Actualización – 09 de julio de 2026
Adenda de tratamiento de datos personales (DPA)
Rebill – Contrato con el Comercio
A. Antecedentes
Esta Adenda de Tratamiento de Datos Personales (la “DPA”) complementa y forma parte de los Términos y Condiciones Generales, el Contrato con el Comercio, el Contrato de Servicios, la orden de servicio, el enunciado de trabajo (statement of work) u otro acuerdo escrito que rija el acceso y uso por parte del Comercio de los servicios de Rebill (en conjunto, el “Contrato de Servicios”).
Las partes reconocen que, en el marco de los Servicios, el Comercio puede recolectar Datos Personales directamente de los pagadores u otros usuarios finales y transmitir dichos Datos Personales a Rebill a través de integraciones vía API, flujos de pago alojados (hosted), tableros (dashboards), canales de soporte u otros medios técnicos acordados.
Para los Servicios de Encargado descritos en esta DPA, el Comercio actúa como Responsable del tratamiento y Rebill actúa como Encargado del tratamiento. Las partes reconocen además que Rebill puede actuar como Responsable independiente respecto de ciertas actividades que Rebill determina y realiza para cumplir con la ley aplicable, la regulación financiera, las obligaciones de prevención de lavado de activos, el filtrado en listas de sanciones (sanctions screening), los controles de fraude y riesgo, los requisitos fiscales y contables, las reglas de las redes de pago, las disputas, los contracargos, los reclamos legales y los reportes regulatorios.
Esta DPA incorpora por referencia la Política de Privacidad de Rebill, en la medida que resulte aplicable. En caso de conflicto entre esta DPA y la Política de Privacidad respecto de las obligaciones de Rebill como Encargado, prevalece esta DPA. En caso de conflicto entre esta DPA y el Contrato de Servicios en materia de protección de datos, prevalece esta DPA; en los demás casos, prevalece el Contrato de Servicios.
2. Alcance y Asignación de Roles
2.1 Esta DPA aplica al Tratamiento por parte de Rebill de Datos Personales de Clientes del Comercio como Encargado en relación con los Servicios de Encargado. Los detalles de dicho Tratamiento se establecen en el Anexo 1.
2.2 Las partes acuerdan que el Comercio es responsable de determinar los fines y la base de licitud para recolectar y transmitir los Datos Personales de Clientes del Comercio a Rebill para los Servicios de Encargado.
2.3 Rebill tratará los Datos Personales de Clientes del Comercio como Encargado únicamente conforme a las instrucciones documentadas del Comercio, incluyendo el Contrato de Servicios, esta DPA, la configuración de los Servicios por parte del Comercio y el uso por parte del Comercio de la API, el tablero o el flujo operativo aplicable, salvo que Rebill esté obligado a tratar dichos Datos Personales por ley aplicable.
2.4 Tratamiento como Responsable Independiente. No obstante cualquier disposición en contrario, Rebill actúa como Responsable independiente cuando trata Datos Personales para cumplir con la ley aplicable, la regulación financiera, las obligaciones de PLA/KYC, el filtrado en listas de sanciones, los controles de fraude y riesgo, las reglas de las redes de pago y esquemas de tarjetas, la gestión de disputas y contracargos, los requisitos fiscales y contables, el monitoreo de seguridad, los reportes regulatorios, las auditorías o los reclamos legales. Dicho Tratamiento no se realiza conforme a las instrucciones documentadas del Comercio, y Rebill es responsable de forma independiente del cumplimiento de la Ley de Protección de Datos Aplicable respecto de dicho Tratamiento.
2.5 Prohibición de venta de Datos Personales. Rebill no venderá los Datos Personales de Clientes del Comercio ni los utilizará para publicidad conductual entre contextos (cross-context behavioral advertising) ni para fines de marketing no relacionados, salvo autorización expresa del Comercio o permiso de la Ley de Protección de Datos Aplicable.
3. Obligaciones del Comercio
3.1 El Comercio cumplirá con la Ley de Protección de Datos Aplicable en su calidad de Responsable, incluyendo proporcionar todos los avisos requeridos y obtener todos los consentimientos u otras bases de licitud requeridas antes de recolectar o transmitir Datos Personales a Rebill.
