Acuerdo Global de Tratamiento de Datos de Yuno

Entrada en vigor: Lunes, 13 de abril del 2026

‍

RESUMEN EJECUTIVO. El presente Acuerdo Global de Tratamiento de Datos Personales establece cómo Yuno trata los Datos Personales en calidad de Encargado del Tratamiento en nombre de sus Contrapartes, incluyendo tanto a Comercios como a Socios Tecnológicos. Bajo este marco unificado, Yuno actúa principalmente como Encargado del Tratamiento para sus Servicios de orquestación de pagos, mientras que las Contrapartes actúan como Responsables del Tratamiento para sus respectivas finalidades de Tratamiento. Los Socios Tecnológicos son responsables independientes y no son subencargados de Yuno. Este Acuerdo aplica en todas las jurisdicciones operativas de Yuno y garantiza el cumplimiento de las Leyes Aplicables de Protección de Datos a nivel global. Debe leerse conjuntamente con la Política de Privacidad del Grupo Yuno, disponible en y.uno/privacy.

‍

ARTÍCULO 1: DEFINICIONES Y ALCANCE

‍

1.1 Objeto y Aplicación. El presente Acuerdo Global de Tratamiento de Datos Personales (el "DPA" o "Acuerdo") establece el marco para la protección de datos personales entre Yuno y sus Contrapartes comerciales, incluyendo tanto Comercios como Socios Tecnológicos (colectivamente, "Contrapartes"). Este DPA aplica a todas las actividades de Tratamiento de Datos Personales realizadas por Yuno en conexión con los Servicios e incorpora los estándares establecidos en la Política de Privacidad del Grupo Yuno (Versión 3.0 o posterior, disponible en y.uno/privacy).

‍

1.2 Definiciones. Para efectos de este DPA, los siguientes términos tendrán los significados que se indican a continuación:

‍

Leyes Aplicables de Protección de Datos. Significa todas las leyes, regulaciones y lineamientos regulatorios internacionales, nacionales, federales, estatales y locales aplicables en materia de protección de datos personales, privacidad y seguridad, incluyendo: el Reglamento General de Protección de Datos de la Unión Europea (RGPD UE, Reglamento 2016/679); el Reglamento General de Protección de Datos del Reino Unido y la Ley de Protección de Datos 2018; la Ley General de Protección de Datos de Brasil (LGPD, Ley 13.709/2018); la Ley 1581 de 2012 de Colombia y el Decreto 1377 de 2013; la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP); la Ley de Privacidad del Consumidor de California modificada por la Ley de Derechos de Privacidad de California (CCPA/CPRA); la Ley de Protección de Datos Personales de Singapur 2012 (PDPA); la Ley de Protección de Datos Personales del Reino de Arabia Saudita (PDPL, Real Decreto M/19 y sus modificaciones) y su Reglamento de Ejecución; las Regulaciones de Protección de Datos del Centro Financiero de Qatar 2021; la Ley de Protección de Datos Personales Digitales de India 2023 (Ley DPDP) y las Reglas DPDP 2025; y cualquier otra legislación de privacidad aplicable en las jurisdicciones donde las partes operen.

‍

Contraparte. Significa cualquier entidad comercial que celebre este DPA con Yuno, incluyendo tanto Comercios como Socios Tecnológicos según se definen a continuación. Las Contrapartes pueden actuar como Responsables del Tratamiento o Corresponsables del Tratamiento dependiendo de las circunstancias fácticas de las actividades de Tratamiento.

‍

Responsable del Tratamiento. Significa la entidad que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos Personales. Los roles de Tratamiento se determinan por las circunstancias fácticas y no por las etiquetas contractuales. El concepto equivalente aplica independientemente de la terminología utilizada en la legislación local (por ejemplo, "Data Fiduciary" bajo la Ley DPDP, "Responsable" bajo la Ley 1581 de Colombia, "Responsable" bajo la LFPDPPP de México).

‍

Encargado del Tratamiento. Significa la entidad que trata Datos Personales en nombre y bajo las instrucciones documentadas del Responsable del Tratamiento. El concepto equivalente aplica independientemente de la terminología local (por ejemplo, "Intermediario de Datos" bajo la PDPA de Singapur, "Encargado" bajo la Ley 1581 de Colombia, "Parte Procesadora" bajo la PDPL de Arabia Saudita).

‍

Titular de los Datos. Significa una persona natural identificada o identificable cuyos Datos Personales son tratados conforme a este DPA. El concepto equivalente aplica independientemente de la terminología local (por ejemplo, "Data Principal" bajo la Ley DPDP de India, "Titular" bajo la Ley 1581 de Colombia y la LFPDPPP de México, "Consumidor" bajo la CCPA/CPRA).

‍

Usuario Final. Una persona natural cliente de un Comercio cuyos Datos Personales son tratados a través de la plataforma de Yuno.

‍

Política de Privacidad del Grupo. Significa la Política de Privacidad del Grupo Yuno (Versión 3.0, febrero de 2026, o la versión vigente en ese momento), disponible en y.uno/privacy, que describe cómo Yuno recopila, usa, retiene y transfiere Datos Personales en todas las jurisdicciones operativas.

‍

Corresponsable del Tratamiento. Significa dos o más responsables que determinan conjuntamente los fines y medios del Tratamiento, según se define en el Artículo 26 del RGPD y las disposiciones equivalentes en otras Leyes Aplicables de Protección de Datos. La determinación de la corresponsabilidad considerará el grado de influencia sobre los fines y medios del Tratamiento y los procesos de toma de decisiones compartidos.

‍

Comercio. Una entidad comercial que utiliza los Servicios de Yuno para orquestar flujos de datos de pago con sus Socios Tecnológicos elegidos. Los Comercios generalmente actúan como Responsables del Tratamiento de los Datos Personales de los Usuarios Finales.

‍

Datos Personales. Significa cualquier información relativa a una persona natural identificada o identificable, incluyendo pero sin limitarse a: (i) datos de tarjetas de pago y credenciales de pago tokenizadas; (ii) información transaccional y datos comerciales; (iii) datos de prevención de fraude y evaluación de riesgos; (iv) biometría de dispositivo y comportamental; (v) datos de geolocalización y dirección IP; (vi) datos de autenticación y verificación de identidad; (vii) datos inferidos basados en comportamientos u características observados; y (viii) cualquier otro dato tratado a través de la plataforma de Yuno que directa o indirectamente identifique a una persona natural.

‍

Violación de Datos Personales. Significa una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales, ya sea accidental o ilícita.

‍

Tratamiento. Significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o manuales, incluyendo la recopilación, registro, organización, estructuración, almacenamiento, adaptación, alteración, consulta, uso, divulgación, difusión, restricción, supresión o destrucción.

‍

Servicios. Significa la plataforma de orquestación de pagos basada en la nube de Yuno y cualquier tecnología relacionada, incluyendo tableros de control, interfaces de programación de aplicaciones (APIs), kits de desarrollo de software (SDKs) y el soporte profesional o técnico que Yuno proporciona. A través de los Servicios, las Contrapartes pueden acceder a múltiples métodos de pago, herramientas de prevención de fraude y otras soluciones integradas de la industria de pagos mediante una única integración técnica. Los Servicios constituyen infraestructura tecnológica pura; Yuno no posee, controla, transmite ni liquida fondos, no incorpora Usuarios Finales a esquemas de pago, no emite dinero electrónico y no opera sistemas de pago.

‍

Cláusulas Contractuales Tipo. Significa las cláusulas contractuales para la transferencia de Datos Personales a encargados establecidos en terceros países aprobadas por la autoridad supervisora correspondiente, incluyendo: Cláusulas Contractuales Tipo de la UE Módulos 1, 2 y 3 (Decisión de la Comisión 2021/914); el Acuerdo de Transferencia Internacional de Datos del Reino Unido (IDTA) o el Addendum del Reino Unido a las CCT de la UE; las Cláusulas Contractuales Tipo de la ANPD de Brasil (Resolución CD/ANPD No. 19/2024); y las Cláusulas Contractuales Tipo de la SDAIA de Arabia Saudita (emitidas en septiembre de 2024, módulos de Responsable a Encargado y de Encargado a Encargado).

‍

Subencargado del Tratamiento. Significa cualquier tercero contratado por Yuno para tratar Datos Personales en nombre de las Contrapartes en conexión con la prestación de los Servicios. Para mayor certeza, los Socios Tecnológicos (incluyendo PSPs, proveedores de prevención de fraude, adquirentes y métodos de pago alternativos) que reciben Datos Personales conforme a las instrucciones de una Contraparte y determinan sus propios fines y medios de Tratamiento son Responsables del Tratamiento independientes y no Subencargados, independientemente de que Yuno facilite el enrutamiento técnico de datos hacia ellos.

‍

Socio Tecnológico. Significa un proveedor de servicios — incluyendo PSPs, proveedores de prevención de fraude, proveedores de AML/KYC, adquirentes y métodos de pago alternativos — al que los Comercios acceden a través de la plataforma de Yuno para recibir servicios de la industria de pagos. Los Socios Tecnológicos operan bajo sus propias licencias regulatorias, determinan sus propios fines y medios de Tratamiento, y actúan como Responsables del Tratamiento independientes de los Datos Personales que reciben. Los Socios Tecnológicos no son contratados por Yuno como sus subencargados; más bien, el Comercio selecciona e instruye el enrutamiento de datos hacia sus Socios Tecnológicos elegidos a través de los Servicios.

‍

Yuno. Significa, colectiva e individualmente, las siguientes entidades dentro del Grupo Yuno: Yuno Colombia S.A.S. (Colombia), Yuno Tecnologías, S.A.P.I. de C.V. (México), Yuno Intermediação de Serviços Ltda. (Brasil), Yuno USA, LLC (Estados Unidos), Smart Routing PTE. Ltd. (Singapur), Yuno Payments Arabia (Reino de Arabia Saudita), Yuno Al Saqr (Catar, registrada en el QFC), Yuno Routing Solutions Pvt. Ltd. (India), junto con cualquier matriz, subsidiaria, sucursal o afiliada presente o futura que (i) esté bajo control común con cualquiera de las entidades anteriores y (ii) participe en, o ponga a disposición, los Servicios regidos por este Acuerdo. Salvo que se indique expresamente lo contrario, cada referencia a "Yuno" en este Acuerdo se entenderá que incluye al Grupo Yuno en su totalidad. La entidad contratante de Yuno para una relación de Contraparte determinada será la entidad especificada en el Formulario de Pedido o acuerdo comercial aplicable, o, en ausencia de dicha especificación, la entidad en la jurisdicción donde la Contraparte esté establecida.

