Términos y Condiciones Mollie Invoicing

Estas condiciones del servicio (“Condiciones del Servicio de Facturación”) constituyen un acuerdo legal entre tú y la organización o entidad que representas (en adelante descrita como “Organización”, “tú” o “tuyo”) y Mollie B.V. y sus licenciantes (en adelante descritos como “Mollie”, “nosotros” o “nuestro”) para regular el uso del Servicio de Facturación.

Las Condiciones del Servicio de Facturación establecen los términos bajo los cuales se te permitirá utilizar el Servicio de Facturación. El Acuerdo de Usuario, que se aplica a ti en su totalidad, sigue vigente y se complementa con estas Condiciones del Servicio de Facturación. En caso de conflicto entre el Acuerdo de Usuario y estas Condiciones del Servicio de Facturación, estas últimas prevalecerán, pero solo en relación con el Servicio de Facturación y su uso.

Se aplican las siguientes definiciones además de las incluidas en el Acuerdo de Usuario o cualquier otro acuerdo entre Mollie y la Organización:

Al utilizar el Servicio de Facturación, confirmas estar de acuerdo con las siguientes condiciones:

1. Descripción del servicio

1.1 El servicio de facturación de Mollie es una solución de facturación digital diseñada para ayudar a las plataformas o comercios a crear, personalizar, enviar y gestionar de manera eficiente facturas a través del Dashboard de Mollie o del Invoice API, permitiendo la creación rápida de facturas, la aplicación de IVA, recordatorios y rastreadores de pago automatizados y múltiples opciones de pago para los clientes (“Servicio de Facturación”).

2. Tarifas

2.1 El precio del Servicio de Facturación se establecerá de acuerdo con www.mollie.com/pricing o según lo acordado por escrito entre las partes.

3. Información personal y procesamiento de datos

3.1 Para utilizar el Servicio de Facturación, es posible que debas proporcionar información personal de tus clientes y usuarios a Mollie, y Mollie podría procesar dicha información personal para habilitar el funcionamiento de dicho servicio. Otorgas a Mollie permiso y consentimiento para utilizar tu información personal, o la de tus clientes, y/o poner la información personal tuya o de tus clientes a disposición de terceros en la medida en que sea necesario para habilitar o proporcionar el Servicio de Facturación. Se te considerará el «responsable del tratamiento» de cualquier información personal utilizada para generar facturas y nosotros procesaremos la información personal como «encargado del tratamiento» de acuerdo con el Anexo 1 (ACUERDO DE PROCESAMIENTO DE DATOS PARA EL SERVICIO DE FACTURACIÓN DE MOLLIE) y la Declaración de Privacidad de Mollie disponible en www.mollie.com/legal/privacy.

3.2 Sin perjuicio de cualquier disposición en contrario, al utilizar el Servicio de Facturación garantizas que cumples, y seguirás cumpliendo, con todas y cada una de las normativas de protección de datos, incluido, de forma ilimitada, el Reglamento General de Protección de Datos (“RGPD”) o cualquier regulación o ley de protección de datos equivalente aplicable a tu actividad comercial.

4. Tus obligaciones y responsabilidades

4.1 No debes utilizar el Servicio de Facturación, ni permitir que se utilice, de ninguna manera ilegal o inapropiada.

4.2 Deberás cumplir con las leyes y normativas actuales y futuras relativas a los requisitos de facturación y fiscales. La responsabilidad de garantizar la exactitud e idoneidad de una factura, incluidos los tipos de IVA aplicados, recae exclusivamente en ti. Si el tipo de IVA aplicable de tu factura no es compatible con el Servicio de Facturación (por ejemplo, debido a cambios en los tipos de IVA aplicables de un país), deberás notificárnoslo por escrito a la mayor brevedad y evaluaremos, y si es necesario, ajustaremos la configurabilidad del Servicio de Facturación para admitir el nuevo tipo de IVA.

4.3 Eres responsable de tomar las precauciones adecuadas (de forma regular y de acuerdo con los riesgos involucrados) para proteger los datos y contenidos introducidos, cargados y almacenados durante el uso del Servicio de Facturación, así como de crear tus propias copias de seguridad para garantizar la reconstrucción de los datos y la información en caso de pérdida. Deberás, en la medida de tus posibilidades, evitar el acceso no autorizado de terceros al Servicio de Facturación.

4.4 No tendrás derecho (a menos que se acuerde explícitamente lo contrario por escrito) a:

• poner el Servicio de Facturación a disposición de terceros ajenos a tus empleados, agentes, contratistas u otros usuarios asociados de ninguna forma; o

• reproducir, modificar, realizar ingeniería inversa de partes de, desensamblar, descompilar o traducir el Servicio de Facturación.

