Política de Privacidad

Consideraciones Preliminares

Paygol SpA, en adelante también como “Paygol”, es una sociedad por acciones que tiene como actividad principal la prestación de servicios de recaudación, cobranza y procesamiento de pagos y que forma parte del Grupo PayRetailers

En nuestra compañía sabemos la importancia que la protección de la vida privada, como también de los datos personales, tienen para nuestros Clientes y la confianza que depositan en nosotros al entregarnos estos datos. Debido a ello, es nuestra obligación informar el modo en que los datos personales de nuestros Clientes serán recolectados, almacenados y tratados al interior de nuestra empresa.

En virtud de lo anterior, se ha elaborado el presente documento que contiene nuestra Política de Privacidad la cual recomendamos leer meticulosamente antes de su aceptación.

La presente Política de Privacidad es adoptada por Paygol con el fin de resguardar y proteger la privacidad de la información personal de los usuarios de la Plataforma (en adelante, los “Usuarios”), obtenida por medio de los servicios ofrecidos en la misma.

El presente documento se ha elaborado en conformidad con lo dispuesto en la Ley N° 19.628 sobre la Protección a la Vida Privada y sus modificaciones; la Ley N° 19.496 sobre Protección de los Derechos de los Consumidores, otras normas pertinentes y los acuerdos contractuales, convenciones sobre resguardo, protección, reserva y confidencialidad aplicables.

Definiciones

• Representante: Aquella persona que actúa en virtud de un mandato o poder a nombre de una entidad comercial (sea esta persona natural o jurídica).
• Cliente Final: Corresponde aquella persona natural o jurídica que realiza actividades comerciales con una entidad comercial de manera indirecta a través de Paygol.
• Almacenamiento de datos: Es la conservación o custodia de datos en un registro o bancos de datos.
• Dato de carácter o datos personales: Son los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.
• Datos personales sensibles: Es aquel dato personal que se refiere a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.
• Eliminación o cancelación de datos: Corresponde a la destrucción de datos almacenados en registros o bancos de datos, cualquiera fuere el procedimiento empleado para ello.
• Modificación de datos: Es todo cambio en el contenido de los datos almacenados en registros o bancos de datos.
• Registro o bancos de datos: Conjunto organizado de datos de carácter personal, sea automatizado o no y cualquiera sea la forma o modalidad de su creación u organización, que permita relacionar los datos entre sí, así como realizar todo tipo de tratamiento de datos.
• Titular de los datos personales: Toda persona a la que se refieren los datos de carácter personal.
• Tratamiento de datos: Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal o utilizarlos en cualquier otra forma.

Consentimiento

Al momento de aceptar la presente Política de Privacidad estas consintiendo expresamente la utilización de tus datos personales, para los fines exclusivos que se definen en este documento.

En el uso de tus datos suministrados, se incluye el almacenamiento, entendiéndose éste como la conservación en un registro o en un banco de datos, por medios propios o suministrados por terceros; y el tratamiento, entendiéndose este como cualquier operación de carácter automatizado o no que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal.

Declaración

Se hace presente que, con la finalidad de dar cumplimiento a la presente Política de Privacidad, al momento de aceptar la misma debes ser mayor de edad y que los datos suministrados son correctos y veraces. En caso de solicitar una modificación, te pedimos que nos informes a la brevedad de conformidad al procedimiento que se expone más adelante.

En ningún lugar de la Plataforma recogemos conscientemente datos personales o información de personas menores de 18 años.

Cuando estas disposiciones usen términos en masculino se entenderá que aplican a las personas de todos los géneros

Responsable del tratamiento de los datos:

• Nombre: Paygol SpA.
• Rut: 76.416.659-0

Uso, obtención y fin de los datos personales

1. Representante

Paygol en su calidad de responsable del tratamiento de datos, recogerá mediante el sitio web de Paygol, por correo electrónico y por cualquier otro medio que pongamos a su disposición, la siguiente información:

• • Datos personales de identificación y contacto: Nombre completo, nacionalidad, correo electrónico, identificación personal vigente, teléfono, datos laborales, entre otros de la misma categoría.