‍

1.3 Alcance Territorial. Este DPA aplica dondequiera que Yuno trate Datos Personales en conexión con los Servicios, independientemente de que Yuno mantenga una entidad legal en la jurisdicción donde se encuentre el Titular de los Datos. Cuando Yuno no mantenga una entidad local, las obligaciones de este DPA serán cumplidas por la entidad contratante de Yuno y, cuando lo requieran las Leyes Aplicables de Protección de Datos, mediante el nombramiento de representantes locales.

‍

ARTÍCULO 2: ROLES Y RESPONSABILIDADES DEL TRATAMIENTO DE DATOS

‍

2.1 Rol Principal como Encargado. Yuno actúa principalmente como Encargado del Tratamiento para las actividades de Tratamiento de Datos Personales realizadas en nombre de las Contrapartes. Estas Contrapartes generalmente actúan como Responsables del Tratamiento, determinando los fines y medios del Tratamiento de los Datos Personales compartidos con o tratados por Yuno.

‍

2.2 Relaciones con Comercios. El Comercio generalmente actúa como Responsable del Tratamiento de los Datos Personales de los Usuarios Finales que comparte con Yuno para efectos de la orquestación de pagos. En esta calidad, el Comercio determina los fines y medios del Tratamiento de los Datos Personales de los Usuarios Finales y tiene la responsabilidad principal del cumplimiento de las Leyes Aplicables de Protección de Datos. Yuno trata los Datos Personales de los Usuarios Finales conforme a las instrucciones del Comercio siguiendo este flujo de datos:

Usuario Final → Comercio (Responsable) → Yuno (Encargado) → Socios Tecnológicos (Responsables Independientes).

‍

2.3 Relaciones con Socios Tecnológicos. Los Socios Tecnológicos actúan como Responsables del Tratamiento independientes para sus fines específicos de Tratamiento (procesamiento de pagos, puntuación de fraude, verificación KYC, etc.). Cuando un Comercio instruye a Yuno a enrutar datos hacia un Socio Tecnológico, Yuno actúa como Encargado del Comercio para la transmisión técnica de dichos datos; una vez recibidos, el Socio Tecnológico trata los datos como Responsable independiente bajo sus propias políticas de privacidad y obligaciones regulatorias. En ningún momento un Socio Tecnológico se convierte en Subencargado de Yuno en virtud de la relación de enrutamiento.

Cuando un Socio Tecnológico contrata por separado a Yuno para tratar datos en nombre del Socio Tecnológico (por ejemplo, para análisis o reportes), Yuno actúa como Encargado del Tratamiento bajo las instrucciones documentadas de dicho Socio Tecnológico. En tales casos, el flujo de datos es:

Socio Tecnológico (Responsable) → Yuno (Encargado) → Tratamiento/enrutamiento según instrucciones.

‍

2.4 Asignación de Responsabilidad. Yuno asume responsabilidad únicamente por el cumplimiento del Tratamiento conforme a las instrucciones documentadas de la Contraparte o las obligaciones de corresponsabilidad cuando apliquen. Las Contrapartes permanecen como únicas responsables de: (i) las autorizaciones de los titulares y las bases legales del tratamiento; (ii) el cumplimiento de las obligaciones del Responsable bajo las Leyes Aplicables de Protección de Datos; y (iii) las instrucciones lícitas de Tratamiento dirigidas a Yuno. Yuno no será responsable de ninguna obligación del Responsable que corresponda a la Contraparte, incluyendo la obligación de establecer una base legal para el Tratamiento antes de transferir Datos Personales a Yuno.

‍

2.5 Monitoreo del Cumplimiento de la Contraparte. Yuno podrá suspender los servicios de Tratamiento para las Contrapartes que incumplan materialmente sus obligaciones como Responsable, incluyendo la falta de obtención de autorizaciones adecuadas de los titulares o el mantenimiento de bases legales de tratamiento, siempre que Yuno otorgue aviso razonable y oportunidad de subsanar (no menos de 10 días hábiles, excepto cuando el Tratamiento continuo pudiera poner a Yuno en violación de las Leyes Aplicables de Protección de Datos, en cuyo caso Yuno podrá suspender inmediatamente). La Contraparte reconoce que la suspensión bajo esta sección es una salvaguarda de cumplimiento y no un incumplimiento de las obligaciones de servicio de Yuno.

‍

2.6 Tratamiento Conjunto Basado en SDK. Cuando Yuno proporcione implementaciones de SDK que permitan a las Contrapartes integrar los algoritmos propietarios de decisión, detección de fraude o lógica de enrutamiento de Yuno en sus sistemas, ambas partes podrán actuar como Corresponsables del Tratamiento para actividades de Tratamiento específicas si ambas partes fácticamente codeterminan los fines y medios del Tratamiento. Los acuerdos de corresponsabilidad se documentarán en un Acuerdo de Corresponsabilidad separado que especifique las responsabilidades de cada parte para el cumplimiento de las Leyes Aplicables de Protección de Datos, incluyendo la asignación de obligaciones hacia los Titulares de los Datos. Esta sección no aplica a las integraciones estándar basadas en API donde el Comercio simplemente transmite instrucciones y Yuno las ejecuta como Encargado.

‍

2.7 Limitación del Alcance Regulatorio. Las obligaciones de Yuno conforme a este Acuerdo están estrictamente limitadas a la prestación de los Servicios de orquestación de pagos. Yuno es un proveedor de servicios tecnológicos y no posee, controla, liquida ni transmite fondos por sí mismo; no presta servicios regulados de procesamiento de pagos ni actividades de servicios financieros sujetas a licencia dirigidas a Usuarios Finales; y no opera sistemas de pago. Los ingresos por los Servicios se generan a través de tarifas de software como servicio (SaaS) y API. Yuno no será responsable de, ni asumirá responsabilidad alguna derivada de: (a) las actividades de mercadotecnia, captación de clientes o cumplimiento específico de productos de la Contraparte; (b) las obligaciones fiscales, contables o de información financiera de la Contraparte; (c) las determinaciones independientes de AML/KYC de la Contraparte, salvo que Yuno sea expresamente contratado bajo un Formulario de Pedido aplicable exclusivamente para los servicios detallados en el mismo; (d) la legalidad de los productos o servicios de la Contraparte; o (e) cualquier otra actividad de tratamiento fuera del alcance técnico de los Servicios.

‍

ARTÍCULO 3: OBLIGACIONES E INSTRUCCIONES DE TRATAMIENTO

‍

3.1 Obligaciones de la Contraparte como Responsable del Tratamiento. Cada Contraparte, en su calidad de Responsable del Tratamiento, declara, garantiza y se compromete a que todo Tratamiento de Datos Personales, incluyendo las transferencias a Yuno, se realice de conformidad con las Leyes Aplicables de Protección de Datos. Cada Contraparte obtendrá todos los consentimientos necesarios de los Titulares de los Datos y proporcionará avisos de privacidad adecuados que describan las actividades de Tratamiento y las transferencias a Yuno antes de compartir Datos Personales.

‍

3.2 Obligaciones de Tratamiento de Yuno. Yuno tratará los Datos Personales únicamente de conformidad con las instrucciones documentadas de la Contraparte respectiva, salvo cuando la ley aplicable lo requiera. Yuno aplicará el principio de minimización de datos, tratando únicamente los Datos Personales que sean adecuados, pertinentes y limitados a lo necesario para los fines especificados. Yuno informará inmediatamente a la Contraparte si las instrucciones violan las Leyes Aplicables de Protección de Datos y suspenderá el Tratamiento no conforme hasta que se reciban instrucciones lícitas. Yuno no tratará Datos Personales para fines distintos a los especificados por la Contraparte.

‍

3.3 Verificación Reforzada del Cumplimiento de Instrucciones. Yuno informará oportunamente a la Contraparte si las instrucciones de Tratamiento violarían las Leyes Aplicables de Protección de Datos y deberá: (a) suspender el Tratamiento no conforme dentro de las dos (2) horas siguientes a la identificación de la violación; (b) documentar la naturaleza de la violación legal y las acciones de suspensión tomadas; (c) proponer enfoques de Tratamiento lícitos alternativos cuando sea técnicamente factible; (d) mantener la suspensión hasta que la Contraparte proporcione instrucciones lícitas enmendadas; y (e) no asumir responsabilidad por los impactos comerciales ni por la violación legal subyacente resultantes de la suspensión lícita. La Contraparte reconoce que la suspensión del Tratamiento no conforme por parte de Yuno es una salvaguarda de cumplimiento, no un incumplimiento de las obligaciones de servicio.

‍

3.4 Coordinación con Acuerdos Comerciales. Cuando las instrucciones de Tratamiento se proporcionen a través de órdenes de compra o acuerdos comerciales, dichas instrucciones deberán cumplir con este DPA. Cualquier instrucción que contradiga los requisitos de protección de datos de este DPA se considerará inválida y no será implementada por Yuno.

‍

3.5 Validación de Implementación. Yuno mantiene controles técnicos para prevenir el Tratamiento que exceda las instrucciones de la Contraparte o viole este DPA, incluyendo el monitoreo automatizado de las actividades de Tratamiento de datos y la generación de reportes de excepciones.

‍

3.6 Registros de Tratamiento. Ambas partes mantendrán registros completos de las actividades de Tratamiento según lo requieran las Leyes Aplicables de Protección de Datos, incluyendo las categorías de Datos Personales tratados, las finalidades del Tratamiento, los destinatarios de los Datos Personales y los períodos de retención.

