YUNO - ACUERDO GLOBAL DE TRATAMIENTO DE DATOS

RESUMEN EJECUTIVO. El presente Acuerdo Global de Tratamiento de Datos establece cómo Yuno trata datos personales en calidad de Encargado del Tratamiento en nombre de sus Contrapartes, incluyendo tanto a Comercios como a Socios Tecnológicos, con disposiciones para la corresponsabilidad del tratamiento cuando así se determine fácticamente. Bajo este marco unificado, Yuno actúa principalmente como Encargado del Tratamiento para los Servicios, mientras que las Contrapartes actúan como Responsables del Tratamiento para sus respectivos fines de tratamiento, excepto cuando la determinación conjunta de los fines y medios del Tratamiento cree acuerdos de corresponsabilidad. Este Acuerdo garantiza el cumplimiento de las Leyes de Protección de Datos Aplicables a nivel global, incluyendo el RGPD, la CCPA/CPRA, la LGPD y las normativas de privacidad locales en todas las jurisdicciones donde opera Yuno, a la vez que proporciona una incorporación optimizada y una asignación clara de responsabilidades.

‍

ARTÍCULO 1: DEFINICIONES Y ALCANCE

‍
1.1 Objeto y Aplicación. El presente Acuerdo Global de Tratamiento de Datos (el "DPA" o "Acuerdo") establece el marco para la protección de datos personales entre Yuno y sus Contrapartes comerciales, incluyendo tanto a Comercios como a Socios Tecnológicos (colectivamente, "Contrapartes"). Este DPA se aplica a todas las actividades de Tratamiento de datos personales realizadas por Yuno en conexión con los Servicios e incorpora los estándares establecidos en la Política de Privacidad Global de Yuno.

‍
1.2 Definiciones. Para los fines de este DPA, los siguientes términos tendrán los significados que se establecen a continuación:

‍

Cláusulas Contractuales Tipo. Significa las cláusulas contractuales para la transferencia de Datos Personales a encargados establecidos en terceros países aprobadas por la Comisión Europea u otras autoridades de control pertinentes, incluyendo los Módulos 1, 2 y 3 de las CCT de la UE (Decisión 2021/914), el IDTA del Reino Unido y las Cláusulas Contractuales Tipo de la ANPD de Brasil (Resolución CD/ANPD nº 19/2024).

‍
Comercio. Una entidad comercial que utiliza los Servicios de Yuno para procesar pagos de sus clientes (Usuarios Finales). Los Comercios típicamente actúan como Responsables del Tratamiento de los Datos Personales de los Usuarios Finales, excepto cuando la corresponsabilidad del tratamiento se establece fácticamente.

‍
Contrapartes. Significa cualquier entidad comercial que suscribe este DPA con Yuno, incluyendo tanto a Comercios como a Socios Tecnológicos, según se definen más adelante. Las Contrapartes pueden actuar como Responsables del Tratamiento, Encargados del Tratamiento o Corresponsables del Tratamiento dependiendo de las circunstancias fácticas de las actividades de Tratamiento.

‍
Corresponsable del Tratamiento. Significa dos o más responsables que determinan conjuntamente los fines y medios del Tratamiento, según se define en el Artículo 26 del RGPD y disposiciones equivalentes en otras Leyes de Protección de Datos Aplicables. La determinación de la corresponsabilidad del tratamiento considerará factores como el grado de influencia sobre los fines y medios del Tratamiento, los objetivos comerciales compartidos y los procesos de toma de decisiones integrados.

‍
Datos Personales. Significa cualquier información relativa a una persona física identificada o identificable, incluyendo, entre otros: (i) datos de tarjetas de pago y credenciales de pago tokenizadas, (ii) información de transacciones y datos comerciales, (iii) datos de prevención de fraude y evaluación de riesgos, (iv) biometría de dispositivo y de comportamiento, (v) datos de geolocalización y dirección IP, (vi) datos de autenticación y verificación de identidad, (vii) datos inferidos basados en comportamientos u características observadas, y (viii) cualquier otro dato tratado a través de la plataforma de Yuno que identifique directa o indirectamente a una persona física.

‍
Encargado del Tratamiento. Significa la entidad que trata Datos Personales en nombre y bajo las instrucciones documentadas del Responsable del Tratamiento. Los roles de Tratamiento se determinan por las circunstancias fácticas en lugar de por designaciones contractuales.

‍
Leyes de Protección de Datos Aplicables. Significa todas las leyes, regulaciones y directrices regulatorias aplicables a nivel internacional, nacional, federal, estatal y local relativas a la protección de datos personales, privacidad y seguridad, incluyendo el Reglamento General de Protección de Datos de la Unión Europea, el Reglamento General de Protección de Datos del Reino Unido, la Ley General de Protección de Datos de Brasil, la Ley 1581 de 2012 de Colombia, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México, la Ley de Privacidad del Consumidor de California enmendada por la Ley de Derechos de Privacidad de California, la Ley de Protección de Datos Personales de Singapur y cualquier otra legislación de privacidad aplicable en las jurisdicciones donde operan las partes.

‍
Responsable del Tratamiento. Significa la entidad que, por sí sola o junto con otras, determina los fines y medios del Tratamiento de Datos Personales. Los roles de Tratamiento se determinan por las circunstancias fácticas en lugar de por designaciones contractuales.

‍
Servicios. "Servicios" significa la plataforma de orquestación de pagos basada en la nube de Yuno y cualquier tecnología relacionada, incluyendo paneles de control, interfaces de programación de aplicaciones (API), kits de desarrollo de software (SDK) y el soporte profesional o técnico que proporcionamos. A través de los Servicios, los Clientes pueden acceder a múltiples métodos de pago, herramientas de prevención de fraude y otras soluciones integradas de la industria de pagos.

‍
Socio Tecnológico. Significa un proveedor de servicios (incluyendo, entre otros, PSPs, proveedores de prevención de fraude, proveedores de PLA/CFT/KYC, adquirentes, pasarelas, métodos de pago alternativos y tecnologías de pago emergentes) que Yuno contrata para facilitar los servicios de orquestación de pagos. Los Socios Tecnológicos típicamente actúan como Responsables del Tratamiento para sus actividades de tratamiento específicas, excepto cuando la corresponsabilidad del tratamiento se establece fácticamente.

‍
Subencargado del Tratamiento. Significa cualquier tercero contratado por Yuno para tratar Datos Personales en nombre de las Contrapartes.

‍
Titular de los Datos. Significa una persona física identificada o identificable cuyos Datos Personales son tratados en virtud de este DPA.

