Este Anexo de Protección de Datos de Signifyd (el “DPA”) es incorporado por referencia al Contrato y a todos los pedidos relacionados entre el Suscriptor y Signifyd Brasil Ltda (el “Contrato”) Este DPA se celebra y entra en vigor en la fecha de Entrada en Vigor del Contrato (la “Fecha de Entrada en Vigor”). En el caso de conflicto entre este Anexo y el Contrato, prevalecerá este DPA.
Los términos utilizados en este DPA tienen el significado aquí establecido. Los términos en mayúscula no definidos en este documento tienen el significado atribuido a ellos en el Contrato.

1. ALCANCE. Para fines de este DPA, Signifyd podrá ser considerada como Procesadora de Datos Personales del Suscriptor tratados en relación con los Usuarios Finales del Suscriptor residentes en los EUA, o una Responsable del Tratamiento para los Datos Personales del Suscriptor tratados en relación con los Usuarios Finales del Suscriptor residentes de los E.E.U.U. La naturaleza y el alcance de las actividades de Tratamiento están establecidos en el Contrato y detallados en el Apéndice 1. Las Partes deberán cumplir todas las Leyes de Protección de Datos aplicables.
2. TÉRMINOS ESPECÍFICOS POR REGIÓN. En la medida en que Signifyd Trata Datos
   Personales del Suscriptor, protegidos por Leyes de Protección de Datos en una de las regiones enlistadas en el Suplemento A (Términos Específicos por Región), los términos allí especificados con relación a la(s) jurisdicción (es) aplicable(s) se aplicarán en conjunto con los términos de este DPA y, en caso de conflicto, los Términos Específicos por Región prevalecerán.
3. SUBPROCESADORES / PROVEEDORES
   1. El Suscriptor reconoce que Signifyd puede utilizar afiliadas y proveedores para Tratar los Datos Personales del Suscriptor de acuerdo con las disposiciones de este DPA y de las Leyes de Protección de Datos aplicables. Cuando Signifyd actué como Procesadora de Datos, tales proveedores son considerados “Sub procesadores” de acuerdo con las Leyes de Protección de Datos aplicables. Cuando Signifyd subcontrate cualesquiera de sus derechos u obligaciones relacionados a los Datos Personales del Suscriptor, incluyendo a cualquier afiliada o proveedor, Signifyd tomará medidas para seleccionar y retener proveedores que sean capaces de mantener medidas apropiadas de privacidad y seguridad para proteger los Datos Personales de Suscriptor de forma consistente con las Leyes de Protección de Datos aplicables y que estén sujetos a obligaciones de protección de datos semejantes a las dispuestas en este DPA.
   2. La lista actual de proveedores y afiliadas de Signifyd está en el Apéndice 2 de este documento, y el Suscriptor, por medio de este, consiente con el uso de dichos proveedores por Signifyd. Excepto en circunstancias urgentes, para las cuales la Signifyd deberá proveer notificación en plazo comercialmente razonable, Signifyd deberá informar el Suscriptor con anticipación de por lo menos quince (15) días hábiles antes de adicionar cualesquiera nuevos proveedores a la lista, momento en que el Suscriptor tendrá 10 (diez) días para presentar una objeción que sea comercialmente razonable al nuevo proveedor. En caso de que el Suscriptor no esté de acuerdo con el uso de cualquiera uno de esos Sub-procesadores, los representantes de ambas partes deberán reunirse de buena-fe para intentar llegar a un acuerdo sobre el uso de los proveedores impugnados.
4. DEVOLUCIÓN O DESTRUCCIÓN DE DATOS PERSONALES. Cuando el Contrato finalice, por cualquier motivo, o cuando Signifyd cese el Tratamiento de Datos Personales, Signifyd deberá eliminar los datos de acuerdo con los términos establecidos en el Contrato, a menos que Signifyd esté obligada o autorizada por la Ley de Protección de Datos aplicable a almacenar los Datos Personales del Suscriptor durante un período más largo.
5. SEGURIDAD DE DATOS
   1. Medidas de Seguridad. Signifyd implementará medidas administrativas, técnicas, físicas y organizacionales apropiadas para proteger los Datos Personales del Suscriptor, conforme se establece en el Anexo II.
   2. Incidente de Seguridad. A menos que sea prohibido por ley aplicable, Signifyd notificará prontamente (y, en cualquier caso, dentro del periodo exigido por la ley aplicable) al Suscriptor sobre un Incidente de Seguridad, en caso sea exigido por ley. En caso de un Incidente de Seguridad, Signifyd investigará el Incidente de Seguridad y tomará medidas comercialmente razonables para contener y mitigar el Incidente de Seguridad de manera oportuna, y cada parte ayudará razonablemente a la otra parte a cumplir las determinaciones legales aplicables resultantes de dicho Incidente de Seguridad. La notificación descrita en la primera frase de esta Sección deberá incluir una descripción del Incidente de Seguridad y (en la medida en que sea disponible) los Datos Personales del Suscriptor afectados, y otros detalles que el Suscriptor pueda razonablemente solicitar o que Signifyd sea obligada a proveer según las Leyes de Protección de Datos aplicables. Signifyd proveerá información oportuna relacionada al Incidente de Seguridad en la medida en que sean conocidas o según razonablemente solicitada por el Suscriptor. A menos que sea exigido por ley aplicable a Signifyd, Signifyd no notificará ningún individuo o cualquier tercera parte, además de una entidad gubernamental, sobre cualquier posible Incidente de Seguridad involucrando Datos Personales del Suscriptor, de cualquier forma, que sea razonablemente probable identificar al Suscriptor, sin antes obtener permiso por escrito del Suscriptor.