No se recogerán datos personales de carácter sensible.

Canales de captación de datos personales.

La información personal es recolectada durante las siguientes instancias:

• i. Al momento de registrarse como Usuario de la Plataforma.
• ii. Cuando se utiliza la Plataforma como pasarela de pago, llegando a ella por medio de un vínculo de otra página.
• iii. De fuentes externas (aliados bancarios, proveedores de servicios con quienes colaboramos, organismos públicos o cualquier otra entidad con quienes previamente hubiésemos suscrito un acuerdo de confidencialidad.
• iv. Al responder encuestas y consultas de opinión.
• v. Cuando los usuarios utilicen cualquier actividad, servicio, características o recursos de Paygol o interactúen de cualquier manera con la Plataforma.
• vi. Además de recibir información directamente de nuestros Usuarios, Paygol podrá recibir información personal de ellos por medio de otras fuentes. Algunas de estas incluyen (sin que la lista sea taxativa: fuentes comerciales disponibles, como bases de datos públicas e información de terceras partes a las que ha dado su permiso para compartir su información.
• vii. Envío de datos por los usuarios a través de correos de contacto o formularios de contacto solicitando información de nuestros productos.

Nuestra empresa realiza controles de veracidad y licitud de la información suministrada por los clientes y usuarios de nuestra página web, en la medida de lo posible, de conformidad a lo dispuesto en nuestra normativa nacional vigente.

Por lo tanto, nuestra empresa no es responsable de cualquier infracción derivada de la ilicitud, ilegitimidad, alteración, mal uso, usurpación de identidad, fraude o sanción derivado de la información que se le haya entregado o provisto. Por ello, toda persona que entrega sus datos personales declara y garantiza que estos son exactos, veraces y propios, que no ha suplantado la identidad de otros y/o que no son datos de terceros.

Finalidad de la captación de datos personales.

Los datos personales que recogemos de usted, los utilizaremos para las siguientes finalidades primarias, que son necesarias para el servicio que solicita:

• i) Creación de cuenta en el sitio web de Paygol;
• ii) Proceso de onboarding, incluyendo la revisión y aprobación del área de Compliance con base en las políticas internas de Paygol;
• iii) Generar la documentación necesaria para concretar la relación comercial;
• iv) Proveerle los servicios contratados;
• v) Realizar gestiones para mantener actualizados sus datos personales y documentación legal de su empresa;
• vi) Realizar aclaraciones para prevenir y detectar fraudes o ilícitos en contra de su persona o de Paygol;
• vii) Realizar revisiones legales y debidas diligencias de la entidad comercial;
• viii) Comunicarnos con usted con el fin de cumplir con nuestras obligaciones de acuerdo con los términos del servicio;
• ix) Realizar todo tipo de análisis para mejorar los servicios ofrecidos por Paygol, y
• x) Dar cumplimiento a las obligaciones legales a cargo de Paygol.

2. Cliente final

Paygol presta sus servicios a entidades comerciales, que directa o indirectamente nos proporcionan datos personales de clientes finales en relación con las propias actividades comerciales de las entidades. Cuando actuamos como proveedor de servicios de una entidad comercial, tratamos los datos personales de acuerdo con los términos y condiciones de nuestro acuerdo con dicha entidad.

Las entidades comerciales son responsables de garantizar los derechos de privacidad de sus clientes finales, lo que incluye garantizar la divulgación adecuada de la recogida y el tratamiento de los datos que se produce en relación con los servicios. Si usted es un cliente final, consulte la política de privacidad de la entidad comercial para obtener información sobre el tratamiento de sus datos.

Los datos personales que la entidad comercial nos proporciona de manera directa o indirecta de usted, a través de nuestra interfaz de programación, correo electrónico o por el medio que la entidad comercial designa, incluyen lo siguiente:

• Datos personales de identificación: Nombre completo, correo electrónico, teléfono, domicilio, identificación oficial, entre otros de la misma categoría.
• Datos de la transacción: fecha, monto, método de pago, país donde se realizó, estatus, entre otros de la misma categoría.
• Datos del Beneficiario Final de la Transacción: Razón social de la sociedad beneficiaria de la transacción.
• No se remiten datos personales sensibles.