‍

ARTÍCULO 4: MEDIDAS DE SEGURIDAD Y SALVAGUARDAS

‍

4.1 Medidas Técnicas y Organizativas. Yuno implementa y mantiene medidas de seguridad técnicas y organizativas integrales para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso, ya sea accidental o ilícito. Estas medidas incluyen: cifrado AES-256 de Datos Personales en reposo; cifrado TLS 1.3 para datos en tránsito; servicios de gestión de claves del proveedor de nube con respaldo de módulos de seguridad de hardware (HSM) (incluyendo AWS KMS y GCP Cloud KMS, según corresponda a la región de alojamiento); controles de acceso basados en roles con autenticación multifactor; segregación de redes y arquitectura de confianza cero; monitoreo de seguridad 24/7 con integración SIEM; evaluaciones periódicas de vulnerabilidades y pruebas de penetración; y evaluación continua de estándares criptográficos emergentes.

‍

4.2 Estándares y Certificaciones de Seguridad. Yuno mantiene certificaciones de seguridad reconocidas en la industria incluyendo: ISO 27001 para Gestión de Seguridad de la Información; ISO 27701 para Gestión de Información de Privacidad; PCI DSS Nivel 1 (versión vigente) para Seguridad de Datos de la Industria de Tarjetas de Pago; y SOC 2 Tipo II para Controles de Organizaciones de Servicios. Los detalles actuales de certificación están disponibles en el Centro de Confianza de Yuno en security.y.uno. Yuno notificará a las Contrapartes de cualquier cambio material en el estado de certificación dentro de los treinta (30) días siguientes.

‍

4.3 Obligaciones de Seguridad de la Contraparte. Cada Contraparte implementará medidas técnicas y organizativas apropiadas para garantizar la seguridad de los Datos Personales bajo su control, teniendo en cuenta el estado de la técnica, los costos de implementación, y la naturaleza, alcance, contexto y fines del Tratamiento.

‍

4.4 Cumplimiento PCI DSS de la Contraparte. Si una Contraparte procesa, maneja, almacena o transmite Datos de Titulares de Tarjeta según lo definido por PCI DSS, recibidos de o en nombre de Yuno, o de cualquier otra manera en conexión con los Servicios, la Contraparte declara y garantiza que cumple y seguirá cumpliendo con la versión vigente de PCI DSS. A solicitud de Yuno, la Contraparte proporcionará copia de su Certificado de Cumplimiento (AoC) válido u otra documentación de validación PCI DSS aplicable. La Contraparte proporcionará a Yuno los AoC renovados anualmente, dentro de los treinta (30) días siguientes a su emisión, y notificará oportunamente a Yuno por escrito de cualquier cambio material en su estado de cumplimiento PCI DSS o cualquier incidente de seguridad que pudiera afectar los Datos de Titulares de Tarjeta tratados en conexión con este DPA.

‍

4.5 Infraestructura en la Nube y Localización de Datos. Yuno opera una infraestructura multinube, alojada principalmente en Amazon Web Services (AWS), con Google Cloud Platform (GCP) desplegado donde lo requieran las normas jurisdiccionales de localización de datos (incluyendo la región de Dammam en KSA para las operaciones en Arabia Saudita). Las Contrapartes pueden solicitar información sobre la ubicación de alojamiento aplicable a sus datos a través de los canales descritos en el Artículo 14.

‍

ARTÍCULO 5: SUBTRATAMIENTO Y DIVULGACIÓN A TERCEROS

‍

5.1 Autorización y Notificación de Subencargados. Yuno podrá contratar Subencargados para asistir en la prestación de los Servicios, siempre que dicha contratación cumpla con este DPA y las Leyes Aplicables de Protección de Datos. Yuno mantendrá una lista actualizada de Subencargados, disponible a solicitud de la Contraparte, y notificará a las Contrapartes de cualquier adición o sustitución prevista de Subencargados con al menos diez (10) días hábiles de anticipación antes de su contratación.

‍

5.2 Objeción al Subencargado. Si una Contraparte objeta a un nuevo Subencargado por motivos razonables relacionados con la protección de datos dentro del período de notificación, las partes trabajarán de buena fe para resolver la objeción. Si la objeción no puede resolverse razonablemente, la Contraparte podrá terminar los Servicios relevantes afectados por la contratación del Subencargado sin penalización.

‍

5.3 Acuerdos con Subencargados. Antes de contratar a cualquier Subencargado, Yuno celebrará un acuerdo escrito imponiendo obligaciones de protección de datos equivalentes a las establecidas en este DPA. Yuno permanece plenamente responsable del desempeño de sus Subencargados y de cualquier violación de las obligaciones de protección de datos derivada de las actividades del Subencargado.

‍

5.4 Los Socios Tecnológicos No Son Subencargados. Para mayor certeza, los Socios Tecnológicos (incluyendo PSPs, proveedores de prevención de fraude, adquirentes, pasarelas y métodos de pago alternativos) a los cuales se enrutan datos conforme a las instrucciones de una Contraparte son Responsables del Tratamiento independientes. No son Subencargados de Yuno, y Yuno no asume responsabilidad por sus actividades de Tratamiento o cumplimiento. La Contraparte es responsable de asegurar que sus Socios Tecnológicos elegidos traten los Datos Personales de conformidad con las Leyes Aplicables de Protección de Datos.

‍

5.5 Divulgación a Terceros. Ninguna de las partes divulgará Datos Personales a terceros excepto cuando sea necesario para los fines establecidos en este DPA, cuando lo requiera la ley, o con el consentimiento previo por escrito de la otra parte. Cualquier divulgación legalmente obligatoria se limitará al mínimo necesario y la parte divulgadora proporcionará aviso oportuno salvo que esté legalmente prohibido.

‍

ARTÍCULO 6: TRANSFERENCIAS INTERNACIONALES DE DATOS

‍

6.1 Mecanismos de Transferencia. Las transferencias internacionales de Datos Personales se realizarán únicamente con las salvaguardas apropiadas según lo requieran las Leyes Aplicables de Protección de Datos. Yuno implementará el mecanismo de transferencia apropiado para cada corredor de datos, que podrá incluir: Cláusulas Contractuales Tipo de la UE (Decisión de la Comisión 2021/914); el Acuerdo de Transferencia Internacional de Datos del Reino Unido (IDTA) o el Addendum del Reino Unido a las CCT de la UE; Cláusulas Contractuales Tipo de la ANPD de Brasil (Resolución CD/ANPD No. 19/2024); Cláusulas Contractuales Tipo de la SDAIA de Arabia Saudita (módulos de Responsable a Encargado y de Encargado a Encargado, emitidas en septiembre de 2024); decisiones de adecuación cuando estén disponibles; Normas Corporativas Vinculantes (cuando se implementen); u otros mecanismos de transferencia lícitos reconocidos por la autoridad supervisora correspondiente.

‍

6.2 Evaluaciones de Impacto de Transferencia. Para transferencias a jurisdicciones sin decisiones de adecuación, Yuno realizará evaluaciones de impacto de transferencia e implementará medidas suplementarias según sea necesario para garantizar una protección de Datos Personales sustancialmente equivalente a la requerida en la jurisdicción de origen.

‍

6.3 Localización de Datos. Ciertas jurisdicciones imponen requisitos de localización de datos. Yuno cumple con dichos requisitos mediante arreglos de infraestructura apropiados, incluyendo alojamiento local en la nube cuando sea obligatorio. Las jurisdicciones con obligaciones actuales de localización de datos relevantes para las operaciones de Yuno incluyen el Reino de Arabia Saudita (requisitos de SAMA y PDPL, atendidos por GCP Dammam) e India (localización de datos de pago del RBI, atendida por arreglos de alojamiento local según corresponda). El Adendum Jurisdiccional aplicable proporciona mayor detalle.

‍

6.4 Solicitudes de Acceso Gubernamental. Yuno evaluará cualquier solicitud gubernamental o regulatoria de acceso a Datos Personales. Cuando sea legalmente permitido y factible, Yuno proporcionará aviso previo a las Contrapartes afectadas antes de la divulgación. Yuno se compromete a impugnar solicitudes excesivamente amplias, ilícitas o inapropiadas de acceso a Datos Personales en la máxima medida permitida por la ley, y a limitar las divulgaciones al mínimo absoluto legalmente requerido. Yuno mantendrá registros de dichas solicitudes y, cuando esté permitido, proporcionará informes de transparencia a las Contrapartes.

‍

ARTÍCULO 7: DERECHOS DE LOS TITULARES DE LOS DATOS

‍

7.1 Facilitación de Derechos. Yuno asistirá a las Contrapartes en la atención de solicitudes de los Titulares de los Datos de acceso, rectificación, supresión, portabilidad, restricción y oposición — y sus equivalentes en la legislación local — según lo requieran las Leyes Aplicables de Protección de Datos. Dicha asistencia incluirá proporcionar los Datos Personales e información de Tratamiento relevantes a través de la API de Yuno, un portal seguro o canales de comunicación definidos dentro de los cinco (5) días hábiles siguientes a la solicitud verificada de la Contraparte, para permitir que la Contraparte responda dentro del plazo legal aplicable.

‍

7.2 Solicitudes Directas a Yuno. Cuando Yuno reciba solicitudes de Titulares de los Datos directamente, las reenviará al contacto de privacidad designado de la Contraparte correspondiente sin demora injustificada, y en ningún caso más tarde de dos (2) días hábiles, a menos que la ley requiera responder directamente. Yuno no responderá a solicitudes directas sin autorización de la Contraparte excepto cuando lo requiera la ley, y en tales casos informará a la Contraparte de la respuesta a menos que esté legalmente prohibido.

‍

7.3 Toma de Decisiones Automatizada. Cuando Yuno trate Datos Personales que impliquen toma de decisiones automatizada con efectos significativos sobre los Titulares de los Datos, implementará medidas apropiadas para salvaguardar los derechos de los Titulares, incluyendo proporcionar información significativa sobre la lógica involucrada y ofrecer oportunidades de revisión humana cuando lo requieran las Leyes Aplicables de Protección de Datos.