   3. Auditorias . Mediante solicitud, Signifyd podrá proveer al Suscriptor, en cada año, una opinión o un informe realizado por una empresa de auditoría tercerizada reconocida en el mercado (cada uno de esos informes, un “Informe”). Si un Informe no provee, en la evaluación razonable del Suscriptor, Información suficiente para confirmar la conformidad de Signifyd con los términos de este DPA, el Suscriptor o una empresa de auditoria tercerizada reconocida en el mercado y acordada entre el Suscriptor y Signifyd podrá auditar la conformidad de Signifyd con los términos de este DPA durante el horario comercial regular, con notificación previa razonable a Signifyd, sujeta a procedimientos y obligaciones de confidencialidad, y tomando todas las medidas para evitar interrupciones innecesarias en las operaciones de Signifyd. El Suscriptor es responsable de todos los costos relacionados a dicha auditoria, incluyendo todos los que, en cualquier momento, Signifyd gaste para dicha auditoria además de los costos por los servicios prestados por Signifyd. Antes del inicio de cualquier auditoria, el Suscriptor y Signifyd deberán acordar sobre el alcance, el cronograma y la duración de la auditoría. El Suscriptor deberá notificar de inmediato a Signifyd con información sobre cualquier no conformidad descubierta durante el curso de la auditoría. El Suscriptor no podrá auditar a Signifyd más de una vez al año.
6. RESPONSABILIDAD. La responsabilidad de las partes entre sí, en caso de violación de este DPA, estará sujeta a las disposiciones de limitación de responsabilidad establecida en el Contrato.
7. TÉRMINOS DEFINIDOS.
   1. “Responsable del Tratamiento” significa la entidad que, sola o en conjunto con otras, determina las finalidades y los medios de Tratamiento de Datos Personales.
   2. “Leyes de Protección de Datos” significa todas las leyes reglamentos y otras normas aplicables en cualquier jurisdicción relacionados a la privacidad, protección de datos, seguridad de datos, notificación de incidente o Tratamiento de Datos Personales, incluyendo sin limitación, en la medida en que aplicables:
      1. La Ley de Privacidad del Consumidor de California, Código Civil de California párrafo 1798.100 y siguientes, así como los reglamentos asociados, inclusive, cuando vigentes, las enmiendas de la Ley de Derechos de Privacidad de California (“CCPA”);
      2. El Reglamento General sobre Protección de Datos, Reglamento (UE) 2016/679 (“RGPD”);
      3. La Ley Federal de Suiza sobre Protección de Datos (“FADP”);
      4. La Ley de Protección de Datos del Reino Unido de 2018 (“RGPD DEL REINO UNIDO”); y
      5. La Ley General de Protección de Datos Brasileña (“LGPD”).
      6. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”)
   3. “Titular de los Dato” significa cualquier persona natural cuyos Datos Personales sean tratados en el contexto de este DPA.
   4. “Cláusulas Estándar Contractuales de la UE” o “SCCs de la UE” se refiere a las Cláusulas tipo Estándar Contractuales emitidas en virtud de la Decisión de Ejecución (UE) 2021/914 de la Comisión, del 4 de junio de 2021, sobre las cláusulas contractuales estándar para la transferencia de datos personales para países terceros, según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, complementadas según lo establecido en la Sección 4 a continuación disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN.
   5. “Europa” significa los Estados miembros de la Unión Europea (“UE”), Suiza, el Reino Unido (“UK”), el Espacio Económico Europeo (“EEE”), el Acuerdo Europeo de Libre Comercio y Mónaco.
   6. “Finalidades Relacionadas con Fraude” se refiere a la identificación, prevención, disputa y monitoreo de fraudes, así como al análisis de datos con el fin de desarrollar, mantener y perfeccionar los modelos predictivos y los servicios relacionados con el fraude de Signifyd, incluso mediante el uso de LLMs y tecnologías similares.
   7. “Datos Personales” incluye, además de “datos personales”, “información personal”, “información de identificación personal” y términos similares, que tendrán el mismo significado que se les atribuye en las Leyes de Protección de Datos aplicables relevantes en este DPA.
   8. “Procesador”, “Proveedor de Servicios” o “Contratado” significa la entidad que trata Datos Personales en nombre de un Responsable del Tratamiento o de un Agente de Tratamiento, o a quien el Responsable del Tratamiento o Agente de Tratamiento pone a disposición Datos Personales para una finalidad empresarial, en los términos de un contrato escrito conteniendo las cláusulas exigidas por las Leyes de Protección de Datos aplicables.
   9. “Tratamiento” o “Tratar” significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o sobre conjuntos de Datos Personales, por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, diseminación o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, eliminación o destrucción.
   10. “Incidente de Seguridad” significa cualquier pérdida, uso indebido, acceso no autorizado, divulgación, alteración o destrucción de Datos Personales que se encuentren en posesión, custodia o control de Signifyd, que se procesen en nombre del Suscriptor en conexión con un Pedido.
   11. “Datos Personales del Suscriptor” significa los Datos Personales que son Tratados por Signifyd en el contexto de la prestación de los Servicios de Suscriptor en los términos del Contrato.
   12. "SCCs del Reino Unido” se refiere al Anexo sobre la Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión Europea (disponible en la Fecha de Entrada en Vigor en: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf)