‍
Tratamiento. Significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o manuales, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación, alteración, recuperación, consulta, uso, comunicación, difusión, limitación, supresión o destrucción.

‍
Usuario Final. Un cliente individual de un Comercio cuyos Datos Personales son tratados a través de la plataforma de Yuno.

‍
Violación de Seguridad de los Datos Personales. Significa una violación de la seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de Datos Personales, o la comunicación o acceso no autorizados a dichos datos.

‍
Yuno. Significa, colectiva e individualmente, Smart Routing Pte. Ltd.; Yuno Payments Ltd.; Yuno Payments LLC; Yuno USA, LLC; Yuno Colombia S.A.S.; Yuno Intermediação de Serviços Ltda.; y Yuno Tecnologías S.A.P.I. de C.V., junto con cualquier matriz, subsidiaria, sucursal o afiliada presente o futura que (i) esté bajo control común con cualquiera de las entidades anteriores, y (ii) participe en, o ponga a disposición, los Servicios regidos por este Acuerdo. Salvo que se indique expresamente lo contrario, cada referencia a "Yuno" en este Acuerdo se considerará que incluye a todo el Grupo Yuno.

‍

ARTÍCULO 2: ROLES Y RESPONSABILIDADES EN EL TRATAMIENTO DE DATOS

‍
2.1 Rol Principal como Encargado. Yuno actúa principalmente como Encargado del Tratamiento para las actividades de Tratamiento de Datos Personales realizadas en nombre de las Contrapartes. Estas Contrapartes típicamente actúan como Responsables del Tratamiento, determinando los fines y medios del Tratamiento de los Datos Personales compartidos con o tratados por Yuno.

‍
2.2 Relaciones con los Comercios. El Comercio típicamente actúa como Responsable del Tratamiento de los Datos Personales de los Usuarios Finales que comparte con Yuno para fines de orquestación de pagos. En esta capacidad, el Comercio determina los fines y medios del Tratamiento de los Datos Personales del Usuario Final y asume la responsabilidad principal del cumplimiento de las Leyes de Protección de Datos Aplicables. Yuno trata los Datos Personales del Usuario Final de acuerdo con las instrucciones del Comercio con el siguiente flujo de datos:

‍

Usuario Final → Comercio (Responsable) → Yuno (Encargado) → Socios Tecnológicos (según instrucciones del Comercio).

‍

2.3 Relaciones con los Socios Tecnológicos. Los Socios Tecnológicos típicamente actúan como Responsables del Tratamiento para sus fines de Tratamiento específicos (puntuación de fraude, verificación KYC, procesamiento de pagos, etc.). Yuno trata los Datos Personales de acuerdo con las instrucciones del Socio Tecnológico para la prestación de servicios específicos. Los flujos de datos pueden incluir: (i) Socio Tecnológico (Responsable) → Yuno (Encargado) → Tratamiento/enrutamiento según lo instruido, o (ii) Comercio (Responsable) → Yuno (Encargado) → Socio Tecnológico (Subencargado según instrucciones del Comercio).

‍
2.4 Asignación de Responsabilidad. Yuno asume responsabilidad únicamente por el cumplimiento del Tratamiento bajo las instrucciones documentadas de la Contraparte o por las obligaciones de corresponsabilidad del tratamiento cuando sea aplicable. Las Contrapartes siguen siendo las únicas responsables de: (i) las autorizaciones de los titulares de los datos y las bases legales del tratamiento, (ii) el cumplimiento de las obligaciones del Responsable bajo las Leyes de Protección de Datos Aplicables, y (iii) las instrucciones de Tratamiento lícitas dadas a Yuno.

‍
2.5 Monitoreo del Cumplimiento de la Contraparte. Yuno podrá suspender los servicios de Tratamiento para las Contrapartes que incumplan materialmente sus obligaciones como Responsable, incluyendo la falta de obtención de las autorizaciones adecuadas de los titulares de los datos o de mantenimiento de bases legales para el tratamiento, siempre que se dé un aviso razonable y la oportunidad de subsanar.

‍
2.6 Tratamiento Conjunto Basado en SDK. Cuando Yuno proporcione implementaciones de SDK que permitan a las Contrapartes (incluyendo Comercios y Socios Tecnológicos) integrar los algoritmos de toma de decisiones, detección de fraude o lógica de enrutamiento de Yuno en sus sistemas, ambas partes podrán actuar como corresponsables del tratamiento para dichas actividades. Las responsabilidades del corresponsable del tratamiento se documentarán en anexos de tratamiento específicos para el SDK y en Acuerdos de Corresponsabilidad separados. Esto puede incluir, entre otros, escenarios en los que los algoritmos propietarios de Yuno son utilizados por la Contraparte para informar decisiones estratégicas de negocio que van más allá del simple enrutamiento de pagos, como modelos de gestión de riesgos donde Yuno define el propósito general del análisis de datos en conjunto con el caso de uso específico de la Contraparte.

‍
2.7 Limitación del Alcance Regulatorio. Las obligaciones de Yuno en virtud de este Acuerdo se limitan estrictamente a la prestación de Servicios de orquestación de pagos. Yuno no será responsable ni asumirá ninguna responsabilidad derivada de: (a) las actividades de marketing, adquisición de clientes o cumplimiento específico de productos de la Contraparte; (b) las obligaciones fiscales, contables o de información financiera de la Contraparte; (c) las determinaciones independientes de PLA/CFT/KYC de la Contraparte, salvo cuando Yuno sea contratado expresamente como proveedor regulado y únicamente para los servicios detallados en la Orden de Pedido aplicable; (d) la legalidad de los productos o servicios de la Contraparte; o (e) cualquier otra actividad de tratamiento fuera del alcance técnico de los Servicios. La Contraparte reconoce que Yuno opera una plataforma tecnológica y no proporciona por sí misma servicios de procesamiento de pagos regulados o servicios financieros que requieran licencia a los Usuarios Finales.

‍

ARTÍCULO 3: OBLIGACIONES E INSTRUCCIONES DE TRATAMIENTO

‍

3.1 Obligaciones de la Contraparte como Responsable del Tratamiento. Cada Contraparte, como Responsable del Tratamiento, declara, garantiza y se compromete a que todo Tratamiento de Datos Personales, incluidas las transferencias a Yuno, se realiza de conformidad con las Leyes de Protección de Datos Aplicables. Cada Contraparte deberá obtener todos los consentimientos necesarios de los titulares de los datos y proporcionar avisos de privacidad apropiados que describan las actividades de tratamiento y las transferencias a Yuno.