‍

ARTÍCULO 8: GESTIÓN DE VIOLACIONES DE DATOS PERSONALES

‍

8.1 Marco de Notificación de Violaciones por Jurisdicción.

‍

8.2 Documentación e Investigación de Violaciones. Yuno documentará todas las Violaciones de Datos Personales y cooperará plenamente con las Contrapartes en las investigaciones de violaciones. La documentación incluirá los hechos relativos a la violación, sus efectos y las acciones correctivas tomadas. Yuno preservará la evidencia y proporcionará acceso a información forense según sea razonablemente solicitado.

‍

8.3 Coordinación Regulatoria. Las Contrapartes mantienen la responsabilidad principal de las notificaciones regulatorias, con Yuno proporcionando: documentación integral del incidente para las presentaciones regulatorias; disponibilidad de expertos técnicos para consultas de las autoridades; documentación de remediación y efectividad; y cooperación continua con las investigaciones regulatorias.

‍

ARTÍCULO 9: RETENCIÓN DE DATOS Y ELIMINACIÓN SEGURA

‍

9.1 Períodos de Retención. Los Datos Personales se retendrán únicamente durante el tiempo necesario para cumplir los fines para los cuales fueron recopilados o según lo requieran las obligaciones legales, regulatorias o contractuales aplicables. Yuno eliminará o devolverá los Datos Personales al terminar el acuerdo subyacente con la Contraparte, a menos que la retención sea requerida por la ley.

‍

9.2 Procedimientos de Eliminación. A solicitud de la Contraparte o al terminar el acuerdo, Yuno eliminará de forma segura o devolverá todos los Datos Personales y destruirá las copias existentes, a menos que el almacenamiento sea requerido por la ley aplicable. La eliminación se llevará a cabo utilizando métodos de eliminación segura estándar de la industria, y Yuno proporcionará certificación escrita de la eliminación a solicitud.

‍

9.3 Requisitos de Retención Legal. Sin perjuicio de las obligaciones generales de eliminación, ambas partes podrán retener Datos Personales según sea necesario para cumplir con requisitos de preservación legal, litigios pendientes o investigaciones regulatorias. Dicha retención se limitará al mínimo necesario para el fin legal especificado.

‍

9.4 Analítica Agregada. Yuno podrá retener y utilizar patrones de transacciones agregados y anonimizados y métricas de rendimiento para: (i) optimización de la plataforma y mejora de la prevención de fraude; (ii) benchmarking industrial e investigación de mercado; (iii) reportes regulatorios y analítica de cumplimiento; y (iv) evaluación del rendimiento de los Socios Tecnológicos. Dichos datos agregados no identificarán a Contrapartes o Usuarios Finales específicos y podrán retenerse indefinidamente. Esta disposición sobrevivirá a la terminación de este DPA.

‍

ARTÍCULO 10: DERECHOS DE AUDITORÍA Y MONITOREO DE CUMPLIMIENTO

‍

10.1 Autorización de Auditoría. Las Contrapartes podrán realizar auditorías razonables de las actividades de Tratamiento de datos de Yuno para verificar el cumplimiento de este DPA y las Leyes Aplicables de Protección de Datos. Dichas auditorías se realizarán principalmente mediante la revisión de las certificaciones de terceros más recientes de Yuno (por ejemplo, reportes ISO 27001, PCI DSS, SOC 2 Tipo II) y resúmenes de informes de auditoría, los cuales Yuno pondrá a disposición previa solicitud razonable. Las auditorías directas en sitio, ya sea por la Contraparte o un auditor independiente calificado, se limitarán a una vez al año, salvo que surjan preocupaciones materiales de cumplimiento o una Violación de Datos Personales, y requerirán aviso previo por escrito de treinta (30) días.

‍

10.2 Cooperación en Auditorías. Yuno proporcionará cooperación razonable con las auditorías autorizadas, incluyendo acceso a documentación relevante, registros de sistemas y personal relacionado con las actividades de Tratamiento de datos. Las auditorías se realizarán durante el horario laboral, de manera que minimice la interrupción de las operaciones de Yuno, y con estricto apego a la confidencialidad de la información propietaria de Yuno, la propiedad intelectual y los datos de otros clientes.

‍

10.3 Hallazgos y Remediación de Auditorías. Cualquier deficiencia material de cumplimiento identificada a través de auditorías se abordará oportunamente mediante planes de remediación mutuamente acordados. Los costos asociados con las auditorías serán asumidos por la parte solicitante, a menos que se identifique un incumplimiento material, en cuyo caso Yuno asumirá los costos razonables de auditoría.

‍

ARTÍCULO 11: ASIGNACIÓN DE RESPONSABILIDAD E INDEMNIZACIÓN

‍

11.1 Responsabilidad Mutua. Cada parte será responsable de los daños derivados de sus propias violaciones a las Leyes Aplicables de Protección de Datos o incumplimientos de este DPA. Ninguna de las partes será responsable de los daños derivados de las violaciones de la otra parte o del Tratamiento realizado de conformidad con las instrucciones lícitas de la otra parte.

‍

11.2 Indemnización. Cada parte indemnizará y mantendrá indemne a la otra parte frente a reclamaciones, daños y gastos derivados de sus propias violaciones a las obligaciones de protección de datos conforme a este DPA. La Contraparte indemnizará y mantendrá indemne a Yuno frente a cualquier reclamación, daño o gasto derivado del Tratamiento de Datos Personales por parte de Yuno de conformidad con las instrucciones lícitas de la Contraparte, cuando dichas reclamaciones surjan del incumplimiento de la Contraparte de sus obligaciones como Responsable del Tratamiento, incluyendo la falta de obtención de autorizaciones adecuadas de los Titulares o el establecimiento de una base legal de Tratamiento.

‍

11.3 Limitación de Responsabilidad. Nada en este DPA limitará la responsabilidad de cualquiera de las partes por actos fraudulentos, conducta dolosa o violaciones a las leyes de protección de datos. Para otras reclamaciones, la responsabilidad se limitará según lo establecido en el acuerdo subyacente con la Contraparte.

‍

ARTÍCULO 12: VIGENCIA, TERMINACIÓN Y TRANSICIÓN

‍

12.1 Vigencia. Este DPA comenzará a surtir efectos a partir de la celebración del acuerdo subyacente con la Contraparte y permanecerá vigente durante la duración de dicho acuerdo o hasta que se termine de conformidad con sus términos.

‍

12.2 Terminación por Causa. Cualquiera de las partes podrá terminar este DPA de manera inmediata mediante aviso por escrito si la otra parte incumple materialmente sus obligaciones de protección de datos y no subsana dicho incumplimiento dentro de los treinta (30) días siguientes al aviso por escrito.

‍

12.3 Efectos de la Terminación. Al terminar, cada parte devolverá o destruirá de forma segura los Datos Personales recibidos de la otra parte, sujeto a los requisitos legales de retención. Las disposiciones relativas a confidencialidad, responsabilidad, indemnización y resolución de controversias sobrevivirán a la terminación.

‍

ARTÍCULO 13: LEY APLICABLE Y RESOLUCIÓN DE CONTROVERSIAS

‍

13.1 Ley Aplicable. Este DPA se regirá por las leyes de la jurisdicción especificada en el acuerdo subyacente con la Contraparte, siempre que las obligaciones de protección de datos se interpreten de conformidad con las Leyes Aplicables de Protección de Datos en las jurisdicciones relevantes donde se traten los Datos Personales.

‍

13.2 Resolución de Controversias. Las controversias derivadas de este DPA se resolverán mediante los mecanismos de resolución de controversias especificados en el acuerdo subyacente. Las controversias de protección de datos que involucren ejecución regulatoria se abordarán en coordinación con las autoridades supervisoras correspondientes.

‍

13.3 Jurisdicción y Ejecución. Las partes se someten a la jurisdicción de los tribunales en las ubicaciones especificadas en el acuerdo subyacente para la ejecución de este DPA, reconociendo al mismo tiempo la autoridad de las autoridades supervisoras de protección de datos en sus respectivas jurisdicciones.

‍

ARTÍCULO 14: MODIFICACIONES, ENMIENDAS Y DISPOSICIONES FINALES

‍

14.1 Proceso de Enmienda. Este DPA solo podrá modificarse mediante un acuerdo escrito firmado por los representantes autorizados de ambas partes, excepto por las actualizaciones necesarias para mantener el cumplimiento de los cambios en las Leyes Aplicables de Protección de Datos.

‍

14.2 Actualizaciones Regulatorias. Yuno podrá actualizar este DPA según sea necesario para cumplir con los cambios en las Leyes Aplicables de Protección de Datos, siempre que dichas actualizaciones no reduzcan materialmente el nivel de protección otorgado a los Datos Personales. Las Contrapartes serán notificadas de las actualizaciones materiales con al menos treinta (30) días de anticipación.

‍

14.3 Términos Contradictorios. En caso de conflicto entre este DPA y el acuerdo comercial subyacente, los términos de este DPA prevalecerán respecto a las cuestiones de protección de Datos Personales. En caso de conflicto entre el cuerpo principal de este DPA y un Adendum Jurisdiccional, el Adendum prevalecerá para los requisitos específicos de la jurisdicción.

‍

14.4 Divisibilidad. Si alguna disposición de este DPA se considera inválida, ilegal o inaplicable, las disposiciones restantes continuarán en plena vigencia y efecto.

‍

14.5 Acuerdo Completo de Protección de Datos. Este DPA, junto con los Adendums Jurisdiccionales aplicables y la Política de Privacidad del Grupo, constituye el acuerdo completo entre las partes respecto a la protección de Datos Personales en conexión con los Servicios.

‍

ARTÍCULO 15: AUTORIDAD DE TRATAMIENTO DE EMERGENCIA

‍

15.1 Excepción por Prevención de Fraude. Yuno podrá, sin el consentimiento previo de la Contraparte, suspender, redirigir o modificar temporalmente el Tratamiento cuando sea razonablemente necesario para mitigar: (a) sospecha de lavado de activos o financiamiento del terrorismo; (b) fraude con tarjetas de pago que exceda los umbrales de los Esquemas de Tarjetas; (c) violaciones de sanciones; o (d) abuso de la plataforma que amenace la integridad o seguridad de los Servicios. Yuno notificará a la Contraparte afectada tan pronto como sea posible, y en cualquier caso dentro de las veinticuatro (24) horas, de cualquier acción tomada conforme a esta sección.

