Políticas

Actualización – 09 de julio de 2026

Adenda de tratamiento de datos personales (DPA)

Rebill – Contrato con el Comercio

RESPONSABLE / COMERCIO ENCARGADO / REBILL FECHA DE VIGENCIA
La entidad identificada como Comercio en el Contrato de Servicios aplicable. Rebill, actuando a través de la entidad contratante aplicable identificada en el Contrato de Servicios. Concurrente con la suscripción o aceptación del Contrato de Servicios aplicable.

A. Antecedentes

Esta Adenda de Tratamiento de Datos Personales (la “DPA”) complementa y forma parte de los Términos y Condiciones Generales, el Contrato con el Comercio, el Contrato de Servicios, la orden de servicio, el enunciado de trabajo (statement of work) u otro acuerdo escrito que rija el acceso y uso por parte del Comercio de los servicios de Rebill (en conjunto, el “Contrato de Servicios”).

Las partes reconocen que, en el marco de los Servicios, el Comercio puede recolectar Datos Personales directamente de los pagadores u otros usuarios finales y transmitir dichos Datos Personales a Rebill a través de integraciones vía API, flujos de pago alojados (hosted), tableros (dashboards), canales de soporte u otros medios técnicos acordados.

Para los Servicios de Encargado descritos en esta DPA, el Comercio actúa como Responsable del tratamiento y Rebill actúa como Encargado del tratamiento. Las partes reconocen además que Rebill puede actuar como Responsable independiente respecto de ciertas actividades que Rebill determina y realiza para cumplir con la ley aplicable, la regulación financiera, las obligaciones de prevención de lavado de activos, el filtrado en listas de sanciones (sanctions screening), los controles de fraude y riesgo, los requisitos fiscales y contables, las reglas de las redes de pago, las disputas, los contracargos, los reclamos legales y los reportes regulatorios.

Esta DPA incorpora por referencia la Política de Privacidad de Rebill, en la medida que resulte aplicable. En caso de conflicto entre esta DPA y la Política de Privacidad respecto de las obligaciones de Rebill como Encargado, prevalece esta DPA. En caso de conflicto entre esta DPA y el Contrato de Servicios en materia de protección de datos, prevalece esta DPA; en los demás casos, prevalece el Contrato de Servicios.

Término Definición
Ley de Protección de Datos Aplicable Todas las leyes y regulaciones aplicables al Tratamiento de Datos Personales bajo el Contrato de Servicios, incluyendo, cuando corresponda, el GDPR, el UK GDPR, la LGPD de Brasil, la Ley 1581/2012 de Colombia y sus normas reglamentarias, la LFPDPPP de México y su reglamento, la Ley 25.326 de Argentina, la Ley 18.331 de Uruguay, las leyes de protección de datos de Chile, y cualquier norma sucesora o reglamentaria.
Datos del Titular de Tarjeta (Cardholder Data) Datos de tarjeta de pago según se definen en las reglas PCI DSS aplicables, incluyendo el número de cuenta principal (PAN) y los elementos de datos del titular de tarjeta asociados.
Responsable (Controller) La parte que determina los fines y medios del Tratamiento de Datos Personales. Para los Servicios de Encargado, el Comercio es el Responsable.
Violación de Datos (Data Breach) Una violación de seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o el acceso no autorizado, de forma accidental o ilícita, a Datos Personales tratados por Rebill como Encargado.
Titular de los Datos (Data Subject) Una persona física identificada o identificable a la que se refieren los Datos Personales, incluyendo clientes del Comercio, pagadores, representantes, beneficiarios finales y usuarios, cuando corresponda.
Tratamiento como Responsable Independiente El Tratamiento realizado por Rebill como Responsable independiente para sus propios fines legales, regulatorios, de riesgo, seguridad, redes de pago, fiscales, contables, prevención de fraude, disputas o cumplimiento.
Datos Personales Cualquier información relativa a una persona física identificada o identificable, incluyendo los Datos Personales de Clientes del Comercio.
Tratamiento Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, incluyendo recolección, recepción, almacenamiento, uso, divulgación, transmisión, restricción, conservación, supresión y devolución.
Servicios de Encargado Servicios respecto de los cuales Rebill trata Datos Personales de Clientes del Comercio por cuenta del Comercio y siguiendo sus instrucciones documentadas, según se describe en el Anexo 1.
Incidente de Seguridad Cualquier acceso no autorizado, pérdida, divulgación, alteración o destrucción, real o razonablemente presunta, de Datos Personales, o cualquier compromiso de los sistemas utilizados para tratar Datos Personales.
Subencargado (Sub-processor) Un tercero contratado por Rebill para tratar Datos Personales de Clientes del Comercio por cuenta del Comercio en relación con los Servicios de Encargado.

