Anexo de procesamiento de datos

Este Anexo sobre el Tratamiento de Datos (el «Anexo») se celebra entre el Cliente identificado en el Acuerdo y Blerify Inc., una sociedad de Delaware («Blerify»), y forma parte del Acuerdo entre las partes. Este Anexo rige el Tratamiento de los Datos Personales del Cliente por parte de Blerify en nombre del Cliente durante la prestación de los Servicios y tiene por objeto garantizar que dicho Tratamiento se realice de conformidad con la legislación aplicable en materia de protección de datos.

Este Anexo se aplicará en la medida en que Blerify procese los Datos Personales del Cliente en nombre del Cliente como Encargado del Tratamiento, Subencargado del Tratamiento o Proveedor de Servicios, conforme a la legislación aplicable. En caso de conflicto entre los términos de este Anexo y el Acuerdo, prevalecerán los términos de este Anexo en lo que respecta a la protección de datos.

1. Definiciones

A los efectos de este Anexo sobre Procesamiento de Datos, los siguientes términos tendrán el significado que se establece a continuación. Los términos en mayúsculas que no se definan de otro modo en este Anexo tendrán el significado que se les atribuye en el Acuerdo.

1.1. “Acuerdo” significa el acuerdo de servicio principal, los términos de servicio o cualquier otro acuerdo vinculante entre el Cliente y Blerify que rija la prestación de los Servicios.

1.2. “Datos Personales del Cliente” significa cualquier dato personal que Blerify procese en nombre del Cliente en relación con los Servicios.

1.3. “Leyes de Protección de Datos” significa todas las leyes y regulaciones de protección de datos y privacidad aplicables a las que están sujetos los Datos Personales del Cliente, incluyendo, entre otros:
(i) el Reglamento General de Protección de Datos (UE) 2016/679 (“RGPD”);
(ii) las leyes de protección de datos aplicables de los Estados Unidos, incluida la Ley de Privacidad del Consumidor de California (“CCPA”) y leyes estatales similares;
(iii) Ley 81 de 2019 de la República de Panamá; y
(iv) cualquier otra legislación aplicable que rija la protección de Datos Personales en cualquier jurisdicción relevante.

1.4. “Sujeto de datos” significa la persona física identificada o identificable a la que se refieren los Datos Personales del Cliente.

1.5. “Datos Personales” significa cualquier información relativa a una persona física identificada o identificable, según se define en las Leyes de Protección de Datos aplicables.

1.6. “Tratamiento” significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por procedimientos automatizados o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación, extracción, consulta, uso, divulgación, difusión, cotejo, restricción, supresión o destrucción.

1.7. “Responsable del tratamiento” (también denominado “Responsable del Tratamiento” o “Parte Responsable”) significa la persona física o jurídica que, sola o junto con otras, determina los fines y medios del Tratamiento de Datos Personales.

1.8. “Procesador” (también denominado “Encargado del Tratamiento” o “Responsable del Tratamiento”) significa la persona física o jurídica que trata Datos Personales en nombre del Responsable del Tratamiento.

1.9. “Subencargado del tratamiento” significa cualquier tercero (incluido un afiliado de Blerify) designado por o en nombre de Blerify para procesar los datos personales del cliente en relación con la prestación de los servicios.

1.10. “Transferencia transfronteriza” significa la transferencia de Datos Personales a cualquier país o territorio fuera de la jurisdicción en la que se recopilaron originalmente los Datos Personales, incluidas las transferencias a países que pueden no tener un nivel adecuado de protección de datos según lo determinado por las Leyes de Protección de Datos aplicables.

1.11. “Servicios” significa los servicios y productos proporcionados por Blerify bajo el Acuerdo, incluidas las plataformas basadas en web, API, bibliotecas para desarrolladores y otra infraestructura digital que interactúa con billeteras de identidad, credenciales verificables, puntos de verificación, notificaciones digitales, cupones o sistemas relacionados.