4.5 Has tomado nota de tus obligaciones establecidas en el Anexo 1 y estás de acuerdo con ellas.

5. Licencia y propiedad intelectual (PI)

5.1 Se te concede un derecho no exclusivo, intransferible, no sublicenciable, mundial, revocable y temporal para utilizar el Servicio de Facturación. El Servicio de Facturación se pondrá a tu disposición únicamente de forma no exclusiva. Mollie no estará obligada a proporcionar otros servicios distintos del Servicio de Facturación. No se conceden más derechos de uso en relación con el Servicio de Facturación.

5.2 Eres el único responsable de gestionar los derechos de usuario y deberás asegurarte de que todos ellos cumplan con las restricciones contenidas en el Acuerdo de Usuario de Mollie y en estas Condiciones al utilizar el Servicio de Facturación.

5.3 Todos los derechos de propiedad intelectual y de uso (distintos de la licencia concedida en el presente documento) en relación con el Servicio de Facturación, incluidos el código fuente, las bases de datos, las funcionalidades, el software, los diseños de sitios web, el audio, el vídeo, el texto, las fotografías y los gráficos (“Derechos de PI”), pertenecen íntegramente a Mollie.

5.4 En la medida en que se te proporcionen kits de desarrollo de software (“SDK”), incluida cualquier actualización o soporte técnico de los mismos, se aplicarán las siguientes disposiciones especiales para los SDK:

• Se te concede una licencia no exclusiva, intransferible, revocable y libre de regalías para (i) instalar y utilizar el SDK solo en forma de código objeto para desarrollar programas que consistan en código compilado generado mediante el SDK, o cualquier parte de este, diseñado para funcionar con el Producto; (ii) realizar un número limitado de copias de la documentación del SDK para que las utilicen tus empleados o consultores únicamente con fines de desarrollo, y no para fines comerciales generales o para su distribución; y (iii) distribuir el SDK en forma de código objeto únicamente como componente del Producto;

• Mollie tiene derecho, pero no la obligación, de proporcionar cualquier soporte técnico u otro tipo de soporte para los SDK;

• los SDK incluyen código que genera notificaciones automáticas de errores que tú debes enviar, y aceptas que Mollie tiene un derecho perpetuo, irrevocable e ilimitado a utilizar dicha información para sus fines comerciales, incluidos, entre otros, el desarrollo y soporte de productos;

• si utilizas los SDK para ejecutar aplicaciones desarrolladas por ti o por un tercero, o para acceder a datos, contenidos o recursos proporcionados por un tercero, aceptas que Mollie no es responsable de esas aplicaciones, datos, contenidos o recursos;

• los SDK se licencian “tal cual”. Asumes el riesgo de su uso; Mollie declina toda garantía (ya sea legal, expresa o implícita) y no ofrece ninguna garantía con respecto a tu uso de los SDK.

  
  

6. Responsabilidad e indemnización

6.1 Mollie no se responsabiliza de los errores, actos, omisiones o incumplimientos derivados de tus datos, configuraciones o uso del Servicio de Facturación. Eres el único y último responsable de garantizar que todos los datos utilizados para crear o emitir facturas, incluidos los tipos de IVA aplicados, cumplan con las leyes (fiscales) vigentes en el país de uso correspondiente. Mollie no tiene la obligación de verificar la exactitud, integridad o corrección de los datos o configuraciones (de IVA) configurados, suministrados o utilizados por ti a través del Servicio de Facturación. Indemnizarás y eximirás a Mollie de toda responsabilidad frente a reclamaciones de terceros, responsabilidades, daños, pérdidas, costes y gastos (incluidos los honorarios razonables de abogados) que surjan de o estén relacionados con tu uso del Servicio de Facturación, incluida la configuración del IVA.

6.2 Para evitar dudas, en el caso de que Mollie sea responsable de cualquier daño, nuestra responsabilidad estará limitada de acuerdo con el Acuerdo de Usuario.

Anexo 1: ACUERDO DE PROCESAMIENTO DE DATOS

Este ACUERDO DE PROCESAMIENTO DE DATOS (en adelante “DPA”), incluyendo sus apéndices, describe las obligaciones de las Partes, incluso en virtud de las leyes de protección de datos aplicables, con respecto al procesamiento de datos personales (tal como se define más adelante). El DPA está incorporado al Acuerdo de Usuario.

