Mastercard – Acuerdo de procesamiento de datos del Cliente

El presente Acuerdo de procesamiento de datos (“DPA”) entrará en vigencia en la fecha en la que las siguientes partes lo hayan completado y ejecutado:

(1) Mastercard Europe SA, una empresa de responsabilidad limitada privada belga, con número de inscripción RPR 0448038446 y domicilio legal en 198/A, Chaussée de Tervuren, 1410 Waterloo, Bélgica;

(2) Mastercard International Incorporated, una sociedad anónima de Delaware con domicilio legal en 2000 Purchase Street, Purchase, New York 10577, Estados Unidos de América;

(3) Dynamic Yield Ltd […]

(en conjunto “Mastercard”) y

(4) [Persona jurídica de la contraparte], [el cliente proporcionará la razón social de la empresa (si es diferente)] una empresa inscripta en [el cliente proporcionará la jurisdicción], con número de inscripción [el cliente proporcionará el número de inscripción] y domicilio legal en [el cliente proporcionará el domicilio] (“Cliente”).

Mastercard y el Cliente se denominan, en conjunto, las “Partes” o, individualmente, “Parte”.

DONDE:

(A) Mastercard y el Cliente han celebrado un [insertar el nombre del acuerdo principal], con fecha [insertar datos del acuerdo principal], con las modificaciones y enmiendas en cualquier otro acuerdo relacionado celebrado entre las Partes (“Acuerdo principal”) cuyo objeto es el procesamiento de datos personales.

(B) Las Partes han acordado celebrar un acuerdo que regirá dicho procesamiento de datos personales.

POR LO TANTO, las Partes acuerdan lo siguiente:

(A) El presente DPA rige el procesamiento de datos personales en el contexto de los Servicios.

(B) El presente DPA se incorpora y forma parte del Acuerdo principal. Excepto las modificaciones que se establecen a continuación, las condiciones del Acuerdo principal permanecen vigentes y exigibles. Los Apéndices 1 y 2 son parte integral del presente DPA.

(C) Solo a los fines de este DPA, excepto donde se indique lo contrario, los términos “Mastercard” y “Cliente” incluyen a las respectivas afiliadas de Mastercard y del Cliente siempre que sean parte del Acuerdo principal o cualquiera de sus colaterales.

(D) Las Partes acuerdan que este DPA complementa cualquier condición de confidencialidad o de protección de datos y privacidad incluida en el Acuerdo principal. Cuando exista superposición, incoherencia o conflicto directo entre las condiciones del Acuerdo principal (o un contrato colateral del Acuerdo principal) y el presente DPA, las condiciones de este DPA prevalecerán.

(E) Para evitar dudas, el presente DPA se aplica a todos los Datos personales recopilados por Mastercard en el contexto del Acuerdo principal, incluidos los Datos personales recopilados por Mastercard en el contexto del Acuerdo principal antes de la fecha de vigencia del presente DPA.

1. Definiciones.

1.1. El significado de los términos “Violación de datos personales”, “Procesamiento/Procesar”, “Vender”, “Datos sensibles”, “Compartir” y “Autoridad de contralor” es el que les otorga la Ley de privacidad y protección de datos aplicable. En caso de conflicto, se aplica el significado que le otorga la ley aplicable al domicilio del Sujeto de datos relevante.

1.2. En relación a una Parte, “Afiliada” significa cualquier otra entidad que directa o indirectamente controla, es controlada o está, directa o indirectamente, en control común, eventualmente, con dicha Parte. A los fines de esta definición, “control” significa la propiedad o control, directo o indirecto, de más del 50 % de la participación con derecho a voto de la entidad objeto.

1.3. “Controlador” indica la entidad que determina los fines y medios del procesamiento de datos personales, incluido, según corresponda, el término “empresa” o equivalente según se define en la Ley de privacidad y protección de datos.

1.4. “Derechos de protección de datos” significa todos los derechos otorgados a los Sujetos de datos según la Ley de privacidad y protección de datos que pueden incluir – dependiendo de la ley aplicable – el derecho a conocer, el derecho a acceder, rectificación, eliminación, derecho a reclamar, a la portabilidad de los datos, restricción de procesamiento, objeción al procesamiento y los derechos relacionados con la toma de decisiones automática y a indemnizaciones contra el uso indebido de Datos personales.

1.5. “Sujeto de datos” significa la persona identificada o identificable con quien se relacionan los Datos personales.

