>>Ver todos los acuerdos legales

 

Anexo sobre el Controlador de Protección de Datos para productos de procesamiento directo de tarjetas

 

 

Versión 2.0

Este Anexo sobre el Controlador de Protección de Datos (el “Anexo”) se aplica a cualquier producto en el cual una Entidad del Grupo PayPal (“PayPal”) le proporcione servicios de Braintree, PayPal y otros servicios de plataforma o de pago directo con tarjeta, o bien herramientas de mantenimiento contra el fraude a usted, el comercio (el “Comercio” o “Usted”). Este Anexo no se aplica a los servicios de cartera de PayPal (como Express Checkout) ni al pago con el botón de PayPal. Este Anexo formará parte del acuerdo pertinente entre el Comercio y PayPal, el cual rige la prestación a Usted de los servicios de procesamiento de pagos por parte de PayPal (el “Acuerdo”). En caso de que exista algún conflicto entre las condiciones de este Anexo y el Acuerdo, prevalecerán las condiciones de este Anexo. Los términos con mayúscula inicial utilizados en este Anexo, pero no definidos en él, tendrán el significado establecido en el Acuerdo.

Este Anexo entra en vigor a partir de: (i) la fecha de entrada en vigor que se especifica en el Acuerdo, o bien (ii) la fecha de entrada en vigor mencionada en la notificación que se le envía sobre una modificación al Acuerdo o a este Anexo, la que sea posterior. Nos reservamos el derecho de modificar este Anexo en cualquier momento mediante la publicación de una versión revisada en nuestro sitio web. La versión revisada entrará en vigor en el momento de su publicación. Asimismo, si modificamos el Anexo de modo tal que se reduzcan sus derechos o aumenten sus responsabilidades, se lo notificaremos previamente por escrito, dentro del plazo exigido por el Acuerdo, mediante la publicación de una notificación en la página “Actualizaciones de las políticas” de nuestro sitio web. Si no está de acuerdo con alguno de los cambios en el Anexo, puede poner fin a su uso de los servicios de PayPal en cualquier momento.

Definiciones


Los términos que se indican a continuación tienen los siguientes significados cuando se utilizan en este Anexo:

“Controlador” significa una entidad que determina los fines y los medios del procesamiento de los Datos Personales. Sin embargo, si dicho término (o términos que se refieren a funciones similares) se define en las Leyes de Protección de Datos, “Controlador” tendrá el mismo significado que se le atribuya en la Ley de Protección de Datos aplicable.

Cliente” se refiere a los clientes que utilizan los servicios de procesamiento de pagos fuera de los Estados Unidos y, a los efectos de este Anexo, son sujetos de datos.

Datos del Cliente” se refiere a los Datos Personales que (i) el Cliente proporciona al Comercio y el Comercio transmite a PayPal mediante el uso de los servicios de procesamiento de pagos, y que (ii) PayPal puede recopilar del dispositivo y el navegador del Cliente mediante el uso por parte del Comercio de los servicios de procesamiento de pagos. El término “Datos del Cliente”, tal como se utiliza en este Anexo, no incluye los Datos Personales de los clientes en los Estados Unidos del Comercio.

Leyes de Protección de Datos” se refiere a cualquier ley, reglamento, directiva, requisito normativo y códigos de prácticas de protección de datos vigente y aplicable a la prestación de los servicios de procesamiento de pagos, incluidas sus modificaciones y cualquier reglamento o instrumento asociado, por ejemplo, el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD), la Ley de Privacidad de 1988 de Australia, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá, la Ordenanza sobre Datos Personales (Privacidad) (cap. 486) de Hong Kong, la Ley General de Protección de Datos de Brasil, la Ley Federal núm. 13709/2018 y la Ley de Protección de Datos Personales de 2012 de Singapur.

Entidad del Grupo PayPal” se refiere a PayPal, Inc. y a todas las empresas que PayPal o su sucesor posee o controla periódicamente de manera directa o indirecta.

Datos Personales” se refiere a toda la información relacionada con una persona física identificada o identificable (un “sujeto de datos”). Una persona física identificable es aquella que se puede identificar, de forma directa o indirecta, en particular por medio de una referencia a un identificador tal como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

Proceso”, o los términos que se refieran a funciones similares de protección de datos y privacidad, cuando se utilicen en este Anexo tendrán el mismo significado que se les atribuye en las Leyes de Protección de Datos aplicables.