Los datos personales que nos sean remitidos en nuestra calidad de procesador de datos serán utilizados para las siguientes finalidades:

• i) Verificar y confirmar su identidad;
• ii) Procesamiento de la transacción;
• iii) aclaraciones para prevenir y detectar fraudes o ilícitos en contra de su persona o de Paygol;
• iv) Atender quejas, reclamaciones y sugerencias remitidas a Paygol; y
• v) Dar cumplimiento a las obligaciones legales a cargo de Paygol.

No remitiremos comunicaciones comerciales sin su consentimiento.

Base legal del tratamiento

Para el tratamiento de los datos personales, Paygol parte de las siguientes bases legales:

a. Relaciones comerciales contractuales y precontractuales. Tratamos los datos personales con el fin de formalizar relaciones comerciales con posibles entidades comerciales y para cumplir con las respectivas obligaciones contractuales que tenemos con dichas entidades.
b. Intereses comerciales legítimos. De conformidad con la legislación aplicable, tratamos los datos para efectos de dar cumplimiento a las obligaciones legales de Paygol, como la prevención y aclaración de fraudes, así como la prestación de nuestros servicios a dichas entidades.
c. Consentimiento. Basados en el consentimiento que usted nos proporciona para tratar sus datos personales en calidad de representante de una entidad comercial.

¿Cuánto tiempo almacenamos sus datos personales?

Conservaremos sus datos únicamente durante el período estrictamente necesario para los respectivos fines del tratamiento o durante el período legal, en su caso.

¿A quién transferimos sus datos?

Paygol puede compartir sus datos con otras entidades del grupo corporativo de Paygol que operan bajo los mismos estándares, procesos y/o políticas internas bajo los que opera Paygol.

Asimismo, Paygol puede compartir sus datos, a través de remisiones, a personas que tengan el carácter de encargados del tratamiento, como pueden ser prestadores de servicios o socios de negocios con los que Paygol tenga una relación jurídica.

Le informamos que Paygol no realiza transferencias de datos a terceros, y en el caso de que se comparta la información, será para los siguientes fines:

a. Fortalecer los Términos y Condiciones de uso de la Plataforma;
b. Investigar posibles violaciones a la Ley aplicable. Paygol hace presente que tanto la Sociedad como empresas, organizaciones o individuos externos podrían tener la obligación de informar dichas violaciones a la ley al Servicio de Impuestos Internos, a la Comisión para el Mercado Financiero y otras entidades fiscalizadoras;
c. Identificar, anticipar y resguardarse contra cualquier forma de fraude o vulnerabilidad técnica o de seguridad;
d. Dar cumplimiento a la Ley y colaborar con cualquier investigación legal; y
e. Permitir el adecuado funcionamiento de la Plataforma.

En caso de que Paygol determine que es necesario compartir la información personal de sus Usuarios con terceros, tomará todas las medidas que estén razonablemente en su poder para asegurar que se mantenga segura la información, que se proteja de usos indebidos y que su uso esté de acuerdo con esta Política de Privacidad y las leyes y regulaciones aplicables a la protección de información personal.

Transferencia internacional de datos

Sus datos personales pueden ser almacenados fuera de Chile por nuestros proveedores o prestadores de servicios o por empresas del Grupo de Payretailers para los fines descritos en esta Política de Privacidad

Sus datos personales eventualmente transferidos a otros países serán tratados con el mismo nivel de protección, en cumplimiento con las garantías requeridas por la legislación aplicable y bajo las políticas de seguridad de Paygol.

Comunicaciones

En el uso de los datos personales suministrados, estamos facultados para enviarte correos electrónicos, mensajes de texto, contactarte telefónicamente y en general, dirigirte comunicaciones a través de plataformas de comunicación a distancia o remotas. El contenido de estas comunicaciones podremos incluir información respecto de promociones y servicios que creamos que puedan interesarte, salvo que nos informes que no desea recibir estas comunicaciones.