1.6. “Ley de protección de datos de la UE” indica el Reglamento General de Protección de Datos (UE) 2016/679 (“RGPD”) y la Directiva sobre la Privacidad y Comunicaciones Electrónicas 2002/58/CE (y las modificaciones de la Directiva 2009/136/CE), sus implementaciones a nivel nacional en el Espacio Económico Europeo (“EEE”), incluida la Unión Europea (“UE”) y el resto de las leyes de protección de datos del EEE, Gran Bretaña (“GB”), Mónaco y Suiza, según corresponda, y sus eventuales modificaciones o reemplazos.

1.7. “BCR de Mastercard” indica las Normas corporativas vinculantes de Mastercard según fueron aprobadas por las autoridades de protección de datos, que encontrará en https://www.mastercard.us/content/dam/mccom/global/documents/mastercard-bcrs.pdf.

1.8. “Datos personales” indica la información que, razonablemente, identifica, está relacionada, describe o puede asociarse o vincularse, directa o indirectamente, a una persona u hogar determinado, incluidos “datos personales”, “información personal” o términos equivalentes según se definen en la Ley de privacidad y protección de datos aplicable. En el alcance permitido por la Ley de privacidad y protección de datos aplicable, “Datos personales” no incluye la información desidentificada, agregada o anonimizada según la ley aplicable o que esté excluida de cualquier otra manera del alcance de la Ley de privacidad y protección de datos aplicable.

1.9. “Ley de privacidad y protección de datos” indica cualquier ley, estatuto, declaración, decreto, legislación, promulgación, orden, ordenanza, reglamentación o norma (y sus eventuales modificaciones o reemplazos) relacionada con la privacidad y la protección de datos personales a la que estén sujetas las Partes, incluidas, entre otras, la Ley de protección de datos de la UE, leyes de privacidad estatales, Ley Gramm-Leach-Bliley de EE. UU., las leyes que reglamentan las comunicaciones por correo electrónico, teléfono o texto no solicitadas, leyes de notificación de infracciones de seguridad, las leyes que impongan requisitos mínimos de seguridad, las leyes que requieran la eliminación segura de registros que contengan determinados Datos personales, las leyes que regulan la portabilidad y/o la transferencia transfronteriza de Datos personales y cualquier otro requisito internacional, federal, estatal, provincial y local similar, según corresponda.

1.10. “Procesador” indica la entidad que procesa los Datos personales en nombre del Controlador, incluido el término “prestador de servicios” o equivalente según se define en la Ley de privacidad y protección de datos aplicable.

1.11. “Servicios” indica los servicios prestados por Mastercard al Cliente según el Acuerdo principal.

1.12. “Cláusulas contractuales estándar” indica las cláusulas anexas a la Decisión de ejecución de la Comisión de la UE del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países según la Reglamentación (UE) 2016/679 del Parlamento Europeo y del Consejo (OJ L 199, 7.6.2021, p. 31-61) y sus eventuales modificaciones o reemplazos.

1.13. “Leyes de privacidad estatales” indica la Ley de privacidad de consumidores de California, Código Civil de California, 1798.100 y siguientes, según las modificaciones incluidas en la Ley de derechos a la privacidad de California; la Ley de protección de datos de los consumidores de Virginia, Código de Virginia, Título 59.1, Capítulo 52; la Ley de privacidad de Colorado, Estatutos Revisados de Colorado 6-1-1301 y siguientes; la Ley de privacidad de los consumidores de Utah, Código de Utah 13-61-101 y siguientes; la Ley de Monitoreo en línea y privacidad de datos personales de Connecticut, Ley pública n.º 22-15 y cualquier otra ley de privacidad estatal de EE. UU. y sus reglamentaciones de implementación, con sus eventuales modificaciones y reemplazos.

1.14. “Subprocesador” indica un Procesador contratado por un procesador para llevar a cabo el procesamiento en nombre del Controlador.

1.15. “Adenda de Gran Bretaña” indica la adenda a las cláusulas contractuales estándar emitida por el Comisionado de Información de Gran Bretaña en la Sección 119A de la Ley de protección de datos de Gran Bretaña de 2018 (versión B1.0, vigente desde el 21 de marzo de 2022).

2. Roles de las Partes y procesamiento por parte de Mastercard

2.1. Procesamiento de Datos personales sujeto a la Ley de privacidad y protección de datos. Esta Sección 2.1 se aplica únicamente al procesamiento de datos personales sujeto a la Ley de privacidad y protección de datos que obliga al Controlador y al Procesador a celebrar un acuerdo de procesamiento de datos. Para evitar dudas, también se aplica en el caso de que la Ley de privacidad y protección de datos no use específicamente los términos Controlador y Procesador.