Este DPA se celebra entre la Organización (en adelante “Responsable del tratamiento”)

y 

Mollie B.V., una sociedad de responsabilidad limitada (besloten vennootschap) con domicilio social en Ámsterdam, en Keizersgracht 126, 1015 CW Ámsterdam, Países Bajos, e inscrita en la Cámara de Comercio neerlandesa con el número 30204462 (en adelante “Mollie” o “Encargado del tratamiento”)

y 

Mollie UK Ltd., una sociedad de responsabilidad limitada con domicilio social en Londres, 7 Pancras Square, Londres N1C 4AG, Reino Unido, e inscrita en la Companies House con el número 14013554 (en adelante “Mollie” o “Encargado del tratamiento”),

cada una denominada una “Parte” y conjuntamente las “Partes”. 

Definiciones 

En este DPA, los siguientes términos tienen el significado que se establece a continuación. Los términos en mayúsculas utilizados pero no definidos en el presente documento tendrán el significado establecido en el Acuerdo.

Acuerdo
el acuerdo entre el Responsable del tratamiento y el Encargado del tratamiento para la prestación de servicios (“Acuerdo de Usuario”).

Normas Corporativas Vinculantes
políticas de protección de datos personales a las que se adhiere un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de Datos Personales a un responsable o encargado del tratamiento en uno o más terceros países dentro de un grupo de empresas o grupo de empresas que ejercen una actividad económica conjunta.

Responsable del tratamiento
la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del Procesamiento de Datos Personales.

Cliente
Clientes de la Organización que desean pagar por productos y/o servicios proporcionados por la Organización a través del Módulo de Pago de Mollie.

Brecha de seguridad de datos
una brecha de seguridad que cause la destrucción, pérdida, alteración accidental o ilícita, o la revelación o el acceso no autorizado a Datos Personales transmitidos, almacenados o procesados de otro modo. 

Acuerdo de Procesamiento de Datos
este acuerdo, incluidos todos sus anexos.

Autoridad de Control
un organismo gubernamental independiente responsable de supervisar el cumplimiento de las leyes aplicables relativas al Procesamiento de Datos Personales. En los Países Bajos, se trata de la Autoriteit Persoonsgegevens.

Evaluación de Impacto relativa a la Protección de Datos
una evaluación del impacto de las operaciones de procesamiento previstas en la protección de Datos Personales. 

Leyes de Protección de Datos
toda la legislación aplicable en materia de protección de datos y privacidad, incluido, entre otros, el Reglamento General de Protección de Datos de la UE, todas las leyes y normativas locales que modifiquen o sustituyan a cualquiera de ellos, junto con cualquier ley nacional de desarrollo en cualquier Estado miembro del Espacio Económico Europeo (EEE), en la medida en que sea aplicable, en cualquier otro país, según se modifique, derogue, consolide o sustituya periódicamente. 

Interesado
la persona física a la que se refieren los Datos Personales (por ejemplo, los Clientes).

RGPD
el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y a la libre circulación de estos datos. 

Datos Personales
toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. 

Procesamiento
cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Esta lista no es exhaustiva. Los términos “procesar”, “procesa” y “procesado” se interpretarán en consecuencia. 

Encargado del tratamiento
una persona física o jurídica, autoridad pública, servicio u otro organismo que procese Datos (Personales) por cuenta del Responsable del tratamiento.

Organización
la organización que utiliza el Módulo de Pago de Mollie para fines que incluyen, entre otros, la venta de productos y/o servicios a Clientes.

Cláusulas Contractuales Tipo
Cláusulas Contractuales Tipo de la Comisión Europea para Encargados del Tratamiento (2010/87/UE) o Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (C/2021/3972).

Subencargado del tratamiento
cualquier tercero, entidad o empresa contratada por el Encargado del tratamiento para procesar Datos Personales en la prestación de los servicios en virtud del Acuerdo. 

SECCIÓN A OBJETO 

Artículo A.1 Ámbito de aplicación

El Encargado del tratamiento ha aceptado prestar servicios al Responsable del tratamiento de conformidad con las condiciones del Acuerdo de Usuario. Al prestar los servicios, el Encargado del tratamiento procesará Datos Personales por cuenta del Responsable de conformidad con lo establecido en este DPA. El Encargado del tratamiento, en calidad de institución financiera, también procesa Datos Personales actuando como responsable del tratamiento. 

Las Partes reconocen y aceptan que, en la medida en que Mollie procese Datos Personales implicados en transacciones de pago para: i) ejecutar el Acuerdo de Usuario con el Responsable del tratamiento; ii) supervisar, prevenir y detectar transacciones de pago fraudulentas; iii) cumplir con las obligaciones legales o reglamentarias aplicables al procesamiento y la conservación de los datos de pago a los que Mollie está sujeta, incluidos los controles antiblanqueo aplicables y el cumplimiento de las obligaciones de conocimiento del cliente (KYC); y iv) mejorar los productos y servicios de Mollie, Mollie actúa como responsable del tratamiento y tiene la autoridad única y exclusiva para determinar los fines y medios del procesamiento de los Datos Personales que recibe de o a través del Responsable del tratamiento (mediante la prestación de servicios).