SUPLEMENTO A
TÉRMINOS ESPECÍFICOS POR REGIÓN

Para los Datos Personales del Suscriptor tratados en relación con Usuarios Finales del Suscriptor residentes en los E.E.U.U:

1. Papel de las Partes y Naturaleza del Tratamiento
   1. Para fines de CCPa y de cualesquiera Leyes de Protección de Datos aplicables dentro de los Estados Unidos, Signifyd realizará el Tratamiento de los Datos Personales del Suscriptor en calidad de Contratada, Procesadora de Datos o Prestadora de Servicios. En la medida en que Signifyd realiza el Tratamiento de Datos Personales del Suscriptor como Procesadora de Datos, Contratada o Proveedor de Servicios, lo hará únicamente en nombre del Suscriptor, en calidad de Responsable del Tratamiento de Datos, o según lo permita la Ley de Protección de Datos aplicable, incluida la posibilidad de realizar el Tratamiento de Datos Personales de los Suscriptores con fines de prevención de fraude, de conformidad con la normativa CCPA, Sección 7050(a)(4).
   2. El Anexo I a continuación establece los detalles y la naturaleza de las actividades de Tratamiento. Las partes acuerdan que el Anexo I atiende cualquier obligación aplicable bajo las Leyes de Protección de Datos de los E.E.U.U. de proveer esa información.
2. Obligaciones de las Partes cuando el Suscriptor es el Responsable del Tratamiento de Datos o Empresa, Signifyd actúa como Procesadora de Datos, Prestadora de Servicios o Contratada y el Suscriptor es un Responsable del Tratamiento de Datos o Empresa.
   1. El Suscriptor, por medio de este, acuerda en:
      1. proveer a Signifid solamente instrucciones que sean legítimas;
      2. cumplir y ejecutar sus obligaciones según la Ley de Protección de Datos aplicable, incluyendo derechos de los Titulares de Datos, seguridad y confidencialidad de los datos, garantizando una base legal apropiada para el Tratamiento y suministro de Datos Personales del Suscriptor a Signifyd;
      3. Proveer a los Titulares de Datos toda la información necesaria (inclusive por medio de aviso de privacidad público, transparente y de fácil acceso) sobre el Tratamiento de Datos Personales por Signifyd y por el Suscriptor para los fines descritos en el Contrato y en este DPA.
   2. En la medida en que Signifyd actúe como Procesadora de Datos, Prestadora de Servicios o Contratada del Suscriptor, Signifyd se compromete a:
      1. Realizar el tratamiento de los Datos Personales del Suscriptor exclusivamente: (a) para cumplir con sus obligaciones ante el Suscriptor según el Contrato, incluyendo este DPA; (b) en nombre del Suscriptor; y (c) en conformidad con las Leyes de Protección de Datos. Signifyd no “venderá” los Datos Personales del Suscriptor (según el término entre comillas se define en las Leyes de Protección de Datos aplicables), ni los “compartirá” o realizará el Tratamiento de los Datos Personales del Suscriptor para fines de “publicidad comportamental entre contextos” o “publicidad direccionada” (según esos términos entre comillas son definidos en las Leyes de Protección de Datos aplicables), tampoco realizará el Tratamiento de los Datos Personales del Suscriptor para cualquier otra finalidad que no aquellas específicas aquí establecidas o fuera del relacionamiento comercial directo con el Suscriptor.
      2. No retener, utilizar o divulgar los Datos Personales del Suscriptor para cualquier finalidad diferente de la finalidad comercial especificada en el Contrato, a menos que expresamente permitido por las Leyes de Protección de Datos aplicables.
      3. No retener, utilizar o divulgar los Datos Personales del Suscriptor fuera de la relación comercial directa entre Signifyd y el Suscriptor, incluyendo no combinar o actualizar los Datos Personales del Suscriptor de maneras prohibidas a una Prestadora de Servicios o Contratada bajo la CCPA, a menos de expresamente permitido por el CCPA.
      4. No intentar vincular, identificar o crear cualquier relación entre los Datos Personales del Suscriptor y datos no personales o cualesquier otros datos sin autorización expresa del Suscriptor, a menos que permitido por las Leyes de Protección de Datos.
      5. Garantizar que las personas autorizadas por ella para realizar el Tratamiento de los Datos Personales del Suscriptor estén vinculadas a compromisos de confidencialidad o sujetas a obligaciones legales adecuadas de confidencialidad.
      6. Considerando la naturaleza del Tratamiento, auxiliar el Suscriptor por medio de la implementación de medidas técnicas y organizacionales apropiadas, incluyendo, pero no limitándose a, actualizaciones en funcionalidades de software o soporte técnico, para asegurar que el Suscriptor pueda responder a las solicitudes de los Titulares de Datos en el ejercicio de sus derechos según las Leyes de Protección de Datos.
      7. En la medida aplicable, notificar prontamente el Suscriptor sobre (a) cualesquier
         reclamaciones de terceros o Titulares de Datos relacionadas con el Tratamiento de los Datos Personales del Suscriptor; o (b) cualquier solicitud gubernamental o de Titulares de Datos para acceso o información sobre el Tratamiento realizado por Signifyd a nombre del Suscriptor, a menos que prohibido por las Leyes de Protección de Datos aplicables. Signifyd ofrecerá cooperación y asistencia razonables al Suscriptor en relación con dichas solicitaciones. Si Signifyd está prohibida por las Leyes de Protección de Datos de divulgar los detalles de una solicitud gubernamental al Suscriptor, Signifyd informará que no puede más seguir las instrucciones del Suscriptor en función DPA sin proveer mayores detalles, y aguardará nuevas instrucciones del Suscriptor.