2. Alcance y Asignación de Roles

2.1 Esta DPA aplica al Tratamiento por parte de Rebill de Datos Personales de Clientes del Comercio como Encargado en relación con los Servicios de Encargado. Los detalles de dicho Tratamiento se establecen en el Anexo 1.

2.2 Las partes acuerdan que el Comercio es responsable de determinar los fines y la base de licitud para recolectar y transmitir los Datos Personales de Clientes del Comercio a Rebill para los Servicios de Encargado.

2.3 Rebill tratará los Datos Personales de Clientes del Comercio como Encargado únicamente conforme a las instrucciones documentadas del Comercio, incluyendo el Contrato de Servicios, esta DPA, la configuración de los Servicios por parte del Comercio y el uso por parte del Comercio de la API, el tablero o el flujo operativo aplicable, salvo que Rebill esté obligado a tratar dichos Datos Personales por ley aplicable.

2.4 Tratamiento como Responsable Independiente. No obstante cualquier disposición en contrario, Rebill actúa como Responsable independiente cuando trata Datos Personales para cumplir con la ley aplicable, la regulación financiera, las obligaciones de PLA/KYC, el filtrado en listas de sanciones, los controles de fraude y riesgo, las reglas de las redes de pago y esquemas de tarjetas, la gestión de disputas y contracargos, los requisitos fiscales y contables, el monitoreo de seguridad, los reportes regulatorios, las auditorías o los reclamos legales. Dicho Tratamiento no se realiza conforme a las instrucciones documentadas del Comercio, y Rebill es responsable de forma independiente del cumplimiento de la Ley de Protección de Datos Aplicable respecto de dicho Tratamiento.

2.5 Prohibición de venta de Datos Personales. Rebill no venderá los Datos Personales de Clientes del Comercio ni los utilizará para publicidad conductual entre contextos (cross-context behavioral advertising) ni para fines de marketing no relacionados, salvo autorización expresa del Comercio o permiso de la Ley de Protección de Datos Aplicable.

3. Obligaciones del Comercio

3.1 El Comercio cumplirá con la Ley de Protección de Datos Aplicable en su calidad de Responsable, incluyendo proporcionar todos los avisos requeridos y obtener todos los consentimientos u otras bases de licitud requeridas antes de recolectar o transmitir Datos Personales a Rebill.

3.2 El Comercio se asegurará de que sus avisos de privacidad divulguen el uso de Rebill y de terceros pertinentes para el procesamiento de pagos, la prevención de fraude, los controles de riesgo, el soporte al cliente, el cumplimiento regulatorio y otros fines razonablemente necesarios para prestar los Servicios.

3.3 El Comercio no instruirá a Rebill a tratar Datos Personales de una manera que infrinja la Ley de Protección de Datos Aplicable, las reglas de las redes de pago, los requisitos PCI DSS, la regulación financiera, las reglas de PLA/KYC o el Contrato de Servicios.

3.4 El Comercio es responsable de la exactitud, calidad y licitud de los Datos Personales transmitidos a Rebill y notificará sin demora a Rebill cualquier inexactitud sustancial o divulgación no autorizada de Datos Personales que pueda afectar los Servicios.

3.5 El Comercio no transmitirá categorías especiales de Datos Personales, datos personales sensibles ni datos regulados más allá de lo necesario para los Servicios, salvo acuerdo expreso por escrito y respaldado por una base de licitud aplicable.

4. Obligaciones de Rebill como Encargado

4.1 Instrucciones documentadas. Rebill tratará los Datos Personales de Clientes del Comercio como Encargado únicamente conforme a las instrucciones documentadas del Comercio, salvo que la ley aplicable lo exija. Si Rebill está legalmente obligado a tratar Datos Personales fuera de las instrucciones del Comercio, Rebill lo notificará al Comercio antes de dicho Tratamiento, salvo prohibición legal.