2.1.1 Roles de las Partes. Mastercard actúa como Procesador en nombre del Cliente y el Cliente actúa como Controlador (o Procesador en nombre de otro Controlador) en el contexto de los Servicios descritos en el Apéndice 1.

2.1.2 Procesamiento por parte de Mastercard. Por el presente el Cliente, como Controlador, autoriza a Mastercard a procesar, según lo permita la Ley de privacidad y protección de datos aplicable, los datos personales relacionados con la operación, asistencia o uso de los Servicios para (i) realizar análisis internos de Datos personales, (ii) desarrollar y mejorar los productos y servicios existentes y futuros que se ofrecen a terceros, (iii) monitorear y prevenir fraudes, (iv) preparar y suministrar informes de información agregada y anonimizar información, siempre que dichos informes no identifiquen al Cliente ni a ningún Sujeto de datos y Mastercard no intentará identificar, ni permitirán que sus subprocesadores intenten identificar. ningún dato anonimizado ni información agregada y (v) con otros fines para los cuales los Sujetos de datos con quienes se relacionan los datos han prestado su consentimiento. Mastercard declara y garantiza que procesará los Datos personales con estos fines según la Ley de privacidad y protección de datos aplicable y las BCR de Mastercard.

2.2. Procesamiento de los Datos personales cubiertos sujeto a las leyes de privacidad estatales. Esta Sección 2.2 se aplica únicamente al procesamiento de Datos personales por parte de Mastercard en nombre del Cliente sujeto a las leyes de privacidad estatales (“Datos personales cubiertos”). Independientemente de cualquier cláusula en contrario incluida en el presente DPA o esta sección, las condiciones de esta sección no se aplicarán al procesamiento por parte de Mastercard de los Datos personales cubiertos que están exentos según las leyes de privacidad estatales. Excepto en lo que permitan expresamente las leyes de privacidad estatales, Mastercard no (i) venderá ni compartirá los Datos personales cubiertos, (ii) conservará, usará ni divulgará los Datos personales cubiertos con ningún fin distinto de la finalidad específica de prestar al Cliente los Servicios según el Acuerdo principal y el Apéndice 1; (iii) conservará, usará ni divulgará los Datos personales cubiertos fuera de la relación comercial directa entre las Partes ni (iv) combinará los Datos personales cubiertos con Datos personales obtenidos de o en nombre de fuentes distintas del Cliente, excepto como lo permitan expresamente las leyes de privacidad estatales correspondientes.

2.3. Categorías de datos personales. El Cliente declara y garantiza que no compartirá ni podrá a disposición de Mastercard ninguna (i) categoría especial de Datos personales según se definen en la Ley de privacidad y protección de datos aplicable ni (ii) Datos personales relacionados con Sujetos de datos menores de edad en el contexto de los Servicios.

3. Obligaciones adicionales de las Partes

3.1. Cumplimiento de la Ley de privacidad y protección de datos. El Cliente y Mastercard declaran y garantizan que cumplirán con la Ley de privacidad y protección de datos al procesar los Datos personales en el contexto de los Servicios y proporcionarán el nivel de protección de privacidad que requieren las leyes de privacidad y protección de datos. El Cliente y Mastercard acuerdan cooperar de buena fe para acordar cláusulas adicionales para abordar cualquier modificación, enmienda o actualización a la Ley de privacidad y protección de datos aplicable. En especial, las Partes acuerdan lo siguiente:

3.1.1. Aviso y consentimiento para el procesamiento de Datos personales. Como Controlador, el Cliente es responsable de cumplir con la Ley de privacidad y protección de datos en el contexto del procesamiento de Datos personales según se establece en en Apéndice 1, que puede incluir la creación de perfiles de Sujetos de datos. El Cliente declara y garantiza que, según lo requiere la Ley de privacidad y protección de datos, (i) suministrará un aviso claro y transparente a los Sujetos de datos en un formulario fácilmente accesible que incluya referencias adecuadas a las categoría de Datos personales involucradas, la base legal del Cliente para procesar y compartir Datos personales con Mastercard y (ii) se basará en fundamentos legales válidos, incluido el consentimiento de los Sujetos de datos cuando así lo requiera la Ley de privacidad y protección de datos, para procesar los Datos personales según se establece en el Apéndice 1.