2. Funciones de las partes

2.1. Roles y responsabilidades. A los efectos de este Anexo y de la Ley de Protección de Datos aplicable, el Cliente actúa como Responsable del Tratamiento de Datos (o término equivalente según la legislación aplicable) y Blerify como Encargado del Tratamiento de Datos en relación con los Datos Personales del Cliente Procesados a través de los Servicios. El Cliente es el único responsable de garantizar que la recopilación y el uso de sus Datos Personales cumplan con la Ley de Protección de Datos aplicable, incluyendo la determinación de los fines y los medios de dicho Tratamiento.

2.2. Instrucciones del Cliente. Blerify procesará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluso en lo que respecta a transferencias transfronterizas, salvo que la legislación aplicable así lo exija. En tales casos, Blerify informará al Cliente sobre el requisito legal antes del procesamiento, salvo que la legislación prohíba dicha notificación por razones importantes de interés público.

2.3. Obligaciones del cliente. El cliente deberá:
(a) garantizar que cuenta con una base legal válida para el Procesamiento de Datos Personales del Cliente y que ha proporcionado todos los avisos necesarios u obtenido todos los consentimientos necesarios (cuando corresponda) para dicho Procesamiento;
(b) no instruir a Blerify para que procese los Datos Personales del Cliente de una manera que viole la ley aplicable;
(c) ser responsable de la exactitud, calidad y legalidad de los Datos Personales del Cliente y de los medios por los cuales se adquirieron; y
(d) garantizar que su uso de los Servicios cumpla con todas las leyes y regulaciones aplicables.

3. Confidencialidad

3.1. Obligaciones de confidencialidad. Blerify se asegurará de que cualquier persona que autorice a procesar datos personales del cliente (incluido su personal, agentes y subprocesadores) esté sujeta a un deber de confidencialidad apropiado, ya sea contractual o legal, y esté debidamente capacitada con respecto a sus obligaciones de protección de datos.

3.2. No se permite divulgación no autorizada. Blerify no divulgará los Datos Personales del Cliente a terceros, salvo que lo permita expresamente este Anexo, el Acuerdo o la legislación aplicable. Si Blerify está obligado por ley, orden judicial o autoridad reguladora a divulgar los Datos Personales del Cliente, deberá (salvo que la ley lo prohíba) informar al Cliente con antelación y cooperar razonablemente para que este pueda impugnar o limitar la divulgación.

3.3. Protección de la información confidencial del cliente. Además de sus obligaciones con respecto a los Datos Personales del Cliente, Blerify tratará toda otra información confidencial del Cliente recibida en relación con el Acuerdo con el mismo grado de cuidado que utiliza para proteger su propia información confidencial y en ningún caso con un cuidado razonable.

4. Seguridad

4.1. Medidas técnicas y organizativas. Blerify implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente contra el Tratamiento no autorizado o ilícito, así como contra la pérdida, destrucción o daño accidental, de conformidad con la Ley de Protección de Datos aplicable. Estas medidas incluirán, como mínimo, controles de acceso, cifrado en reposo y en tránsito, evaluaciones periódicas de vulnerabilidades y prácticas de desarrollo de software seguro.

4.2. Responsabilidad del cliente. El Cliente es responsable de determinar de forma independiente si los Servicios cumplen con sus obligaciones legales y regulatorias, así como con sus políticas internas. El Cliente implementará y mantendrá las medidas de seguridad adecuadas para el uso de los Servicios, incluyendo la garantía de una configuración segura, controles de acceso y una gestión adecuada de claves o credenciales.

4.3. No evaluación de datos del cliente. Blerify no accede ni supervisa el contenido de los Datos Personales del Cliente alojados o transmitidos a través de los Servicios, a menos que sea estrictamente necesario para brindar soporte o cumplir con la ley. Por lo tanto, Blerify no será responsable de determinar si dicho contenido está sujeto a obligaciones legales o regulatorias específicas (p. ej., HIPAA, FERPA, PCI DSS, etc.) que puedan aplicarse a la actividad del Cliente.