      8. Notificar el Suscriptor si Signifyd determina que: (a) no puede más cumplir con sus obligaciones bajo las Leyes de Protección de Datos; o (b) que, en su opinión, una instrucción del Suscriptor infringe las Leyes de Protección de Datos.
      9. Ofrecer asistencia y cooperación razonables al Suscriptor para la realización de un informe de impacto a la protección de datos del Tratamiento o Tratamiento propuesto de los Datos Personales del Suscriptor, cuando exigido por las Leyes Aplicables de Protección de Datos, y a costas razonables del Suscriptor.
      10. Ofrecer asistencia y cooperación razonables al Suscriptor en consultas con autoridades reguladoras relativas al Tratamiento o Tratamiento propuesto de los Datos Personales del Suscriptor, incluyendo el cumplimiento de cualquier obligación aplicable a Signifyd de consultar dichas autoridades.
      11. Conceder al Suscriptor el derecho de tomar medidas razonables y apropiadas para: (a) asegurar que Signifyd utilice los Datos Personales del Suscriptor de manera consistente con las Leyes de Protección de Datos; y (b) cesar y remediar cualquier Tratamiento no autorizado mediante notificación.
   3. Declaración. Signifyd declara que comprende sus obligaciones en función de este DPA y que las cumplirá.
      Para Datos Personales del Suscriptor relativos a Usuarios Finales del Suscriptor residentes en Europa, América Latina y fuera de los E.E.U.U.:
3. Papel de las Partes:
   1. Fuera de los E.E.U.U.: Para fines de cualesquiera Leyes de Protección de Datos aplicables fuera de Estados Unidos y según definido explícitamente en la Sección 1.b.ii-v, Signifyd deberá realizar el Tratamiento de los Datos Personales del Suscripción como Responsable del Tratamiento de Datos.
      1. Signifyd deberá realizar el Tratamiento de los Datos Personas del Suscriptor con autoridad independiente para determinar las finalidades y los medios del Tratamiento de Datos Personales del Suscriptor, según establecido en este Contrato, en particular para los Fines Relacionados con la Prevención de Fraude.
      2. Con relación a los Datos Personales del Suscriptor sujetos a las Leyes de Protección de Datos aplicables en Europa, cada parte será una Responsable del Tratamiento a independiente. En esos casos, las partes reconocen y confirman que ninguna de las partes, y que el Contrato no crea una relación de Responsable del Tratamiento a conjunta o Responsable del Tratamiento-Procesador entre las partes.
      3. El RGPD, específicamente en los Considerandos 47 y 71, reconoce los Fines Relacionados a la Prevención de Fraude como intereses legítimos que proveen una base legal para que un Responsable del Tratamiento realice el tratamiento de datos personas.
      4. Cuando Signifyd esté actuando como Responsable del Tratamiento de Datos, el Suscriptor será responsable de sus propias activades de Tratamiento, incluyendo la gestión del relacionamiento con los Titulares de Datos.
4. Obligaciones de las Partes como Responsable del Tratamiento Independientes. En el caso de que las partes actúen como Responsable del Tratamiento de Datos independientes en función del Contrato, las partes concuerdan con el siguiente:
   1. Cooperación.
      1. Cada parte cooperará de manera razonable con la otra parte para cumplir con las obligaciones de conformidad previstas en las Leyes de Protección de Datos aplicables y firmará cualesquier acuerdos adicionales de privacidad, confidencialidad o seguridad de la información que sea razonablemente solicitado por la otra parte a los efectos de cumplir con las Leyes de Protección de Datos aplicables. En caso de conflicto entre el Contrato y cualquiera de estos acuerdos adicionales de privacidad, confidencialidad o seguridad de la información, el acuerdo adicional prevalecerá en lo que respecta al Tratamiento de Datos Personales del Suscriptor que se encuentren dentro de su alcance.
      2. Las partes acuerdan cooperar de manera razonable entre sí para responder a las solicitudes de las autoridades supervisoras competentes y a las solicitudes de los Titulares de Datos relacionadas con el Tratamiento de Datos Personales del Suscriptor en virtud del Contrato.
5. Transferencia Internacional de Datos
   1. Signifyd no realizará cualquier Tratamiento transfronterizo de Datos Personales del Suscriptor, tampoco trasmitirá, directa o indirectamente, cualesquiera Datos Personales del Suscriptor para cualquier país fuera del país de origen de esos datos, sin observar las Leyes de Protección de Datos aplicables. Cuando Signifyd realizar una transferencia posterior de Datos Personales del Suscriptor, Signifyd garantizará que un mecanismo legítimo de transferencia de datos fue implementado antes de la transferencia de un país hacia otro.