‍
3.2 Obligaciones de Tratamiento de Yuno. Yuno tratará los Datos Personales únicamente de acuerdo con las instrucciones documentadas de la Contraparte respectiva, excepto cuando lo exija la ley aplicable. Yuno aplicará el principio de minimización de datos, tratando únicamente los Datos Personales que sean adecuados, pertinentes y limitados a lo necesario para los fines especificados. Yuno informará inmediatamente a la Contraparte si las instrucciones violan las Leyes de Protección de Datos Aplicables y suspenderá el Tratamiento no conforme hasta que se reciban instrucciones lícitas. Yuno no tratará Datos Personales para ningún otro fin que no sea el especificado por la Contraparte.

‍
3.3 Verificación Reforzada del Cumplimiento de las Instrucciones. Yuno informará a la Contraparte de manera oportuna si las instrucciones de Tratamiento pudieran violar las Leyes de Protección de Datos Aplicables y deberá: (a) Suspender el Tratamiento no conforme dentro de las 2 horas siguientes a la identificación de la violación, (b) Documentar la naturaleza de la violación legal y las acciones de suspensión tomadas, (c) Proponer enfoques de Tratamiento lícitos alternativos cuando sea técnicamente factible, (d) Mantener la suspensión hasta que la Contraparte proporcione instrucciones lícitas modificadas, y (e) No asumir ninguna responsabilidad por los impactos comerciales o por la violación legal subyacente resultante de la suspensión lícita. La Contraparte reconoce que la suspensión por parte de Yuno del Tratamiento no conforme es una salvaguarda de cumplimiento, no un incumplimiento de las obligaciones de servicio ni una asunción de responsabilidad por las instrucciones ilícitas de la Contraparte.

‍
3.4 Coordinación del Acuerdo Comercial. Cuando las instrucciones de Tratamiento se proporcionen a través de órdenes de compra o acuerdos comerciales, dichas instrucciones deberán cumplir con este DPA. Cualquier instrucción que entre en conflicto con los requisitos de protección de datos de este DPA se considerará inválida y no será implementada por Yuno.

‍
3.5 Validación de la Implementación. Yuno mantiene controles técnicos para prevenir el Tratamiento que exceda las instrucciones de la Contraparte o viole este DPA, incluyendo el monitoreo automatizado de las actividades de tratamiento de datos y la notificación de excepciones.

‍
3.6 Registros de Tratamiento. Ambas partes mantendrán registros completos de las actividades de Tratamiento según lo exigen las Leyes de Protección de Datos Aplicables, incluyendo las categorías de Datos Personales tratados, los fines del Tratamiento, los destinatarios de los Datos Personales y los períodos de conservación.

‍

ARTÍCULO 4: MEDIDAS Y SALVAGUARDAS DE SEGURIDAD REFORZADAS

‍

4.1 Medidas Técnicas y Organizativas Integrales. Yuno implementa y mantiene medidas de seguridad técnicas y organizativas integrales para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilícitos. Estas medidas incluyen el cifrado AES-256 de los Datos Personales en reposo, el cifrado TLS 1.3 para los datos en tránsito, AWS KMS con respaldo de HSM para la gestión de claves, controles de acceso basados en roles con autenticación multifactor, segregación de red y arquitectura de confianza cero, monitoreo de seguridad 24/7 con integración SIEM, evaluaciones de vulnerabilidad y pruebas de penetración regulares, y un marco de preparación para la criptografía cuántica.

‍
4.2 Estándares y Certificaciones de Seguridad. Yuno mantiene certificaciones de seguridad reconocidas por la industria, incluyendo ISO 27001 para la Gestión de la Seguridad de la Información, ISO 27701 para la Gestión de la Información de Privacidad, PCI DSS Nivel 1 para la Seguridad de Datos de la Industria de Tarjetas de Pago, y SOC 2 Tipo II para los Controles de Organizaciones de Servicios. Los detalles actuales de las certificaciones están disponibles en el Centro de Confianza de Yuno en security.y.uno.

‍
4.3 Obligaciones de Seguridad de la Contraparte. Cada Contraparte implementará medidas técnicas y organizativas apropiadas para garantizar la seguridad de los Datos Personales bajo su control, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y fines del Tratamiento.

‍
4.4 Cumplimiento PCI DSS de la Contraparte. Si una Contraparte procesa, maneja, almacena o transmite Datos de Tarjetahabientes, según se define en el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), recibidos de o en nombre de Yuno, o de otra manera en conexión con los Servicios prestados en virtud del Acuerdo, la Contraparte declara y garantiza que cumple y seguirá cumpliendo con la versión vigente de PCI DSS. A solicitud de Yuno, la Contraparte proporcionará a Yuno una copia de su Atestación de Cumplimiento (AoC) válida u otra documentación de validación de PCI DSS aplicable. La Contraparte proporcionará a Yuno AoC renovados o documentación de validación anualmente, o según se renueven, dentro de los treinta (30) días siguientes a su emisión. La Contraparte notificará prontamente a Yuno por escrito de cualquier cambio material en su estado de cumplimiento de PCI DSS o de cualquier incidente de seguridad que pueda afectar la seguridad de los Datos de Tarjetahabientes tratados en conexión con este DPA.

‍

ARTÍCULO 5: SUBENCARGADOS Y COMUNICACIONES A TERCEROS

‍
5.1 Autorización de Sub encargados. Yuno puede contratar Sub encargados para ayudar en la prestación de los Servicios, siempre que dicha contratación cumpla con este DPA y las Leyes de Protección de Datos Aplicables. Si una Contraparte se opone a un nuevo Subencargado por motivos razonables relacionados con la protección de datos dentro de los 10 días hábiles siguientes a la recepción de la notificación, las partes trabajarán de buena fe para resolver la objeción. Si la objeción no puede resolverse razonablemente, la Contraparte podrá rescindir los Servicios relevantes afectados por la contratación del Subencargado sin penalización.

‍
5.2 Acuerdos con Sub encargados. Antes de contratar a cualquier Subencargado, Yuno suscribirá un acuerdo por escrito que imponga obligaciones de protección de datos equivalentes a las establecidas en este DPA. Yuno seguirá siendo plenamente responsable del desempeño de los Sub encargados y de cualquier incumplimiento de las obligaciones de protección de datos.

‍
5.3 Comunicaciones a Terceros. Ninguna de las partes comunicará Datos Personales a terceros, excepto cuando sea necesario para los fines establecidos en este DPA, según lo exija la ley, o con el consentimiento previo por escrito de la otra parte. Cualquier comunicación exigida por ley se limitará al mínimo necesario y la parte que la realice proporcionará una notificación inmediata, a menos que esté legalmente prohibido.