4.2 Confidencialidad y acceso. Rebill se asegurará de que el personal autorizado a tratar Datos Personales de Clientes del Comercio esté sujeto a obligaciones de confidencialidad apropiadas y de que el acceso se limite al personal y a los sistemas con una necesidad legítima de prestar los Servicios.

4.3 Medidas de seguridad. Rebill implementará y mantendrá medidas técnicas y organizativas apropiadas, diseñadas para proteger los Datos Personales de Clientes del Comercio contra el Tratamiento no autorizado o ilícito y contra la pérdida, destrucción, alteración o divulgación accidentales. Dichas medidas incluirán, cuando corresponda, los controles descritos en el Anexo 3.

4.4 PCI y datos de tarjeta. En la medida en que Rebill trate Datos del Titular de Tarjeta, Rebill mantendrá controles diseñados para cumplir con los requisitos PCI DSS aplicables a su rol. Rebill no almacenará códigos de verificación de tarjeta, CVV, CVC, CID, PIN ni datos completos de banda magnética después de la autorización, aun cifrados, salvo en la medida expresamente permitida por las reglas PCI DSS aplicables.

4.5 Solicitudes de titulares de datos. Considerando la naturaleza del Tratamiento, Rebill brindará asistencia razonable al Comercio para responder a solicitudes de los Titulares de los Datos que ejerzan derechos bajo la Ley de Protección de Datos Aplicable. Si Rebill recibe directamente una solicitud relativa a Datos Personales de Clientes del Comercio tratados como Encargado, Rebill, salvo prohibición legal, redirigirá o reenviará sin demora dicha solicitud al Comercio.

4.6 EIPD y consultas. Rebill brindará asistencia razonable al Comercio para las evaluaciones de impacto relativas a la protección de datos y las consultas previas a las autoridades de control, en la medida requerida por la Ley de Protección de Datos Aplicable y en relación con el Tratamiento de Rebill como Encargado.

4.7 Instrucciones ilícitas. Si Rebill considera razonablemente que una instrucción infringe la Ley de Protección de Datos Aplicable, Rebill lo notificará al Comercio y podrá suspender el Tratamiento afectado hasta que las partes resuelvan la cuestión.

5. Subencargados

5.1 El Comercio otorga a Rebill una autorización general por escrito para contratar Subencargados que presten los Servicios de Encargado, sujeto a los requisitos de esta Sección 5.

5.2 Rebill mantendrá una lista de Subencargados autorizados, incluyendo nombre, finalidad, ubicación de tratamiento y el mecanismo de transferencia pertinente cuando esté razonablemente disponible. La lista vigente se proporcionará en el Anexo 2, a través de una página web de subencargados de Rebill, o a solicitud escrita del Comercio.

5.3 Rebill impondrá a cada Subencargado obligaciones de protección de datos por escrito que no sean menos protectoras que las establecidas en esta DPA, en la medida aplicable a la naturaleza de los servicios prestados por el Subencargado.

5.4 Rebill dará al Comercio un aviso previo de al menos treinta (30) días antes de agregar o reemplazar a un Subencargado cuando lo exija la Ley de Protección de Datos Aplicable o cuando el cambio sea sustancial para los Servicios de Encargado. El Comercio podrá objetar por motivos razonables de protección de datos dentro de los quince (15) días posteriores al aviso.

5.5 Si las partes no pueden resolver una objeción oportuna y razonable, el Comercio podrá terminar los Servicios de Encargado afectados sin penalidad con un aviso escrito de treinta (30) días. Este remedio aplica únicamente a las actividades de Tratamiento afectadas y no exime al Comercio de las obligaciones de pago devengadas antes de la terminación.

5.6 Rebill sigue siendo responsable ante el Comercio por los actos y omisiones de los Subencargados en la misma medida en que Rebill sería responsable si prestara los Servicios de Encargado directamente, sujeto a las limitaciones de responsabilidad del Contrato de Servicios y de esta DPA.

6. Incidentes de Seguridad y Notificación de Violación de Datos

6.1 Rebill notificará al Comercio sin demora indebida y, cuando sea factible, dentro de las setenta y dos (72) horas siguientes a tomar conocimiento de una Violación de Datos que afecte Datos Personales de Clientes del Comercio tratados por Rebill como Encargado. Rebill podrá dar un aviso inicial con base en la información razonablemente disponible y complementarlo a medida que avance la investigación. Una demora en la notificación que no perjudique sustancialmente al Comercio no constituirá, por sí sola, un incumplimiento de esta DPA.