Las actividades de procesamiento, los Datos Personales y las categorías de Interesados para los cuales el Encargado del tratamiento procesa Datos Personales por cuenta del Responsable del tratamiento se detallan en el Anexo A. 

SECCIÓN B OBLIGACIONES 

Artículo B.1 Obligaciones del Responsable del tratamiento 

El Responsable del tratamiento es responsable de los Datos Personales que el Encargado del tratamiento procesará y garantizará el cumplimiento de todas las Leyes de Protección de Datos, incluidos los requisitos relativos a la transferencia de Datos Personales en virtud de este DPA y el Acuerdo de Usuario. El Responsable del tratamiento garantiza tener derecho a procesar los Datos Personales y poseer el derecho a designar al Encargado del tratamiento para que procese los datos en su nombre.

El Responsable del tratamiento acepta que, sin limitación de las obligaciones del Encargado en virtud de este DPA, el Responsable del tratamiento es el único responsable de su uso de los servicios, incluyendo (a) hacer un uso adecuado de los servicios para asegurar un nivel de seguridad apropiado al riesgo respecto de los Datos Personales; (b) proteger las credenciales de autenticación de la cuenta, sistemas y dispositivos que el Responsable de tratamiento utiliza para acceder a los servicios; (c) proteger los sistemas y dispositivos del Responsable de tratamiento que utiliza con los servicios; y (d) mantener sus propias copias de seguridad de los Datos Personales.

Artículo B.2 Obligaciones del Encargado del tratamiento 

El Encargado del tratamiento se compromete a: 

1. procesar los Datos Personales únicamente de conformidad con las instrucciones documentadas del Responsable del tratamiento y tomará las medidas necesarias para garantizar que cualquier persona física que actúe bajo su autoridad y tenga acceso a los Datos Personales no los procese, excepto bajo las instrucciones del Responsable del tratamiento;

2. informar de inmediato al Responsable del tratamiento si alguna de las instrucciones relativas al Procesamiento de Datos Personales proporcionadas por este infringe las Leyes de Protección de Datos aplicables o las disposiciones establecidas en este DPA;

3. implementar las medidas técnicas y organizativas adecuadas para proteger los Datos Personales, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas; y

4. informar sin demora indebida al Responsable del tratamiento si recibe una queja o solicitud relacionada con las obligaciones de cualquiera de las Partes en virtud de las Leyes de Protección de Datos pertinentes para este DPA, incluida cualquier reclamación de indemnización de un Interesado o cualquier notificación, investigación u otra acción de una Autoridad de Control, y proporcionar al Responsable del tratamiento todos los detalles de dicha investigación, queja o solicitud, a menos que la ley o la petición de la Autoridad de Control lo prohíban.
   
   

SECCIÓN C TRANSFERENCIAS Y SUBENCARGADOS DEL TRATAMIENTO

Artículo C.1 Transferencia de Datos Personales 

Cuando los Datos Personales relativos a un Interesado de la UE se transfieran fuera del EEE, serán procesados por una entidad: (i) ubicada en un tercer país o territorio reconocido por la Comisión de la UE como poseedor de un nivel adecuado de protección; o (ii) que esté sujeta a las Cláusulas Contractuales Tipo de la UE y/o al Acuerdo Internacional de Transferencia de Datos del Reino Unido (IDTA) o al Anexo de las CCT del Reino Unido; o (iii) que cuente con otras garantías adecuadas reconocidas legalmente, tales como las Normas Corporativas Vinculantes, que garanticen el mismo nivel de protección y salvaguardas que este DPA. 

Artículo C.2 Subencargados del tratamiento 

El Responsable del tratamiento consiente por el presente documento el uso por parte del Encargado del tratamiento de los Subencargados especificados en el Anexo B. Esta lista puede ser actualizada por el Encargado periódicamente de conformidad con este DPA.

Antes de contratar a un nuevo Subencargado para los servicios enumerados en el Anexo A, el Encargado del tratamiento notificará al Responsable del tratamiento que utilice dicho servicio y le concederá al menos diez (10) días naturales para oponerse, excepto cuando el Encargado considere razonablemente que la contratación de un nuevo Subencargado de forma acelerada es necesaria para proteger la confidencialidad, integridad o disponibilidad de los Datos Personales o para evitar una interrupción sustancial de los servicios prestados. En ese caso, el Encargado facilitará dicha notificación tan pronto como sea razonablemente posible. Si, en el plazo de cinco (5) días naturales tras dicha notificación, el Responsable del tratamiento notifica por escrito al Encargado que se opone a la designación del nuevo Subencargado basándose en motivos razonables de protección de datos, las partes debatirán de buena fe dichas dudas y si pueden resolverse. Las objeciones a los nuevos Subencargados deberán enviarse a privacy@mollie.com. 