‍

ARTÍCULO 6: TRANSFERENCIAS INTERNACIONALES DE DATOS

‍
6.1 Mecanismos de Transferencia. Las transferencias internacionales de Datos Personales se realizarán únicamente con las salvaguardas adecuadas según lo exigen las Leyes de Protección de Datos Aplicables. Yuno implementará Cláusulas Contractuales Tipo, se basará en decisiones de adecuación o utilizará otros mecanismos de transferencia lícitos según corresponda para jurisdicciones específicas.

‍
6.2 Evaluaciones de Impacto de la Transferencia. Para las transferencias a jurisdicciones sin decisiones de adecuación, Yuno realizará evaluaciones de impacto de la transferencia e implementará medidas suplementarias según sea necesario para garantizar una protección de los Datos Personales sustancialmente equivalente a la requerida en la jurisdicción de origen.

‍
6.3 Solicitudes de Acceso Gubernamentales. Yuno evaluará cualquier solicitud de acceso a Datos Personales por parte de gobiernos o autoridades regulatorias. Cuando sea legalmente permisible y factible, Yuno notificará con antelación a las Contrapartes afectadas antes de la comunicación. Yuno se compromete a impugnar las solicitudes de acceso a Datos Personales excesivamente amplias, ilícitas o inapropiadas en la mayor medida permitida por la ley, y a limitar las comunicaciones al mínimo absoluto legalmente requerido. Yuno mantendrá registros de dichas solicitudes y, cuando esté permitido, proporcionará informes de transparencia a las Contrapartes o divulgará públicamente estadísticas sobre dichas solicitudes.

‍

ARTÍCULO 7: DERECHOS DE LOS TITULARES DE LOS DATOS

‍
7.1 Facilitación de Derechos. Yuno asistirá a las Contrapartes en la respuesta a las solicitudes de los titulares de los datos de acceso, rectificación, supresión, portabilidad, limitación y oposición, según lo exigen las Leyes de Protección de Datos Aplicables. Dicha asistencia incluirá, entre otros, el suministro de los Datos Personales pertinentes y la información sobre el Tratamiento a través de la API de Yuno, un portal seguro o canales de comunicación definidos dentro de los 5 días hábiles siguientes a la solicitud verificable de la Contraparte, para permitir que la Contraparte responda dentro de los plazos legales.

‍
7.2 Solicitudes Directas a Yuno. Cuando Yuno reciba solicitudes de los titulares de los datos directamente, las remitirá al contacto de privacidad designado de la Contraparte correspondiente por correo electrónico a privacy@y.uno y security@y.uno con un asunto claro y sin demora indebida, y en ningún caso más tarde de 2 días hábiles, a menos que esté legalmente obligado a responder directamente. Yuno no responderá a solicitudes directas sin la autorización de la Contraparte, excepto cuando lo exija la ley, y en tales casos, informará a la Contraparte de la respuesta, a menos que esté legalmente prohibido.

‍
7.3 Toma de Decisiones Automatizada. Cuando Yuno trate Datos Personales que impliquen una toma de decisiones automatizada con efectos significativos sobre los titulares de los datos, implementará medidas apropiadas para salvaguardar los derechos de los titulares, incluyendo el suministro de información significativa sobre la lógica implicada y la oferta de oportunidades de revisión humana cuando sea necesario.

‍

ARTÍCULO 8: GESTIÓN DE VIOLACIONES DE SEGURIDAD DE LOS DATOS PERSONALES

‍
8.1 Marco de Notificación de Violaciones Específico por Jurisdicción

‍

‍

8.2 Documentación e Investigación de Violaciones. Yuno documentará todas las Violaciones de Seguridad de los Datos Personales y cooperará plenamente con los Socios en las investigaciones de las violaciones. La documentación incluirá los hechos relativos a la violación, sus efectos y las medidas correctivas tomadas. Yuno preservará las pruebas y proporcionará acceso a la información forense según se solicite razonablemente.

‍
8.3 Coordinación y Cumplimiento Regulatorio. Los Socios siguen siendo los principales responsables de las notificaciones regulatorias, y Yuno proporcionará: documentación completa del incidente para las presentaciones regulatorias, disponibilidad de expertos técnicos para las consultas de la autoridad, documentación de la remediación y su efectividad, y cooperación continua con las investigaciones regulatorias.

‍

ARTÍCULO 9: CONSERVACIÓN DE DATOS Y SUPRESIÓN SEGURA

‍
9.1 Períodos de Conservación. Los Datos Personales se conservarán solo durante el tiempo necesario para cumplir los fines para los que fueron recopilados o según lo exijan las obligaciones legales, regulatorias o contractuales aplicables. Yuno suprimirá o devolverá los Datos Personales a la terminación del acuerdo subyacente con la Contraparte, a menos que la ley exija su conservación.

‍
9.2 Procedimientos de Supresión. A solicitud de la Contraparte o a la terminación del acuerdo, Yuno suprimirá o devolverá de forma segura todos los Datos Personales y destruirá las copias existentes, a menos que el almacenamiento sea requerido por la ley aplicable. La supresión se llevará a cabo utilizando métodos de supresión segura estándar de la industria, y Yuno proporcionará una certificación escrita de la supresión si se solicita.

‍
9.3 Requisitos de Retención Legal. No obstante las obligaciones generales de supresión, ambas partes podrán conservar Datos Personales según sea necesario para cumplir con los requisitos de preservación legal, litigios pendientes o investigaciones regulatorias. Dicha conservación se limitará al mínimo necesario para el propósito legal especificado.

‍
9.4 Análisis de Datos Agregados. Yuno podrá conservar y utilizar patrones de transacciones y métricas de rendimiento agregados y anonimizados para: (i) la optimización de la plataforma y la mejora de la prevención del fraude; (ii) estudios de mercado y benchmarking de la industria; (iii) informes regulatorios y análisis de cumplimiento; y (iv) evaluación del rendimiento de los Socios Tecnológicos. (b) Dichos datos agregados no identificarán a Contrapartes o Usuarios Finales específicos y podrán conservarse indefinidamente.