Toda comunicación que te despachemos contendrá el procedimiento que te permitirá rechazar el envío futuro de las mismas.

Seguridad

Resguardamos los datos personales que nos proporciones y en general tu información a la que tendremos acceso y nos preocupamos de revisar de manera habitual la tecnología necesaria con el propósito de cumplir lo anterior.

En este sentido Paygol se compromete a tratar toda la información de los Usuarios con estricta reserva, adoptando las medidas técnicas y organizativas adecuadas y a los resguardos posibles y razonables de conformidad con los estándares y prácticas de la industria relacionados con la seguridad de la información, limitando en lo posible y razonablemente el acceso de terceros ajenos a nuestros sistemas.

Cabe señalar que, sin perjuicio de lo anterior, la tecnología y procedimientos antes indicados no son inexpugnables, y aún cuando hemos implementado razonables medidas de seguridad, es posible ser víctima de sustracciones, uso indebido, destrucción y/o pérdida de información, circunstancias que tu conoces y aceptas.

Por otra parte, en el evento que pongamos a tu disposición acceso remoto a tus datos personales, te recomendamos proteger tus Datos Personales e información, particularmente si accedes a la misma a través de internet utilizando conexiones abiertas o que no cuenten con medidas de seguridad.

En el caso que cuentes con claves de acceso a nuestras páginas web, te solicitamos cambiar tu clave de acceso de manera regular.

Derechos de los Usuarios.

Usted tiene derecho a conocer qué datos personales tenemos de usted, para qué los utilizamos y las condiciones del uso que les damos (Acceso). Asimismo, es su derecho solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta (Rectificación); que la eliminemos de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada adecuadamente (Cancelación); así como oponerse al uso de sus datos personales para fines específicos (Oposición).

Para el ejercicio de cualquiera de los derechos antes mencionados, usted deberá enviar una solicitud a la dirección de correo privacy@payretailers.com que deberá cumplir con los siguientes requisitos y documentos:

1. Nombre completo del Titular;
2. Copia del documento que acrediten su identidad por ambos lados;
3. En caso de que el Titular comparezca por medio de representante legal, éste último deberá también exhibir, por la misma vía, los documentos que acrediten la representación legal (i.e. carta poder simple firmada por el Titular, el apoderado y dos testigos, acompañada de una copia de las identificaciones del apoderado y los dos testigos);
4. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos.

Si por obligación legal o por cumplimiento de algún término de la Política de Privacidad sea necesario guardar alguna parte de la información personal de nuestros Usuarios cuya eliminación haya sido solicitada, lo haremos en cuanto los requisitos en cuestión hayan sido cumplidos.

¿Cómo puede conocer los cambios en esta Política de privacidad?

La presente política de privacidad puede sufrir modificaciones, cambios o actualizaciones derivadas de nuevos requerimientos legales; de nuestras propias necesidades por los productos o servicios que ofrecemos; de nuestras prácticas de privacidad; de cambios en nuestro modelo de negocio, o por otras causas.

El procedimiento a través del cual se llevarán a cabo las notificaciones sobre cambios o actualizaciones será mediante una nota informativa en nuestro sitio web, mediante correo electrónico o cualquier otro medio tecnológico disponible en el momento.

Asimismo, hacemos presente que se mantendrá un texto actualizado de la presente Política de Privacidad en el sitio web.

Última actualización: marzo 2023

Este acuerdo de procesamiento de datos forma parte de los términos y condiciones del servicio y entrará en vigor a partir del momento de la aceptación de los términos y condiciones del servicio.
El presente acuerdo se aplicará a los datos personales que El Procesador procese en su nombre.
En lo sucesivo, al Comercio se le denominará «Controlador de datos», y a El Procesador, como «Procesador de datos«.

1. Obligaciones del Procesador de datos

El Controlador de datos proporcionará al Procesador de datos acceso a todos los datos personales que sean necesarios para la ejecución de este acuerdo y la realización de las tareas asignadas.