3.1.2. Aviso y consentimiento de cookies. El Cliente es responsable de suministrar un aviso y obtener el consentimiento requerido por la Ley de privacidad y protección de datos para permitir el almacenamiento y acceso a la información almacenada en los equipos terminales de los Sujetos de datos mediante cookies y tecnologías similares. El Cliente debe permitir que los Sujetos de datos retiren dicho consentimiento en cualquier momento de la misma manera sencilla en la que lo prestaron.

3.1.3. Prueba de consentimiento. En el alcance en el que la Ley de privacidad y protección de datos requiera el consentimiento de los Sujetos de datos, el Cliente debe ser capaz de demostrar que se ha obtenido el consentimiento válido de los Sujetos de datos.

3.2. Instrucciones. Cuando Mastercard actúe como Procesador en nombre del Cliente según la Sección 2.1.1 anterior, Mastercard tomará medidas para:

3.2.1. Procesar únicamente Datos personales según las instrucciones legítimas documentadas del Cliente o de cualquier otra manera que acuerden las Partes por escrito, a menos que la legislación requiera o permita otra manera.

3.2.2. Informar oportunamente al Cliente si, en su opinión, sus instrucciones infringen la Ley de privacidad y protección de datos o si Mastercard no puede cumplir con las instrucciones del Cliente sin incumplir sus obligaciones según la Ley de privacidad y protección de datos.

3.2.3. Notificar al Cliente cuando la legislación local impida a Mastercard (1) cumplir sus obligaciones según el presente DPA o las BCR de Mastercard y esto influya negativamente en las garantías estipuladas en el presente DPA o las BCR de Mastercard y (2) cumplir con las instrucciones recibidas del Cliente mediante el presente DPA, excepto si la legislación local prohíbe dicha divulgación, como la prohibición según la legislación penal de mantener la confidencialidad de una investigación de organismos de seguridad.

Notificar al Cliente, según lo requiera la Ley de privacidad y protección de datos aplicable a más tardar 5 días hábiles después de determinar que ya no puede cumplir con sus obligaciones según las leyes de privacidad estatales aplicables. Al recibir la notificación de Mastercard que se establece en esta subsección, el Cliente podrá instruir a Mastercard que tome las medidas razonables y adecuadas para detener o subsanar el uso no autorizado de Datos personales.

3.3. Confidencialidad. Mastercard garantizará que las personas autorizadas a procesar datos personales se hayan comprometido con la confidencialidad o tengan la obligación legal adecuada de confidencialidad.

3.4. Seguridad. Las Partes tomarán las medidas para garantizar un nivel de seguridad adecuado al riesgo de los Datos personales e implementarán, como mínimo, las medidas de seguridad incluidas en el Apéndice 2. Las Partes deberán notificar a la otra Parte una violación a los datos personales relacionada con los datos personales procesados en el contexto del Servicio, sin demoras indebidas y a más tardar 72 horas después de tomar conocimiento de dicha violación a los Datos personales.

3.5. Subprocesamiento. El Cliente otorga una autorización general e instruye a Mastercard a contratar subprocesadores internos y externos en el contexto de los Servicios en las condiciones que se establecen más adelante, incluida cualquier adición o reemplazo de subprocesadores y Mastercard declara y garantiza que en el subprocesamiento del procesamiento de Datos personales en el contexto de los Servicios y en el alcance que requiera la Ley de privacidad y protección de datos aplicable:

3.5.1. Obligará a sus Afiliadas que actúen como Subprocesadores a respetar las BCR de Mastercard y cumplir con las instrucciones del Cliente.

3.5.2. Requerirá al resto de sus Subprocesadores, mediante acuerdo por escrito, que cumplan con la Ley de privacidad y protección de datos aplicable, las instrucciones del Cliente y con obligaciones sustancialmente similares a las impuestas a Mastercard mediante esta Sección y las BCR de Mastercard.

3.5.3. Será responsable frente al Cliente por el cumplimiento de las obligaciones de sus Subprocesadores.

3.5.4. Se comprometerá a proporcionar una lista de los Subprocesadores a pedido del Cliente.

3.5.5. Informará oportunamente al Cliente cualquier adición o reemplazo de un Subprocesador y, si la Ley de privacidad y protección de datos aplicable lo requiere, otorgará al Cliente la posibilidad de objetar el cambio, excepto cuando no se puedan prestar los Servicios sin involucrar a un Subprocesador específico.