3.2 El Comercio se asegurará de que sus avisos de privacidad divulguen el uso de Rebill y de terceros pertinentes para el procesamiento de pagos, la prevención de fraude, los controles de riesgo, el soporte al cliente, el cumplimiento regulatorio y otros fines razonablemente necesarios para prestar los Servicios.
3.3 El Comercio no instruirá a Rebill a tratar Datos Personales de una manera que infrinja la Ley de Protección de Datos Aplicable, las reglas de las redes de pago, los requisitos PCI DSS, la regulación financiera, las reglas de PLA/KYC o el Contrato de Servicios.
3.4 El Comercio es responsable de la exactitud, calidad y licitud de los Datos Personales transmitidos a Rebill y notificará sin demora a Rebill cualquier inexactitud sustancial o divulgación no autorizada de Datos Personales que pueda afectar los Servicios.
3.5 El Comercio no transmitirá categorías especiales de Datos Personales, datos personales sensibles ni datos regulados más allá de lo necesario para los Servicios, salvo acuerdo expreso por escrito y respaldado por una base de licitud aplicable.
4. Obligaciones de Rebill como Encargado
4.1 Instrucciones documentadas. Rebill tratará los Datos Personales de Clientes del Comercio como Encargado únicamente conforme a las instrucciones documentadas del Comercio, salvo que la ley aplicable lo exija. Si Rebill está legalmente obligado a tratar Datos Personales fuera de las instrucciones del Comercio, Rebill lo notificará al Comercio antes de dicho Tratamiento, salvo prohibición legal.
4.2 Confidencialidad y acceso. Rebill se asegurará de que el personal autorizado a tratar Datos Personales de Clientes del Comercio esté sujeto a obligaciones de confidencialidad apropiadas y de que el acceso se limite al personal y a los sistemas con una necesidad legítima de prestar los Servicios.
4.3 Medidas de seguridad. Rebill implementará y mantendrá medidas técnicas y organizativas apropiadas, diseñadas para proteger los Datos Personales de Clientes del Comercio contra el Tratamiento no autorizado o ilícito y contra la pérdida, destrucción, alteración o divulgación accidentales. Dichas medidas incluirán, cuando corresponda, los controles descritos en el Anexo 3.
4.4 PCI y datos de tarjeta. En la medida en que Rebill trate Datos del Titular de Tarjeta, Rebill mantendrá controles diseñados para cumplir con los requisitos PCI DSS aplicables a su rol. Rebill no almacenará códigos de verificación de tarjeta, CVV, CVC, CID, PIN ni datos completos de banda magnética después de la autorización, aun cifrados, salvo en la medida expresamente permitida por las reglas PCI DSS aplicables.
4.5 Solicitudes de titulares de datos. Considerando la naturaleza del Tratamiento, Rebill brindará asistencia razonable al Comercio para responder a solicitudes de los Titulares de los Datos que ejerzan derechos bajo la Ley de Protección de Datos Aplicable. Si Rebill recibe directamente una solicitud relativa a Datos Personales de Clientes del Comercio tratados como Encargado, Rebill, salvo prohibición legal, redirigirá o reenviará sin demora dicha solicitud al Comercio.
4.6 EIPD y consultas. Rebill brindará asistencia razonable al Comercio para las evaluaciones de impacto relativas a la protección de datos y las consultas previas a las autoridades de control, en la medida requerida por la Ley de Protección de Datos Aplicable y en relación con el Tratamiento de Rebill como Encargado.
4.7 Instrucciones ilícitas. Si Rebill considera razonablemente que una instrucción infringe la Ley de Protección de Datos Aplicable, Rebill lo notificará al Comercio y podrá suspender el Tratamiento afectado hasta que las partes resuelvan la cuestión.
5. Subencargados
5.1 El Comercio otorga a Rebill una autorización general por escrito para contratar Subencargados que presten los Servicios de Encargado, sujeto a los requisitos de esta Sección 5.
5.2 Rebill mantendrá una lista de Subencargados autorizados, incluyendo nombre, finalidad, ubicación de tratamiento y el mecanismo de transferencia pertinente cuando esté razonablemente disponible. La lista vigente se proporcionará en el Anexo 2, a través de una página web de subencargados de Rebill, o a solicitud escrita del Comercio.