Los datos personales siempre se procesarán según las instrucciones del Controlador de datos y se utilizarán solo para los fines establecidos en este acuerdo, a menos que se acuerde expresamente lo contrario por escrito por el Controlador de datos.

El Procesador de datos no compartirá, transferirá, enviará ni permitirá el acceso a terceros de los datos personales.

Además, el Procesador de datos documentará todos los datos procesados en nombre del Controlador de datos. En particular, el Procesador de datos debe mantener un registro que contenga todas las categorías de datos personales procesados, que incluyen:

• • 1. Identificación del Procesador y del Controlador de datos, información de contacto de ambos o, en su defecto, Delegados de Protección de Datos.
  • 2. Las categorías de todas las actividades de tratamiento de protección de datos realizadas.
  • 3. La transferencia de datos personales a un país tercero u organizaciones internacionales, incluida la identificación de dicho país tercero u organizaciones internacionales.
  • 4. Descripción general de las medidas de seguridad técnicas y organizativas relacionadas con:
    • a) Seudonimización y cifrado de datos personales.
    • b) La capacidad de garantizar la confidencialidad permanente, integridad, disponibilidad y resiliencia relevantes para los sistemas y servicios de procesamiento de datos.
    • c) La capacidad de recuperar rápidamente la disponibilidad y el acceso a los datos personales, en caso de una incidencia física o técnica.
    • d) El proceso de verificación, evaluación y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de datos.

2. Personal autorizado.

El Procesador designará a aquellos miembros de su fuerza laboral (en adelante, el «personal autorizado«) que participarán en la prestación de los servicios, asegurando que dichas personas serán las únicas autorizadas para acceder a los datos personales objeto del proceso a petición del Controlador de datos.

El Procesador de datos garantiza que el personal autorizado reconoce las obligaciones de seguridad y confidencialidad derivadas de la ley de privacidad aplicable que debe cumplir y que ha proporcionado todas las instrucciones necesarias para dicho cumplimiento.

El Procesador de datos deberá, siempre, monitorear el cumplimiento de todas las instrucciones proporcionadas por el Controlador de datos en relación con el procesamiento de datos personales, y verificará el cumplimiento de los procedimientos establecidos por el personal autorizado para garantizar la calidad, actualización y seguridad de los datos personales, así como el cumplimiento de la normativa aplicable.

3. Detalles y finalidad del tratamiento de los datos personales.

El propósito del procesamiento de datos personales por parte del procesador de datos es facilitar las transacciones de pago en nombre y bajo la dirección del controlador de datos.

Si el Procesador de datos considera que el objeto del procesamiento de datos personales del presente o las instrucciones proporcionadas por el Controlador de datos violan de alguna manera las disposiciones establecidas por la legislación vigente sobre tales asuntos, informará inmediatamente al Controlador de datos.

Los medios utilizados por el Procesador de datos para llevar a cabo el procesamiento solicitado por el Controlador de datos serán los siguientes:

Para el desempeño del presente documento, el Controlador de datos proporcionará acceso a la siguiente información al Procesador de datos:

Categorías de los interesados
– Personas que utilizan los servicios de pago proporcionados por el Procesador de datos.

Tipos de datos tratados
– Datos de identificación (nombre, apellidos, correo electrónico de contacto, domicilio)
– Lugar de residencia
– Fecha de nacimiento
– Nacionalidad

La información aquí descrita puede y debe, de vez en cuando, adaptarse a la realidad del Procesamiento de Datos. Cualquier modificación del tratamiento requerirá siempre un acuerdo previo por escrito entre las partes.

4. Medidas de seguridad.

El Procesador de datos tomará todas las medidas de seguridad y organizativas necesarias para garantizar la protección de los datos personales de los que es responsable el Controlador de datos.

El Procesador de datos adoptará mecanismos para:

• • • a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes relevantes para los sistemas y servicios de procesamiento de datos personales.
    • b) Recuperar rápidamente la disponibilidad y el acceso a los datos personales, en caso de incidente físico o técnico.
    • c) Verificar y evaluar regularmente la eficacia de las medidas técnicas y organizativas adoptadas para garantizar la seguridad del procesamiento de datos personales.
    • d) Seudonimizar y cifrar los datos personales, siempre que sea posible y apropiado.

