Logo

Anexo de Procesamiento de Datos

Fecha de vigencia: Jan 14, 2026

Última actualización: Jan 14, 2026

Tabla de contenidos

Este Anexo de Procesamiento de Datos (“DPA”) forma parte del acuerdo entre Elyon Techno Labs Inc (operando como “StampEzee”) y la entidad que acepta estos términos (“Minorista” o “Cliente”) para el uso del Servicio StampEzee. Este DPA se aplica cuando y en la medida en que StampEzee procese Datos Personales en nombre del Minorista durante la prestación del Servicio.

Si existe un conflicto entre este DPA y otros términos, este DPA prevalecerá únicamente con respecto a las obligaciones de procesamiento de datos de las partes.

1) Partes

Procesador de Datos / Proveedor de Servicios:
Elyon Techno Labs Inc (“StampEzee,” “Procesador”)
Dirección: Hilton Court, Mississauga, Ontario, Canadá
Correo electrónico: [privacy@stampezee.com]

Responsable del Tratamiento / Cliente Comercial:
La entidad minorista que acepta o firma este DPA (“Cliente,” “Responsable”)

2) Definiciones

Los términos en mayúsculas no definidos aquí tienen el significado establecido en el acuerdo principal/Términos.

  • “Leyes de Protección de Datos Aplicables”: todas las leyes de privacidad y protección de datos aplicables al procesamiento de Datos Personales bajo este DPA, incluyendo (cuando corresponda) el RGPD/RGPD del Reino Unido, las leyes de privacidad canadienses y otras leyes locales relevantes para el uso del Minorista.
  • “Responsable”: entidad que determina los fines y los medios del Tratamiento de Datos Personales.
  • “Procesador”: entidad que procesa Datos Personales en nombre del Responsable.
  • “Datos Personales”: información relativa a una persona física identificada o identificable.
  • “Tratamiento”: cualquier operación realizada sobre Datos Personales (recopilación, almacenamiento, uso, intercambio, eliminación, etc.).
  • “Subprocesador”: un tercero designado por StampEzee para procesar Datos Personales en nombre del Minorista.
  • “Incidente de Seguridad”: una violación de la seguridad que provoque la destrucción, pérdida, alteración accidental o ilícita, o la divulgación o acceso no autorizado a Datos Personales (a veces denominada “brecha de datos personales”).

3) Funciones de las Partes

3.1 Funciones del Responsable / Procesador

  • El Minorista es el Responsable de los Datos Personales procesados en relación con los programas de lealtad del Minorista (por ejemplo, datos de participación del Usuario Final, historial de sellos, canjes, comunicaciones del programa) que el Minorista determina y configura dentro del Servicio.
  • StampEzee es el Procesador de dichos Datos Personales en la medida en que los procesa en nombre del Minorista para proporcionar el Servicio.

3.2 Procesamiento como responsable independiente por StampEzee

StampEzee puede procesar algunos datos como responsable independiente (no en nombre del Minorista) para:

  • administración de cuentas para el Minorista (por ejemplo, contactos de facturación, gestión de planes),
  • seguridad, prevención de fraude, detección de abusos,
  • operaciones de la plataforma y cumplimiento legal,
  • mejora del producto mediante análisis agregados/anonimizados cuando sea factible.

4) Detalles del Procesamiento

4.1 Objeto

Prestación de una plataforma digital de fidelización y recompensas que permite a los Minoristas crear y administrar tarjetas de sellos, campañas y recompensas, y permite a los Usuarios Finales participar.

4.2 Duración

El procesamiento continúa durante el plazo de uso del Servicio por parte del Minorista, y posteriormente solo según sea necesario para:

  • obligaciones de eliminación/devolución,
  • cumplimiento legal,
  • registros de seguridad y resolución de disputas, según lo permita la ley.

4.3 Naturaleza y propósito

Las actividades de procesamiento pueden incluir: recopilación, registro, organización, estructuración, almacenamiento, recuperación, uso, transmisión y eliminación de Datos Personales para prestar el Servicio.