   2. Las partes acuerdan que, si los Servicios implican transacciones de datos con “Países Sensibles” o “Personas Afectadas”, dichas transacciones estarán sujetas a las restricciones sobre transferencias posteriores de grandes volúmenes de Datos Personales Sensibles de los EE. UU., tal y como se establece en la Sección 202.302 de las disposiciones del Departamento de Justicia de EE. UU. (DOJ) relativas a la prevención del Acceso a Datos Personales Sensibles de EE. UU. y Datos Relacionados con el Gobierno por parte de países sensibles o personas afectadas (la “Norma del Departamento de Justicia”). Todos los términos de esta sección deben ser entendidos según definidos por la Regla del Departamento de Justicia.
      1. El Suscritor no podrá, sin el consentimiento previo por escrito de Signifyd, transferir, divulgar o permitir el acceso a cualquier gran volumen de Datos Personales Sensibles de los E.E.U.U. para: (a) cualquier persona o entidad ubicada en un País Sensible; (b) cualquier Persona Afectada; o (c) cualquier tercero que pretenda, o sea probable que venga a, transferir los datos para un País Sensible o Persona Afectada.
      2. El Suscriptor se compromete a implementar medidas de cumplimiento para evitar transferencias no autorizadas, entre las que se incluyen: (a) llevar a cabo una diligencia debida detallada sobre todos los terceros a los que transfiera Datos Personales Sensibles de EE. UU. a gran escala; (b) garantizar que todos los terceros estén contractualmente obligados a cumplir las restricciones establecidas en esta cláusula; y (c) realizar auditorías periódicas de las prácticas de transferencia de datos para garantizar el cumplimiento de este contrato.
      3. En el caso de una violación confirmada o sospecha de esta cláusula, el Suscriptor deberá: (a) notificar inmediatamente a Signifyd por escrito; (b) proveer información detallada sobre la naturaleza y el alcance de la violación; y (c) cooperar integralmente con Signifyd en la investigación y mitigación de los efectos de la violación.
   3. Con relación a los Datos Personales del Suscriptor transferidos bajo las Leyes de Protección de Datos de Europa, y a excepción de los dispuesto en las Secciones 3.3 y 3.4 a continuación, las partes concuerdan que: (i) el Módulo 1 de las SCCs de UE se aplica a esas transferencias; (ii) la Cláusula 7 (cláusula opcional de la Cláusula 11 (Reparación) no está incluida; (iv) en función de las Cláusulas 17, 18 y 13(a), las partes escogen las leyes de Irlanda, los tribunales de Irlanda y las autoridades supervisoras de Irlanda como regentes de este DPA para transferencias; (v) los Anexos I(A), I(B) y II están completados según lo establecido en el Apéndice 1 de este DPA.
   4. En relación con los Datos Personales del Suscriptor transferidos desde el Reino Unido, para los que la ley de protección de datos del Reino Unido rige la naturaleza internacional de la transferencia, las SCCs del Reino Unido forman parte del presente DPA y prevalecen sobre el resto del presente DPA, tal y como se establece en las SCCs del Reino Unido. Para fines de esas cláusulas, se considerarán como sigue: La cualificación de las partes y de sus afiliadas será la del Contrato; Los Contratos Principales serán aquellos definidos en el Contrato; las cláusulas aprobadas referidas en la Tabla 2 serán las SCCs de UE; los Anexos se definirán según los Apéndices 1 y 2 a continuación; y Cualquier parte podrá encerrar este DPA según la Sección 19 de las SCCs del Reino Unido.
   5. Para las transferencias de Datos Personales del Suscriptor sujetas a la FADP, las SCC de la UE forman parte de este DPA de conformidad con la sección 3.2, pero con las siguientes modificaciones exigidas por la FADP: (i) las referencias al RGPD en las SCCs de la UE deben entenderse como referencias a la FADP cuando los datos estén sujetos exclusivamente a esta y no al RGPD; (ii) el término “Estado miembro” en las SCCs de la UE no debe interpretarse de manera que excluya a los Titulares de Datos en Suiza de la posibilidad de buscar sus derechos en su lugar de residencia habitual (Suiza), de conformidad con la cláusula 18(c) de las SCCs de la UE; y (iii) la autoridad supervisora competente será el Comisionado Federal de Protección de Datos e Información de Suiza (para transferencias sujetas a la FADP y no al RGPD), o ambos el Comisario y la autoridad supervisora identificada en las SCCs de UE (cuando la FADP y el RGPD se apliquen, respectivamente).
   6. Para Datos Personales del Suscriptor relativos a usuarios finales residentes en Brasil, en la Medida en que dichos datos se encuentren sujetos a a LGPD, las partes reconocen y acuerdan que:
      1. Papel de las Partes: Signifyd actuará como Responsable del Tratamiento a de Datos con relación a dicho Tratamiento, según los Fines Relacionados a la Prevención de Fraude previstos en el Contrato. El Suscriptor continuará responsable de sus propias actividades de Tratamiento en función de la LGPD.
      2. Transferencias Internacionales de Datos: las transferencias internacionales de datos se realizarán en el contexto del Tratamiento de los Datos Personales del Suscriptor y las partes han asignado las Cláusulas Estándar Contractuales Brasileñas (CPC-BR) como el mecanismo legal aplicable a dichas transferencias. Las transferencias internacionales de Datos Personales del Suscriptor en función del Contrato, este DPA y la LGPD obedecerán a las disposiciones de la CPC-BR, según lo establecido en el Apéndice 3.
      3. En caso de conflicto entre el Contrato o este DPA y el Apéndice 3, los términos del Apéndice 3 prevalecerán con relación al Tratamiento de Datos Personales del Suscriptor sujetos a la LGPD.