4.4. Certificación y Auditorías. Blerify podrá conservar certificaciones o informes de terceros (p. ej., ISO/IEC 27001, SOC 2) como prueba de sus prácticas de seguridad. Si el Cliente lo solicita razonablemente, Blerify proporcionará una copia de su informe de auditoría resumido o certificación más reciente pertinente a los Servicios.

5. Subprocesamiento

5.1. Autorización para utilizar subprocesadores. El Cliente autoriza a Blerify a contratar a proveedores de servicios externos ("Subencargados del Tratamiento") para el Tratamiento de sus Datos Personales en relación con la prestación de los Servicios. Los subencargados del tratamiento pueden incluir, entre otros, proveedores de infraestructura, alojamiento en la nube, análisis y soporte técnico.

5.2. Obligaciones del subencargado del tratamiento. Blerify suscribirá acuerdos escritos con cada subencargado del tratamiento que impongan obligaciones de protección de datos sustancialmente similares a las establecidas en este Anexo. Blerify seguirá siendo responsable del desempeño de sus subencargados.

5.3. Lista de subprocesadores y actualizaciones. Previa solicitud por escrito, Blerify proporcionará al Cliente una lista actualizada de los subencargados del tratamiento de sus Datos Personales. Blerify podrá actualizar esta lista periódicamente. En caso de cambio sustancial, Blerify notificará al Cliente con una antelación razonable (por correo electrónico u otros medios) y le brindará la oportunidad de oponerse alegando motivos razonables de protección de datos.

5.4. Objeción a nuevos subencargados del tratamiento. Si el Cliente tiene una objeción razonable a un nuevo Subprocesador basada en preocupaciones de protección de datos, y dichas preocupaciones no pueden resolverse mediante discusiones de buena fe entre las partes, el Cliente puede rescindir los Servicios aplicables solo con respecto a aquellas funcionalidades materialmente afectadas por el cambio, mediante notificación por escrito a Blerify.

6. Transferencias internacionales de datos

6.1. Mecanismo de transferencia de datos. El Cliente reconoce y acepta que Blerify puede transferir y procesar sus Datos Personales fuera del país donde fueron recopilados, incluso a países que podrían no ofrecer un nivel de protección de datos equivalente al de las Leyes de Protección de Datos aplicables en la jurisdicción de origen. Blerify garantizará que todas estas transferencias cumplan con la legislación aplicable y estén sujetas a las garantías adecuadas.

6.2. Salvaguardias para las transferencias transfronterizas. Cuando lo exijan las Leyes de Protección de Datos aplicables (incluido, cuando corresponda, el RGPD o la Ley 81 de 2019 de Panamá), Blerify implementará las salvaguardas adecuadas para las transferencias internacionales, que pueden incluir:
(a) celebrar cláusulas contractuales estándar o mecanismos contractuales equivalentes;
(b) transferir a jurisdicciones reconocidas por brindar un nivel adecuado de protección; o
(c) confiar en cualquier otra base legal permitida por la legislación aplicable.

6.3. Cumplimiento general. Blerify se compromete a garantizar que todas las transferencias internacionales de Datos Personales del Cliente se realicen de conformidad con los principios de licitud, transparencia, limitación de la finalidad y minimización de datos, y con el debido respeto a la confidencialidad, integridad y disponibilidad de los datos.

7. Medidas de seguridad

7.1. Medidas técnicas y organizativas. Blerify implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente contra el procesamiento no autorizado o ilícito, así como contra la pérdida, destrucción o daño accidental. Estas medidas se ajustarán a las mejores prácticas del sector y tendrán en cuenta la tecnología más avanzada, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos para los derechos y libertades de las personas.

7.2. Cifrado y control de acceso. Blerify aplica cifrado en reposo y en tránsito para todos los Datos Personales del Cliente alojados en su infraestructura, y garantiza que el acceso a dichos datos esté restringido únicamente al personal autorizado, siguiendo el principio del mínimo privilegio.