‍

15.2 Respuesta a Incidentes de Ciberseguridad. Durante un incidente de ciberseguridad real o sospechado, Yuno podrá implementar medidas técnicas u organizativas de emergencia, incluyendo desvío de tráfico, autenticación adicional, restricciones geográficas o limitaciones temporales del servicio. Dichas medidas serán proporcionales a la amenaza y se revertirán tan pronto como se resuelva el incidente.

‍

EJECUCIÓN

‍

Este Acuerdo de Tratamiento de Datos se ejecuta por los representantes autorizados de las partes con efectos a partir de la fecha de ejecución del Acuerdo.

‍

‍

Los siguientes adendums abordan requisitos específicos para el Tratamiento de Datos Personales en diversas jurisdicciones y forman parte integral de este DPA cuando sean aplicables. El adendum aplicable se determina por la jurisdicción donde los Datos Personales se originan o son tratados, según se identifique por la naturaleza de cada relación con la Contraparte y el Formulario de Pedido aplicable.

‍

• Adendum A: Servicios de Banking Connectivity
• Adendum B: Requisitos de la LGPD de Brasil
• Adendum C: Requisitos de la Ley 1581 de Colombia
• Adendum D: Requisitos de la LFPDPPP de México
• Adendum E: Requisitos de la PDPA de Singapur
• Adendum F: Requisitos de CCPA/CPRA y Privacidad Multiestatal de Estados Unidos
• Adendum G: Requisitos de la PDPL del Reino de Arabia Saudita
• Adendum H: Requisitos de Protección de Datos de Catar (QFC)
• Adendum I: Requisitos de la Ley DPDP de India
• Adendum J: Requisitos del RGPD de la Unión Europea y el Reino Unido

‍

ADENDUM A: SERVICIOS DE BANKING CONNECTIVITY

‍

Este Adendum forma parte integral del Acuerdo Global de Tratamiento de Datos Personales de Yuno ("DPA") y aplica cuando el Formulario de Pedido correspondiente activa los Servicios de Banking Connectivity. En caso de conflicto entre este Adendum y el cuerpo principal del DPA, este Adendum prevalece en todo lo relacionado con los Servicios de Banking Connectivity. Los Adendums Jurisdiccionales B a J aplican de manera concurrente y no son desplazados por este Adendum.

‍

A.1 Definiciones.

‍

"Servicios de Banking Connectivity" significa la infraestructura tecnológica provista por Yuno que habilita la transmisión de datos vía API entre los sistemas del Comercio y los Bank Partners contratados directamente por el Comercio. Los Servicios de Banking Connectivity son exclusivamente servicios de integración de software. No constituyen servicios bancarios, de pago, financieros ni de dinero electrónico de ningún tipo.

"Bank Partner" significa una institución financiera o proveedor de servicios de pago con licencia con el cual el Comercio ha contratado directamente la prestación de servicios bancarios o financieros, incluyendo apertura de cuentas, custodia de fondos y transferencias de fondos.
"Datos Personales de Banking Connectivity" significa cualquier Dato Personal, incluyendo Datos Personales de Categoría Especial, transmitido a través de la infraestructura de Banking Connectivity de Yuno conforme a instrucciones del Comercio, incluyendo datos de verificación de identidad, documentos de identificación emitidos por autoridades gubernamentales, datos biométricos, documentación de comprobante de domicilio y datos sobre origen de fondos relacionados con Usuarios Finales.
"Instrucción de Enrutamiento al Bank Partner" significa la designación explícita determinada por el Comercio en cada llamada API, mediante la cual se especifica qué Bank Partner recibirá los Datos Personales de Banking Connectivity. Yuno no selecciona ni asigna Bank Partners de manera autónoma; todo el enrutamiento es determinado exclusivamente por las instrucciones del Comercio.

‍

A.2 Caracterización del Servicio. Los Servicios de Banking Connectivity constituyen infraestructura tecnológica pura. Yuno opera como un relay de API que transmite datos entre los sistemas del Comercio y el Bank Partner designado. Yuno no presta ni participa en ningún servicio bancario, de apertura de cuentas, custodia de fondos ni transferencia de fondos. Yuno no evalúa, analiza ni clasifica a los Usuarios Finales para efectos de cumplimiento KYC, AML o de sanciones; no toma ni participa en decisiones sobre la aceptación o rechazo del onboarding de Usuarios Finales; y no aplica ni transmite clasificaciones de riesgo, designaciones PEP ni determinaciones de cumplimiento de ningún tipo. Todas estas funciones son responsabilidad exclusiva del Comercio y sus Bank Partners. Los Servicios de Banking Connectivity se mantienen como un módulo de servicio lógicamente independiente de la plataforma de orquestación de pagos de Yuno. Una determinación regulatoria en cualquier jurisdicción en el sentido de que los Servicios de Banking Connectivity constituyen una actividad regulada no afectará la caracterización regulatoria de los Servicios de orquestación de pagos de Yuno.

‍

A.3 Roles de Tratamiento de Datos. El Comercio actúa como Responsable del Tratamiento respecto de todos los Datos Personales de Banking Connectivity, incluyendo Datos Personales de Categoría Especial. El Comercio determina los fines y medios del Tratamiento y asume la responsabilidad exclusiva del cumplimiento de todas las obligaciones como Responsable del Tratamiento bajo las Leyes Aplicables de Protección de Datos en cada jurisdicción donde opera. Yuno actúa como Encargado del Tratamiento en modo pasarela, limitándose a: (i) recibir los Datos Personales de Banking Connectivity enviados por el Comercio; (ii) validar el esquema de la solicitud API por conformidad técnica; (iii) enrutar el payload de datos al Bank Partner designado en la Instrucción de Enrutamiento al Bank Partner del Comercio; y (iv) retornar la respuesta del Bank Partner al Comercio. Yuno no ejerce ningún juicio ni discrecionalidad sobre el contenido, los fines ni el resultado de dicho Tratamiento. Los Bank Partners reciben los Datos Personales de Banking Connectivity como Responsables del Tratamiento independientes. No son Subencargados de Yuno. La relación jurídica y comercial que rige la prestación de servicios bancarios —incluyendo el cumplimiento KYC, la apertura de cuentas, la custodia de fondos y las transferencias de fondos— es directa entre el Comercio y cada Bank Partner. Yuno no es parte de dicha relación.

‍

A.4 Garantías del Comercio. El Comercio declara y garantiza, de manera continua, que antes de transmitir cualquier Dato Personal de Banking Connectivity a Yuno:
(a) ha establecido una base legal para todas las actividades de Tratamiento bajo las Leyes Aplicables de Protección de Datos en cada jurisdicción donde se ubican los Usuarios Finales, incluyendo la transmisión transfronteriza a los Bank Partners;
(b) ha obtenido todos los consentimientos, autorizaciones y aprobaciones requeridas para la recopilación y transmisión de los Datos Personales de Banking Connectivity, incluyendo, cuando aplique, el consentimiento explícito para Datos Personales de Categoría Especial conforme al Artículo 9 del RGPD y disposiciones equivalentes;
(c) ha proporcionado a los Usuarios Finales avisos de privacidad adecuados que identifican a los Bank Partners como destinatarios independientes de datos y describen las transferencias transfronterizas que correspondan;
(d) ha confirmado que la transmisión al Bank Partner designado es jurídicamente válida en la jurisdicción de dicho Bank Partner; y
(e) ha realizado cualquier Evaluación de Impacto sobre la Protección de Datos exigida antes de transmitir Datos Personales de Categoría Especial.
El Comercio deberá indemnizar y mantener indemne a Yuno frente a cualquier reclamación, daño, multa o gasto derivado del incumplimiento por parte del Comercio de las garantías contenidas en este Artículo A.4.

‍

A.5 Obligaciones Arquitectónicas de Yuno. Yuno no almacenará, retendrá ni archivará documentos de identidad, datos biométricos ni datos de reconocimiento facial transmitidos a través de los Servicios de Banking Connectivity. Dichos datos serán tratados exclusivamente en memoria durante la operación de enrutamiento por API y no serán escritos en ningún medio de almacenamiento persistente dentro de la infraestructura de Yuno. Yuno podrá retener metadatos de transacción —identificadores, marcas de tiempo y registros de enrutamiento anonimizados— exclusivamente para fines de prestación del servicio, auditoría y resolución de disputas. Yuno no combinará los Datos Personales de Banking Connectivity con otros Datos Personales que obren en su poder, no los utilizará para entrenar ni mejorar ningún modelo, ni los divulgará a ninguna parte que no sea el Bank Partner designado en la Instrucción de Enrutamiento al Bank Partner del Comercio.

‍

A.6 Responsabilidad y Cortafuegos Regulatorio. La responsabilidad de Yuno en relación con los Servicios de Banking Connectivity se limita a los daños directos causados por el incumplimiento de Yuno en la transmisión de datos conforme a sus especificaciones API documentadas y las obligaciones de este Adendum. Yuno no tendrá responsabilidad alguna por actos u omisiones de un Bank Partner, por la disponibilidad o condiciones de cualquier servicio bancario, por pérdidas de Usuarios Finales derivadas de las operaciones del Comercio o del Bank Partner, ni por sanciones regulatorias impuestas al Comercio o a cualquier Bank Partner. La responsabilidad agregada de Yuno por todas las reclamaciones bajo este Adendum no excederá el total de honorarios pagados por el Comercio por los Servicios de Banking Connectivity durante los seis (6) meses anteriores al evento que dio origen a la reclamación. Si alguna autoridad gubernamental o regulatoria sostiene que los Servicios de Banking Connectivity constituyen una actividad regulada en cualquier jurisdicción, Yuno se reserva el derecho de suspender los Servicios de Banking Connectivity en dicha jurisdicción mediante aviso escrito con treinta (30) días de anticipación, sin responsabilidad y sin afectar la continuidad de los Servicios de orquestación de pagos.