5. Transferencias internacionales.

El Controlador de datos acepta que el Procesador de datos puede transferir datos personales a cualquier país, siempre que todas las transferencias de datos personales por parte del Procesador de datos se realicen a través de las garantías apropiadas y de acuerdo con la ley de privacidad aplicable, como:

• • • a) Cláusulas contractuales aprobadas por la autoridad de control competente.
    • b) Códigos de conducta u otros mecanismos de certificación aprobados por la autoridad de control competente.
    • c) Normas Corporativas Vinculantes aprobadas por una autoridad de control competente.

6. Subcontratación

El Controlador de datos otorga al Procesador de datos una autorización específica para designar a los Sub-procesadores enumerados en el Anexo I, en relación con la prestación de los servicios por parte del Procesador de datos.

El Controlador de datos otorga al Procesador de datos autorización general para designar Sub-procesadores adicionales o de reemplazo para el desempeño adecuado de los servicios, siempre que el Procesador de datos notifique con anticipación su intención de nombrar a cada Subprocesador.

En caso de subcontratación autorizada, el Procesador de datos deberá:

• • • a) Tomar todas las medidas necesarias para verificar y asegurar al Controlador de datos que el Sub-procesador es capaz de prestar el servicio con las máximas garantías, ofreciendo un nivel de protección a los datos personales igual al ofrecido por el Procesador de datos.
    • b) Asegurar la ejecución de un contrato entre el Procesador de datos y el Sub-procesador, con las mismas garantías que para el objeto del procesamiento del presente acuerdo.
    • c) En caso de incertidumbre sobre las medidas de seguridad adoptadas por el Sub-procesador con relación al tratamiento de datos, el Procesador de datos lo comunicará al Controlador de datos para verificar si dichas medidas se ajustan a los requisitos mínimos exigidos.
    • d) Prohibir explícitamente al Sub-procesador subcontratar el servicio solicitado, ya sea total o parcialmente, sin la autorización previa por escrito del Controlador de datos.

7. Comunicaciones.

A los efectos de facilitar el cumplimiento de las obligaciones derivadas de estos términos, las partes proporcionan sus datos de contacto establecidos en los Términos y Condiciones del servicio.

8. Información y colaboración.

El Procesador de datos almacenará, y pondrá a disposición del Controlador de datos, toda la información necesaria para acreditar el cumplimiento de sus obligaciones, y para la realización de las auditorías o inspecciones que el Controlador de datos u otro auditor autorizado por el mismo pueda llevar a cabo.

9. Derechos de los interesados.

El Procesador de datos comunicará al Controlador de datos cuando los interesados ejerciten sus derechos de acceso, rectificación, cancelación/supresión, oposición, limitación del tratamiento o portabilidad.

A la luz de lo anterior, el Procesador de datos deberá:

• • • a) Informar con prontitud y en ningún caso a más tardar cuarenta y ocho (48) horas después de la recepción de cualquier solicitud de ejercicio de derechos por parte de cualquier parte interesada, así como cualquier queja o queja relevante para el procesamiento de datos personales.
    • b) Proporcionar asistencia completa en relación con dicho ejercicio de todos los derechos, quejas o quejas, para que el Controlador de datos pueda abordarlos con la diligencia y precisión necesarias.
    • c) Cerciorarse de que ningún miembro de la plantilla, o en ningún caso, ningún Sub-procesador, responde al interesado sin previa notificación expresa y por escrito por parte del Controlador de datos, y en su caso, siguiendo las instrucciones aquí establecidas. Cuando sea obligatorio para el Procesador de datos, de conformidad con la legislación aplicable, responder a la solicitud de la parte interesada, comunicará al Controlador de datos dicha obligación legal antes de proporcionar cualquier respuesta, excepto si dicha legislación lo impide.
    • d) Llevar un registro de todas las quejas o solicitudes de ejercicio de derechos por parte de los interesados, incluyendo una copia de la solicitud, las medidas adoptadas para responder a dicha solicitud y cualquier otra comunicación mantenida con el interesado en relación con la solicitud aludida.

