1. Roles: Responsable y Encargado
Este Adendo de Procesamiento de Datos ("DPA") es parte integrante de los Términos de Servicio de NEXEFII y rige el tratamiento de datos personales realizado por NEXEFII en el marco de la prestación de los servicios contratados.
A los efectos de este DPA, el Cliente actuará como responsable del tratamiento (según se define en la legislación de protección de datos aplicable), identificado en el Acuerdo Comercial como el Cliente, como responsable de los Datos del Cliente, actuando NEXEFII como encargado. El responsable determina los fines y los medios del tratamiento de los datos personales de los usuarios e interesados vinculados a él.
NEXEFII actuará como encargada del tratamiento, procesando los datos personales únicamente en nombre y siguiendo las instrucciones documentadas del Cliente, en las condiciones y para los fines estipulados en este DPA y en el Acuerdo Comercial.
Cuando NEXEFII trate datos personales con fines propios e independientes, como los datos de cuentas de Administradores para la gestión contractual, podrá actuar como responsable independiente. Ese alcance se detalla en la Política de Privacidad de NEXEFII.
2. Objeto, Naturaleza y Finalidad del Tratamiento
NEXEFII trata datos personales en nombre del Cliente exclusivamente para los siguientes fines: (i) prestación de las funcionalidades y módulos de la Plataforma contratados; (ii) prestación de soporte técnico autorizado por el Cliente; (iii) mantenimiento, monitoreo de seguridad y mejora de la Plataforma, en la medida necesaria para la prestación del servicio; y (iv) cumplimiento de obligaciones legales aplicables a NEXEFII como encargada.
La naturaleza del tratamiento incluye recopilación, almacenamiento, acceso, organización, consulta, transmisión, uso, restricción, eliminación y demás operaciones necesarias para los fines descritos anteriormente.
La duración del tratamiento corresponde a la Vigencia del Acuerdo Comercial, más el período necesario para el cumplimiento de obligaciones legales o el procesamiento de solicitudes pendientes de los interesados, según se especifica en la Sección 10 (Devolución y Eliminación al Término).
3. Categorías de Datos e Interesados
Las categorías de datos personales tratados por NEXEFII como encargada incluyen, según la configuración del Cliente: (i) datos de identificación de Usuarios Finales (nombre, dirección de correo electrónico, identificadores de cuenta); (ii) datos de uso e interacción con la Plataforma (registros de acceso, preferencias, historial de acciones dentro de la cuenta del Cliente); (iii) datos de contacto y organizativos de los Administradores; (iv) datos transaccionales y financieros vinculados al Acuerdo Comercial del Cliente; y (v) cualesquiera otros datos personales contenidos en los Datos del Cliente según sean enviados por el propio Cliente.
NEXEFII no solicita ni fomenta el envío a la Plataforma de categorías especiales de datos personales (datos sensibles, datos de salud, datos biométricos, datos de menores). Si el Cliente enviara tales datos, es responsable de garantizar la base legal adecuada y de notificar previamente a NEXEFII para la evaluación de medidas adicionales.
Los interesados son principalmente: (i) los Usuarios Finales del Cliente; (ii) los Administradores designados por el Cliente; y (iii) terceros cuyos datos personales sean incluidos en los Datos del Cliente por el propio Cliente.
4. Obligaciones de NEXEFII como Encargada
NEXEFII, en su condición de encargada, se compromete a:
Tratar los datos personales únicamente sobre la base de las instrucciones documentadas del Cliente conforme a lo establecido en este DPA y en el Acuerdo Comercial, salvo cuando esté obligada a actuar de otro modo por la ley aplicable, en cuyo caso informará al Cliente antes del tratamiento en la medida permitida por la ley.
Garantizar que las personas autorizadas para tratar los datos personales del Cliente asuman compromisos adecuados de confidencialidad, ya sean de naturaleza contractual o legal.
Implementar y mantener medidas técnicas y organizativas adecuadas para proteger los datos personales frente al acceso no autorizado, la divulgación, la alteración, la pérdida accidental o la destrucción. Las medidas actualmente implementadas en la Plataforma incluyen: (i) control de acceso basado en roles (RBAC) con estricta segregación por tenant; (ii) aislamiento de tenant que garantiza que los datos de un cliente no sean accesibles para otros clientes; (iii) gestión de sesiones con expiración automática y protección contra la fijación de sesión; (iv) registros de auditoría inmutables para acciones sensibles dentro de la Plataforma; y (v) cifrado de datos en tránsito mediante TLS (Transport Layer Security). NEXEFII no afirma que todos los datos en reposo estén cifrados — esa afirmación requiere revisión técnica y confirmación por parte del equipo de seguridad.