7.3. Responsabilidades del cliente. El cliente es el único responsable de:
(a) determinar la idoneidad de los Servicios para sus necesidades de procesamiento de datos y obligaciones de cumplimiento;
(b) configurar los Servicios de forma segura, incluida la gestión de los controles de acceso;
(c) implementar políticas adecuadas de respaldo, recuperación y retención dentro de su uso de los Servicios; y
(d) garantizar que sus propios usuarios y personal operen en cumplimiento con las Leyes de Protección de Datos aplicables.

7.4. Obligaciones de confidencialidad. Blerify garantiza que todo el personal autorizado para procesar Datos Personales del Cliente está sujeto a obligaciones de confidencialidad y recibe la capacitación adecuada sobre protección de datos y seguridad de la información.

7.5. Revisiones de seguridad. A pedido razonable y sujeto a obligaciones de confidencialidad razonables, Blerify proporcionará al Cliente información relevante para demostrar el cumplimiento de esta Sección, que puede incluir certificaciones de seguridad, resúmenes de auditoría o documentación relevante.

8. Subprocesamiento

8.1. Autorización para utilizar subprocesadores. Por la presente, el Cliente otorga a Blerify una autorización general por escrito para contratar subprocesadores para el procesamiento de los datos personales del Cliente según sea necesario para proporcionar los Servicios.

8.2. Obligaciones del subencargado del tratamiento. Blerify se asegurará de que cualquier subprocesador que contrate esté sujeto a un acuerdo escrito que imponga obligaciones de protección de datos que sean sustancialmente equivalentes a las establecidas en este Anexo de Procesamiento de Datos, de conformidad con las Leyes de Protección de Datos aplicables.

8.3. Lista de subprocesadores y cambios. A solicitud escrita del Cliente, Blerify proporcionará una lista actualizada de los subencargados del tratamiento de sus datos personales. Blerify notificará al Cliente con antelación sobre cualquier incorporación o sustitución prevista de subencargados, brindándole así la oportunidad de oponerse por motivos razonables en un plazo de treinta (30) días a partir de dicha notificación.

8.4. Subprocesadores actuales. Sin perjuicio de lo anterior, el Cliente reconoce y acepta que Blerify podrá contratar proveedores externos de infraestructura y servicios de confianza, como servicios de computación en la nube y alojamiento de bases de datos, para el funcionamiento seguro y escalable de los Servicios. Estos pueden incluir, por ejemplo, Amazon Web Services (AWS), Google Cloud Platform (GCP), Firebase o proveedores similares.

9 Derechos del sujeto de datos

En la medida requerida por las Leyes de Protección de Datos aplicables, el Procesador brindará asistencia razonable al Controlador, a costo del Controlador y mediante solicitud por escrito, para permitir que el Controlador cumpla con su obligación de responder a las solicitudes de los Sujetos de Datos que ejercen sus derechos bajo dichas leyes, incluidos (cuando corresponda) los derechos de acceso, rectificación, eliminación, restricción, objeción, portabilidad y el derecho a no estar sujeto a la toma de decisiones automatizada.

El Encargado del Tratamiento no responderá directamente a ninguna solicitud de un Interesado, a menos que el Responsable del Tratamiento lo indique por escrito o lo exija la legislación aplicable. Si el Encargado del Tratamiento recibe una solicitud directa de un Interesado en relación con los Datos Personales tratados en virtud del presente DPA, deberá notificarlo de inmediato al Responsable del Tratamiento y esperar nuevas instrucciones, salvo que la ley lo prohíba.

El responsable del tratamiento es el único responsable de garantizar que existan mecanismos y bases legales adecuados para recopilar, procesar y responder a las solicitudes de los interesados y cumplir con todas las obligaciones de transparencia y notificación según la legislación aplicable.