6.2 El aviso incluirá, en la medida razonablemente disponible: (a) una descripción de la naturaleza de la Violación de Datos; (b) las categorías y el número aproximado de Titulares de los Datos y registros afectados; (c) las probables consecuencias; (d) las medidas adoptadas o propuestas para abordar y mitigar la Violación de Datos; y (e) los datos de contacto del punto de contacto de seguridad o de protección de datos de Rebill.

6.3 Rebill adoptará medidas razonables para investigar, contener, remediar y mitigar los efectos de una Violación de Datos. El Comercio es responsable de determinar si se requiere notificación a las autoridades de control, reguladores, redes de pago o Titulares de los Datos afectados, salvo cuando Rebill tenga una obligación legal independiente de notificar.

6.4 La notificación bajo esta Sección 6 no constituye una admisión de culpa, responsabilidad ni violación de la ley.

7. Transferencias Internacionales de Datos

7.1 Los Datos Personales de Clientes del Comercio podrán ser transferidos o tratados en países distintos de aquel en el que se encuentran el Comercio o los Titulares de los Datos, incluyendo países donde operen Rebill, sus filiales, adquirentes, instituciones financieras, proveedores de nube, proveedores de prevención de fraude, proveedores de KYC/PLA, plataformas de soporte y otros Subencargados.

7.2 Cuando una transferencia de Datos Personales esté sujeta a restricciones de transferencia transfronteriza, Rebill se asegurará de que exista un mecanismo de transferencia apropiado, tal como una decisión de adecuación, cláusulas contractuales estándar, normas corporativas vinculantes, certificación, consentimiento, excepción por necesidad u otro mecanismo reconocido bajo la Ley de Protección de Datos Aplicable.

7.3 Para las transferencias de Datos Personales desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país no reconocido como que ofrece protección adecuada, las partes se basarán en las cláusulas contractuales estándar aplicables o en un mecanismo equivalente, con sus enmiendas o reemplazos oportunos, aplicándose el módulo correspondiente según los roles de las partes.

7.4 Para las transferencias de Datos Personales desde Brasil sujetas a las restricciones de transferencia internacional de la LGPD, las partes aplicarán un mecanismo de transferencia reconocido por la ANPD, incluidas las cláusulas contractuales estándar aprobadas por la ANPD cuando se requieran. Cuando dichas cláusulas sean requeridas, se incorporarán íntegramente y sin alteración, salvo por los campos editables permitidos.

7.5 A solicitud escrita razonable del Comercio, Rebill proporcionará información sobre los mecanismos de transferencia aplicables a los Servicios de Encargado, sujeto a restricciones de confidencialidad, seguridad y legales.

8. Auditoría y Verificación del Cumplimiento

8.1 A solicitud escrita razonable, Rebill pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de esta DPA, incluyendo resúmenes de políticas de seguridad, certificaciones de terceros, atestaciones, evidencia PCI DSS, SOC 2, ISO 27001, resúmenes ejecutivos de pruebas de penetración o materiales equivalentes, cuando estén disponibles y sean pertinentes.

8.2 El Comercio podrá solicitar una auditoría in situ o independiente no más de una vez por año calendario, y únicamente cuando la información, los reportes, las certificaciones y las atestaciones puestas a disposición bajo la Sección 8.1 sean razonablemente insuficientes para demostrar el cumplimiento, salvo que una auditoría sea requerida por una autoridad de control o que siga a una Violación de Datos sustancial que afecte Datos Personales de Clientes del Comercio. Toda auditoría estará sujeta a un aviso previo por escrito de al menos treinta (30) días, un alcance razonable, confidencialidad, restricciones de seguridad y las políticas de Rebill diseñadas para proteger sus sistemas, a otros clientes y la información sensible.

8.3 Las partes acordarán por escrito el alcance, el momento, la duración y el auditor. Rebill podrá rechazar a un auditor que sea competidor, carezca de calificaciones apropiadas o presente un conflicto de interés, en cuyo caso las partes cooperarán para seleccionar a un auditor alternativo.