Asistir al Cliente, mediante medios técnicos y organizativos razonables, en el cumplimiento de sus obligaciones de respuesta a solicitudes de ejercicio de derechos de los interesados, conforme a lo descrito en la Sección 6.
Cooperar con las auditorías realizadas por el Cliente o por el auditor que este designe, conforme a lo descrito en la Sección 9.
4.1. Soporte y Acceso Remoto
En el cumplimiento de sus obligaciones como encargada, cualquier acceso del personal de NEXEFII a los datos personales tratados en nombre del Cliente con fines de soporte es nominativo (vinculado a un usuario de soporte identificado), autorizado por el Cliente, temporal (con un plazo de expiración) y limitado al privilegio mínimo estrictamente necesario para la tarea.
NEXEFII no utiliza credenciales compartidas ni la contraseña del Cliente, y no dispone de acceso permanente ni continuo (standing access) al entorno del Cliente. Cada acceso de soporte se vincula a una justificación o ticket, se protege con autenticación multifactor (MFA), es revocable por el Cliente y queda registrado en una traza de auditoría inmutable, incluidos el inicio, el fin y las acciones relevantes.
El acceso es, por defecto, de solo lectura, admitiéndose la escritura únicamente cuando sea necesaria y esté autorizada. Los mecanismos de aprovisionamiento just-in-time (JIT) con elevación temporal limitada por tiempo se tratan como una mejora futura y aún no están implementados; hasta entonces, se aplica el procedimiento nominativo y transitorio descrito en esta cláusula y en la Política de Seguridad.
5. Subencargo del Tratamiento
El Cliente autoriza a NEXEFII a contratar subencargados del tratamiento para la prestación de los servicios, con la condición de que: (i) NEXEFII celebre contratos con los subencargados que impongan obligaciones de protección de datos equivalentes a las de este DPA; y (ii) NEXEFII siga siendo responsable frente al Cliente por los actos u omisiones de los subencargados en la misma medida que si los hubiera realizado directamente.
La lista actual de subencargados autorizados está identificada como la Lista de Subprocesadores de NEXEFII y es mantenida y publicada por NEXEFII de forma separada. Los pagos son procesados por Stripe, Inc., que actúa como subencargada de datos financieros en virtud de su propio acuerdo de procesamiento de datos.
NEXEFII notificará al Cliente con antelación razonable sobre cualquier incorporación o sustitución de subencargados, a través del canal de comunicación establecido en el Acuerdo Comercial o mediante aviso en la Plataforma. El Cliente podrá oponerse a la incorporación de un nuevo subencargado por motivo legítimo relacionado con la protección de datos, mediante notificación escrita dentro del plazo indicado en el aviso. Si NEXEFII no puede atender la objeción, el Cliente podrá resolver los servicios afectados conforme al procedimiento de la Sección 7 de los Términos.
6. Asistencia en el Ejercicio de Derechos de los Interesados
El Cliente, como responsable del tratamiento, es el principal responsable de recibir y responder a las solicitudes de los interesados que ejerzan sus derechos de protección de datos (acceso, rectificación, supresión, portabilidad, oposición, limitación del tratamiento y demás previstos en la legislación aplicable).
NEXEFII proporcionará al Cliente los medios técnicos disponibles en la Plataforma para que pueda responder a las solicitudes de los interesados, incluidas las herramientas de gestión de datos de usuarios disponibles en Master Control. Cuando la respuesta al interesado requiera una acción técnica fuera de las capacidades de autoservicio del Cliente, NEXEFII cooperará con el Cliente en un plazo razonable, según lo acordado.
Las solicitudes de interesados enviadas directamente a NEXEFII serán remitidas al Cliente, salvo cuando NEXEFII actúe como responsable independiente en relación con el dato en cuestión.
NEXEFII no responderá directamente a solicitudes de interesados relativas a datos bajo el control del Cliente sin autorización expresa de este, excepto cuando lo exija la ley.
7. Notificación de Violación de Datos Personales
NEXEFII notificará al Cliente sin demora indebida y dentro del plazo de sin demora indebida tras la confirmación del incidente tras tener conocimiento de una violación de seguridad que afecte a datos personales tratados en nombre del Cliente, proporcionando la información disponible sobre: (i) la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y registros afectados; (ii) las medidas adoptadas o en curso para contener y remediar la violación; y (iii) las consecuencias previsibles de la violación.
La notificación inicial podrá realizarse en fases a medida que se disponga de más información, dentro del plazo indicado. NEXEFII proporcionará información adicional conforme avancen las investigaciones.
El Cliente es responsable de evaluar si la violación requiere notificación a las autoridades de protección de datos o a los interesados afectados conforme a la legislación aplicable, y de llevar a cabo dicha comunicación.
La notificación de una violación por parte de NEXEFII no constituye reconocimiento de culpa ni responsabilidad por los daños derivados de la violación.