‍

ARTÍCULO 10: DERECHOS DE AUDITORÍA MULTINIVEL Y MONITOREO DEL CUMPLIMIENTO

‍
10.1 Autorización de Auditoría. Las Contrapartes podrán realizar auditorías razonables de las actividades de Tratamiento de datos de Yuno para verificar el cumplimiento de este DPA y de las Leyes de Protección de Datos Aplicables. Dichas auditorías se realizarán principalmente mediante la revisión de las certificaciones de terceros más recientes de Yuno (p. ej., ISO 27001, PCI DSS, informes SOC 2 Tipo II) e informes de resumen de auditoría, que Yuno pondrá a disposición de las Contrapartes previa solicitud razonable. Las auditorías directas in situ, ya sea por la Contraparte o por un auditor independiente cualificado, se limitarán a una vez al año, a menos que surjan preocupaciones materiales de cumplimiento o una Violación de Seguridad de los Datos Personales, y requerirán un preaviso por escrito de 30 días.

‍
10.2 Cooperación en la Auditoría. Yuno proporcionará una cooperación razonable con las auditorías autorizadas, incluyendo el acceso a la documentación pertinente, los registros del sistema y el personal relevante para las actividades de Tratamiento de datos. Las auditorías se realizarán durante el horario comercial, de manera que se minimice la interrupción de las operaciones de Yuno, y con estricta adherencia a la confidencialidad de la información propietaria, la propiedad intelectual y los datos de otros clientes de Yuno.

‍
10.3 Hallazgos y Remediación de la Auditoría. Cualquier deficiencia material de cumplimiento identificada a través de las auditorías se abordará prontamente mediante planes de remediación mutuamente acordados. Los costos asociados con las auditorías serán asumidos por la parte solicitante, a menos que se identifique un incumplimiento material, en cuyo caso Yuno asumirá los costos razonables de la auditoría.

‍

ARTÍCULO 11: ASIGNACIÓN DE RESPONSABILIDAD E INDEMNIZACIÓN

‍
11.1 Responsabilidad Mutua. Cada parte será responsable de los daños derivados de sus propias violaciones de las Leyes de Protección de Datos Aplicables o de los incumplimientos de este DPA. Ninguna de las partes será responsable de los daños derivados de las violaciones de la otra parte o del Tratamiento realizado de acuerdo con las instrucciones lícitas de la otra parte.

‍
11.2 Indemnización. Cada parte indemnizará y mantendrá indemne a la otra parte de reclamaciones, daños y gastos derivados de sus propias violaciones de las obligaciones de protección de datos en virtud de este DPA. Además, la Contraparte indemnizará y mantendrá indemne a Yuno de cualquier reclamación, daño o gasto derivado del Tratamiento de Datos Personales por parte de Yuno de acuerdo con las instrucciones lícitas de la Contraparte, cuando dichas reclamaciones, daños o gastos se deriven del incumplimiento por parte de la Contraparte de sus obligaciones como Responsable del Tratamiento en virtud de las Leyes de Protección de Datos Aplicables, incluyendo, entre otros, la falta de obtención de las autorizaciones adecuadas de los titulares de los datos o de establecimiento de una base legal para el tratamiento.

‍
11.3 Limitación de Responsabilidad. Nada en este DPA limitará la responsabilidad de ninguna de las partes por actos fraudulentos, dolo o violaciones de las leyes de protección de datos. Para otras reclamaciones, la responsabilidad se limitará según lo establecido en el acuerdo subyacente con la Contraparte.

‍

ARTÍCULO 12: VIGENCIA, RESOLUCIÓN Y TRANSICIÓN

‍
12.1 Vigencia. Este DPA entrará en vigor en el momento de la firma del acuerdo subyacente con la Contraparte y permanecerá en vigor durante la vigencia de dicho acuerdo o hasta su resolución de conformidad con sus términos.

‍
12.2 Resolución por Causa Justificada. Cualquiera de las partes podrá resolver este DPA inmediatamente mediante notificación por escrito si la otra parte incumple materialmente sus obligaciones de protección de datos y no subsana dicho incumplimiento dentro de los treinta días siguientes a la notificación por escrito.

‍
12.3 Efectos de la Resolución. A la resolución, cada parte devolverá o destruirá de forma segura los Datos Personales recibidos de la otra parte, sujeto a los requisitos legales de conservación. Las disposiciones relativas a la confidencialidad, responsabilidad y resolución de controversias sobrevivirán a la resolución.

‍

ARTÍCULO 13: LEY APLICABLE Y RESOLUCIÓN DE CONTROVERSIAS

‍
13.1 Ley Aplicable. Este DPA se regirá por las leyes de la jurisdicción especificada en el acuerdo subyacente con la Contraparte, siempre que las obligaciones de protección de datos se interpreten de conformidad con las Leyes de Protección de Datos Aplicables en las jurisdicciones relevantes donde se traten los Datos Personales.

‍
13.2 Resolución de Controversias. Las controversias que surjan en virtud de este DPA se resolverán a través de los mecanismos de resolución de controversias especificados en el acuerdo subyacente con la Contraparte. Las controversias sobre protección de datos que impliquen la aplicación de la normativa se abordarán en coordinación con las autoridades de control pertinentes.

‍
13.3 Jurisdicción y Ejecución. Las partes se someten a la jurisdicción de los tribunales en las ubicaciones especificadas en el acuerdo subyacente con la Contraparte para la ejecución de este DPA, reconociendo al mismo tiempo la autoridad de las autoridades de control de protección de datos en sus respectivas jurisdicciones.

‍

ARTÍCULO 14: MODIFICACIONES, ENMIENDAS Y DISPOSICIONES FINALES

‍
14.1 Proceso de Enmienda. Este DPA solo podrá ser modificado mediante un acuerdo por escrito firmado por representantes autorizados de ambas partes, excepto para las actualizaciones requeridas para mantener el cumplimiento con los cambios en las Leyes de Protección de Datos Aplicables.

‍
14.2 Actualizaciones Regulatorias. Yuno podrá actualizar este DPA según sea necesario para cumplir con los cambios en las Leyes de Protección de Datos Aplicables, siempre que dichas actualizaciones no reduzcan materialmente el nivel de protección otorgado a los Datos Personales. Se notificará a las Contrapartes de dichas actualizaciones con un preaviso razonable.

‍
14.3 Términos Contradictorios. En caso de conflicto entre este DPA y el Acuerdo, los términos de este DPA prevalecerán en lo que respecta a los asuntos de protección de Datos Personales.

‍

ARTÍCULO 15 – AUTORIDAD DE TRATAMIENTO DE EMERGENCIA

‍
15.1 Prioridad por Prevención de Fraude. Yuno podrá, sin el consentimiento previo de la Contraparte, suspender, redirigir o modificar temporalmente el Tratamiento cuando sea razonablemente necesario para mitigar: (a) sospecha de lavado de activos o financiamiento del terrorismo; (b) fraude con tarjetas de pago que exceda los umbrales de los Esquemas de Tarjetas; (c) violaciones de sanciones; o (d) abuso de la plataforma que amenace la integridad o seguridad de los Servicios.