8.4 Cuando Rebill proporcione un reporte de auditoría, certificación o atestación de un tercero vigente que cubra el Tratamiento pertinente, dichos materiales satisfarán el requisito de auditoría, salvo que el Comercio demuestre que se requiere legalmente o es razonablemente necesaria una actividad de auditoría adicional.

8.5 Las auditorías se realizarán a cargo del Comercio y no interrumpirán de manera irrazonable las operaciones comerciales de Rebill. Las auditorías no podrán incluir acceso directo a sistemas de producción, código fuente, datos de otros clientes, asesoramiento legal privilegiado ni información de seguridad altamente sensible.

9. Conservación, Devolución y Supresión

9.1 Rebill conservará los Datos Personales de Clientes del Comercio durante la vigencia del Contrato de Servicios y por cualquier período adicional requerido o permitido por la Ley de Protección de Datos Aplicable, la regulación financiera, las obligaciones de PLA/KYC, las reglas fiscales y contables, los requisitos de los esquemas de tarjetas, las reglas de disputas y contracargos, los requisitos de auditoría o los reclamos legales.

9.2 Tras la terminación o expiración del Contrato de Servicios, y sujeto a la conservación legalmente requerida o permitida, Rebill, a elección escrita del Comercio, devolverá o suprimirá de forma segura los Datos Personales de Clientes del Comercio tratados exclusivamente como Encargado. Rebill confirmará la finalización dentro de los sesenta (60) días posteriores a la solicitud escrita del Comercio, salvo que la ley requiera o permita la conservación.

9.3 Cuando Rebill conserve Datos Personales tras la terminación para el Tratamiento como Responsable Independiente o para fines de conservación legal, tratará dichos datos únicamente para esos fines y mantendrá medidas de seguridad apropiadas.

9.4 Copias de respaldo. Los Datos Personales almacenados en copias de respaldo rutinarias se suprimirán o sobrescribirán conforme al ciclo de vida estándar de respaldo de Rebill, siempre que dichos datos permanezcan protegidos y no se restauren salvo lo necesario para recuperación ante desastres, seguridad, o fines legales o de cumplimiento.

9.5 Los detalles adicionales de conservación se establecen en el Anexo 4. Si el Anexo 4 entra en conflicto con una ley imperativa, prevalece el período de conservación legal imperativo.

10. Responsabilidad

10.1 La responsabilidad de cada parte bajo esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Contrato de Servicios, salvo en la medida prohibida por la Ley de Protección de Datos Aplicable. Para evitar dudas, los topes de responsabilidad agregada del Contrato de Servicios y de esta DPA aplican de forma conjunta y no independiente, de modo que la responsabilidad agregada total de cualquiera de las partes bajo ambos instrumentos no excederá el tope aplicable más alto establecido en el Contrato de Servicios.

10.2 En la medida permitida por la ley aplicable, la responsabilidad agregada total de Rebill frente al Comercio bajo o en relación con esta DPA no excederá el cincuenta por ciento (50%) del total de los honorarios pagados por el Comercio a Rebill en los doce (12) meses previos al hecho que origina el reclamo.

10.3 Las limitaciones de esta Sección 10 no aplican a la responsabilidad derivada de la culpa grave o el dolo de una parte, ni a reclamos que no puedan limitarse bajo la Ley de Protección de Datos Aplicable.

11. Vigencia

11.1 Esta DPA entra en vigor en la fecha de vigencia del Contrato de Servicios y permanece vigente mientras Rebill trate Datos Personales de Clientes del Comercio por cuenta del Comercio o según lo exija de otro modo la Ley de Protección de Datos Aplicable.

11.2 La terminación o expiración de esta DPA no afecta los derechos u obligaciones devengados antes de la terminación ni las disposiciones destinadas a sobrevivir, incluyendo las Secciones 7, 8, 9, 10, 12 y 13.

12. Ley Aplicable y Jurisdicción

12.1 Esta DPA se rige por las leyes especificadas en el Contrato de Servicios. Si el Contrato de Servicios no especifica una ley aplicable, esta DPA se rige por las leyes de la República Argentina, sin considerar sus principios de conflicto de leyes.

12.2 Toda disputa que surja de o en relación con esta DPA estará sujeta al foro de resolución de disputas especificado en el Contrato de Servicios. Si no se especifica ninguno, las partes se someten a la jurisdicción exclusiva de los tribunales competentes de la Ciudad de Buenos Aires, Argentina.