8. Transferencias Internacionales de Datos
NEXEFII solo podrá transferir datos personales a terceros países u organizaciones internacionales cuando: (i) el país de destino ofrezca un nivel de protección adecuado reconocido por la autoridad de protección de datos competente; (ii) existan garantías adecuadas conforme al mecanismo las salvaguardas contractuales adecuadas para transferencias internacionales, cuando ocurran; o (iii) sea aplicable alguna de las excepciones previstas en la legislación de protección de datos aplicable.
Las regiones de alojamiento y procesamiento de datos están identificadas como infraestructura gestionada en la nube (Railway). NEXEFII actualizará esta información ante cualquier cambio material en las regiones de procesamiento.
El Cliente reconoce que la operación de servicios basados en la nube puede implicar transferencias transfronterizas de datos y autoriza a NEXEFII a realizarlas conforme a las condiciones de este DPA.
9. Auditorías
El Cliente tiene derecho a auditar el cumplimiento por parte de NEXEFII de las obligaciones de este DPA, por sí mismo o a través de un auditor independiente que designe, siempre que: (i) notifique a NEXEFII con antelación razonable (mínimo treinta días, salvo en circunstancias urgentes); (ii) la auditoría se lleve a cabo durante el horario comercial habitual sin interrumpir las operaciones de la Plataforma; y (iii) el auditor esté sujeto a las obligaciones de confidencialidad adecuadas.
NEXEFII podrá, como alternativa, facilitar al Cliente informes de auditoría de terceros relevantes (como evaluaciones de seguridad o de conformidad realizadas por auditores independientes) que cubran las obligaciones de este DPA, sujeto a acuerdos de confidencialidad. La disponibilidad de dichos informes se comunicará al Cliente previa solicitud.
Los costes de la auditoría son responsabilidad del Cliente, excepto cuando la auditoría revele un incumplimiento material de NEXEFII, en cuyo caso NEXEFII asumirá sus propios costes.
10. Devolución y Eliminación al Término
Tras el vencimiento o la resolución del Acuerdo Comercial, por cualquier motivo, el Cliente tendrá acceso a la Plataforma exclusivamente para exportar sus datos durante un período de los plazos definidos en la Política de Retención y Eliminación de Datos (a confirmar). NEXEFII proporcionará las herramientas de exportación disponibles en la Plataforma durante dicho período.
Transcurrido el plazo de exportación, NEXEFII, salvo que la ley aplicable exija lo contrario, eliminará o hará irreversibles los datos personales del Cliente tratados en su nombre, confirmando por escrito al Cliente que la eliminación se ha llevado a cabo.
NEXEFII podrá conservar determinados datos personales durante el período mínimo exigido por la ley aplicable, las obligaciones de auditoría o la defensa de derechos en procedimientos judiciales, administrativos o arbitrales. El Cliente será informado de cualquier conservación de este tipo.
Se instruirá a los subencargados autorizados para que procedan igualmente a la eliminación o devolución de los datos personales de acuerdo con las instrucciones de NEXEFII y las obligaciones de este DPA.
11. Base Jurídica del Tratamiento
La base jurídica sobre la que el Cliente fundamenta el tratamiento de los datos personales que controla y delega a NEXEFII para su tratamiento es responsabilidad del Cliente y debe ser determinada por asesor legal y DPO calificados. El resumen de bases jurídicas aplicables al contexto del Cliente está identificado como las bases legales aplicables a la prestación del servicio y al cumplimiento de obligaciones legales.
El Cliente es responsable de garantizar que la delegación del tratamiento de datos personales a NEXEFII, incluidas las transferencias internacionales, esté amparada por una base jurídica válida conforme a la legislación aplicable (incluyendo, cuando corresponda, la Ley General de Protección de Datos de Brasil — LGPD — y el Reglamento General de Protección de Datos — RGPD).
NEXEFII no es responsable de determinar la adecuación de la base jurídica del Cliente ni de auditar el cumplimiento por parte del Cliente de sus obligaciones como responsable del tratamiento frente a los interesados y las autoridades de protección de datos.
12. Contacto y Responsable de Protección de Datos (DPO)
Para asuntos relacionados con el tratamiento de datos personales y este DPA, el Cliente puede contactar a NEXEFII en contact@nexefii.com.
El Responsable de Protección de Datos (DPO) de NEXEFII es el canal de privacidad de NEXEFII (contact@nexefii.com), contactable en contact@nexefii.com. El Cliente puede enviar solicitudes relacionadas con derechos de interesados, reclamaciones de privacidad y consultas sobre este DPA directamente al DPO.
NEXEFII se compromete a responder a las comunicaciones relacionadas con este DPA en un plazo razonable y a cooperar de buena fe con el Cliente y las autoridades de protección de datos competentes.