PayPal como Controlador de datos

PayPal cumplirá con los requisitos establecidos en las Leyes de Protección de Datos aplicables a los Controladores en relación con el uso de los Datos Personales en virtud de este Anexo (lo que incluye, entre otras cosas, implementar y mantener en todo momento todas las medidas de seguridad apropiadas respecto del Procesamiento de Datos Personales) y no realizará intencionalmente, ni permitirá que se realice, ninguna acción con los Datos Personales que pueda ocasionar un incumplimiento de las Leyes de Protección de Datos por parte del Comercio. PayPal solo transferirá Datos Personales a terceros, subprocesadores o miembros de la Entidad del Grupo PayPal, a los efectos de prestar los servicios de procesamiento de pagos y deberá firmar acuerdos por escrito con dichos terceros y subprocesadores en los que se incluyan condiciones para la protección de los Datos del Cliente que no supongan un nivel de protección inferior al que brinda este Anexo.

Procesamiento de Datos Personales en relación con los Servicios de Procesamiento de Pagos

Las partes reconocen y aceptan que el Comercio y PayPal son, cada uno, Controladores independientes respecto de todos los Datos Personales Procesados en conexión con los servicios de procesamiento de pagos. Por lo tanto, PayPal determina de manera independiente el propósito y el medio del Procesamiento de dichos Datos Personales, y no actúa como Controlador conjunto con el Comercio respecto de dichos Datos Personales.

Las partes reconocen y aceptan que PayPal tiene permitido utilizar, reproducir y Procesar los Datos del Cliente y los datos de las transacciones de pago solo con los siguientes fines:

  • según sea razonablemente necesario para prestar y mejorar los servicios de procesamiento de pagos al Comercio y sus Clientes, incluidas las herramientas de protección contra el fraude;
  • monitorear, prevenir y detectar transacciones de pago fraudulentas, y prevenir daños al Comercio, a PayPal y a terceros;
  • cumplir las obligaciones legales o normativas aplicables al Procesamiento y la retención de los datos de pago a las que está sujeto PayPal, incluidas las obligaciones aplicables de verificación de identidad y contra el lavado de dinero;
  • analizar, desarrollar y mejorar los productos y servicios de PayPal;
  • uso interno, lo que incluye, entre otros, análisis y métricas de datos;
  • compilar y divulgar Datos del Cliente y datos de las transacciones de pago en forma agregada cuando los Datos Personales individuales o de sus usuarios no sean identificables, incluido el cálculo de sus promedios por región o sector;
  • cumplir los requisitos legales aplicables y colaborar con los organismos de seguridad dando respuesta a las solicitudes de divulgación de información, de conformidad con las leyes, y
  • cualquier otro fin para el cual notifique al Comercio, siempre y cuando dicho fin se ajuste a las Leyes de Protección de Datos.

Notificación a los Clientes por parte del Comercio

El Comercio deberá (i) notificar a los Clientes en su política de privacidad que PayPal es un Controlador independiente con el fin de Procesar los Datos de los Clientes, tal como se describe en este Anexo, e (ii) incluir un enlace a la Política de Privacidad aplicable de PayPal o de Braintree en la política de privacidad del Comercio.

Asistencia mutua

Las partes aceptan cooperar entre sí en la medida en que sea razonablemente necesario para que la otra parte pueda desempeñar de forma adecuada su responsabilidad como Controladora independiente de conformidad con las Leyes de Protección de Datos. Las partes aceptan que, si el Comercio recibe del Cliente una solicitud de acceso a sus datos, o bien este ejerce cualquiera de sus derechos en virtud de las Leyes de Protección de Datos, el Comercio responderá directamente a la solicitud de acceso de dicho Cliente. El Comercio también informará al Cliente que puede ejercer ante PayPal sus derechos de sujeto de datos en relación con los servicios de procesamiento de pagos, de acuerdo con las instrucciones descritas en el Aviso de Privacidad disponible en www.paypal.com. Asimismo, si en relación con algún incidente de seguridad, PayPal determina, de modo unilateral, que debe notificar a los Clientes afectados y no tiene la información de contacto necesaria de un Cliente afectado como para realizar dicha comunicación, el Comercio realizará todo esfuerzo que sea razonable desde el punto de vista comercial para proporcionar a PayPal la información del Cliente que pueda poseer con el único propósito de que PayPal pueda cumplir con las obligaciones de notificación aplicables en relación con los Clientes afectados, de conformidad con las Leyes de Protección de Datos.