10. Violación de datos personales

En caso de una violación de datos personales que afecte a los datos personales procesados en nombre del responsable del tratamiento, Blerify deberá:

(a) Notificar al Responsable sin demora indebida y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento de la infracción;

(b) Proporcionar al Responsable del Tratamiento toda la información pertinente sobre la naturaleza de la infracción, incluyendo:

  • una descripción de la naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados;
  • las probables consecuencias de la violación de datos personales;
  • las medidas adoptadas o propuestas para abordar la violación de datos personales, incluidas, cuando corresponda, las medidas para mitigar sus posibles efectos adversos;

(c) Ayudar al Responsable del Tratamiento a cumplir con cualquier obligación legal de notificar la infracción a las autoridades supervisoras o a los Titulares de Datos afectados, de conformidad con las Leyes de Protección de Datos aplicables;

(d) Mantener registros internos de todas las violaciones de datos personales según lo requieran las leyes de protección de datos aplicables.

Blerify no será responsable de ningún retraso en la notificación causado por la falta del Controlador de proporcionar información de contacto precisa o actualizada.

11. Términos generales

11.1. La responsabilidad total de cada parte, incluidas sus Afiliadas, derivada de o en relación con este Anexo, ya sea contractual, extracontractual o bajo cualquier otra teoría de responsabilidad, estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el/los Acuerdo(s). Cualquier referencia a la responsabilidad de una parte en dichas secciones incluirá a sus Afiliadas y se aplicará a este Anexo en la medida máxima permitida por la legislación aplicable, incluida la legislación sobre protección de datos.

11.2. Ninguna modificación, enmienda o renuncia a cualquier disposición de este Addendum será efectiva a menos que se haga por escrito y esté firmada por representantes debidamente autorizados de ambas partes.

11.3. Cualquier ambigüedad en la interpretación de este Addendum se resolverá para permitir que las partes cumplan con las leyes de protección de datos aplicables, incluido el RGPD, las regulaciones de protección de datos de los Estados Unidos, la Ley 81 de 2019 de Panamá y otras leyes relevantes según corresponda.

11.4. Este Anexo constituye el acuerdo completo entre las partes en relación con el objeto del mismo y sustituye cualquier entendimiento o acuerdo previo o actual, oral o escrito, relativo al tratamiento y la protección de Datos Personales. Todos los demás términos del Acuerdo o Acuerdos no modificados expresamente por este Anexo permanecerán en pleno vigor, incluyendo, entre otros, las disposiciones sobre legislación aplicable, jurisdicción, resolución de disputas y limitación de responsabilidad, siempre que no contradigan los requisitos obligatorios de la legislación aplicable en materia de protección de datos.

11.5. Si alguna disposición de este Anexo se considera inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto. La disposición inválida o inaplicable se sustituirá por una disposición válida que refleje mejor la intención de las partes y cumpla con la legislación aplicable.

11.6. Si el Procesador determina que ya no puede cumplir con sus obligaciones bajo este Anexo o las leyes de protección de datos aplicables, deberá notificar de inmediato al Controlador y cesar las actividades de Procesamiento relevantes o implementar medidas apropiadas para garantizar el cumplimiento, según lo acordado mutuamente.

11.7. Toda notificación requerida en virtud de este Anexo se proporcionará de conformidad con las disposiciones de notificación del/de los Acuerdo(s). También se enviará una copia de dicha notificación (solo con fines informativos) a: [email protected]

Se parte de la nueva Era Digital

Descubre cómo ofrecer interacciones digitales más seguras y convenientes a tus usuarios y socios.

Comenzar

El nuevo canal para las interacciones digitales.​

Linkedin-in Twitter YouTube

Soluciones

Emisión de Diplomas de Educación
Insignia y Microcredenciales
Entradas
Certificados profesionales
ID inteligentes
Vales tokenizados

Recursos

Sobre Nosotros Contáctenos
White Paper
Blog

Legales

Política de privacidad de Billetera
Condiciones de Servicio de Billetera
Términos de servicio de la plataforma
Anexo de procesamiento de datos