10. Violaciones de seguridad.

El Procesador de datos informará inmediatamente al Controlador de datos sobre cualquier violación de seguridad que afecte o pueda afectar de alguna manera los datos personales bajo la responsabilidad del Controlador de datos.

Esta notificación incluirá, en cualquier caso, la información pertinente para identificar:

• • • a) La naturaleza o tipo de violación de seguridad sufrida, así como la forma en que puede haber afectado a los datos personales del Controlador de datos.
    • b) Los detalles de las medidas adoptadas por el Procesador de datos, o sus propuestas de medidas a adoptar, con el fin de evitar que dicha violación de seguridad se repita y para evitar cualquier otro tipo de violación, ya sea similar o no, siempre que sea posible.
    • c) Una propuesta de medidas a adoptar por el Controlador de datos, en la medida de lo posible, para mitigar los efectos de la violación de la seguridad sufrida por el Procesador de datos, así como, en su caso, aquellas medidas técnicas u organizativas que el Controlador pueda adoptar para evitar futuras violaciones de seguridad.

Además, el Procesador de datos colaborará con el Controlador de datos para ayudarle en la investigación y reparación de cualquier violación de seguridad.

11. Colaboración con la obligación de cumplimiento del Controlador de datos.

El Procesador de datos colaborará con el Controlador de datos para garantizar y demostrar el cumplimiento de la legislación vigente sobre protección de datos personales por parte del Controlador de datos, y especialmente, pero no limitado a:

• • • a) Asistir en la respuesta al ejercicio de los derechos solicitados por los interesados.
    • b) Colaborar en el mantenimiento del registro de actividades de tratamiento en poder del Controlador de datos, en su caso.
    • c) Participar activamente y proporcionar tanta ayuda o información como sea necesario para determinar las causas, riesgos, consecuencias e impacto relacionados con cualquier violación de seguridad, colaborando cuando sea necesario con la autoridad de control competente.
    • d) Elaborar o colaborar en la realización de todas las evaluaciones de impacto necesarias en relación con el procesamiento de datos personales relacionados con los servicios.
    • e) Proporcionar al Controlador de datos todo el apoyo necesario para el cumplimiento de cualquier código de conducta relevante para los servicios, así como, cuando corresponda, para obtener todas las certificaciones apropiadas que el Controlador de datos pueda tener interés en obtener.

12. Derechos de auditoría.

El Procesador de datos pondrá a disposición del Controlador de datos toda la información necesaria o relevante en relación con el procesamiento de datos personales solicitados, para permitir que el Controlador de datos demuestre el cumplimiento de sus obligaciones legales.

13. Terminación del Acuerdo.

Una vez finalizada la prestación de los servicios, los datos personales se destruirán o devolverán al Controlador de datos, a su discreción, y el Procesador de datos no conservará ninguna copia de dichos datos, salvo para dar cumplimiento a obligaciones legales contraídas en virtud de la prestación de los servicios.

Si el Controlador de datos seleccionó la devolución, los datos se restaurarán a través de sistemas que pueden incluir protocolos para garantizar la confidencialidad de los datos (FTPS / SSL o equivalente) y en un formato de uso generalizado o ejecutable con software estándar. En el caso de sistemas de archivo no automatizados, el Procesador de datos garantizará la confidencialidad de la cadena de custodia o entrega.

Si el Controlador de datos opta por la destrucción de los datos, el Procesador de datos se asegurará de que este proceso se lleve a cabo de manera confidencial y que dichos datos, una vez destruidos, sean irrecuperables, asumiendo la responsabilidad de emitir todos los certificados pertinentes para probar la destrucción confidencial de dichos datos.

ANEXO I – LISTA DE SUB-PROCESADORES

Terceros sub-procesadores

Sub-procesadores del Grupo PayRetailers

Última actualización: febrero 2023