5.3 Rebill impondrá a cada Subencargado obligaciones de protección de datos por escrito que no sean menos protectoras que las establecidas en esta DPA, en la medida aplicable a la naturaleza de los servicios prestados por el Subencargado.
5.4 Rebill dará al Comercio un aviso previo de al menos treinta (30) días antes de agregar o reemplazar a un Subencargado cuando lo exija la Ley de Protección de Datos Aplicable o cuando el cambio sea sustancial para los Servicios de Encargado. El Comercio podrá objetar por motivos razonables de protección de datos dentro de los quince (15) días posteriores al aviso.
5.5 Si las partes no pueden resolver una objeción oportuna y razonable, el Comercio podrá terminar los Servicios de Encargado afectados sin penalidad con un aviso escrito de treinta (30) días. Este remedio aplica únicamente a las actividades de Tratamiento afectadas y no exime al Comercio de las obligaciones de pago devengadas antes de la terminación.
5.6 Rebill sigue siendo responsable ante el Comercio por los actos y omisiones de los Subencargados en la misma medida en que Rebill sería responsable si prestara los Servicios de Encargado directamente, sujeto a las limitaciones de responsabilidad del Contrato de Servicios y de esta DPA.
6. Incidentes de Seguridad y Notificación de Violación de Datos
6.1 Rebill notificará al Comercio sin demora indebida y, cuando sea factible, dentro de las setenta y dos (72) horas siguientes a tomar conocimiento de una Violación de Datos que afecte Datos Personales de Clientes del Comercio tratados por Rebill como Encargado. Rebill podrá dar un aviso inicial con base en la información razonablemente disponible y complementarlo a medida que avance la investigación. Una demora en la notificación que no perjudique sustancialmente al Comercio no constituirá, por sí sola, un incumplimiento de esta DPA.
6.2 El aviso incluirá, en la medida razonablemente disponible: (a) una descripción de la naturaleza de la Violación de Datos; (b) las categorías y el número aproximado de Titulares de los Datos y registros afectados; (c) las probables consecuencias; (d) las medidas adoptadas o propuestas para abordar y mitigar la Violación de Datos; y (e) los datos de contacto del punto de contacto de seguridad o de protección de datos de Rebill.
6.3 Rebill adoptará medidas razonables para investigar, contener, remediar y mitigar los efectos de una Violación de Datos. El Comercio es responsable de determinar si se requiere notificación a las autoridades de control, reguladores, redes de pago o Titulares de los Datos afectados, salvo cuando Rebill tenga una obligación legal independiente de notificar.
6.4 La notificación bajo esta Sección 6 no constituye una admisión de culpa, responsabilidad ni violación de la ley.
7. Transferencias Internacionales de Datos
7.1 Los Datos Personales de Clientes del Comercio podrán ser transferidos o tratados en países distintos de aquel en el que se encuentran el Comercio o los Titulares de los Datos, incluyendo países donde operen Rebill, sus filiales, adquirentes, instituciones financieras, proveedores de nube, proveedores de prevención de fraude, proveedores de KYC/PLA, plataformas de soporte y otros Subencargados.
7.2 Cuando una transferencia de Datos Personales esté sujeta a restricciones de transferencia transfronteriza, Rebill se asegurará de que exista un mecanismo de transferencia apropiado, tal como una decisión de adecuación, cláusulas contractuales estándar, normas corporativas vinculantes, certificación, consentimiento, excepción por necesidad u otro mecanismo reconocido bajo la Ley de Protección de Datos Aplicable.
7.3 Para las transferencias de Datos Personales desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país no reconocido como que ofrece protección adecuada, las partes se basarán en las cláusulas contractuales estándar aplicables o en un mecanismo equivalente, con sus enmiendas o reemplazos oportunos, aplicándose el módulo correspondiente según los roles de las partes.
7.4 Para las transferencias de Datos Personales desde Brasil sujetas a las restricciones de transferencia internacional de la LGPD, las partes aplicarán un mecanismo de transferencia reconocido por la ANPD, incluidas las cláusulas contractuales estándar aprobadas por la ANPD cuando se requieran. Cuando dichas cláusulas sean requeridas, se incorporarán íntegramente y sin alteración, salvo por los campos editables permitidos.