APÉNDICE 1
Anexo I

A. LISTA DE LAS PARTES

Exportador(es) de Datos:

El Suscriptor y la cualificación y la firma del Suscriptor serán aquellos suministrados en el Contrato.
Actividades relevantes a los datos transferidos bajo estas Cláusulas: Recolectar consentimiento y transferir Datos Personales del Suscriptor para fines de que Signifyd provea los Servicios según lo establecido en el Contrato.
Papel (Responsable del Tratamiento/procesador): Responsable del Tratamiento.

Importador(es) de Datos:

Nombre: Signifyd, Inc.

Dirección: 99 Almaden Blvd, 4º andar, San Jose, CA 95113

Nombre de la persona de contacto, cargo e información de contacto:

Nisha Ramachandran, Directora Jurídica / Encargada de Protección de Datos,
[email protected], confirme suscripción provista en el DPA. El contacto para el Titular de los Datos en función de la LGPD será: Daniel Longo Braga, Abogado Senior, [email protected], también disponible en [email protected].

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Signifyd realizará el Tratamiento de los Datos Personales del Suscriptor de acuerdo con el DPA y con el contrato entre Signifyd y el Exportador de Datos que regula los Servicios. El tratamiento puede incluir recolección, almacenaje, uso modificación y transferencia de Datos Personales del Suscriptor, según sea necesario para la prestación de los Servicios, incluyendo, pero no limitándose, a los Fines Relacionados a la Prevención de Fraude.