3.6. Asistencia. En el alcance que lo requiera la Ley de privacidad y protección de datos y previa solicitud por escrito del Cliente, Mastercard asistirá al Cliente, en lo razonablemente posible, a cumplir con las obligaciones de cumplimiento de protección de datos propias del Cliente según la Ley de privacidad y protección de datos y suministrará al Cliente toda la información disponible para Mastercard que sea razonablemente necesaria para demostrar el cumplimiento de las obligaciones propias del Cliente según la Ley de privacidad y protección de datos, incluida la obligación del Cliente de realizar evaluaciones de impacto en la protección de datos o la consulta previa con las Autoridades de contralor.

3.7. Eliminar o devolver datos personales. A pedido por escrito del Cliente de eliminar o devolver los Datos personales, excepto los Datos personales que Mastercard procese como Controlador, Mastercard eliminará, anonimizará o devolverá, a elección del Cliente, dichos Datos personales al Cliente, excepto en los casos en los que Mastercard deba conservar una copia de dichos Datos personales para cumplir con cualquier obligación legal (en cuyo caso Mastercard protegerá la confidencialidad de los Datos personales).

3.8. Auditoría de protección de datos. En el alcance que requiera la Ley de protección de datos de la UE y a pedido por escrito del Cliente, Mastercard acuerda cooperar y, en un plazo razonable, suministrar al Cliente: (a) un resumen de los informes de auditoría que demuestren el cumplimiento de Mastercard de sus obligaciones estipuladas en el presente DPA y las BCR de Mastercard, cuando la transferencia de Datos personales se base en las BCR de Mastercard, u otra documentación relevante que requiera la Ley de privacidad y protección de datos, después de ocultar cualquier información confidencial e información sensible comercialmente y (b) la confirmación de que la auditoría no ha desvelado ninguna vulnerabilidad sustancial en los sistemas de Mastercard o, en el caso de que se haya detectado alguna vulnerabilidad, que Mastercard la ha subsanado. Si las medidas anteriores no son suficientes para cumplir con los requisitos de la Ley de privacidad y protección de datos aplicable y las BCR de Mastercard o desvelan problemas sustanciales, Mastercard permitirá al Cliente, sujeto a estrictas obligaciones de confidencialidad y una vez al año como máximo, solicitar una auditoría del programa de cumplimiento de protección de datos de Mastercard por parte de auditores externos independientes seleccionados conjuntamente por las Partes. El auditor externo independiente no puede ser un competidor de Mastercard y las Partes acordarán mutuamente el alcance, oportunidad y duración de la auditoría. Mastercard proporcionará al Cliente el resultado de la auditoría de su programa de cumplimiento de protección de datos.

3.9. Solicitudes de los Sujetos de datos. Los Servicios pueden proporcionar al Cliente funciones para asistirle en sus obligaciones relacionadas con la respuesta a solicitudes de los Sujetos de datos de ejercer sus Derechos de protección de datos (“Solicitudes de los Sujetos de datos”). Cuando los Servicios no ofrezcan dichas funciones o el Cliente no sea capaz de abordar una Solicitud del sujeto de datos mediante los Servicios, Mastercard proporcionará al Cliente la asistencia razonable para responder a las Solicitudes de los sujetos de datos según lo requiera la Ley de privacidad y protección de datos aplicable en relación con el procesamiento de Datos personales según el Acuerdo principal y el Cliente reembolsará a Mastercard los costos comercialmente razonables en los que incurra por la asistencia. Si se presenta una Solicitud de sujeto de datos directamente a Mastercard en relación con el procesamiento de Datos personales según el Acuerdo principal y siempre que se identifique al Cliente en la Solicitud del sujeto de datos o Mastercard pueda identificarlo fácilmente con base en la Solicitud del sujeto de datos, Mastercard informará al Sujeto de datos que debe presentar la solicitud al Cliente.

4. Transferencia de Datos personales

4.1. El Cliente reconoce que Mastercard puede y, cuando lo requiera la Ley de privacidad y protección de datos aplicable, el Cliente autoriza a Mastercard a transferir internacionalmente los Datos personales procesados en relación con los Servicios de acuerdo a las BCR de Mastercard o a cualquier otro método legal de transferencia de datos. Mastercard declara y garantiza que se regirá por las BCR de Mastercard en el contexto de dichas transferencias de Datos personales.

4.2. Cuando las BCR de Mastercard no puedan aplicarse como salvaguardas adecuadas, la transferencia se regirá por las Cláusulas contractuales estándar y la Adenda de Gran Bretaña, según corresponda, que se incorporan al presente DPA como referencia.