‍

A.7 Requisito de Instrumento Separado. Los Servicios de Banking Connectivity solo podrán activarse mediante un Formulario de Pedido o adendum de Términos Especiales que identifique expresamente a Banking Connectivity como un servicio contratado. No podrán activarse por implicación ni como "servicio adicional" bajo un Formulario de Pedido de orquestación de pagos que no contenga una sección dedicada a Banking Connectivity que atienda las obligaciones de este Adendum. Este Adendum entra en vigor en la fecha de ejecución del Formulario de Pedido que activa los Servicios de Banking Connectivity y permanece vigente por la duración de dicho acuerdo.

‍

ADENDUM B: LGPD DE BRASIL

‍

• Entidad Yuno Responsable: Yuno Intermediação de Serviços Ltda. (Brasil)
  
• Leyes Aplicables de Protección de Datos: Lei Geral de Proteção de Dados (LGPD), Ley 13.709/2018; Regulaciones de la Autoridade Nacional de Proteção de Dados (ANPD).
  
  

B.1 Marco de Cumplimiento de la LGPD. Yuno se compromete a tratar los Datos Personales de los Titulares brasileños de conformidad con los principios de la LGPD de buena fe, finalidad, adecuación, necesidad, libre acceso, calidad de los datos, transparencia, seguridad, prevención, no discriminación y rendición de cuentas.

‍

B.2 Base Legal para el Tratamiento. El Tratamiento de Datos Personales conforme a este Adendum se basa en la base legal determinada por la Contraparte como Responsable del Tratamiento, que podrá incluir cualquiera de las diez (10) bases legales del Artículo 7 de la LGPD. Yuno no tratará Datos Personales más allá del alcance de las instrucciones de la Contraparte sin autorización explícita.

‍

B.3 Transferencias Internacionales de Datos. Los Datos Personales de residentes brasileños podrán transferirse internacionalmente utilizando las Cláusulas Contractuales Tipo de la ANPD conforme a la Resolución CD/ANPD No. 19/2024 (módulos de Responsable a Encargado y de Encargado a Encargado), decisiones de adecuación cuando sean emitidas por la ANPD, u otros mecanismos de transferencia lícitos. Yuno mantiene documentación de todas las transferencias internacionales y las salvaguardas aplicables.

‍

B.4 Derechos de los Titulares bajo la LGPD. Yuno asiste a las Contrapartes en el cumplimiento de las solicitudes de los Titulares conforme a los Artículos 17-22 de la LGPD, incluyendo confirmación del Tratamiento, acceso a los datos, corrección de datos incompletos o inexactos, anonimización o eliminación, portabilidad e información sobre compartición con entidades públicas y privadas.

‍

B.5 Cumplimiento Regulatorio ante la ANPD. Ambas partes reconocen la autoridad regulatoria de la ANPD y se comprometen al cumplimiento de las orientaciones, regulaciones y acciones de aplicación de la ANPD. Yuno mantiene el registro vigente ante la ANPD según se requiera y proporciona la documentación necesaria para el cumplimiento regulatorio.

‍

B.6 Evaluación de Impacto de Protección de Datos. Para actividades de Tratamiento de alto riesgo, Yuno realizará Evaluaciones de Impacto de Protección de Datos de conformidad con las orientaciones de la ANPD y compartirá los hallazgos relevantes con las Contrapartes.

‍

ADENDUM C: LEY 1581 DE 2012 DE COLOMBIA

‍

• Entidad Yuno Responsable: Yuno Colombia S.A.S. (Colombia)
  
• Leyes Aplicables de Protección de Datos: Ley 1581 de 2012; Decreto 1377 de 2013; regulaciones y orientaciones de la Superintendencia de Industria y Comercio (SIC).
  

C.1 Marco de Tratamiento conforme a la Ley 1581. Yuno trata los Datos Personales de conformidad con los principios de la Ley 1581 de legalidad, finalidad, libertad, veracidad, transparencia, acceso, circulación restringida, seguridad y confidencialidad. Todas las actividades de Tratamiento sirven a propósitos legítimos directamente relacionados con los Servicios.

‍

C.2 Autorización y Políticas de Privacidad. Las Contrapartes deben obtener la autorización apropiada de los Titulares antes de transferir Datos Personales a Yuno, implementando políticas de privacidad claras que cumplan los requisitos de la Ley 1581. Yuno asiste a las Contrapartes en el desarrollo de mecanismos de autorización conformes.

‍

C.3 Derechos de los Titulares (Habeas Data). Yuno apoya a las Contrapartes en el cumplimiento de los derechos de los Titulares conforme a la Ley 1581, incluyendo los derechos de acceso, actualización, rectificación y supresión de Datos Personales. Los procedimientos de respuesta aseguran el cumplimiento de los plazos de la SIC y mantienen registros completos de todas las solicitudes de derechos.

‍

C.4 Transferencias Internacionales de Datos. Las transferencias internacionales desde Colombia cumplen con los requisitos de la Ley 1581 de protección adecuada o salvaguardas apropiadas (Declaración de Conformidad de la SIC o cláusulas contractuales). Yuno mantiene documentación de los mecanismos de transferencia y actualiza las evaluaciones de adecuación para los países destinatarios.

‍

C.5 Cumplimiento Regulatorio ante la SIC. Ambas partes reconocen la autoridad regulatoria de la SIC sobre la protección de Datos Personales y mantienen los registros necesarios en el Registro Nacional de Bases de Datos (RNBD). Yuno proporciona a las Contrapartes la información requerida para las presentaciones ante la SIC.

‍

C.6 Medidas de Seguridad y Confidencialidad. Yuno implementa medidas de seguridad integrales que cumplen los requisitos de la SIC, incluyendo salvaguardas técnicas, administrativas y físicas proporcionales a la sensibilidad y volumen de los Datos Personales tratados.

‍

ADENDUM D: LFPDPPP DE MÉXICO

‍

• Entidad Yuno Responsable: Yuno Tecnologías, S.A.P.I. de C.V. (México)
  

• Leyes Aplicables de Protección de Datos: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP); su Reglamento; y orientaciones de la autoridad regulatoria aplicable (actualmente la Secretaría Anticorrupción y de Buen Gobierno, sucesora del INAI).
  

D.1 Principios de Tratamiento de la LFPDPPP. Yuno se adhiere a los principios de la LFPDPPP de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad en todas las actividades de Tratamiento de Datos Personales. El Tratamiento se limitará a fines directamente relacionados con los Servicios.

‍

D.2 Requisitos del Aviso de Privacidad. Las Contrapartes deben proporcionar avisos de privacidad integrales (Avisos de Privacidad) a los Titulares de conformidad con los Artículos 15-18 de la LFPDPPP, incluyendo información sobre el rol de Yuno como Encargado del Tratamiento. Yuno asiste a las Contrapartes para asegurar que los avisos de privacidad cumplan los requisitos regulatorios mexicanos e incluyan todos los elementos obligatorios.

‍

D.3 Implementación de Derechos ARCO. Yuno apoya a las Contrapartes en la atención de solicitudes de los Titulares de acceso, rectificación, cancelación y oposición (derechos ARCO) conforme a los Artículos 22-35 de la LFPDPPP. Los procedimientos de respuesta aseguran el cumplimiento del plazo de veinte (20) días hábiles y mantienen registros de todas las solicitudes.

‍

D.4 Transferencias Internacionales de Datos. Las transferencias internacionales (Transferencias) y las remisiones de Datos Personales mexicanos cumplen con los requisitos de los Artículos 36-37 de la LFPDPPP. Yuno mantiene documentación que evidencie niveles adecuados de protección para todos los países destinatarios.

‍

D.5 Coordinación con la Autoridad Regulatoria. Ambas partes reconocen la autoridad regulatoria de la autoridad mexicana de protección de datos aplicable y mantienen la documentación de cumplimiento necesaria. Yuno responde oportunamente a las solicitudes de información de la autoridad.

‍

D.6 Cumplimiento de Medidas de Seguridad. Yuno implementa medidas de seguridad administrativas, físicas y técnicas que cumplen los estándares de la LFPDPPP y la regulación, incluyendo controles de acceso, cifrado, procedimientos de respuesta a incidentes y evaluaciones de seguridad periódicas apropiadas para la sensibilidad de los Datos Personales tratados.

‍

ADENDUM E: PDPA DE SINGAPUR

‍

• Entidad Yuno Responsable: Smart Routing PTE. Ltd. (Singapur)
  
• Leyes Aplicables de Protección de Datos: Ley de Protección de Datos Personales 2012 (PDPA); Lineamientos y Regulaciones de la Comisión de Protección de Datos Personales (PDPC).
  
  

E.1 Obligaciones de Cumplimiento de la PDPA. Yuno cumple con las obligaciones de la PDPA como intermediario de datos que trata Datos Personales en nombre de las Contrapartes. Las actividades de Tratamiento se adhieren a los principios de protección de datos de la PDPA, incluyendo consentimiento, limitación de la finalidad, notificación, acceso y corrección, exactitud, protección, limitación de la retención y limitación de la transferencia.

‍

E.2 Requisitos de Consentimiento y Notificación. Las Contrapartes deben obtener el consentimiento apropiado de los Titulares o basarse en otros fundamentos lícitos bajo la PDPA antes de transferir Datos Personales a Yuno. Yuno asiste a las Contrapartes en la implementación de mecanismos de consentimiento y el mantenimiento de registros de consentimiento según lo requiera la orientación de la PDPC.

‍

E.3 Marco de Notificación de Violación de Datos. Yuno implementa procedimientos integrales de respuesta a violaciones de datos que cumplen con los requisitos de notificación obligatoria de violaciones de la PDPA. La notificación a la PDPC y a los Titulares afectados sigue los plazos y formatos prescritos, con las Contrapartes recibiendo notificación inmediata de cualquier incidente que afecte sus datos.

‍

E.4 Cumplimiento de Transferencias Transfronterizas. Las transferencias de Datos Personales desde Singapur cumplen con los requisitos de la Sección 26 de la PDPA, asegurando que los países destinatarios proporcionen protección adecuada o implementando salvaguardas apropiadas. Yuno mantiene documentación de transferencia y revisa periódicamente las evaluaciones de adecuación para las jurisdicciones destinatarias.