Transferencias de datos transfronterizas

Las partes aceptan que PayPal podría transferir los Datos Personales Procesados en virtud de este Acuerdo fuera del país donde se recopilaron según sea necesario para prestar los servicios de procesamiento de pagos. Si PayPal transfiere los Datos Personales protegidos en virtud de este Anexo a una jurisdicción para la cual la autoridad normativa correspondiente al país en que se recopilaron los datos no emitió una decisión de adecuación, PayPal se asegurará de que se hayan implementado las salvaguardias apropiadas para la transferencia de Datos Personales de conformidad con las Leyes de Protección de Datos aplicables. Por ejemplo, y para cumplir con el RGPD, nos basamos en normas corporativas vinculantes aprobadas por las autoridades de supervisión competentes y otros mecanismos de transferencia de datos para las transferencias de Datos Personales del Cliente a otras Entidades del Grupo PayPal.

En lo que respecta a las transferencias que Usted realice a PayPal de los datos de sus Clientes ubicados en la Unión Europea, Suiza, el Espacio Económico Europeo o sus Estados miembros, y el Reino Unido, acordamos que (i) se considerará que su firma del Acuerdo supone la firma y la aceptación de las Cláusulas Contractuales Estándar de Controlador a Controlador aprobadas por una decisión de la Comisión Europea (CE) del 27 de diciembre de 2004 (C(2004)5721) (“Cláusulas de Transferencia de Controlador a Controlador”) por parte del Comercio en cuanto exportador de datos, y (ii) que la firma de PayPal del Acuerdo supone la firma y la aceptación de las Cláusulas de Transferencia de Controlador a Controlador por parte de PayPal en cuanto importador de datos.  En caso de que la Comisión Europea revise y luego publique nuevas Cláusulas de Transferencia de Controlador a Controlador o, de algún otro modo, las requiera o implemente, las partes aceptan que esas nuevas Cláusulas de Transferencia de Controlador a Controlador sustituirán las presentes. Las Cláusulas de Transferencia de Controlador a Controlador se incorporarán al Acuerdo por referencia y se considerarán debidamente ejecutadas entre las partes en la fecha de entrada en vigor del presente Acuerdo, con sujeción a los siguientes detalles:

    \t
  1. PayPal acepta que procesará los Datos del Cliente de conformidad con las condiciones establecidas en el conjunto II, cláusulas II(h)(iii) de las Cláusulas de Transferencia de Controlador a Controlador, y, al firmar el Acuerdo, se considerará que dicha cláusula II(h)(iii) ha sido debidamente firmada mediante iniciales y aceptada.
  2. \t
  3. Las partes acuerdan que los detalles requeridos en el Anexo B de las Cláusulas de Transferencia de Controlador a Controlador serán los establecidos en el Apéndice 1.

 

 

Apéndice 1

Anexo B de Cláusulas de Transferencia de Controlador a Controlador

Sujetos de datos
Los Datos Personales transferidos están relacionados con las siguientes categorías de sujetos de datos:

El exportador de datos y sus Clientes.

Fines de las transferencias
La transferencia se realiza con los siguientes fines:

Prestación de los servicios provistos por el importador de datos al exportador de datos de conformidad con el Acuerdo.

Categorías de datos
Los Datos Personales transferidos pueden incluir las siguientes categorías de datos:

Nombre del cliente, importe por cobrar, fecha y hora, detalles de la cuenta bancaria, información de la tarjeta de pago, código CVC, código postal, código de país, dirección, dirección de correo electrónico, fax, teléfono, sitio web, datos de fecha de vencimiento, detalles de envío, situación fiscal, identificador único del cliente, dirección IP, ubicación y cualquier otro dato que PayPal haya recibido en virtud de este Acuerdo.

Destinatarios
Los Datos Personales transferidos pueden divulgarse solo a los siguientes destinatarios:

Proveedores de servicios, filiales y personal encargado de la prestación de los servicios del importador de conformidad con el Acuerdo.

Datos confidenciales (si corresponde)
Los Datos Personales transferidos están relacionados con las siguientes categorías de datos confidenciales:

No aplicable, a menos que el Comercio configure el servicio para capturar dichos datos.

Información de registro de protección de datos del exportador de datos (si corresponde)

No aplicable.

Información adicional útil (límites de almacenamiento y otra información relevante)

Tal como se establece en el Acuerdo.

Puntos de contacto para consultas sobre protección de datos

Importador de datos: los puntos de contacto del importador de datos se pueden encontrar en el Acuerdo.

Exportador de datos: los puntos de contacto del exportador de datos se pueden encontrar en el Acuerdo.