4.4 Categorías de interesados

  • Personal del Minorista (incluido el Acceso de Ejecutivo de Fidelización)
  • Usuarios Finales/clientes del Minorista
  • Usuarios administradores y contactos de facturación del Minorista

4.5 Categorías de Datos Personales

Dependiendo de la configuración y el uso, los Datos Personales pueden incluir:

  • Identificadores: nombre, correo electrónico, número de teléfono (si se utiliza), IDs de usuario
  • Datos de la cuenta: metadatos de inicio de sesión, rol/permisos
  • Datos de fidelización: sellos ganados, tarjetas de sellos unidas, historial de canjes, marcas de tiempo de actividad
  • Datos de interacción con la tienda: sucursal utilizada, interacciones con ofertas, interacciones con campañas
  • Datos técnicos/del dispositivo: dirección IP, tipo de dispositivo, versión de la aplicación, registros de eventos (donde se recopilen)
  • Datos de soporte: mensajes enviados al soporte y metadatos relacionados

4.6 Categorías especiales / datos sensibles

Los minoristas no deben cargar ni procesar datos de categorías especiales/sensibles (salud, biometría, religión, etc.) a menos que:

  • lo exija explícitamente la ley y exista una base legal, y
  • el Minorista haya obtenido los consentimientos/autorizaciones requeridos, y
  • el Servicio esté configurado adecuadamente.

StampEzee no requiere datos sensibles para las operaciones estándar de fidelización.

5) Obligaciones del Minorista (Responsable)

El Minorista acepta que:

  1. Tiene todos los derechos, avisos, consentimientos y bases legales necesarios para procesar Datos Personales e instruir a StampEzee para que los procese.
  2. Proporcionará los avisos de privacidad requeridos a los Usuarios Finales y al personal.
  3. Configurará el Servicio de manera responsable y solo recopilará los datos necesarios para su programa.
  4. No instruirá a StampEzee a procesar Datos Personales en violación de las Leyes de Protección de Datos Aplicables.
  5. Es responsable de la legalidad de las reglas de su programa de fidelización, el contenido de los mensajes y las comunicaciones.
  6. Mantendrá la confidencialidad y controlará el acceso a las cuentas del personal (Acceso de Ejecutivo de Fidelización y acceso de administrador).
  7. Notificará de inmediato a StampEzee si cree que el procesamiento es ilícito o si recibe solicitudes de interesados que requieran la asistencia de StampEzee.

6) Obligaciones de StampEzee (Procesador)

StampEzee:

  1. Procesará Datos Personales solo siguiendo instrucciones documentadas del Minorista (incluyendo este DPA y la configuración/uso del Servicio por parte del Minorista), a menos que la ley lo exija.
  2. Garantizará que el personal autorizado para procesar Datos Personales esté sujeto a confidencialidad.
  3. Implementará las medidas técnicas y organizativas adecuadas para proteger los Datos Personales (ver Sección 9).
  4. No divulgará Datos Personales a terceros, excepto según lo permitido en este DPA (por ejemplo, Subprocesadores).
  5. Asistirá al Minorista según lo establecido en las Secciones 10 y 11.

7) Subprocesadores

7.1 Autorización

El Minorista otorga a StampEzee una autorización general para utilizar Subprocesadores para prestar el Servicio.

7.2 Obligaciones del subprocesador

StampEzee requerirá que los Subprocesadores acepten obligaciones de protección de datos consistentes con este DPA, incluyendo medidas de seguridad apropiadas.

7.3 Lista de subprocesadores y actualizaciones

StampEzee pondrá a disposición una lista de Subprocesadores en: [link-to-subprocessors-page].

StampEzee puede actualizar los Subprocesadores de vez en cuando. Cuando la ley lo requiera, StampEzee notificará los cambios materiales a través de un aviso en el panel, correo electrónico o publicación en la página de Subprocesadores.

7.4 Responsabilidad por Subprocesadores

StampEzee sigue siendo responsable del cumplimiento de las obligaciones por parte de los Subprocesadores en la medida en que lo exijan las Leyes de Protección de Datos Aplicables y los compromisos contractuales asumidos por StampEzee.

8) Transferencias Internacionales

Los Datos Personales pueden ser procesados en países fuera de la jurisdicción del Minorista debido a la infraestructura global y los Subprocesadores.

StampEzee tomará medidas razonables para implementar las salvaguardas de transferencia adecuadas donde sea necesario (por ejemplo, protecciones contractuales y otras medidas apropiadas para la transferencia).

9) Medidas de Seguridad

StampEzee implementará medidas apropiadas diseñadas para proteger los Datos Personales, tales como:

  • controles de acceso y principios de privilegio mínimo para sistemas internos,
  • cifrado en tránsito (donde sea compatible con la capa de transporte),
  • almacenamiento seguro de contraseñas (hashing) y controles de autenticación,
  • monitoreo/registro de actividad sospechosa y abuso,
  • prácticas de parcheo rutinario y gestión de vulnerabilidades (comercialmente razonables),
  • prácticas de respaldo y recuperación apropiadas para el Servicio.