13. Disposiciones Generales

13.1 Acuerdo íntegro. Esta DPA, junto con el Contrato de Servicios y los documentos incorporados, constituye el acuerdo íntegro entre las partes respecto del Tratamiento por parte de Rebill de Datos Personales de Clientes del Comercio como Encargado.

13.2 Modificaciones. Rebill podrá modificar esta DPA con un aviso previo por escrito de treinta (30) días cuando la modificación sea necesaria para cumplir con cambios en la Ley de Protección de Datos Aplicable, las reglas de las redes de pago, las obligaciones regulatorias, los requisitos de seguridad o cambios sustanciales en los Servicios. Para otras modificaciones, se requiere el acuerdo escrito de las partes.

13.3 Divisibilidad. Si alguna disposición de esta DPA es inválida o inejecutable, se modificará en la mínima medida necesaria para hacerla válida y ejecutable, y las disposiciones restantes permanecerán en vigor.

13.4 Orden de prelación. En caso de conflicto en materia de protección de datos, esta DPA prevalece sobre el Contrato de Servicios, salvo que el Contrato de Servicios establezca expresamente que prevalece sobre esta DPA. En todos los demás asuntos, prevalece el Contrato de Servicios.

13.5 Ausencia de terceros beneficiarios. Salvo cuando lo exija la Ley de Protección de Datos Aplicable o las cláusulas de transferencia incorporadas, esta DPA no crea derechos para terceros.

14. Suscripción

Esta DPA se incorpora a y forma parte integral del Contrato de Servicios entre las partes. Podrá suscribirse electrónicamente, mediante incorporación por referencia, o por firma a continuación, según lo permitan el Contrato de Servicios y la ley aplicable.

POR EL RESPONSABLE / COMERCIO POR EL ENCARGADO / REBILL
Firma: ____________________________ Firma: ____________________________
Nombre: ___________________________ Nombre: ___________________________
Cargo: ____________________________ Cargo: ____________________________
Fecha: ____________________________ Fecha: ____________________________

Anexo 1. Detalles del Tratamiento

Elemento del Tratamiento Descripción
Objeto Prestación de procesamiento de pagos, orquestación de pagos, enrutamiento de transacciones, soporte de autorización, soporte de prevención de fraude, reportería, conciliación, soporte de liquidación, soporte al cliente y servicios relacionados bajo el Contrato de Servicios.
Naturaleza y finalidad del Tratamiento Recibir, validar, transmitir, tokenizar, almacenar, asegurar, analizar, conciliar, reportar y suprimir Datos Personales según sea necesario para prestar los Servicios, dar soporte al Comercio, gestionar los flujos de pago, prevenir el fraude y mantener la seguridad de la plataforma.
Categorías de Titulares de los Datos Clientes del Comercio, pagadores, usuarios, compradores, suscriptores, representantes autorizados, contactos de soporte, beneficiarios finales y otras personas cuyos Datos Personales se transmitan a Rebill en relación con los Servicios.
Categorías de Datos Personales Datos de identificación como nombre, correo electrónico, número de teléfono, documento nacional o identificación fiscal cuando se requiera; datos de transacción como monto, moneda, comercio, país, identificadores de transacción, método de pago, estado, reembolsos, disputas, contracargos; datos técnicos como dirección IP, ID de dispositivo, huella de dispositivo, metadatos de navegador, registros (logs), señales de riesgo; datos de pago como PAN o PAN tokenizado, nombre del titular de tarjeta, fecha de expiración, dirección de facturación, respuesta de autorización y tokens de pago; datos de soporte y comunicaciones.
Datos de autenticación sensibles El CVV/CVC/CID, los PIN y los datos completos de banda magnética o datos equivalentes de autenticación sensible se tratan únicamente de forma transitoria cuando es necesario para la autorización y no se almacenan después de la autorización, salvo cuando lo permitan expresamente las reglas PCI DSS aplicables.
Categorías especiales / datos sensibles No se tratan intencionalmente como parte de los Servicios estándar, salvo acuerdo expreso por escrito y respaldado por la Ley de Protección de Datos Aplicable.
Duración del Tratamiento Durante la vigencia del Contrato de Servicios más cualquier período de conservación requerido o permitido por ley, regulación financiera, obligaciones de PLA/KYC, reglas fiscales/contables, requisitos de esquemas de tarjetas, disputas, contracargos, auditorías o reclamos legales.
Frecuencia del Tratamiento Continua o según la inicien el Comercio, los pagadores, las redes de pago, los adquirentes, los procesadores, los bancos, los proveedores de fraude, los proveedores de KYC/PLA, los canales de soporte o los eventos de la plataforma.
Instrucciones del Comercio El Contrato de Servicios, esta DPA, la configuración del Comercio, las llamadas a la API, las operaciones en el tablero, las solicitudes de soporte y otras instrucciones documentadas aceptadas por Rebill.