El Responsable del tratamiento reconoce que los Subencargados son esenciales para prestar los servicios y que oponerse al uso de un Subencargado puede impedir que el Encargado ofrezca los servicios al Responsable del tratamiento. Si las partes no logran llegar a un acuerdo mutuo para resolver las dudas expuestas, el Responsable del tratamiento, como único y exclusivo recurso, podrá rescindir el DPA de forma voluntaria.

Todos los Subencargados que procesen Datos Personales en la prestación de servicios al Responsable del tratamiento deberán cumplir con las obligaciones establecidas en este DPA. El Encargado del tratamiento deberá, antes de divulgar Datos Personales a cualquier Subencargado, llevar a cabo la diligencia debida adecuada para garantizar que el Subencargado es capaz de proporcionar el nivel de protección requerido por este DPA para los Datos Personales del Responsable

y celebrar un acuerdo con ese Subencargado en virtud del cual este acepte cumplir con obligaciones equivalentes a las establecidas en este DPA. 

SECCIÓN D SEGURIDAD 

Artículo D.1 Medidas de seguridad

El Encargado del tratamiento implementará las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otros, según corresponda:

1. la seudonimización y el cifrado de los Datos Personales; 

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de procesamiento; 

3. la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico; y 

4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Procesamiento. Al evaluar el nivel de seguridad adecuado,

se tendrán en cuenta, en particular, los riesgos que presenta el procesamiento, concretamente la destrucción, pérdida, alteración accidental o ilícita, o la revelación o el acceso no autorizado a los Datos Personales transmitidos, almacenados o procesados de otro modo.

Artículo D.2 Notificación de Brecha de seguridad de datos

El Encargado del tratamiento notificará al Responsable sin demora indebida cualquier destrucción, pérdida, alteración accidental o ilícita, o revelación o acceso no autorizado a Datos Personales tras su descubrimiento, en la medida en que la Brecha de seguridad de datos esté únicamente relacionada con el procesamiento de Datos Personales por parte del Encargado en su calidad de encargado del tratamiento. Si la Brecha de seguridad de datos afecta a Datos Personales para los que el Encargado es considerado Responsable del tratamiento como se describe en la Declaración de Privacidad del Encargado, este se reserva el derecho de tratar la brecha como responsable del tratamiento. 

El retraso en la notificación de una Brecha de seguridad de datos solicitado por las fuerzas de seguridad y/o debido a las necesidades legítimas del Encargado para investigar o solucionar el problema antes de dar la notificación no constituirá un retraso indebido. Dichas notificaciones describirán, en la medida de lo posible, los detalles de la Brecha de seguridad de datos, incluidas las medidas adoptadas para mitigar los posibles riesgos. Sin perjuicio de las obligaciones del Encargado en virtud de esta Sección D.1, el Responsable es el único responsable de cumplir con las leyes de notificación de brechas de seguridad aplicables al Responsable y de cumplir con cualquier obligación de notificación a terceros relacionada con las Brechas de seguridad de datos. La notificación o respuesta del Encargado ante una Brecha de seguridad de datos en virtud de esta Sección D.1 no se interpretará como una admisión de culpa o responsabilidad por su parte con respecto a la brecha de seguridad.

Todos los costes en los que se incurra para resolver la Brecha de seguridad de datos y para aplicar las medidas necesarias para evitar dicha brecha en el futuro correrán a cargo de la Parte que incurra en dichos costes. 

SECCIÓN E AUDITORÍA

Artículo E.1 Derecho de Auditoría 

El Responsable del tratamiento tendrá derecho a solicitar, previo aviso razonable, informes de auditoría al Encargado del tratamiento que pertenezcan al Procesamiento de Datos Personales dentro del ámbito de los servicios prestados bajo este DPA.

Los informes de auditoría a los que se hace referencia en esta cláusula incluirán, entre otros, informes relacionados con las medidas de seguridad, confidencialidad y protección de datos implementadas por el Encargado en relación con el Procesamiento de Datos Personales. Estos informes también podrán cubrir el cumplimiento de las Leyes de Protección de Datos pertinentes.

Las solicitudes de informes de auditoría deberán realizarse por escrito y enviarse a privacy@mollie.com, especificando el alcance y el propósito de la solicitud. El Encargado del tratamiento acusará recibo de dichas solicitudes de manera oportuna.