El Minorista reconoce que ningún sistema puede garantizarse al 100% como seguro y acepta mantener sus propias prácticas de seguridad (dispositivos seguros, capacitación del personal, protección de credenciales).

10) Incidentes de Seguridad

10.1 Notificación

Al tener conocimiento de un Incidente de Seguridad que involucre Datos Personales procesados bajo este DPA, StampEzee notificará al Minorista sin demora indebida y proporcionará la información razonablemente necesaria para ayudar al Minorista a cumplir con sus obligaciones legales.

10.2 Información y cooperación

StampEzee proporcionará, en la medida en que esté disponible y sea apropiado:

  • la naturaleza del incidente,
  • categorías y número aproximado de interesados/registros de datos afectados (si se conoce),
  • consecuencias probables (si se han evaluado),
  • medidas tomadas o propuestas para abordar el incidente.

10.3 Responsabilidades del Minorista

El Minorista es responsable de determinar si se debe notificar a las personas afectadas o a los reguladores, a menos que la ley imponga esa obligación a StampEzee en un caso específico.

11) Solicitudes de los Interesados

Si StampEzee recibe una solicitud de un Usuario Final u otro interesado para ejercer sus derechos de privacidad relacionados con Datos Personales procesados en nombre del Minorista, StampEzee:

  • redigirá al solicitante al Minorista cuando sea apropiado, y/o
  • notificará al Minorista (cuando sea factible), y
  • proporcionará asistencia razonable (a través de las herramientas y el soporte disponibles) para que el Minorista responda, cuando lo exijan las Leyes de Protección de Datos Aplicables.

El Minorista es responsable de responder a dichas solicitudes dentro de los plazos legales.

12) Asistencia con DPIA y Consultas

En la medida en que lo exijan las Leyes de Protección de Datos Aplicables y considerando la naturaleza del procesamiento y la información disponible, StampEzee proporcionará asistencia razonable con:

  • evaluaciones de impacto de protección de datos (DPIA), y
  • consultas con los reguladores,
    limitado al procesamiento bajo este DPA.

13) Eliminación y Devolución de Datos Personales

13.1 Durante la vigencia

El Minorista puede eliminar ciertos datos a través de las funciones del Servicio disponibles.

13.2 Tras la terminación

Tras la terminación/expiración del Servicio, StampEzee, dentro de un período razonable:

  • eliminará o devolverá los Datos Personales procesados en nombre del Minorista, sujeto a:
    • obligaciones legales de retener ciertos datos,
    • registros de seguridad retenidos para la prevención de abusos e integridad del sistema,
    • respaldos retenidos por períodos limitados como parte de las prácticas estándar de recuperación ante desastres.

13.3 Datos residuales

La eliminación de los respaldos puede ocurrir de forma rotativa según los programas de respaldo. StampEzee mantendrá las protecciones para los datos de respaldo retenidos.

14) Auditorías y Cumplimiento

14.1 Derechos de auditoría

El Minorista puede solicitar información razonable para confirmar el cumplimiento de este DPA por parte de StampEzee.

14.2 Limitaciones de auditoría

Cualquier auditoría debe:

  • limitarse al procesamiento bajo este DPA,
  • ocurrir no más de [una vez al año] a menos que ocurra un Incidente de Seguridad,
  • estar sujeta a confidencialidad,
  • no interrumpir irrazonablemente las operaciones,
  • llevarse a cabo a expensas del Minorista.

StampEzee puede satisfacer las solicitudes de auditoría proporcionando resúmenes, documentación o informes de auditoría de terceros de buena reputación cuando estén disponibles (si los hay).

15) Confidencialidad

Cada parte protegerá la Información Confidencial de la otra. El personal de StampEzee y los Subprocesadores con acceso a Datos Personales estarán sujetos a obligaciones de confidencialidad.

16) Responsabilidad

La responsabilidad por cuestiones de privacidad y protección de datos se rige por el acuerdo principal/Términos, excepto donde las Leyes de Protección de Datos Aplicables exijan lo contrario.

17) Orden de Precedencia

Si hay un conflicto:

  1. cualquier DPA firmado con términos específicos negociados (si corresponde), luego
  2. este DPA, luego
  3. el acuerdo principal/Términos.

18) Contacto

Para preguntas sobre el DPA y la protección de datos:
Correo electrónico: [privacy@stampezee.com]

Reserva una llamada