Acuerdo de Procesamiento de Datos

• "Datos Personales" significa cualquier información relativa a una persona natural identificada o identificable, conforme a lo definido en el Artículo 4(1) del GDPR y el Artículo 5(I) de la LGPD.
• "Tratamiento" significa cualquier operación realizada sobre Datos Personales, incluyendo recopilación, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, divulgación, difusión, alineación, restricción, supresión o destrucción.
• "Responsable" significa la entidad que determina los fines y medios del Tratamiento de Datos Personales (la organización suscriptora).
• "Operador" significa Play2sell Tecnologia LTDA, que procesa Datos Personales en nombre del Responsable.
• "Sub-operador" significa cualquier tercero contratado por el Operador para procesar Datos Personales en nombre del Responsable.
• "Titular de los Datos" significa la persona natural identificada o identificable a quien se refieren los Datos Personales.

El Operador procesará Datos Personales únicamente en la medida necesaria para prestar los servicios de la plataforma SalesOS, incluyendo:

• Gestión de cuentas de usuario y autenticación
• Ejecución y automatización de workflows de ventas
• Cálculo de puntuación de gamificación, misiones y rankings
• Cálculo de recompensas financieras y seguimiento de desembolsos
• Gestión de datos CRM (leads, contactos, oportunidades)
• Analytics e informes
• Entrega de comunicaciones (notificaciones, alertas)

Las categorías de Titulares de los Datos incluyen: representantes de ventas, gerentes de equipo, administradores, leads y contactos gestionados dentro de la Plataforma.

Tipos de Datos Personales procesados: nombre, dirección de correo electrónico, número de teléfono, afiliación empresarial, cargo, datos de ubicación, métricas de rendimiento y datos de engagement.

El Operador deberá:

• Procesar Datos Personales únicamente según las instrucciones documentadas del Responsable, salvo que la legislación aplicable lo exija
• Garantizar que las personas autorizadas a procesar Datos Personales se hayan comprometido con la confidencialidad
• Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo
• Asistir al Responsable en la respuesta a solicitudes de los Titulares de los Datos
• Asistir al Responsable en el cumplimiento de las obligaciones relativas a seguridad, notificación de incidentes y evaluaciones de impacto en la protección de datos
• A elección del Responsable, eliminar o devolver todos los Datos Personales al término de los servicios
• Poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías

El Operador implementa y mantiene las siguientes medidas de seguridad técnicas y organizativas:

4.1 Medidas Técnicas

• Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+)
• Seguridad a nivel de fila (RLS) para aislamiento de datos multi-tenant
• Control de acceso basado en roles (RBAC) con permisos a nivel de capacidad
• Autenticación multifactor para accesos administrativos y privilegiados
• Análisis automatizado de vulnerabilidades y pruebas de penetración
• Copias de seguridad de base de datos cifradas con capacidades de recuperación point-in-time
• Segmentación de red y protecciones por firewall
• Sistemas de detección y prevención de intrusiones

4.2 Medidas Organizativas

• Políticas y procedimientos de seguridad de la información
• Capacitación en concienciación de seguridad para empleados
• Plan de respuesta a incidentes con procedimientos de escalamiento definidos
• Revisiones periódicas de acceso y aplicación del principio de mínimo privilegio
• Evaluaciones de seguridad de proveedores y sub-operadores

El Operador asistirá al Responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de los Titulares de los Datos que ejerzan sus derechos bajo el GDPR y la LGPD, incluyendo:

• Acceso a los Datos Personales
• Rectificación de datos inexactos
• Supresión de Datos Personales ("derecho al olvido")
• Limitación del tratamiento
• Portabilidad de datos
• Oposición al tratamiento

El Operador notificará al Responsable sin demora indebida al recibir una solicitud de un Titular de los Datos. El Operador no responderá directamente a dichas solicitudes salvo que esté autorizado por el Responsable.

En caso de violación de Datos Personales, el Operador notificará al Responsable sin demora indebida, y a más tardar dentro de las 48 horas siguientes al conocimiento de la violación.

El Responsable otorga autorización general al Operador para contratar Sub-operadores. El Operador deberá:

• Mantener una lista actualizada de Sub-operadores y ponerla a disposición del Responsable previa solicitud
• Notificar al Responsable sobre cualquier cambio previsto en los Sub-operadores con al menos 30 días de antelación
• Garantizar que los Sub-operadores estén vinculados por obligaciones de protección de datos no menos protectoras que las establecidas en el presente DPA
• Permanecer plenamente responsable de los actos y omisiones de sus Sub-operadores

Sub-operadores actuales:

• Supabase (AWS) -- Alojamiento de base de datos, autenticación y funciones serverless (US/EU)
• Vercel -- Alojamiento de aplicaciones y CDN (Global)
• Auth0 (Okta) -- Servicios de identidad y autenticación (US/EU)
• Temporal.io -- Orquestación de workflows (US)

Los Datos Personales pueden ser transferidos y procesados en países fuera de la jurisdicción del Responsable. El Operador garantiza que todas las transferencias internacionales cumplan con la legislación de protección de datos aplicable mediante:

• Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea (transferencias bajo GDPR)
• Decisiones de adecuación, cuando corresponda
• Normas Corporativas Vinculantes, cuando corresponda
• Conformidad con el Capítulo V de la LGPD en relación con transferencias internacionales de datos

El Operador implementará medidas suplementarias cuando sea necesario para garantizar que el nivel de protección otorgado a los Datos Personales no se vea comprometido por la transferencia.

El presente DPA permanecerá vigente durante la prestación de los Servicios por parte del Operador al Responsable. Al término:

• El Operador, a elección del Responsable, eliminará o devolverá todos los Datos Personales dentro de un plazo de 90 días
• El Operador proporcionará certificación de la eliminación previa solicitud
• Las obligaciones relativas a confidencialidad y seguridad sobrevivirán a la terminación

Para consultas o para ejecutar el presente DPA, comuníquese a:

Play2sell Tecnologia LTDA
Delegado de Protección de Datos
Email: dpo@play2sell.com
Website: https://play2sell.com