‍

E.5 Acceso y Corrección de Datos del Titular. Yuno asiste a las Contrapartes en la atención de solicitudes de acceso y corrección de los Titulares conforme a las Secciones 21-22 de la PDPA dentro de los plazos prescritos. Los procedimientos de respuesta incluyen verificación de identidad, evaluación del alcance y redacción apropiada de información de terceros.

‍

E.6 Interacción Regulatoria con la PDPC. Ambas partes se comprometen a una interacción transparente con la PDPC, incluyendo cooperación con investigaciones, auditorías de cumplimiento e implementación de orientaciones regulatorias.

‍

ADENDUM F: CCPA/CPRA Y PRIVACIDAD MULTIESTATAL DE ESTADOS UNIDOS

‍

• Entidad Yuno Responsable: Yuno USA, LLC (Estados Unidos)
  
• Leyes Aplicables de Protección de Datos: Ley de Privacidad del Consumidor de California (CCPA) modificada por la Ley de Derechos de Privacidad de California (CPRA); Código Civil de California Sección 1798.100 y siguientes; Ley de Protección de Datos del Consumidor de Virginia; Ley de Privacidad de Colorado; Ley de Privacidad de Datos de Connecticut; y otras leyes estatales de privacidad aplicables.
  
  

F.1 Obligaciones como Proveedor de Servicios bajo CCPA/CPRA. Yuno actúa como "proveedor de servicios" bajo la CCPA/CPRA cuando trata información personal en nombre de las Contrapartes. Yuno certifica el cumplimiento de todos los requisitos de proveedor de servicios incluyendo: no vender ni compartir información personal; Tratamiento únicamente para fines comerciales especificados; no retener fuera de la relación comercial; no combinar con otras fuentes excepto cuando esté permitido; y mantenimiento de medidas de seguridad apropiadas.

‍

F.2 Implementación de Derechos del Consumidor. Yuno asiste a las Contrapartes en la atención de solicitudes de consumidores de California de acceso, eliminación, corrección y exclusión conforme a las Secciones 1798.100-1798.150 de la CCPA/CPRA. Los procedimientos de respuesta incluyen verificación de identidad, evaluación del alcance y coordinación con los sistemas comerciales de la Contraparte.

‍

F.3 Categorías de Información Personal. Yuno trata las siguientes categorías de información personal según se definen en la Sección 1798.140 de la CCPA: identificadores; información comercial; actividad en internet; datos de geolocalización; e inferencias derivadas de información personal. El Tratamiento sirve fines comerciales incluyendo orquestación de pagos, prevención de fraude y mejora del servicio.

‍

F.4 Protecciones de Información Personal Sensible. Para la información personal sensible según se define en la Sección 1798.140(ae) de la CPRA, Yuno implementa salvaguardas adicionales incluyendo controles de seguridad reforzados, períodos de retención limitados y controles de acceso restringidos. El Tratamiento de información sensible requiere autorización explícita de la Contraparte.

‍

F.5 Cumplimiento de Privacidad Multiestatal. Yuno monitorea los desarrollos en las leyes de privacidad estatales incluyendo la Ley de Protección de Datos del Consumidor de Virginia, la Ley de Privacidad de Colorado, la Ley de Privacidad de Datos de Connecticut y otra legislación estatal de privacidad emergente, implementando las medidas de cumplimiento necesarias conforme las leyes entren en vigor.

‍

F.6 Toma de Decisiones Automatizada. Yuno asiste a las Contrapartes en el cumplimiento de los requisitos de divulgación de toma de decisiones automatizada y las obligaciones de privacidad relacionadas con IA conforme se desarrollen en las jurisdicciones estatales.

‍

ADENDUM G: PDPL DEL REINO DE ARABIA SAUDITA

‍

• Entidad Yuno Responsable: Yuno Payments Arabia (Reino de Arabia Saudita)
  
• Leyes Aplicables de Protección de Datos: Ley de Protección de Datos Personales (PDPL), emitida por Real Decreto M/19 (septiembre de 2021) y modificada por Real Decreto M/148 (marzo de 2023), vigente desde el 14 de septiembre de 2023, plenamente ejecutable desde el 14 de septiembre de 2024; Reglamento de Ejecución de la PDPL (septiembre de 2023); Regulación sobre la Transferencia de Datos Personales fuera del Reino (septiembre de 2024); directrices y normas de la SDAIA; y regulaciones aplicables de SAMA para servicios de dinero electrónico y proveedores de servicios de tecnología de pago.
  
  

G.1 Marco de Cumplimiento de la PDPL. Yuno Payments Arabia trata los Datos Personales en cumplimiento con la PDPL y su Reglamento de Ejecución. Como proveedor de servicios tecnológicos que apoya los servicios de pago electrónico bajo la supervisión de SAMA, las actividades de Tratamiento de Yuno Payments Arabia se limitan a la orquestación técnica de datos de pago en nombre de las Contrapartes. Yuno Payments Arabia no posee, controla ni liquida fondos por sí misma y no es una institución de pago con licencia.

‍

G.2 Base Legal para el Tratamiento. El Tratamiento de Datos Personales se basa en la base legal determinada por la Contraparte como Responsable, que podrá incluir: consentimiento (Art. 5 PDPL); ejecución de un contrato con el Titular; cumplimiento de una obligación legal; protección de intereses vitales; tratamiento de datos públicamente disponibles; o interés legítimo (según lo permitido por el Reglamento de Ejecución). Yuno asiste a las Contrapartes en la documentación de la base legal aplicable.

‍

G.3 Transferencia Internacional de Datos. Las transferencias de Datos Personales fuera del Reino de Arabia Saudita cumplen con el Artículo 29 de la PDPL y la Regulación de Transferencia de Datos (septiembre de 2024). Yuno implementa las Cláusulas Contractuales Tipo de la SDAIA (módulos de Responsable a Encargado y de Encargado a Encargado) para las transferencias a entidades del Grupo Yuno y Subencargados fuera de KSA. Cuando se requiera, Yuno realiza evaluaciones de riesgo de transferencia antes de iniciar transferencias que involucren datos sensibles o transferencias continuas a gran escala. La SDAIA aún no ha publicado una lista de adecuación; Yuno monitorea los desarrollos regulatorios y adoptará transferencias basadas en adecuación cuando estén disponibles.

‍

G.4 Derechos de los Titulares. Yuno asiste a las Contrapartes en la atención de los derechos de los Titulares conforme a los Artículos 13-18 de la PDPL, incluyendo el derecho a ser informado de la base legal del Tratamiento, el derecho de acceso, el derecho a obtener Datos Personales en formato legible, el derecho a solicitar la corrección, el derecho a solicitar la destrucción de Datos Personales y el derecho de oposición al Tratamiento. Yuno facilitará las respuestas dentro de los plazos prescritos por el Reglamento de Ejecución.

‍

G.5 Cumplimiento Regulatorio ante la SDAIA. Yuno Payments Arabia cumple con los requisitos de registro de la SDAIA para Responsables dentro del Reino, mantiene registros de tratamiento según se requiera, y coopera con la SDAIA respecto a quejas, investigaciones y auditorías. Cuando lo requiera el Reglamento de Ejecución, Yuno Payments Arabia designa un Delegado de Protección de Datos y notifica a la SDAIA de las Violaciones de Datos Personales dentro de las setenta y dos (72) horas cuando dichas violaciones puedan causar perjuicio a los Titulares.

‍

G.6 Localización de Datos y Requisitos de SAMA. Yuno Payments Arabia aloja los Datos Personales tratados en conexión con las operaciones de Arabia Saudita en Google Cloud Platform (GCP) en la región de Dammam, en cumplimiento con los requisitos de residencia de datos de SAMA para proveedores de servicios de pago electrónico. SAMA prohíbe la transferencia de datos de clientes fuera de KSA sin la aprobación previa de SAMA. Yuno mantiene controles técnicos y organizativos apropiados para asegurar que los datos originados en KSA permanezcan dentro del entorno de alojamiento de Dammam, a menos que exista un mecanismo de transferencia lícito vigente.

‍

ADENDUM H: PROTECCIÓN DE DATOS DE CATAR (QFC)

‍

• Entidad Yuno Responsable: Yuno Al Saqr (Catar, entidad registrada en el QFC)
  
• Leyes Aplicables de Protección de Datos: Regulaciones de Protección de Datos del Centro Financiero de Catar 2021 (Regulaciones DP del QFC); orientaciones de la Autoridad del QFC. Nota: Como entidad registrada en el QFC, Yuno Al Saqr está sujeta al régimen de protección de datos del QFC, no a la Ley nacional No. 13 de 2016 de Catar.
  
  

H.1 Marco de Cumplimiento de las Regulaciones DP del QFC. Yuno Al Saqr trata los Datos Personales como Encargado conforme a las Regulaciones DP del QFC 2021. El Tratamiento se realiza de conformidad con los principios de protección de datos de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, integridad y confidencialidad, y responsabilidad proactiva.

‍

H.2 Base Legal para el Tratamiento. El Tratamiento se basa en la base legal establecida por la Contraparte como Responsable conforme a las Regulaciones DP del QFC, que podrá incluir: consentimiento; necesidad contractual; obligación legal; intereses vitales; interés público; o intereses legítimos. Los Datos Personales Sensibles se tratan únicamente cuando se cumplan las condiciones adicionales conforme a las Regulaciones DP del QFC.

‍

H.3 Transferencia Internacional de Datos. Las transferencias de Datos Personales fuera del QFC cumplen con las disposiciones de transferencia de las Regulaciones DP del QFC. Yuno implementa las salvaguardas apropiadas, que podrán incluir Cláusulas Contractuales Tipo, evaluaciones de adecuación o normas corporativas vinculantes. La orientación de la Autoridad del QFC sobre transferencias internacionales se aplica según se actualice.

‍

H.4 Derechos de los Titulares. Yuno asiste a las Contrapartes en la atención de los derechos de los Titulares conforme a las Regulaciones DP del QFC, incluyendo los derechos de acceso, rectificación, supresión, restricción, portabilidad y oposición. Yuno facilitará las respuestas dentro de los plazos prescritos.