La recepción de los informes de auditoría estará sujeta al deber profesional de confidencialidad. El Responsable del tratamiento únicamente podrá utilizar los informes de auditoría para cumplir con sus requisitos de auditoría regulatoria y confirmar que el Procesamiento de Datos Personales por parte del Encargado cumple con este DPA. Los informes de auditoría no se compartirán externamente.

SECTION F EVALUACIONES DE IMPACTO RELATIVAS A LA PROTECCIÓN DE DATOS Y CONSULTAS PREVIAS

Artículo F.1 Asistencia

El Encargado del tratamiento asistirá al Responsable en la realización de una evaluación del impacto del Procesamiento de Datos Personales (artículo 35 del RGPD) y en las consultas con una Autoridad de Control (artículo 36 del RGPD), si y en la medida en que sea necesario realizar una evaluación o consulta en virtud de las Leyes de Protección de Datos y cuando el Encargado del tratamiento esté autorizado y/o obligado a cooperar.

SECCIÓN G DERECHOS DE LOS INTERESADOS

Artículo G.1 Asistencia

Si el Encargado del tratamiento recibe una solicitud de un Interesado en relación con los Datos Personales del Responsable del tratamiento, el Encargado aconsejará al Interesado que envíe su solicitud al Responsable del tratamiento y/o le remitirá la solicitud a este, y el Responsable del tratamiento será responsable de responder a dicha solicitud.

A petición del Responsable del tratamiento y a expensas de este, el Encargado del tratamiento le proporcionará la asistencia que razonablemente pueda requerir para cumplir con sus obligaciones bajo las Leyes de Protección de Datos de responder a las solicitudes de los interesados para ejercer sus derechos bajo las Leyes de Protección de Datos (por ejemplo, derechos de acceso a los datos, rectificación, supresión, limitación, portabilidad y oposición) en los casos en que el Responsable del tratamiento no pueda cumplir de manera razonable con tales solicitudes de forma independiente a través de su acceso a los productos y servicios del Encargado.

SECCIÓN H DISPOSICIONES VARIAS 

Artículo H.1 Confidencialidad 

El Encargado de tratamiento mantendrá la confidencialidad de todos los Datos Personales y se asegurará de que todos los empleados, agentes, directivos y contratistas que tengan acceso a o intervengan en el Procesamiento de Datos Personales conozcan el carácter confidencial de estos, estén obligados contractualmente a mantenerlos confidenciales y estén informados de las obligaciones de este DPA y las cumplan.

Artículo H.2 Responsabilidad

Toda responsabilidad que se derive de este DPA se regirá por las disposiciones pertinentes del Acuerdo de Usuario, incluidas las limitaciones de responsabilidad. 

Sin perjuicio de las disposiciones del Acuerdo de Usuario, cada Parte solo será responsable frente a la otra Parte de los daños que cause a esta última por cualquier incumplimiento de este DPA. Estos daños deberán quedar claramente demostrados. El Encargado del tratamiento solo será responsable del daño causado por el procesamiento cuando no haya cumplido con las obligaciones de las Leyes de Protección de Datos dirigidas específicamente a los encargados del tratamiento o cuando haya actuado al margen de las instrucciones legítimas del Responsable del tratamiento o en contra de ellas, como se describe en este DPA. En ese contexto, el Encargado del tratamiento solo será responsable si el Responsable demuestra que el Encargado es responsable del suceso que dio origen al daño.

El Responsable del tratamiento será el único responsable ante el Interesado, y el Interesado tendrá derecho a recibir una indemnización por cualquier daño material o inmaterial que el Responsable o el Encargado del tratamiento (o sus Subencargados) causen al Interesado por el incumplimiento de este DPA.

Artículo H.3 Vigencia y Rescisión 

La vigencia de este DPA coincidirá con el inicio del Acuerdo de Usuario y/o con el uso del producto o servicio específico tal como se incluye en el Anexo A.

Este DPA se rescindirá automáticamente junto con la rescisión del Acuerdo de Usuario y/o el uso del producto o servicio específico incluido en el Anexo A, lo que ocurra primero.

Tras la rescisión de este DPA, el Encargado de tratamiento, a petición del Responsable, devolverá los Datos Personales al Responsable o a un Encargado designado por este, o eliminará los Datos Personales, a menos que el Encargado deba conservar una copia de conformidad con cualquier ley de la Unión Europea o de cualquier Estado miembro de la Unión Europea.