7.5 A solicitud escrita razonable del Comercio, Rebill proporcionará información sobre los mecanismos de transferencia aplicables a los Servicios de Encargado, sujeto a restricciones de confidencialidad, seguridad y legales.
8. Auditoría y Verificación del Cumplimiento
8.1 A solicitud escrita razonable, Rebill pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de esta DPA, incluyendo resúmenes de políticas de seguridad, certificaciones de terceros, atestaciones, evidencia PCI DSS, SOC 2, ISO 27001, resúmenes ejecutivos de pruebas de penetración o materiales equivalentes, cuando estén disponibles y sean pertinentes.
8.2 El Comercio podrá solicitar una auditoría in situ o independiente no más de una vez por año calendario, y únicamente cuando la información, los reportes, las certificaciones y las atestaciones puestas a disposición bajo la Sección 8.1 sean razonablemente insuficientes para demostrar el cumplimiento, salvo que una auditoría sea requerida por una autoridad de control o que siga a una Violación de Datos sustancial que afecte Datos Personales de Clientes del Comercio. Toda auditoría estará sujeta a un aviso previo por escrito de al menos treinta (30) días, un alcance razonable, confidencialidad, restricciones de seguridad y las políticas de Rebill diseñadas para proteger sus sistemas, a otros clientes y la información sensible.
8.3 Las partes acordarán por escrito el alcance, el momento, la duración y el auditor. Rebill podrá rechazar a un auditor que sea competidor, carezca de calificaciones apropiadas o presente un conflicto de interés, en cuyo caso las partes cooperarán para seleccionar a un auditor alternativo.
8.4 Cuando Rebill proporcione un reporte de auditoría, certificación o atestación de un tercero vigente que cubra el Tratamiento pertinente, dichos materiales satisfarán el requisito de auditoría, salvo que el Comercio demuestre que se requiere legalmente o es razonablemente necesaria una actividad de auditoría adicional.
8.5 Las auditorías se realizarán a cargo del Comercio y no interrumpirán de manera irrazonable las operaciones comerciales de Rebill. Las auditorías no podrán incluir acceso directo a sistemas de producción, código fuente, datos de otros clientes, asesoramiento legal privilegiado ni información de seguridad altamente sensible.
9. Conservación, Devolución y Supresión
9.1 Rebill conservará los Datos Personales de Clientes del Comercio durante la vigencia del Contrato de Servicios y por cualquier período adicional requerido o permitido por la Ley de Protección de Datos Aplicable, la regulación financiera, las obligaciones de PLA/KYC, las reglas fiscales y contables, los requisitos de los esquemas de tarjetas, las reglas de disputas y contracargos, los requisitos de auditoría o los reclamos legales.
9.2 Tras la terminación o expiración del Contrato de Servicios, y sujeto a la conservación legalmente requerida o permitida, Rebill, a elección escrita del Comercio, devolverá o suprimirá de forma segura los Datos Personales de Clientes del Comercio tratados exclusivamente como Encargado. Rebill confirmará la finalización dentro de los sesenta (60) días posteriores a la solicitud escrita del Comercio, salvo que la ley requiera o permita la conservación.
9.3 Cuando Rebill conserve Datos Personales tras la terminación para el Tratamiento como Responsable Independiente o para fines de conservación legal, tratará dichos datos únicamente para esos fines y mantendrá medidas de seguridad apropiadas.
9.4 Copias de respaldo. Los Datos Personales almacenados en copias de respaldo rutinarias se suprimirán o sobrescribirán conforme al ciclo de vida estándar de respaldo de Rebill, siempre que dichos datos permanezcan protegidos y no se restauren salvo lo necesario para recuperación ante desastres, seguridad, o fines legales o de cumplimiento.
9.5 Los detalles adicionales de conservación se establecen en el Anexo 4. Si el Anexo 4 entra en conflicto con una ley imperativa, prevalece el período de conservación legal imperativo.
10. Responsabilidad
10.1 La responsabilidad de cada parte bajo esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Contrato de Servicios, salvo en la medida prohibida por la Ley de Protección de Datos Aplicable. Para evitar dudas, los topes de responsabilidad agregada del Contrato de Servicios y de esta DPA aplican de forma conjunta y no independiente, de modo que la responsabilidad agregada total de cualquiera de las partes bajo ambos instrumentos no excederá el tope aplicable más alto establecido en el Contrato de Servicios.