‍
15.2 Respuesta a Incidentes de Ciberseguridad. Durante un incidente de ciberseguridad real o sospechado, Yuno podrá implementar medidas técnicas u organizativas de emergencia, incluyendo el desvío de tráfico, autenticación adicional, restricciones geográficas o limitaciones temporales del servicio.

‍

SUSCRIPCIÓN

‍

El presente Acuerdo de Tratamiento de Datos es suscrito por los representantes autorizados de las partes con efecto a partir de la fecha de suscripción del Acuerdo.

‍

‍

ANEXOS JURISDICCIONALES

‍

Los siguientes anexos abordan requisitos específicos para el Tratamiento de Datos Personales en diversas jurisdicciones y forman parte integral de este DPA cuando sea aplicable:

‍

Anexo A: Requisitos del RGPD de la Unión Europea y el Reino Unido

‍

Anexo B: Requisitos de la LGPD de Brasil

‍

Anexo C: Requisitos de la Ley 1581 de Colombia

‍

Anexo D: Requisitos de la LFPDPPP de México

‍

Anexo E: Requisitos de la PDPA de Singapur

‍

Anexo F: Requisitos de la CCPA/CPRA y de Privacidad Multiestatal de Estados Unidos

‍

Los anexos específicos se aplicarán en función de las jurisdicciones donde se originen o traten los Datos Personales, según se determine por la naturaleza de cada relación con la Contraparte.

‍

ACUERDO DE TRATAMIENTO DE DATOS DE YUNO - ANEXOS JURISDICCIONALES

‍

ANEXO A: UNIÓN EUROPEA Y REINO UNIDO

‍

• Entidad de Yuno Responsable: Smart Routing PTE. Ltd. (Singapur) actuando a través de sus operaciones europeas, a menos que se especifique de manera diferente en la Orden de Pedido.
• Leyes de Protección de Datos Aplicables: Reglamento General de Protección de Datos (RGPD) 2016/679 de la UE; Reglamento General de Protección de Datos del Reino Unido; Ley de Protección de Datos de 2018.

A.1 Cumplimiento del Artículo 28 del RGPD. Este Anexo A implementa los requisitos del Artículo 28 del RGPD para las relaciones de Encargado. Yuno se compromete a tratar los Datos Personales únicamente bajo instrucciones documentadas de la Contraparte, incluso con respecto a las transferencias de Datos Personales a terceros países u organizaciones internacionales, a menos que esté obligado a hacerlo por el derecho de la Unión o de los Estados miembros al que Yuno esté sujeto.
A.2 Actividades de Tratamiento y Base Jurídica. Yuno trata Datos Personales para servicios de orquestación de pagos bajo la base jurídica determinada por la Contraparte. No se tratan categorías especiales de Datos Personales, excepto cuando esté explícitamente autorizado y legalmente permitido.
A.3 Implementación de los Derechos de los Titulares. Yuno asistirá a la Contraparte en la respuesta a las solicitudes de los titulares de los datos dentro de los plazos requeridos por los Artículos 12-22 del RGPD, incluyendo los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Los plazos de respuesta no excederán de un mes, prorrogable por dos meses para solicitudes complejas.
A.4 Integración de las Cláusulas Contractuales Tipo. Para las transferencias de Datos Personales desde el Espacio Económico Europeo o el Reino Unido a entidades de Yuno en terceros países, las partes incorporan las Cláusulas Contractuales Tipo aplicables (p. ej., Módulos 2 o 3 de las CCT de la UE, el IDTA del Reino Unido o el Anexo del Reino Unido a las CCT de la UE) según lo requiera la relación de Tratamiento específica y el escenario de transferencia.
A.5 Coordinación del Delegado de Protección de Datos. Cuando cualquiera de las partes haya nombrado a un Delegado de Protección de Datos, dicho delegado servirá como contacto principal para los asuntos de protección de datos que surjan en virtud de este anexo. Los protocolos de comunicación garantizarán la resolución oportuna de las consultas de privacidad y las solicitudes regulatorias.
A.6 Cooperación con la Autoridad de Control. Ambas partes se comprometen a cooperar plenamente con las autoridades de control de la Unión Europea y el Reino Unido, incluyendo el suministro de información, documentación y acceso según se solicite razonablemente para investigaciones o auditorías regulatorias.

‍

ANEXO B: LGPD DE BRASIL

‍

• Entidad de Yuno Responsable: Yuno Intermediação de Serviços Ltda. (Brasil)
• Leyes de Protección de Datos Aplicables: Lei Geral de Proteção de Dados (LGPD) Ley 13.709/2018; Regulaciones de la Autoridade Nacional de Proteção de Dados (ANPD).

B.1 Marco de Cumplimiento de la LGPD. Este Anexo B asegura el cumplimiento de los requisitos de la LGPD para el Tratamiento de Datos Personales de titulares de datos brasileños. Yuno se compromete a tratar los Datos Personales de acuerdo con los principios de la LGPD de buena fe, finalidad, adecuación, necesidad, libre acceso, calidad de los datos, transparencia, seguridad, prevención, no discriminación y rendición de cuentas.
B.2 Base Jurídica para el Tratamiento. El Tratamiento de Datos Personales en virtud de este anexo se basa en la base jurídica determinada by la Contraparte como Responsable del Tratamiento. Yuno no tratará Datos Personales más allá del alcance de las instrucciones de la Contraparte sin autorización explícita.
B.3 Transferencias Transfronterizas de Datos. Los Datos Personales de residentes brasileños pueden ser transferidos internacionalmente utilizando las Cláusulas Contractuales Tipo de la ANPD según la Resolución CD/ANPD nº 19/2024 (módulos Responsable-Encargado y Encargado-Encargado), decisiones de adecuación cuando sean emitidas por la ANPD, u otros mecanismos de transferencia lícitos. Yuno mantiene documentación de todas las transferencias internacionales y las salvaguardas aplicables.
B.4 Derechos de los Titulares de Datos bajo la LGPD. Yuno asiste a las Contrapartes en el cumplimiento de las solicitudes de los titulares de datos en virtud de los Artículos 17-22 de la LGPD, incluyendo la confirmación del Tratamiento, el acceso a los datos, la corrección de datos incompletos o inexactos, la anonimización o supresión, la portabilidad y la información sobre el uso compartido con entidades públicas y privadas.
B.5 Cumplimiento Regulatorio de la ANPD. Ambas partes reconocen la autoridad regulatoria de la ANPD y se comprometen a cumplir con la guía, las regulaciones y las acciones de ejecución de la ANPD. Yuno mantiene el registro actual ante la ANPD según sea necesario y proporciona la documentación necesaria para el cumplimiento regulatorio.
B.6 Evaluación de Impacto sobre la Protección de Datos. Para las actividades de Tratamiento de alto riesgo, Yuno realizará Evaluaciones de Impacto sobre la Protección de Datos de acuerdo con la guía de la ANPD y compartirá los hallazgos relevantes con las Contrapartes para asegurar una gestión integral de riesgos.