SECCIÓN I DISPOSICIONES FINALES 

Artículo I.1 Acuerdo íntegro 

Este DPA constituye una parte del Acuerdo de Usuario. Todos los derechos y obligaciones derivados del Acuerdo de Usuario son también aplicables a este DPA. El Anexo A constituye una parte integrante de este DPA.

Artículo I.2 Modificación de mutuo acuerdo únicamente 

Ninguna modificación de este DPA será válida a menos que se realice por escrito y esté firmada por los representantes autorizados de cada Parte. 

Artículo I.3 Divisibilidad 

Cada una de las disposiciones de este DPA es independiente y divisible, y si alguna disposición o parte de ella fuera declarada inaplicable, ilegal o nula en su totalidad o en parte por cualquier tribunal, autoridad reguladora u otra autoridad competente, se considerará en esa medida que no forma parte de este DPA, y la aplicabilidad, legalidad y validez del resto de las disposiciones de este DPA no se verán afectadas. Las Partes acuerdan intentar sustituir cualquier disposición inválida o inaplicable por una disposición válida o aplicable que logre, en la mayor medida posible, el mismo efecto que se habría logrado

mediante la disposición inválida o inaplicable. Salvo las modificaciones aplicadas por este DPA, el Acuerdo de Usuario permanece inalterable y plenamente vigente.

Artículo I.4 Derecho de Cesión 

Las Partes solo podrán transferir este DPA de conformidad con el Acuerdo de Usuario (cláusula 8.9). 

Artículo I.5 Ley aplicable 

Este DPA se regirá e interpretará de conformidad con las leyes de los Países Bajos. Cada Parte se somete a la jurisdicción exclusiva de los tribunales de Ámsterdam para resolver cualquier conflicto que pueda derivarse de este DPA. En caso de que cualquier tribunal u órgano administrativo de jurisdicción competente considere que alguna disposición de este DPA es inválida, inaplicable o ilegal, el resto de disposiciones de este DPA permanecerán plenamente vigentes. 

ANEXO A – ESPECIFICACIÓN DEL PROCESAMIENTO DE DATOS PERSONALES 

1. FINALIDAD DEL PROCESAMIENTO

El procesamiento de los Datos Personales está directamente relacionado con la prestación de los servicios contratados con arreglo al Acuerdo de Usuario.

Los fines del procesamiento son:

• Disputas

  • Facilitar la gestión y resolución de disputas entre el Responsable del tratamiento y sus Clientes a través de los productos y servicios de Mollie.

  • Proporcionar al Responsable del tratamiento las herramientas y la información necesarias para responder a las reclamaciones por disputas, como contracargos o consultas de pago.

• Facturación

  •  Facilitar el envío de facturas a los Clientes del Responsable del tratamiento a través de los productos y servicios de Mollie. 

2. CATEGORÍAS DE INTERESADOS 

El Encargado procesará los Datos Personales de las siguientes categorías de Interesados del Responsable del tratamiento:

• Clientes del Responsable del tratamiento: Los ordenantes (consumidores o clientes comerciales) que inician un pago, consulta o disputa.

Disputas

• Destinatarios terceros: Personas identificadas en los registros de entrega o pruebas de transacciones que pueden no ser el ordenante (por ejemplo, una persona que recibe un regalo en una dirección de envío).

• Representantes autorizados / Personal del Responsable del tratamiento: El personal del comercio cuyos nombres, datos de contacto o firmas puedan aparecer en pruebas de la disputa, registros de comunicación o mensajes de soporte técnico.

• Terceros proveedores de servicios: Personas cuyos datos puedan estar contenidos en las pruebas facilitadas por subencargados o socios (por ejemplo, nombres de los repartidores en una firma de justificante de entrega).

Facturación

• Detalles de la factura (según lo incluido por el Responsable del tratamiento)

3. TIPOS DE DATOS PERSONALES 

El Encargado procesará los siguientes tipos de Datos Personales del Responsable del tratamiento:

• Datos de identidad y de contacto: Nombre completo, dirección de correo electrónico, número de teléfono y dirección de facturación del Ordenante.

• Metadatos de la transacción: ID de la transacción, número de pedido, importe, moneda, fecha/hora y el método de pago específico utilizado (por ejemplo, tarjeta de crédito, Klarna, iDEAL).

• Datos de ejecución y logística: 

  • Datos de envío: Dirección de envío (calle, número de portal, código postal, localidad, país).

  • Información de seguimiento: Nombre del transportista, números de seguimiento y registros del estado del transporte/entrega en tiempo real.

  • Justificante de entrega: Firmas digitales, marcas de tiempo de entrega y evidencias fotográficas de la entrega (por ejemplo, el paquete ante la puerta).