Anexo 2. Subencargados Autorizados y Panorama de Transferencias

Rebill utiliza Subencargados en las categorías indicadas a continuación para prestar los Servicios. Los nombres de los proveedores, las ubicaciones de tratamiento y los mecanismos de transferencia pueden variar según el país, el método de pago y la configuración del producto. Rebill pondrá a disposición la lista vigente de Subencargados a solicitud escrita, a través de una página web de subencargados de Rebill, o bajo confidencialidad cuando corresponda.

Categoría Finalidad Nombres de proveedores Ubicaciones de tratamiento Mecanismo de transferencia
Proveedores de infraestructura de nube y hosting Alojamiento, cómputo, almacenamiento, base de datos, seguridad de red, respaldo, registro Nombres disponibles a solicitud o vía lista de subencargados de Rebill Argentina, Brasil, México, Chile, Uruguay, Colombia, Estados Unidos u otras ubicaciones pertinentes SCC, SCC de la ANPD, adecuación, DPA u otro mecanismo aplicable
Adquirentes licenciados, procesadores de pago, redes de tarjetas, bancos e instituciones financieras Autorización, compensación, liquidación, pagos, contracargos, gestión de disputas, obligaciones regulatorias/de redes de pago Nombres por país disponibles a solicitud o vía lista de subencargados de Rebill Países donde se prestan servicios de pago y operan socios de pago transfronterizos Necesidad por ley local, SCC/SCC de la ANPD cuando se requieran, necesidad regulatoria financiera, DPA
Proveedores de prevención de fraude y gestión de riesgo Scoring de fraude, huella de dispositivo, señales de riesgo, monitoreo de transacciones Nombres disponibles a solicitud o vía lista de subencargados de Rebill Ubicaciones del proveedor y regiones de tratamiento SCC, SCC de la ANPD, DPA u otro mecanismo aplicable
Proveedores de verificación de identidad y KYC/PLA Verificación de identidad, filtrado en listas de sanciones/PEP, soporte de onboarding, cumplimiento regulatorio Nombres disponibles a solicitud o vía lista de subencargados de Rebill Ubicaciones del proveedor y regiones de tratamiento SCC, SCC de la ANPD, necesidad legal/regulatoria, DPA u otro mecanismo aplicable
Herramientas de onboarding y ciclo de vida del comercio Onboarding de comercio, KYB, CRM, flujos operativos Nombres disponibles a solicitud o vía lista de subencargados de Rebill Ubicaciones del proveedor y regiones de tratamiento SCC, SCC de la ANPD, DPA u otro mecanismo aplicable
Plataformas de soporte al cliente y comunicaciones Tickets de soporte, notificaciones, correo/SMS/WhatsApp u otras comunicaciones Nombres disponibles a solicitud o vía lista de subencargados de Rebill Ubicaciones del proveedor y regiones de tratamiento SCC, SCC de la ANPD, DPA u otro mecanismo aplicable