Las Partes formalizan y completan el módulo dos (controlador a procesador) de las Cláusulas contractuales estándar de la siguiente manera: (i) implementan la cláusula de muelle opcional en la Cláusula 7; tachan el párrafo opcional de la Cláusula 11(a); escogen la opción 2 de la Cláusula 9(a); indican Bélgica en las Cláusulas 13(a) y 17 e indican los tribunales de Bruselas, Bélgica, en la Cláusula 18(b); (ii) el “exportador de datos” es el Cliente; el “importador de datos” es Mastercard y (iii) los Apéndices I y II de las Cláusulas contractuales estándar son los Apéndices 1 y 2, respectivamente, del presente DPA.

La Parte 1 de la Adenda de Gran Bretaña se completa de la siguiente manera: (i) en la Tabla 1, el “exportador” es el Cliente y el “importador” es Mastercard, los detalles se establecen en el Acuerdo principal y en el presente DPA; (ii) en la Tabla 2, se selecciona la primera opción y las “CCS de la UE aprobadas” son las Cláusulas contractuales estándar que se indican en la Sección 4.2.1 del presente DPA; (iii) en la Tabla 3, los “Apéndices 1 (A y B) y II de las “CCS de la UE aprobadas” son los Apéndices 1 y 2 del presente DPA y (iv) en la Tabla 4, tanto el “importador” como el “exportador” pueden rescindir la Adenda de Gran Bretaña.

5. Responsabilidad

Las Partes acuerdan que si Mastercard paga compensaciones, daños o multas, Mastercard tendrá derecho a reclamar al Cliente la parte de las compensaciones, daños o multas que corresponda a la parte de responsabilidad del Cliente de dichas compensaciones, daños o multas.

6. Derecho y jurisdicción

6.1. En el alcance en que el procesamiento de Datos personales esté sujeto a la Ley de protección de datos de la UE, el presente DPA y el procesamiento de los Datos personales se regirán por las leyes de Bélgica y cualquier litigio se someterá a los tribunales de Bruselas.

6.2. En el alcance en que el procesamiento de datos personales no esté sujeto a la Ley de protección de datos de la UE, el presente DPA y el procesamiento de los Datos personales se regirán por la ley aplicable al Acuerdo principal y cualquier litigio se someterá a los tribunales identificados en el Acuerdo principal.

7. Modificaciones al presente DPA

El presente DPA solo puede modificarse por enmienda escrita firmada por las Partes. El Partes acuerdan cooperar de buena fe para acordar cláusulas adicionales para abordar cualquier modificación, enmienda o actualización a la Ley de privacidad y protección de datos aplicable.

8. Rescisión

Las Partes acuerdan que el presente DPA se considerará rescindido al rescindirse el Acuerdo principal.

9. Nulidad y divisibilidad

Si un tribunal u organismo administrativo de jurisdicción competente declara que cualquier cláusula del presente DPA es nula o inexigible, la nulidad o inexigibilidad de dicha cláusula no afectará a ninguna otra cláusula de este DPA y dichas otras cláusulas cuya nulidad o inexigibilidad no se haya declarado permanecerán vigentes y exigibles.

10. Ejemplares

El presente DPA se formalizará en cualquier número de ejemplares, cada uno de los cuales, al formalizarse, constituirá un original duplicado pero todos los ejemplares, juntos, constituirán el mismo acuerdo.

Mastercard Europe SAInternational Incorporated MastercardDynamic Yield Ltd[Cliente]
Nombre:Nombre:Nombre:Nombre:
Cargo e información de contacto, incluido correo electrónico:Cargo e información de contacto, incluido correo electrónico:Cargo e información de contacto, incluido correo electrónico:Cargo e información de contacto, incluido correo electrónico:
Dirección:Dirección:Dirección:Dirección:
Firma:Firma:Firma:Firma:
Fecha:Fecha:Fecha:Fecha:

 

Apéndice 1 – Descripción de las actividades de procesamiento

A. LISTA DE PARTES:

Exportador de datos:

  • Nombre: Cliente, según se define anteriormente
  • Dirección: véase, arriba, la página de firmas
  • Nombre, cargo e información de contacto de la persona de contacto: véase, arriba, la página de firmas
  • Actividades relacionadas con los datos transferidos: recepción de los Servicios según se describen en el presente DPA y el Acuerdo principal
  • Firma y fecha: véase, arriba, la página de firmas
  • Rol (controlador/procesador): Controlador

Importador de datos:

  • Nombre: Mastercard, según se define anteriormente
  • Dirección: véase, arriba, la página de firmas
  • Nombre, cargo e información de contacto de la persona de contacto: véase, arriba, la página de firmas
  • Actividades relevantes a los datos transferidos: prestación de los Servicios según se describen en el presente DPA y el Acuerdo principal
  • Firma y fecha: véase, arriba, la página de firmas
  • Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

  • Categorías de Sujetos de datos cuyos Datos personales se transfieren: usuarios finales
  • Categorías de Datos personales transferidos:
    • Información geográfica (ciudad, estado, país);
    • Participación en el público – con base en la segmentación de usuarios en tiempo real y los cálculos históricos de administración;
    • Dirección IP;
    • Identificadores en línea (es decir, datos en línea recopilados de los dispositivos, aplicaciones y protocolos de los usuarios finales) como UDID, identificadores de cookies y cualquier otra ID única que Mastercard o el Cliente asigne a los dispositivos de los usuarios finales;
    • Atributos de dispositivos y navegadores;
    • Según corresponda: términos de búsquedas;
    • Según corresponda: dirección de correo electrónico;
    • Vistas e interacciones en páginas;
    • Según corresponda: eventos de cliente (por ejemplo, “agregar al carrito” o cualquier otra interacción y acción definida por el Cliente);
    • Según corresponda: datos de terceros proporcionados por el Cliente (es decir, información de si el usuario final es titular de una tarjeta “premium”);
    • Historial de compras (en línea y fuera de línea);
    • Según corresponda: datos CRM y otros datos que el Cliente decida para la incorporación (por ejemplo, género, estado, valor promedio de pedido, número de artículos pedidos, días desde el último pedido, ventas netas, artículos por pedido, días desde el primero pedido, sesiones desde el último pedido, días desde la última visita, tiempo promedio entre compras, sitio del último pedido, etc.).
  • Datos sensibles transferidos (si corresponde) y restricciones o salvaguardas aplicadas que tienen en cuenta totalmente la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, limitación estricta de finalidad, restricciones de acceso (incluido el acceso solo por personal que haya realizado capacitaciones especializadas), conservación de registros de acceso a los datos, restricciones para futuras transferencias o medidas adicionales de seguridad: sin datos sensibles.
  • Frecuencia de la transferencia (por ejemplo, si los Datos personales se transfieren con base intermitente o continua): continua.
  • Naturaleza del procesamiento: los Datos personales se procesarán y transferirán según se describe en el presente DPA y el Acuerdo principal.
  • Finalidad de la transferencia y ulterior procesamiento: los Datos personales se procesarán y transferirán para la prestación de los Servicios según se describe en el presente DPA y el Acuerdo principal, en especial:
    • Personalizar la interacción de los usuarios finales con las plataformas en línea del Cliente en la web, web para móviles, aplicaciones para móviles y correo electrónico y otros canales;
    • Generar segmentos de usuarios finales prácticos en tiempo real para que el Cliente pueda realizar acciones instantáneas mediante personalización, recomendaciones de productos/contenido, optimización automática, mensajes en tiempo real y otros módulos de activación que Mastercard eventualmente pueda ofrecer.
  • Periodo durante el cual se conservarán los Datos personales o, si no fuera posible, los criterios utilizados para determinar dicho periodo: los Datos personales se conservarán durante el tiempo necesario teniendo en cuenta la finalidad del procesamiento y en cumplimiento de la legislación aplicable, incluidas las leyes de prescripción y la Ley de privacidad y protección de datos.
  • En el caso de transferencia a Subprocesadores, también especificar el objeto, naturaleza y duración del procesamiento: los Datos personales pueden transferirse a Subprocesadores para prestar los Servicios según se describen en el presente DPA y el Acuerdo principal.

C. AUTORIDAD DE CONTRALOR COMPETENTE

The Belgian Supervisory Authority shall act as the competent Supervisory Authority.

Apéndice 2 – Medidas de seguridad


Las Partes aplicarán a los Datos personales como mínimo los siguientes tipos de medida de seguridad:

1. Control de acceso físico

Las medidas técnicas y organizativas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en las instalaciones y edificios (incluidas bases de datos, servidores de aplicaciones y hardware relacionado) donde se procesen los Datos personales incluyen:

  • Establecer zonas de seguridad, restricción de rutas de acceso;
  • Establecer autorizaciones de acceso para empleados y terceros;
  • Sistema de control de acceso (lectores de ID, tarjetas magnéticas, tarjetas con chip);
  • Gestión de claves, procedimientos de tarjetas de acceso;
  • Bloqueo de puertas (apertura electrónica de puertas, etc.);
  • Personal de seguridad, conserjes;
  • Instalaciones de vigilancia, monitor de video/CCTV, sistema de alarmas y
  • Proteger el equipo de procesamiento de datos descentralizado y las computadoras personales.