‍

H.5 Cumplimiento ante la Autoridad del QFC. Yuno Al Saqr coopera con la Autoridad del QFC respecto a investigaciones, auditorías y orientaciones. Yuno Al Saqr mantiene registros de Tratamiento y, cuando se requiera, notifica a la Autoridad del QFC de las Violaciones de Datos Personales dentro de los plazos prescritos por las Regulaciones DP del QFC.

‍

H.6 Posicionamiento Regulatorio. Para mayor certeza, Yuno Al Saqr opera como proveedor de servicios tecnológicos dentro del QFC y ha obtenido una exención escrita del Banco Central de Catar (QCB) respecto a la Sección 6.1 de las Regulaciones del Sistema de Pagos. Yuno Al Saqr no presta servicios de pago regulados dentro de Catar.

‍

ADENDUM I: LEY DPDP DE INDIA

‍

• Entidad Yuno Responsable: Yuno Routing Solutions Pvt. Ltd. (India)
  
• Leyes Aplicables de Protección de Datos: Ley de Protección de Datos Personales Digitales 2023 (Ley DPDP); Reglas DPDP 2025 (notificadas el 14 de noviembre de 2025, con cumplimiento por fases hasta el 13 de mayo de 2027); y regulaciones aplicables del RBI incluyendo requisitos de localización de datos.
  
  

I.1 Marco de Cumplimiento de la Ley DPDP. Yuno Routing Solutions trata los Datos Personales como Encargado (denominado "Data Processor" que actúa en nombre de un "Data Fiduciary" bajo la Ley DPDP). Yuno trata los Datos Personales digitales de los Data Principals únicamente para los fines especificados por la Contraparte y de conformidad con las instrucciones documentadas.

‍

I.2 Base Legal para el Tratamiento. La Ley DPDP establece el tratamiento basado en: (a) consentimiento del Data Principal; o (b) ciertos "usos legítimos" sin consentimiento (como la ejecución de un contrato, el cumplimiento de obligaciones legales, o la provisión voluntaria de datos sin indicación de no consentimiento). La Contraparte, como Data Fiduciary, es responsable de establecer la base lícita antes de transferir Datos Personales a Yuno.

‍

I.3 Derechos del Data Principal. Yuno asiste a las Contrapartes en la atención de los derechos del Data Principal conforme a la Ley DPDP, incluyendo: derecho de acceso a información sobre el Tratamiento; derecho a la corrección de datos inexactos; derecho de supresión; derecho a la resolución de quejas; y derecho a designar a otra persona para ejercer sus derechos. Los plazos de respuesta siguen las Reglas DPDP 2025.

‍

I.4 Transferencia Internacional de Datos. La Ley DPDP permite las transferencias internacionales de Datos Personales excepto a países específicamente restringidos por el Gobierno Central. Yuno monitorea las notificaciones del Gobierno de India respecto a las jurisdicciones restringidas. Yuno implementa las salvaguardas contractuales apropiadas para todas las transferencias internacionales de Datos Personales de India.

‍

I.5 Localización de Datos — Cumplimiento del RBI. Yuno reconoce que las regulaciones del RBI (incluyendo la Circular del RBI DPSS.CO.PD.No.1810/02.14.008/2017-18 y directivas posteriores) requieren que todos los datos del sistema de pagos, incluyendo los detalles completos de la transacción de extremo a extremo y la información recopilada, transportada o tratada como parte de las instrucciones de pago, se almacenen en sistemas ubicados únicamente en India. Yuno Routing Solutions garantizará que los datos de pago tratados en nombre de Contrapartes que sean entidades reguladas por el RBI o sus agentes se almacenen dentro de India. Yuno opera infraestructura de alojamiento local para cumplir con este requisito.

‍

I.6 Marco de Consent Manager. Cuando sea aplicable, Yuno cooperará con los Consent Managers registrados a través de los cuales los Data Principals gestionan su consentimiento. Yuno proporciona puntos de integración técnica para facilitar los flujos de verificación y revocación del consentimiento.

‍

I.7 Obligaciones del Significant Data Fiduciary. Si el Gobierno Central designa a la Contraparte como Significant Data Fiduciary, Yuno proporcionará cooperación razonable para las obligaciones de cumplimiento de la Contraparte, incluyendo apoyo para Evaluaciones de Impacto de Protección de Datos, auditorías por auditores de datos independientes y reportes periódicos al Consejo de Protección de Datos de India.

‍

ADENDUM J: UNIÓN EUROPEA Y REINO UNIDO

‍

• Entidad Yuno Responsable: Entidad del Reino Unido para titulares de datos del Reino Unido y Smart Routing PTE. Ltd. (Singapur) para titulares de datos de la UE, salvo que se especifique de manera diferente en el Formulario de Pedido. Si Yuno no mantiene un establecimiento en la UE, Yuno designará un representante en la UE conforme al Artículo 27 del RGPD cuando sea requerido.
  
• Leyes Aplicables de Protección de Datos: Reglamento General de Protección de Datos de la UE (RGPD) 2016/679; Reglamento General de Protección de Datos del Reino Unido; Ley de Protección de Datos 2018.
  
  

J.1 Cumplimiento del Artículo 28 del RGPD. Este Adendum implementa los requisitos del Artículo 28 del RGPD para las relaciones de Encargado. Yuno se compromete a tratar los Datos Personales únicamente conforme a las instrucciones documentadas de la Contraparte, incluyendo con respecto a las transferencias a terceros países u organizaciones internacionales, salvo que el derecho de la Unión o de un Estado miembro al que Yuno esté sujeto lo requiera.

‍

J.2 Actividades de Tratamiento y Base Legal. Yuno trata Datos Personales para los servicios de orquestación de pagos bajo la base legal determinada por la Contraparte. Las categorías especiales de Datos Personales según se definen en el Artículo 9 del RGPD no se tratan, excepto cuando sea expresamente autorizado y legalmente permitido.

‍

J.3 Implementación de los Derechos de los Titulares. Yuno asistirá a la Contraparte en la atención de solicitudes de los Titulares dentro de los plazos requeridos por los Artículos 12-22 del RGPD, incluyendo los derechos de acceso, rectificación, supresión, restricción, portabilidad y oposición. Los tiempos de respuesta no excederán un mes, prorrogable por dos meses para solicitudes complejas.

‍

J.4 Integración de las Cláusulas Contractuales Tipo. Para las transferencias de Datos Personales desde el EEE o el Reino Unido a entidades de Yuno en terceros países, las partes incorporan las Cláusulas Contractuales Tipo aplicables (CCT UE Módulos 2 o 3; IDTA del Reino Unido o Addendum del Reino Unido a las CCT de la UE) según lo requiera la relación de Tratamiento específica y el escenario de transferencia. El módulo aplicable se determina por los roles de Tratamiento de las partes para cada transferencia.

‍

J.5 Coordinación del Delegado de Protección de Datos. Cuando cualquiera de las partes haya designado un Delegado de Protección de Datos, dicho delegado servirá como contacto principal para las cuestiones de protección de datos derivadas de este Adendum. El DPO de Yuno puede ser contactado en privacy@y.uno.

‍

J.6 Cooperación con la Autoridad Supervisora. Ambas partes se comprometen a cooperar plenamente con las autoridades supervisoras de la Unión Europea y el Reino Unido, incluyendo proporcionar información, documentación y acceso según sea razonablemente solicitado para investigaciones regulatorias o auditorías.

‍

DISPOSICIONES GENERALES PARA TODOS LOS ADENDUMS

‍

Prelación e Integración. Estos Adendums forman parte integral del Acuerdo Global de Tratamiento de Datos de Yuno y se aplicarán en función de las jurisdicciones donde los Datos Personales se originen o se traten. En caso de conflicto entre un Adendum y el DPA principal, el Adendum prevalecerá para los requisitos específicos de la jurisdicción.

‍

Actualizaciones Regulatorias. Yuno monitorea los desarrollos regulatorios en todas las jurisdicciones aplicables y podrá actualizar los Adendums según sea necesario para mantener el cumplimiento con los requisitos legales en evolución. Las Contrapartes reciben aviso previo de los cambios materiales que afecten sus actividades de Tratamiento.

‍

Tratamiento Multijurisdiccional. Cuando el Tratamiento involucre Datos Personales de múltiples jurisdicciones, se aplicarán los estándares más protectores, a menos que los requisitos jurisdiccionales específicos exijan un tratamiento diferente. Yuno mantiene documentación integral de los requisitos legales aplicables para cada actividad de Tratamiento.

‍

Fecha de Vigencia. Estos Adendums entran en vigor simultáneamente con la ejecución del Acuerdo principal de Tratamiento de Datos y permanecen vigentes durante la duración del Acuerdo, salvo que se terminen de conformidad con las disposiciones de terminación aplicables.

‍

Contacto del Oficial de Privacidad Global:

‍

• Correo electrónico: privacy@y.uno
• Dirección Global: Cráter 38, Jardines del Pedregal, Álvaro Obregón, Ciudad de México, C.P. 01900
• Centro de Confianza: security.y.uno
• Respuesta a Incidentes 24/7: security@y.uno

‍

El presente Acuerdo Global de Tratamiento de Datos establece cómo Yuno trata datos personales en calidad de Encargado del Tratamiento en nombre de sus Contrapartes, incluyendo tanto a Comercios como a Socios Tecnológicos, con disposiciones para la corresponsabilidad del tratamiento cuando así se determine fácticamente. Bajo este marco unificado, Yuno actúa principalmente como Encargado del Tratamiento para los Servicios, mientras que las Contrapartes actúan como Responsables del Tratamiento para sus respectivos fines de tratamiento, excepto cuando la determinación conjunta de los fines y medios del Tratamiento cree acuerdos de corresponsabilidad. Este Acuerdo garantiza el cumplimiento de las Leyes de Protección de Datos Aplicables a nivel global, incluyendo el RGPD, la CCPA/CPRA, la LGPD y las normativas de privacidad locales en todas las jurisdicciones donde opera Yuno, a la vez que proporciona una incorporación optimizada y una asignación clara de responsabilidades.