‍

ANEXO C: LEY 1581 DE 2012 DE COLOMBIA

‍

• Entidad de Yuno Responsable: Yuno Colombia SAS (Colombia)
• Leyes de Protección de Datos Aplicables: Ley 1581 de 2012; Decreto 1377 de 2013; regulaciones y guías de la Superintendencia de Industria y Comercio (SIC).

C.1 Marco de Tratamiento de la Ley 1581. Yuno trata los Datos Personales de acuerdo con los principios de la Ley 1581 de legalidad, finalidad, libertad, veracidad, transparencia, acceso, circulación restringida, seguridad y confidencialidad. Todas las actividades de Tratamiento sirven a fines legítimos directamente relacionados con los Servicios.
C.2 Autorización y Políticas de Privacidad. Las Contrapartes deben obtener la autorización apropiada de los titulares de los datos antes de transferir Datos Personales a Yuno, implementando políticas de privacidad claras que cumplan con los requisitos de la Ley 1581. Yuno asiste a las Contrapartes en el desarrollo de mecanismos de autorización conformes y en el contenido del aviso de privacidad.
C.3 Derechos de los Titulares de los Datos (Habeas Data). Yuno apoya a las Contrapartes en el cumplimiento de los derechos de los titulares de los datos en virtud de la Ley 1581, incluyendo los derechos de acceder, actualizar, rectificar y suprimir Datos Personales. Los procedimientos de respuesta aseguran el cumplimiento de las regulaciones de la SIC y mantienen registros completos de todas las solicitudes de derechos.
C.4 Transferencias Transfronterizas de Datos. Las transferencias internacionales desde Colombia cumplen con los requisitos de la Ley 1581 para una protección adecuada o salvaguardas apropiadas. Yuno mantiene documentación de los mecanismos de transferencia y actualiza regularmente las evaluaciones de adecuación para los países receptores.
C.5 Cumplimiento Regulatorio de la SIC. Ambas partes reconocen la autoridad regulatoria de la SIC sobre la protección de Datos Personales y mantienen los registros necesarios en el Registro Nacional de Bases de Datos (RNBD). Yuno proporciona a las Contrapartes la información requerida para las presentaciones ante la SIC y el cumplimiento regulatorio.
C.6 Medidas de Seguridad y Confidencialidad. Yuno implementa medidas de seguridad integrales que cumplen con los requisitos de la SIC, incluyendo salvaguardas técnicas, administrativas y físicas proporcionales a la sensibilidad y el volumen de los Datos Personales tratados. Las evaluaciones de seguridad regulares aseguran el cumplimiento continuo con los estándares regulatorios en evolución.

‍

ANEXO D: LFPDPPP DE MÉXICO

‍

• Entidad de Yuno Responsable: Yuno Tecnologías, S.A.P.I. de C.V. (México)
• Leyes de Protección de Datos Aplicables: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) reformada en 2025; regulaciones de la Secretaría de la Función Pública.

D.1 Principios de Tratamiento de la LFPDPPP. Yuno se adhiere a los principios de la LFPDPPP de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad en todas las actividades de Tratamiento de Datos Personales. El Tratamiento se limitará a los fines directamente relacionados con los Servicios.
D.2 Requisitos del Aviso de Privacidad. Las Contrapartes deben proporcionar avisos de privacidad integrales a los titulares de los datos de acuerdo con el Artículo 15 de la LFPDPPP, incluyendo información sobre el rol de Yuno como Encargado del Tratamiento. Yuno asiste a las Contrapartes para asegurar que los avisos de privacidad cumplan con los requisitos regulatorios mexicanos e incluyan todas las divulgaciones obligatorias.
D.3 Implementación de los Derechos ARCO. Yuno apoya a las Contrapartes en la respuesta a las solicitudes de los titulares de los datos de acceso, rectificación, cancelación y oposición (derechos ARCO) en virtud de los Artículos 22-31 de la LFPDPPP. Los procedimientos de respuesta aseguran el cumplimiento de las regulaciones de la autoridad pertinente y mantienen registros detallados de todas las solicitudes.
D.4 Transferencias Transfronterizas de Datos. Las transferencias internacionales de Datos Personales mexicanos cumplen con los requisitos del Capítulo VI de la LFPDPPP, incluyendo el uso de reglas corporativas vinculantes, cláusulas contractuales tipo o certificaciones de adecuación. Yuno mantiene documentación que evidencia los niveles de protección adecuados para todos los países receptores.
D.5 Coordinación con la Autoridad Regulatoria. Ambas partes reconocen la autoridad regulatoria de la Secretaría de la Función Pública y mantienen los registros y la documentación de cumplimiento necesarios. Yuno proporciona a las Contrapartes la información requerida para las presentaciones regulatorias y responde prontamente a las solicitudes de información de la autoridad.
D.6 Cumplimiento de las Medidas de Seguridad. Yuno implementa medidas de seguridad administrativas, físicas y técnicas que cumplen con los estándares de la LFPDPPP y de la autoridad regulatoria pertinente, incluyendo controles de acceso, cifrado, procedimientos de respuesta a incidentes y evaluaciones de seguridad regulares apropiadas para la sensibilidad de los Datos Personales tratados.

‍

ANEXO E: PDPA DE SINGAPUR

‍

• Entidad de Yuno Responsable: Smart Routing PTE. Ltd. (Singapur)
• Leyes de Protección de Datos Aplicables: Personal Data Protection Act 2012 (PDPA); Directrices y Regulaciones de la Personal Data Protection Commission (PDPC).