2. Control de acceso virtual

Las medidas técnicas y organizativas para evitar que personas no autorizadas usen los sistemas de procesamiento de datos incluyen:

  • Procedimientos de identificación y autenticación de usuario;
  • Procedimientos de seguridad de ID/contraseñas (caracteres especiales, longitud mínima, cambio de contraseña);
  • Bloqueo automático (por ejemplo, contraseña o tiempo de espera);
  • Monitoreo de intentos de intrusión y desactivación automática de ID de usuario después de varios intentos con contraseña incorrecta;
  • Creación de un registro maestro por usuario, procedimientos de datos de usuario-maestro por entorno de procesamiento de datos y
  • Codificación de los medios de datos archivados.

3. Control de acceso a los datos

Las medidas técnicas y organizativas para garantizar la confidencialidad y que las personas con derecho a usar un sistema de procesamiento de datos accedan solo a los Datos personales de acuerdo con sus derechos de acceso y que los Datos personales no puedan leerse, copiarse, modificarse ni eliminarse sin autorización incluyen:

  • Políticas y procedimientos internos;
  • Esquemas de autorización de control;
  • Configuración predeterminada;
  • Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos);
  • Monitoreo y registro de los accesos;
  • Medidas disciplinarias contra los empleados que accedan a Datos personales sin autorización;
  • Informes de acceso;
  • Procedimiento de acceso;
  • Procedimiento de cambios;
  • Procedimiento de eliminación y
  • Codificación

4. Control de divulgación

Las medidas técnicas y organizativas para garantizar que los Datos personales no puedan leerse, copiarse, modificarse ni eliminarse sin autorización durante la transmisión, transporte o almacenamiento electrónicos en soportes de almacenamiento (manuales o electrónicos) y que se pueda verificar a cuáles empresas u otras entidades legales se divulgan los Datos personales incluyen:

  • Codificación / pseudonimización / tunelización
  • Registro y
  • Seguridad de transporte

5. Control de entrada

Las medidas técnicas y organizativas para monitorear si se han ingresado, cambiado o eliminado (borrado) Datos personales de los sistemas de procesamiento de datos y por quién incluyen:

  • Sistemas de registro e informes y
  • Documentación y pruebas de auditoría

6. Control de las instrucciones

Las medidas técnicas y organizativas para garantizar que los Datos personales se procesen únicamente según las instrucciones del Controlador incluyen:

  • Lenguaje inequívoco del contrato;
  • Encargo formal (formulario de solicitud) y
  • Criterios para seleccionar al Procesador

7. Control de disponibilidad

Las medidas técnicas y organizativas para garantizar la integridad, disponibilidad y resiliencia de los sistemas de procesamiento y que los Datos personales estén protegidos contra destrucción o pérdida accidental (física/lógica) incluyen:

  • Plan de recuperación de desastres en caso de incidentes físicos o técnicos

8. Control de separación

Las medidas técnicas y organizativas para garantizar que los Datos personales recopilados con distintos fines puedan procesarse de manera separada incluyen:

  • Concepto de “cliente interno” / limitación de uso;
  • Separación de funciones (producción/prueba) y
  • Procedimientos para almacenar, enmendar, eliminar, transmitir los datos con distintos fines.

9. Prueba de controles

Las medidas técnicas y organizativas para probar, evaluar y ponderar la efectividad de las medidas técnicas y organizativas implementadas para garantizar la seguridad del procesamiento incluyen:

  • Revisión y prueba periódicas del plan de recuperación de desastres;
  • Prueba y evaluación de las actualizaciones de software antes de instalarlas;
  • Escaneo de vulnerabilidad autenticado (con derechos elevados) y
  • Banco de pruebas para pruebas de penetración específicas

10. Gobernabilidad de TI

Las medidas técnicas y organizativas para mejorar la administración general de TI y garantizar que las actividades asociadas con información y tecnología estén alineadas con los esfuerzos de cumplimiento incluyen:

  • Certificación/aseguramiento de procesos y productos;
  • Procesos de minimización de datos;
  • Procesos de calidad de datos;
  • Procesos para la conservación limitada de datos;
  • Procesos para garantizar la rendición de cuentas y
  • Política de derechos del sujeto de datos.