulas.
 

Descripción de las medidas técnicas y organizativas de seguridad adoptadas por el importador de datos conforme a las cláusulas 4(d) y 5(c) (o documento/legislación adjuntos):
 

Las medidas técnicas y organizativas se especifican en el Adjunto 1 a esta Enmienda.


 

Volver al principio

Anexo 3

Condiciones de uso de la función Filtro de administración de fraudes de la Interfaz personalizada ("Herramienta antifraude")

  1. Cómo funciona la Herramienta antifraude

La Herramienta antifraude se pone a su disposición como una herramienta de gestión de transacciones fraudulentas para ayudar a filtrar las transacciones potencialmente fraudulentas basándose en los ajustes que configure en la Herramienta antifraude. La herramienta le permite establecer reglas de filtro, es decir, informarnos sobre las transacciones que la herramienta debe rechazar en su nombre según criterios abstractos.

Podemos proporcionar sugerencias o recomendaciones sobre qué filtros y configuraciones de la Herramienta antifraude usar que puedan ser adecuados para su negocio. Estas sugerencias tienen en cuenta el historial de transacciones anteriores.

Es responsabilidad suya establecer las reglas de filtro. Tenga en cuenta que si las reglas de filtro son demasiado restrictivas, es posible que se reduzca su volumen de ventas. Le recomendamos que supervise sus reglas y configuraciones de filtro de forma continua.

  1. Exclusión de garantía y limitación de responsabilidad

No declaramos ni garantizamos que la Herramienta antifraude esté libre de errores o que identifique todas las actividades de transacción potencialmente fraudulentas.

No somos responsables por sus pérdidas (como la pérdida de ganancias) o los daños que surjan de su uso de la Herramienta antifraude o relacionados con su uso, en la medida en que lo permita la ley aplicable.

Se aplican las secciones 15.3 y 15.4 de las Condiciones de uso.

  1. Protección de datos

Solo puede utilizar la Herramienta antifraude con el fin de gestionar el riesgo de fraude y para ningún otro propósito.

No puede compartir el uso de la Herramienta antifraude con ninguna otra persona, ni puede revelar a ninguna persona las categorías proporcionadas en la herramienta o los resultados generados por su uso de la herramienta.

  1. Varios

A pesar de su configuración en la Herramienta antifraude, siempre nos reservamos el derecho de rechazar o suspender cualquier transacción de conformidad con los términos de las Condiciones de uso.

Estas condiciones complementan las Condiciones de uso que regulan el uso de nuestros servicios en general. La definición de nuestros Servicios en las Condiciones de uso, leída junto a estas condiciones, incluye la Herramienta antifraude.

También podemos realizar modificaciones, eliminaciones o añadidos a estas condiciones conforme al Proceso de cambios descrito en las Condiciones de uso. Si no está de acuerdo con algún Cambio, puede rescindir estas condiciones.

Puede rescindir estas condiciones en cualquier momento eliminando la Herramienta antifraude de su integración y siguiendo cualquier otro paso relacionado con la integración que podamos poner a su disposición. Esto le permite dejar de usar la Herramienta antifraude, pero, de lo contrario, su Cuenta permanecerá abierta y las Condiciones de uso (y cualquier otro acuerdo relevante relacionado con la prestación de los Servicios a usted) seguirán vigentes. 

Podemos, en cualquier momento y por cualquier motivo y (si es posible) con previo aviso en un plazo razonable, terminar, cancelar o suspender el Servicio en la medida en que afecta a la Herramienta antifraude sin responsabilidad frente a usted.

Estas condiciones sobreviven cualquier rescisión en la medida y durante el tiempo necesarios para: (i) tratar con cuestiones que surjan de su uso de la Herramienta antifraude antes de la rescisión; o (ii) para cumplir con las leyes y normativas aplicables.