• Evidencia de disputas (datos no estructurados): 

  • Archivos cargados: Cualquier dato personal contenido en documentos cargados manualmente por el Responsable del tratamiento (por ejemplo, facturas en PDF, registros de chat de asistencia al cliente, capturas de pantalla de WhatsApp o correspondencia por correo electrónico).

• Identificadores técnicos: Direcciones IP, huellas dactilares del dispositivo y metadatos del navegador recopilados en el momento de la transacción (utilizados para verificar la ubicación y la identidad del cliente para combatir el fraude).

Las categorías de Datos Personales enumeradas anteriormente reflejan el ámbito de Procesamiento previsto en este Acuerdo. En caso de que se compartan o integren de forma incidental Datos Personales que queden fuera de estas categorías dentro de datos no estructurados o documentos cargados, el Encargado los tratará con la diligencia debida y aplicará las medidas técnicas y organizativas adecuadas.

4. MEDIDAS DE SEGURIDAD 

Contexto 

Como entidad financiera, los controles de seguridad y procedimientos operativos que Mollie ha diseñado para nuestras aplicaciones, sistemas y procesos informáticos están sujetos a la revisión del Banco Central de los Países Bajos (DNB), que a su vez utiliza las orientaciones de la Autoridad Bancaria Europea (EBA) para los estándares técnicos que deben cumplir los titulares de licencias. 

Además, como Mollie (también) actúa como responsable de datos personales, está regulada por otra legislación que establece normas de seguridad y protección de datos, aplicada por otras autoridades pertinentes, especialmente el RGPD y su entidad reguladora en los Países Bajos (Autoriteit Persoonsgegevens). 

Por otro lado, los sistemas que procesan datos de tarjetas específicamente son sistemas compatibles con el nivel 1 de PCI DSS, lo que significa que esta aplicación concreta y los procedimientos para desarrollarla y mantenerla están sujetos a las medidas de protección de datos señaladas por el PCI Council, cuyo cumplimiento por parte de Mollie es evaluado anualmente por un tercero externo. 

Medidas generales

Todas las aplicaciones, sistemas y procedimientos relacionados con ellos están sujetos a la Política de Seguridad de la Información de Mollie. Los aspectos más destacados de esta y otras políticas relevantes para el ámbito de los servicios prestados son:

• Evaluación de empleados

• Programa de formación en seguridad para desarrolladores

• Programa de concienciación en seguridad

• Segregación de funciones

• Gestión del cambio

• Gestión de vulnerabilidades

• Gestión de incidentes

• Gestión de resiliencia y copias de seguridad

• Aplicación rigurosa de control de accesos (IAM e IGA)

• Revisiones de autorización de usuarios

• Normas de clasificación de sistemas

• Normas de clasificación de datos y política de datos

• Normas de configuración segura basadas en las mejores prácticas del sector, aplicación de políticas (bastionado)

• Segregación del entorno de red físico y lógico

• Protocolos de cifrado seguros

• Gestión de claves de cifrado

• Cifrado (en tránsito, en reposo para entornos de infraestructura compartida como la nube)

• Gestión del riesgo de terceros

• Supervisión de errores y disponibilidad

• Ciclo de vida de desarrollo seguro

  • Modelado de amenazas en cambios significativos y nuevas funciones

  • Gestión de dependencias y escaneo de vulnerabilidades conocidas

  • Análisis de seguridad del código estático

  • Escaneo interno y externo de vulnerabilidades

• Divulgación coordinada de vulnerabilidades (CVD) y programa de recompensas por errores

• Programa de inteligencia sobre amenazas (por ejemplo, participación en el PI-ISAC neerlandés, centro de análisis e intercambio de información sobre entidades de pago, monitorización de la web oscura)

• Colaboración con proveedores de servicios de seguridad gestionados (MSSP) para operaciones de seguridad, análisis e investigaciones forenses

• Gestión de información y eventos de seguridad (SIEM)

• Seguridad de los terminales del personal

• Seguridad del correo electrónico

Plataforma Mollie

Además de las medidas de seguridad colectivas indicadas arriba, la aplicación de la plataforma Mollie está cubierta por las siguientes medidas de seguridad, resultantes de la implementación de nuestras políticas generales de seguridad o como medida de mitigación para hacer frente a un riesgo identificado en la evaluación de riesgos de la aplicación:

• Control de acceso de doble factor (2FA)

• Pruebas de penetración por parte de terceros

• Gestión de eventos de incidentes de seguridad

• Mitigación de ataques DDoS

• Respuesta a incidentes de seguridad

• Control de disponibilidad

• Almacenamiento seguro de credenciales

• Infraestructura redundante

• Arquitectura de conmutación de recuperación ante desastres

• Limitación de frecuencia (