10.2 En la medida permitida por la ley aplicable, la responsabilidad agregada total de Rebill frente al Comercio bajo o en relación con esta DPA no excederá el cincuenta por ciento (50%) del total de los honorarios pagados por el Comercio a Rebill en los doce (12) meses previos al hecho que origina el reclamo.
10.3 Las limitaciones de esta Sección 10 no aplican a la responsabilidad derivada de la culpa grave o el dolo de una parte, ni a reclamos que no puedan limitarse bajo la Ley de Protección de Datos Aplicable.
11. Vigencia
11.1 Esta DPA entra en vigor en la fecha de vigencia del Contrato de Servicios y permanece vigente mientras Rebill trate Datos Personales de Clientes del Comercio por cuenta del Comercio o según lo exija de otro modo la Ley de Protección de Datos Aplicable.
11.2 La terminación o expiración de esta DPA no afecta los derechos u obligaciones devengados antes de la terminación ni las disposiciones destinadas a sobrevivir, incluyendo las Secciones 7, 8, 9, 10, 12 y 13.
12. Ley Aplicable y Jurisdicción
12.1 Esta DPA se rige por las leyes especificadas en el Contrato de Servicios. Si el Contrato de Servicios no especifica una ley aplicable, esta DPA se rige por las leyes de la República Argentina, sin considerar sus principios de conflicto de leyes.
12.2 Toda disputa que surja de o en relación con esta DPA estará sujeta al foro de resolución de disputas especificado en el Contrato de Servicios. Si no se especifica ninguno, las partes se someten a la jurisdicción exclusiva de los tribunales competentes de la Ciudad de Buenos Aires, Argentina.
13. Disposiciones Generales
13.1 Acuerdo íntegro. Esta DPA, junto con el Contrato de Servicios y los documentos incorporados, constituye el acuerdo íntegro entre las partes respecto del Tratamiento por parte de Rebill de Datos Personales de Clientes del Comercio como Encargado.
13.2 Modificaciones. Rebill podrá modificar esta DPA con un aviso previo por escrito de treinta (30) días cuando la modificación sea necesaria para cumplir con cambios en la Ley de Protección de Datos Aplicable, las reglas de las redes de pago, las obligaciones regulatorias, los requisitos de seguridad o cambios sustanciales en los Servicios. Para otras modificaciones, se requiere el acuerdo escrito de las partes.
13.3 Divisibilidad. Si alguna disposición de esta DPA es inválida o inejecutable, se modificará en la mínima medida necesaria para hacerla válida y ejecutable, y las disposiciones restantes permanecerán en vigor.
13.4 Orden de prelación. En caso de conflicto en materia de protección de datos, esta DPA prevalece sobre el Contrato de Servicios, salvo que el Contrato de Servicios establezca expresamente que prevalece sobre esta DPA. En todos los demás asuntos, prevalece el Contrato de Servicios.
13.5 Ausencia de terceros beneficiarios. Salvo cuando lo exija la Ley de Protección de Datos Aplicable o las cláusulas de transferencia incorporadas, esta DPA no crea derechos para terceros.
14. Suscripción
Esta DPA se incorpora a y forma parte integral del Contrato de Servicios entre las partes. Podrá suscribirse electrónicamente, mediante incorporación por referencia, o por firma a continuación, según lo permitan el Contrato de Servicios y la ley aplicable.
Anexo 1. Detalles del Tratamiento
Anexo 2. Subencargados Autorizados y Panorama de Transferencias
Rebill utiliza Subencargados en las categorías indicadas a continuación para prestar los Servicios. Los nombres de los proveedores, las ubicaciones de tratamiento y los mecanismos de transferencia pueden variar según el país, el método de pago y la configuración del producto. Rebill pondrá a disposición la lista vigente de Subencargados a solicitud escrita, a través de una página web de subencargados de Rebill, o bajo confidencialidad cuando corresponda.
Anexo 3. Medidas Técnicas y Organizativas
Anexo 4. Marco de Conservación