Papel (Responsable del Tratamiento/Procesador):

• Con relación solamente a los Datos Personales del Suscriptor relativos a Titulares de Datos residentes en los E.E.U.U. Procesador
• Con relación solamente a los Datos Personales del Suscriptor relativos a Titulares de Datos residentes fuera de los E.E.U.U. Responsable del Tratamiento

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de titulares de datos cuyos datos personales son transferidos

• Titulares de Datos
• Empleados del Suscriptor (en la medida en que el empleado sea un contacto comercial o cree una cuenta en la plataforma de Signifyd)

Categorías de datos personales transferidos

• Identificadores, tales como: número de teléfono, ID de usuario, nombre, apellidos, dirección física, dirección de correo electrónico, código postal, ID del dispositivo, ID del pedido, ID de la transacción, artículos comprados.
• Información de pago y bancarias, como: monto de la transacción, método de pago, últimos 4 dígitos de un número de tarjeta de pago, BIN de la tarjeta.
• Actividad en sitio web o Red, como comportamiento de login, análisis comportamiento de transacciones, dirección IP.
• Datos Profesionales o Relacionados al Empleo como: información de contacto de empleado del Suscriptor.
• Interferencias extraídas de otras Informaciones Personales.

Datos sensibles transferidos (si aplicable) y restricciones o salvaguardas aplicadas, tomando en consideración de forma integral la naturaleza de los datos y los riesgos involucrados como, por ejemplo, limitación estricta de finalidad, restricciones de acceso (incluyendo acceso apenas por empleados con capacitación especializada), mantenimiento de registros de acceso a los datos, restricciones para transferencias posteriores o medidas adicionales de seguridad.

• N/A

Frecuencia de transferencia (por ejemplo, si los datos se transfieren una única vez o de forma continua°.

• Base continua por transacción revisada, según lo establecido en el Contrato.

Naturaleza del Tratamiento

• Signifyd es responsable de prestar los Servicios a nuestros clientes, según se describe en el Contrato, especialmente para los Fines Relacionados a la Prevención de Fraude.

Finalidad(es) de la transferencia de datos y del tratamiento posterior

• N/A

El periodo por el cual los datos personales se retendrán o, si eso no es posible, los criterios utilizados para determinar dicho periodo

• Por el menor de los siguientes plazos: (i) cinco (5) años o (ii) hasta que los datos dejen de tener utilidad material para los Servicios de Signifyd.

Para transferencias a (sub) operadores, también especificar el objeto, naturaleza y duración del tratamiento.

• Los Suboperadores estarán sujetos a la misma naturaleza y finalidades del Tratamiento según establecido en este DPA.

C.AUTORIDAD SUPERVISORA COMPETENTE

Identificar a la(s) autoridad(es) supervisora(s) competente(s), de conformidad con la Cláusula 13.

• Autoridad de Protección de Datos de Irlanda

 

 

Anexo II

MEDIDAS TÉCNICAS Y ORGANIZACIONALES, INCLUSIVE MEDIDAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

• Descripción de las medidas técnicas y organizacionales implementadas por el (los) importador(es) de datos (incluyendo cualesquiera certificaciones relevantes) para garantizar un nivel apropiado de seguridad, tomando en cuenta la naturaleza, alcance, contexto y finalidad del Tratamiento, así como los riesgos para los derechos y libertades de las personas naturales.

Signifyd implementó las siguientes medidas técnicas y organizacionales:

Auditorías y Certificaciones:

• SOC 2 Type II
• PCI DSS
• ISO 27001

Medidas adoptadas para proteger la Confidencialidad e Integridad de la Información del Suscriptor y del Usuario Final:

• El acceso al ambiente de producción es restringido a empleados autorizados, con base en la función y en la necesidad de negocios. La infraestructura de producción es segregada del ambiente no productivo y de la infraestructura expuesta al público.
• Una estrategia de control de Defensa en Profundidad se implementa con múltiples capas de defensa perimetral alrededor de los servidores de aplicativo y banco de datos principales, firewalls de red y aplicativo, balanceadores de carga, restricciones de acceso lógico y herramientas de monitoreo de amenazas y logging.
• Los Datos Personales son criptografados en reposo y durante el tránsito por internet pública. Cuando no sea posible criptografar los datos en reposo por motivos comerciales, controles compensatorios, inclusive controles de acceso, se establecerán.
• Programa de Seguridad de la Información: Un programa de Seguridad de la Información documentado se mantiene, establecido con la finalidad de proteger los Datos Personales contra pérdida accidental o ilícita, acceso o divulgación, identificar riesgos internos y previsibles a la seguridad y accesos no autorizados y minimizar los riesgos de seguridad.
• Seguridad de Red: Se mantienen controles y políticas de acceso para gestionar el acceso de cada conexión de red y de usuario. Firewalls o tecnologías funcionalmente equivalente y controles de autenticación se utilizan. Planes de acción correctiva y respuesta a incidentes se aplican para lidiar con posibles amenazas de seguridad.
• Revisiones Periódicas Evaluaciones regulares de seguridad de la red y del Programa de Seguridad de la Información se realizan con base en los estándares de la industria. Actualizaciones y mejoras a las medidas protectoras se implementan según necesario con base en esas revisiones.

Medidas adoptadas para garantizar Disponibilidad y Tiempo de Actividad de la Plataforma y Servicios Asociados según lo establecido en Acuerdos de Nivel de Servicio:

• Procesos de Continuidad de Negocios y Recuperación de Desastres están vigentes y los planes son probados anualmente para garantizar capacidad de Recuperación de Desastres.
• El sistema de producción de Signifyd es tolerante a fallas, escalable y altamente disponible. El tráfico entrante se equilibra entre zonas de disponibilidad geográficamente distribuidas.
• Un proceso robusto de backup fue establecido para los bancos de datos de producción y los datos de los Usuarios Finales.

Medidas adoptadas para garantizar Calidad, Precisión y Seguridad de los Servicios y de los Datos involucrados.

• Todas las alteraciones en la plataforma siguen un ciclo de desarrollo de software (SDLC) riguroso, incluyendo pruebas y garantía de calidad en ambientes de prueba antes de la promoción al ambiente de producción.
• Scans de vulnerabilidad trimestrales y pruebas de penetración en aplicativo web anual se llevan a cabo para monitorear vulnerabilidades y configuraciones inadecuadas en la plataforma de producción.
• Todos los sistemas con acceso público vía internet son segregados de la rede de producción por medio de segmentación de red, firewalls y/o restricciones de acceso lógico. El acceso de los usuarios a la solución es gestionado por medio de una Interfaz de Programación de Aplicativos que controla el tipo de formato de todos los datos que entran y salen del sistema.
• Revisiones de acceso de usuarios se llevan a cabo periódicamente a lo largo del año. Cualesquiera problemas identificados se documentan y acompañan hasta la resolución.
• Toda la autenticación y transmisión de datos para el ambiente de producción ocurre por canales seguros de transmisión (por ejemplo, IPSec, SSH, TLS).

Medidas adoptadas para garantizar la Seguridad Confidencialidad e Integridad de los Datos en Contacto con Terceros:

• Contratos con proveedores establecen requisitos de seguridad de la información y confidencialidad para los proveedores.

Medidas adoptadas para garantizar la Disponibilidad de la Plataforma y de los Datos en ella contenidos:

• Procesos de Recuperación de Desastres y Continuidad de Negocios están vigentes, y la infraestructura de producción es configurada en modo de alta disponibilidad para minimizar interrupciones inesperadas en los servicios y en el acceso a los Servicios.
• El sistema de producción de Signifyd es tolerante a fallas, escalable y altamente disponible. El tráfico entrante se equilibra entre zonas de disponibilidad geográficamente distribuidas.
• Un proceso robusto de backup fue establecido para los bancos de datos de producción y los datos de los clientes.

Medidas adoptadas por Subcontratados/Suboperadores: 

• Programa de Seguridad de la Información: Un programa de Seguridad de la Información documentado se mantiene, establecido con la finalidad de proteger los Datos Personales del Suscriptor contra pérdida, acceso o divulgación accidental o ilícita, identificar riesgos internos y previsibles a la seguridad y minimizar los riesgos de seguridad.
• Seguridad de Red: Controles y políticas de acceso se mantienen para gestionar conexiones de red y acceso de usuario. Firewalls o tecnologías funcionalmente equivalente y controles de autenticación se utilizan. Planes de acción correctiva y respuesta a incidentes se utilizan para responder a potenciales amenazas a la seguridad.
• Seguridad Física:
  • El acceso a los data centers es restricto a empleados con necesidad legítima de negocio. El acceso se revoca cuando no sea más necesario.
  • Controles físicos con barreras, validación electrónica de acceso y verificación por personal de seguridad son utilizados.
  • Puertas con seguros, vigilancia por video y sistemas electrónicos de detección de intrusión se utilizan en las instalaciones en donde los satos son amenazados.
  • Gafetes de identificación con foto, registro de entrada y salida y acompañamiento por empleados se exige para todos los visitantes.

Revisiones Periódicas: Evaluaciones regulares de seguridad de la red y del Programa de Seguridad de la Información se realizan regularmente con base en los estándares de la industria. Mejoras y actualizaciones se aplica según se exige por esos análisis.