E.1 Obligaciones de Cumplimiento de la PDPA. Yuno cumple con las obligaciones de la PDPA como un intermediario de datos que trata Datos Personales en nombre de las Contrapartes. Las actividades de Tratamiento se adhieren a los principios de protección de datos de la PDPA, incluyendo el consentimiento, la limitación de la finalidad, la notificación, el acceso y la corrección, la exactitud, la protección, la limitación de la conservación y la limitación de la transferencia.
E.2 Requisitos de Consentimiento y Notificación. Las Contrapartes deben obtener el consentimiento apropiado de los titulares de los datos o basarse en otros fundamentos lícitos bajo el Anexo 2 de la PDPA antes de transferir Datos Personales a Yuno. Yuno asiste a las Contrapartes en la implementación de mecanismos de consentimiento y en el mantenimiento de los registros de consentimiento según lo requiere la guía de la PDPC.
E.3 Marco de Notificación de Violación de Datos. Yuno implementa procedimientos integrales de respuesta a violaciones de datos que cumplen con los requisitos de notificación obligatoria de violaciones de la PDPA. La notificación a la PDPC y a los titulares de los datos afectados sigue los plazos y formatos prescritos, y las Contrapartes reciben una notificación inmediata de cualquier incidente que afecte a sus datos.
E.4 Cumplimiento de Transferencias Transfronterizas. Las transferencias de Datos Personales desde Singapur cumplen con los requisitos de la Sección 26 de la PDPA, asegurando que los países receptores proporcionen una protección adecuada o implementando salvaguardas apropiadas. Yuno mantiene la documentación de las transferencias y revisa regularmente las evaluaciones de adecuación para las jurisdicciones receptoras.
E.5 Acceso y Corrección por parte del Titular. Yuno asiste a las Contrapartes en la respuesta a las solicitudes de acceso y corrección de los titulares de los datos en virtud de las Secciones 21-22 de la PDPA dentro de los plazos prescritos. Los procedimientos de respuesta incluyen la verificación de la identidad, la evaluación del alcance y la redacción apropiada de la información de terceros.
E.6 Interacción Regulatoria con la PDPC. Ambas partes se comprometen a una interacción transparente con la PDPC, incluyendo la cooperación con investigaciones, auditorías de cumplimiento y la implementación de la guía regulatoria. Yuno mantiene el registro actual de la PDPC e implementa las mejores prácticas recomendadas.

‍

ANEXO F: CCPA/CPRA Y PRIVACIDAD MULTIESTATAL DE ESTADOS UNIDOS

‍

• Entidad de Yuno Responsable: Yuno USA, LLC (Estados Unidos)
• Leyes de Protección de Datos Aplicables: California Consumer Privacy Act (CCPA) enmendada por la California Privacy Rights Act (CPRA); Sección 1798.100 y ss. del Código Civil de California; Virginia Consumer Data Protection Act; Colorado Privacy Act; Connecticut Data Privacy Act; y otras leyes de privacidad estatales aplicables.

F.1 Obligaciones Reforzadas del Proveedor de Servicios bajo CCPA/CPRA. Yuno actúa como un proveedor de servicios bajo la CCPA/CPRA al tratar información personal en nombre de las Contrapartes. Yuno certifica el cumplimiento de todos los requisitos del proveedor de servicios, incluyendo: no vender ni compartir información personal, tratarla solo para los fines comerciales especificados, no retenerla fuera de la relación comercial, no combinarla con otras fuentes excepto según lo permitido, y mantener medidas de seguridad apropiadas. La Contraparte conserva los derechos de auditoría y la autoridad de remediación para el cumplimiento del proveedor de servicios.
F.2 Implementación de los Derechos del Consumidor. Yuno asiste a las Contrapartes en la respuesta a las solicitudes de los consumidores de California de acceso, supresión, corrección y exclusión (opt-out) en virtud de las Secciones 1798.100-1798.150 de la CCPA/CPRA. Los procedimientos de respuesta incluyen la verificación de la identidad, la evaluación del alcance y la coordinación con los sistemas comerciales de la Contraparte.
F.3 Categorías de Información Personal. Yuno trata las siguientes categorías de información personal según se definen en la Sección 1798.140 de la CCPA: identificadores, información comercial, actividad en internet, datos de geolocalización e inferencias extraídas de la información personal. El Tratamiento sirve a fines comerciales, incluyendo el procesamiento de pagos, la prevención del fraude y la mejora del servicio.
F.4 Protecciones de la Información Personal Sensible. Para la información personal sensible según se define en la Sección 1798.140(ae) de la CPRA, Yuno implementa salvaguardas adicionales, incluyendo controles de seguridad reforzados, períodos de retención limitados y controles de acceso restringidos. El Tratamiento de información sensible requiere la autorización explícita de la Contraparte.
F.5 Cumplimiento de la Privacidad Multiestatal. Yuno monitorea los desarrollos en las leyes de privacidad estatales, incluyendo la Virginia Consumer Data Protection Act, la Colorado Privacy Act, la Connecticut Data Privacy Act y otra legislación de privacidad estatal emergente, implementando las medidas de cumplimiento necesarias a medida que las leyes entran en vigor.
F.6 Toma de Decisiones Automatizada y Cumplimiento de IA. Yuno asiste a las Contrapartes en el cumplimiento de los requisitos de divulgación sobre la toma de decisiones automatizada y las obligaciones de privacidad relacionadas con la IA a medida que se desarrollan en las jurisdicciones estatales.

‍

DISPOSICIONES GENERALES PARA TODOS LOS ANEXOS

‍

Precedencia e Integración. Estos anexos forman parte integral del Acuerdo Global de Tratamiento de Datos de Yuno y se aplicarán en función de las jurisdicciones donde se originen o traten los Datos Personales. En caso de conflicto entre los anexos y el DPA principal, las disposiciones de los anexos prevalecerán para los requisitos específicos de la jurisdicción.

Actualizaciones Regulatorias. Yuno monitorea los desarrollos regulatorios en todas las jurisdicciones aplicables y puede actualizar los anexos según sea necesario para mantener el cumplimiento con los requisitos legales en evolución. Las Contrapartes recibirán un preaviso de los cambios materiales que afecten a sus actividades de tratamiento.

Tratamiento Multijurisdiccional. Cuando el Tratamiento implique Datos Personales de múltiples jurisdicciones, se aplicarán los estándares más protectores, a menos que requisitos jurisdiccionales específicos exijan un tratamiento diferente. Yuno mantiene una documentación completa de los requisitos legales aplicables para cada actividad de Tratamiento.

Fecha de Entrada en Vigor. Estos anexos entran en vigor simultáneamente con la suscripción del Acuerdo de Tratamiento de Datos principal y permanecen en vigor durante la vigencia del Acuerdo, a menos que se resuelvan de conformidad con las disposiciones de resolución aplicables.

‍

Contacto del Oficial Global de Privacidad:

‍

• Correo electrónico: privacy@y.uno
• Dirección: Cráter 38, Jardines del Pedregal, Álvaro Obregón, Ciudad de México
• Respuesta a Incidentes 24/7: security@y.uno

‍