Anexo 3. Medidas Técnicas y Organizativas

Área de control Medidas
Gobernanza Políticas documentadas de seguridad de la información y privacidad; asignación de la responsabilidad de seguridad/privacidad; revisión periódica de políticas; obligaciones de confidencialidad para el personal.
Controles de acceso Control de acceso basado en roles; mínimo privilegio; cuentas de usuario únicas; revisiones de acceso; desaprovisionamiento oportuno; MFA para sistemas administrativos y sensibles cuando esté disponible.
Cifrado y gestión de claves Cifrado de Datos Personales en tránsito mediante protocolos estándar de la industria; cifrado en reposo para bases de datos, almacenamiento y respaldos cuando sea técnicamente factible; acceso restringido a claves y rotación gestionada de claves cuando corresponda.
Seguridad de red e infraestructura Entornos segregados; firewalls/grupos de seguridad; configuración de nube endurecida; monitoreo de sistemas críticos; gestión de vulnerabilidades y parcheo basado en riesgo.
Seguridad de aplicaciones Prácticas de desarrollo seguro; revisión de código para cambios sustanciales; gestión de dependencias; gestión de secretos; pruebas antes del despliegue a producción; registro y monitoreo de eventos relevantes de seguridad.
Controles PCI DSS Controles diseñados para cumplir los requisitos PCI DSS aplicables al rol de Rebill, incluyendo la protección de los Datos del Titular de Tarjeta, el enmascaramiento/tokenización del PAN cuando corresponda y la prohibición de almacenar datos de autenticación sensibles después de la autorización.
Respuesta a incidentes Proceso de respuesta a incidentes; procedimientos de escalamiento; investigación, contención, remediación y revisión posterior al incidente; flujo de notificación de violaciones alineado con esta DPA.
Minimización y conservación de datos Recolección y conservación limitadas a lo necesario para los Servicios, las obligaciones legales/regulatorias, los requisitos de las redes de pago, la seguridad, la prevención de fraude, las disputas y los reclamos legales.
Gestión de proveedores Debida diligencia de los Subencargados sustanciales; obligaciones de protección de datos por escrito; revisión de la postura de seguridad y privacidad según el riesgo y el rol.
Continuidad del negocio Respaldos, procedimientos de restauración, medidas de recuperación ante desastres y continuidad del negocio proporcionales a la naturaleza de los Servicios.
Seguridad física Confianza en los controles de seguridad física del proveedor de nube y de oficinas, según corresponda, más acceso restringido a las instalaciones donde se ubican los sistemas o registros gestionados por la empresa.
Capacitación y concientización Inducción de seguridad/privacidad y concientización periódica para el personal con acceso a Datos Personales.

Anexo 4. Marco de Conservación

Categoría de datos Enfoque de conservación Fundamento principal
Registros de transacciones Según lo requiera o permita la regulación financiera, las reglas fiscales/contables, los requisitos de los esquemas de tarjetas, los plazos de disputas/contracargos, las obligaciones de PLA/KYC, las auditorías y los reclamos legales; comúnmente hasta diez (10) años según la jurisdicción y el tipo de registro. Regulación financiera, fiscal/contable, PLA/KYC, disputas, reglas de esquemas de tarjetas, auditoría, reclamos legales
PAN / datos de tarjeta tokenizados Solo en la medida necesaria y permitida bajo PCI DSS, las reglas de las redes de pago y el Contrato de Servicios. El PAN almacenado, cuando se conserve, debe estar protegido, enmascarado, tokenizado, cifrado o vuelto ilegible según lo requiera PCI DSS. Procesamiento de pagos, pagos recurrentes, disputas, seguridad, PCI DSS
CVV/CVC/CID, PIN, banda magnética completa o datos de autenticación sensibles equivalentes No se almacenan después de la autorización, aun cifrados, salvo cuando lo permitan expresamente las reglas PCI DSS aplicables. Cumplimiento PCI DSS y de redes de pago
Huella de dispositivo, dirección IP, metadatos de navegador y señales de riesgo Durante el período razonablemente necesario para prevención de fraude, monitoreo de seguridad, modelado de riesgo, disputas, cumplimiento y reclamos legales, sujeto a la ley aplicable y a las políticas de conservación de Rebill. Fraude/riesgo, seguridad, gestión de disputas, cumplimiento
Registros de KYC/KYB/PLA y sanciones Según lo requiera o permita la normativa aplicable de PLA/KYC, la regulación financiera, el filtrado en listas de sanciones, los reportes regulatorios, las auditorías y los reclamos legales. PLA/KYC, sanciones, regulación financiera, reclamos legales
Registros de soporte y comunicaciones Durante el período razonablemente necesario para prestar soporte, evidenciar las instrucciones del Comercio, resolver disputas, mejorar la calidad del servicio y cumplir obligaciones legales. Soporte al cliente, disputas, calidad de servicio, reclamos legales
Respaldos y registros (logs) Se conservan según el ciclo de vida de respaldo y registro de Rebill, y luego se sobrescriben o suprimen en el curso ordinario, salvo obligación legal de preservarlos. Seguridad, resiliencia, auditoría, recuperación ante desastres

De interés: