Acuerdo de Tratamiento de Datos

Entrada en vigor: 16/01/2023

Modificación anterior: 16/01/2023

Última modificación: 10/12/2024

Este Acuerdo de Tratamiento de Datos (“ATD”) forma parte de las disposiciones de los Términos de SumUp específicos aplicables a los Servicios que usted use (los “Términos Adicionales”) y cualesquiera otros términos y condiciones de SumUp que sean de aplicación, lo que incluye, entre otras cosas, los Términos Generales de SumUp (en lo sucesivo, colectivamente, los “Términos”) concluidos y acordados entre usted, como comerciante de SumUp (“usted” o “Responsable del Tratamiento”), y la entidad contratante de SumUp indicada en los Términos Adicionales aplicables (“SumUp”, “nosotros” o “Encargado del Tratamiento”) parte de SumUp S.A.R.L. Group Companies – SumUp Group, y está sujeto a tales disposiciones.

Con el fin de prestarle los Servicios conforme a los Términos y los Términos Adicionales, SumUp trata los datos de su equipo, sus empleados, sus clientes y/o los visitantes y los clientes de su tienda y su sitio web y/o los usuarios de sus servicios (“Sus Clientes”, “Clientes” o “Clientes Finales”). El tratamiento de esos datos por parte de SumUp se denomina en adelante “tratamiento” (tal como se define ese término en la Legislación de Protección de Datos Aplicable). El siguiente ATD establece las condiciones de dicho tratamiento por parte de SumUp.

Cada una de las partes acepta que los términos de este ATD también serán plenamente aplicables a sus Afiliados que puedan estar involucrados en el tratamiento de datos personales para los Servicios definidos en los Términos Adicionales, y se asegurará de que lo sean. Específicamente, SumUp se asegurará de que todos los subencargados del tratamiento operen dentro de los mismos términos de este ATD cuando traten los Datos de Sus Clientes.

1. Definiciones

1.1. Por “Legislación de Protección de Datos Aplicable” se entiende todas las leyes relativas al tratamiento de datos personales en virtud de los Términos Adicionales, los Términos y el presente ATD, lo que incluye, sin limitación, la Ley de Protección de Datos de 2018, el Reglamento General de Protección de Datos de la UE 2016/679 (“RGPD” o “el Reglamento”), la Directiva sobre la privacidad y las comunicaciones electrónicas de la UE 2002/58/CE, en su versión implementada en cada jurisdicción, así como todas las enmiendas y las demás leyes, normativas y orientaciones reguladoras en materia de protección de datos internacionales, regionales o nacionales aplicables o que las sustituyan.

1.2. Los términos “responsable del tratamiento”, “interesado”, “datos personales”, “tratamiento” y “encargado del tratamiento” tienen los significados que se atribuyen a tales términos en la Legislación de Protección de Datos Aplicable.

1.3. “Contenido” significa su Contenido y cualquier contenido facilitado a SumUp por Sus Clientes, lo que incluye, sin limitación, texto, fotografías, imágenes, audio, vídeo, código, información de cookies o tecnologías de seguimiento similares y cualquier otro material.

1.4. Por “Sus Datos” y “Datos de Sus Clientes” se entenderán los datos personales en el Contenido, tal como los trata SumUp, en su nombre, como parte de los Servicios, así como los datos de su equipo (por ejemplo, sus empleados, sus contables u otros terceros) y los Datos de Sus Clientes tratados en su nombre para la prestación de los Servicios. Los Datos de Sus Clientes no incluyen datos personales si SumUp actúa como responsable del tratamiento de tales datos en virtud del presente ATD y la Política de Privacidad de SumUp. 

1.5. Todas las definiciones que se utilizan en el presente ATD, pero que no tienen una definición explícita en esta sección tendrán el significado definido en los Términos Adicionales. Si no existe una definición específica en los Términos Adicionales o en los Términos, su significado será el que figura en la Legislación de Protección de Datos Aplicable.

2. Aplicabilidad

Este ATD solo se aplica con respecto a los Datos de Sus Clientes tal como los trata SumUp en su nombre con el fin de prestar los Servicios que usted use. Acepta que SumUp no es responsable de los datos personales que usted haya elegido tratar a través de servicios de terceros o fuera de los Servicios, lo que incluye los sistemas de cualquier otro servicio de nube de terceros, de servicios sin conexión o de almacenamiento en el propio sitio.

3. Detalles del tratamiento de datos

SumUp tratará datos personales de conformidad con lo estipulado en el Anexo 1 del presente.

4. Derechos y obligaciones

4.1. En la medida en que SumUp trate los Datos de Sus Clientes en su nombre y ese tratamiento esté sujeto a la Legislación de Protección de Datos Aplicable, usted reconoce y acepta que, a los efectos de la prestación de los Servicios por parte de SumUp, usted es el Responsable del Tratamiento de dichos datos personales y, al utilizar los Servicios de SumUp, ha encargado a SumUp el tratamiento de los Datos de Sus Clientes en su nombre, de conformidad con el presente ATD.

4.2. Puede revocar la aceptación de este ATD en cualquier momento, pero, al hacerlo, SumUp ya no podrá prestarle el Servicio.

4.3. SumUp, en su capacidad de encargado del tratamiento de datos personales:

a. trata los Datos de Sus Clientes solo para las finalidades especificadas en el ATD y de acuerdo con la ley aplicable y el ATD;

b. solo puede actuar y tratar los Datos de Sus Clientes de acuerdo con sus instrucciones documentadas, a menos que la ley, una orden judicial o una medida legislativa le exijan actuar sin dicha instrucción. Sus instrucciones, en el momento de suscribir este ATD, son que SumUp solo puede tratar los Datos de Sus Clientes con el fin de prestar los Servicios como se describe en el ATD y en los Términos Adicionales. Con sujeción a los términos de este ATD, y con el acuerdo mutuo de ambas partes, puede dar instrucciones escritas adicionales de acuerdo con los términos de este ATD;

c. garantiza que las personas autorizadas a tratar datos personales han asumido la obligación de confidencialidad o están legalmente obligadas a mantenerla;

d. garantiza que el acceso a los datos personales se otorga únicamente a aquellas personas que necesitan conocerlos en relación con la prestación de los Servicios en virtud de los Términos Adicionales;

e. es responsable de garantizar que los empleados/subcontratistas y/o cualquier agente que trate los Datos de Sus Clientes solo trate los datos personales de acuerdo con sus instrucciones;

f. le informará inmediatamente en caso de que creamos que algunas de sus instrucciones contradicen la Legislación de Protección de Datos Aplicable;

g. está obligado a proteger los Datos de Sus Clientes en virtud de este ATD frente a cualquier destrucción, alteración, pérdida u otro tratamiento no autorizado. Para ello, SumUp toma las medidas de seguridad adecuadas de acuerdo con la legislación aplicable. Es posible que SumUp introduzca algunas medidas alternativas adecuadas. No es posible disminuir el nivel de las medidas de seguridad definidas cuando se introducen esas alternativas. SumUp le prestará asistencia con las medidas técnicas y organizativas que sean necesarias y, teniendo en cuenta la naturaleza del tratamiento y la categoría de la información de que dispone, le ayudará a garantizar el cumplimiento de sus obligaciones en virtud de la Legislación de Protección de Datos Aplicable;

h. a petición suya, proporciona las certificaciones que demuestran el cumplimiento por parte de SumUp de sus obligaciones en virtud de este ATD y de la Legislación de Protección de Datos Aplicable; y/o proporciona la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este ATD y de la Legislación de Protección de Datos Aplicable. La información que ha de facilitar SumUp se limita a la exclusivamente necesaria, según lo defina SumUp, teniendo en cuenta la naturaleza de los Servicios y la información de que dispone SumUp, para ayudarle a cumplir sus obligaciones, especialmente en lo que respecta a las obligaciones relativas a la evaluación de impacto relativa a la protección de datos, la consulta previa y la garantía de la seguridad de los datos personales;

i. le ayudará, dentro de plazos razonables, con medidas apropiadas y en la medida en que sea razonablemente posible (teniendo en cuenta la naturaleza del tratamiento), a cumplir los derechos de los interesados y todas las demás obligaciones pertinentes en virtud de la Legislación de Protección de Datos Aplicable;

j. le informará, si así lo permite la legislación aplicable, cuando reciba una consulta o una reclamación de una persona cuyos datos personales se traten en virtud del ATD, o una demanda vinculante de un organismo gubernamental, policial, regulador o de otra índole en relación con los Datos de Sus Clientes que tratamos en su nombre y siguiendo sus instrucciones.

4.4. Usted, en calidad de responsable del tratamiento de datos personales:

a. recogerá, utilizará y tratará los datos personales de conformidad con toda la Legislación de Protección de Datos Aplicable;

b. será el único responsable de la exactitud, la calidad y el tratamiento lícito de los Datos de Sus Clientes y los medios por los que se hayan obtenido;

c. garantizará el nivel adecuado de seguridad al utilizar los Servicios, teniendo en cuenta cualquier riesgo con respecto a los Datos de Sus Clientes;

d. acepta que cualquier almacenamiento que haga de los Datos de Sus Clientes y/o transferencia de estos a cualquier tercero o plataforma, que no sea SumUp, será a su riesgo y responsabilidad exclusivos;

e. se asegurará de que sus instrucciones con respecto al tratamiento de datos personales cumplan con la totalidad de las leyes, los reglamentos y las normas aplicables en relación con los Datos de Sus Clientes. También se asegurará de que el tratamiento de los Datos de Sus Clientes de acuerdo con sus instrucciones no hará que nosotros o usted incumplamos ninguna ley, regla o normativa;

f. proporcionará a Sus Clientes la información necesaria sobre cómo y por qué se tratan sus datos conforme a los requisitos estipulados en la Legislación de Protección de Datos Aplicable.

5. Notificaciones de violaciones de la seguridad

Tan pronto como una parte tenga constancia de una violación de la seguridad de los datos personales en relación con los datos personales tratados en virtud del presente ATD, informará a la otra parte (y a más tardar 48 horas después). SumUp le ayudará a cumplir con sus obligaciones de notificación y le facilitará la información sobre la violación que podamos revelarle de forma razonable, teniendo en cuenta la naturaleza de los Servicios, la información de que disponemos y las restricciones a la divulgación de la información, por ejemplo, debidas a requisitos de confidencialidad. A pesar de lo anterior, las obligaciones de SumUp en virtud de esta sección no se aplican a los incidentes causados por usted, cualquier actividad en su cuenta y/o cualquier actividad derivada de servicios de terceros. SumUp está obligado a cooperar y a apoyarle en la investigación, la minimización de las consecuencias negativas y la rectificación de la violación de la seguridad de los datos personales, así como en la prevención de futuras violaciones similares de la seguridad de los datos. La notificación por parte de SumUp de una violación de la seguridad de los datos no se considerará un reconocimiento por parte de SumUp de ningún error ni ninguna responsabilidad en relación con tal incidente. En caso de producirse una violación de la seguridad de los datos, estará obligado a tomar las medidas exigidas en la legislación aplicable en relación con los Datos de Sus Clientes.

6. Subencargados del tratamiento

Por el presente, concede a SumUp autorización general para contratar subencargados del tratamiento con el fin de prestar los Servicios sin necesidad de obtener ninguna otra autorización específica por escrito. SumUp firmará un acuerdo con cada subencargado del tratamiento con el que garantizará el cumplimiento por parte de dicho subencargado del tratamiento de unos términos que garanticen al menos el mismo nivel de protección y seguridad que el establecido en este ATD. Si se opone a la contratación de algún subencargado del tratamiento y su oposición es razonable y está relacionada con inquietudes sobre la protección de los datos, haremos los esfuerzos comercialmente razonables por poner a su disposición una forma de evitar el tratamiento de los Datos de Sus Clientes por parte del subencargado del tratamiento a cuya contratación se ha opuesto. Si no podemos poner a su disposición los cambios sugeridos en un periodo de tiempo razonable, le informaremos y, si sigue oponiéndose a que recurramos a dicho subencargado del tratamiento, podrá cancelar o rescindir su cuenta o, si es posible, las partes de los Servicios para las cuales debemos recurrir a tal subencargado del tratamiento.

7. Transferencia de datos personales

El tratamiento de los Datos de Sus Clientes tendrá lugar en el territorio del Espacio Económico Europeo (“EEE”) y en el Reino Unido. Las transferencias a terceros países externos a la UE, el EEE y el Reino Unido y el tratamiento en terceros países externos a la UE, el EEE y el Reino Unido que no garanticen un nivel adecuado de protección conforme a la Legislación de Protección de Datos Aplicable (como garantizan las normas en materia de adecuación adoptadas en el Reino Unido) se llevarán a cabo de conformidad con las Cláusulas Contractuales Tipo u otro mecanismo apropiado que garantice un nivel adecuado de seguridad de los datos personales conforme a los requisitos de la Legislación de Protección de Datos Aplicable.

8. Auditorías

Tiene derecho a iniciar una revisión de las obligaciones de SumUp conforme a este ATD una vez al año. Ambas partes deciden conjuntamente si un tercero debe llevar a cabo la auditoría. Sin embargo, puede permitirnos que encarguemos la revisión de seguridad a un tercero neutral de nuestra elección. Si el alcance propuesto de la auditoría sigue un informe de una certificación ISO o de una certificación similar elaborado por un auditor titulado externo en los doce meses anteriores y SumUp confirma que no se han producido cambios sustanciales en las medidas objeto de revisión, las solicitudes recibidas dentro de dicho plazo de tiempo habrán quedado satisfechas con ello. Las auditorías no pueden interferir de forma poco razonable en las actividades habituales de SumUp. Usted es responsable de todos los gastos relacionados con su solicitud de auditoría. Una vez al año, previa solicitud por escrito del Responsable del Tratamiento y en la medida exigida por la Legislación de Protección de Datos Aplicable, SumUp conviene en cooperar con el Responsable del Tratamiento y proporcionarle en un plazo razonable lo siguiente:

(a) un resumen de los informes de auditoría que demuestren la efectividad de las medidas técnicas y organizativas adoptadas por SumUp contra el tratamiento no autorizado o ilícito de los datos personales y contra el acceso no autorizado a los datos personales, la pérdida o la destrucción accidentales de datos personales, o el daño a los datos personales, y

(b) una confirmación de que la auditoría no ha revelado ninguna vulnerabilidad importante en los sistemas de SumUp o, en caso de que se detecte una vulnerabilidad de tales características, que SumUp la ha solucionado por completo.

Si las medidas contempladas más arriba no bastan para confirmar el cumplimiento de la Legislación de Protección de Datos Aplicable o revelan problemas importantes, el Responsable del Tratamiento puede solicitar a SumUp, por escrito y con un plazo de treinta (30) días de antelación como mínimo, una auditoría del programa de cumplimiento de protección de datos de SumUp llevada a cabo por auditores independientes externos. Las dos partes deben seleccionar conjuntamente a los auditores y decidirán de mutuo acuerdo el alcance, las fechas y la duración de la auditoría. El Responsable del Tratamiento adoptará todas las medidas razonables para limitar cualquier impacto adverso de la auditoría en SumUp, y asumirá todos los costes asociados con su solicitud de auditoría, así como los costes que se deriven de cualquier impacto adverso, si procediera. El Responsable del Tratamiento facilitará a SumUp el resultado de la auditoría de su programa de cumplimiento de protección de datos.

9. Responsabilidad

La responsabilidad de cada una de las partes en virtud de este ATD está sujeta a las exclusiones y las limitaciones de responsabilidad establecidas en los Términos Adicionales y/o los Términos. Usted acepta indemnizar, eximir y defender a SumUp, corriendo usted con los gastos, frente a cualesquiera costes, reclamaciones, daños o gastos en los que incurra SumUp o por los que SumUp sea considerado responsable a causa de cualquier incumplimiento de las obligaciones del presente ATD por su parte o por parte de sus empleados o agentes. Sin perjuicio de nada dispuesto en contrario en los Términos y los Términos Adicionales, incluido el presente ATD, SumUp y sus Afiliados no asumirán responsabilidad alguna por ninguna reclamación presentada por un interesado que se derive de actos u omisiones por parte de SumUp o cualquiera de sus Afiliados o que guarde relación con tales actos u omisiones, siempre y cuando SumUp haya actuado siguiendo sus instrucciones. 

10. Cancelación

Este ATD estará en vigor mientras use cualquiera de los Servicios de SumUp. Tras la finalización del uso de los Servicios, y a menos que SumUp esté obligado a conservar los Datos de Sus Clientes en virtud de los Términos y/o los Términos Adicionales de SumUp, cualquier acuerdo o la legislación aplicable, SumUp deberá, también previa petición escrita presentada por usted, suprimir los Datos de Sus Clientes tan pronto como sea razonablemente posible y de acuerdo con los Términos de SumUp y la legislación aplicable.

11. Datos agregados

Reconoce y acepta que SumUp puede tratar datos agregados de cualquier tipo relacionados con usted y Sus Clientes, incluidos datos de uso de los Servicios. Por el presente, el cliente reconoce, acepta y consiente que SumUp puede usar esos datos agregados (sin que esta lista sea exhaustiva) para analizar, mejorar y explotar sus Servicios y, en general, para cualquier actividad comercial, durante toda la duración del ATD, pero también una vez terminado este, para contribuir a análisis de mercado, generar estadísticas, y mejorar sus Productos y Servicios y la seguridad de estos, siguiendo buenas prácticas y/o recomendaciones del sector.

12. Disposiciones varias

12.1. En caso de conflicto entre este ATD y los Términos y/o los Términos Adicionales de SumUp, prevalecerán las disposiciones de este ATD.

12.2. Usted es responsable de cualquier coste y gasto derivado del cumplimiento por parte de SumUp de sus instrucciones o solicitudes de conformidad con los Términos Adicionales (incluyendo este ATD) que queden fuera de la funcionalidad estándar facilitada por SumUp generalmente a través de los Servicios.

12.3. SumUp tendrá derecho a modificar y/o ajustar cualquiera de los términos de este ATD según sea necesario en cada momento. SumUp puede realizar cambios en el ATD mediante Anexo separado o en otro medio visible, lo que incluye la publicación de una versión actualizada del ATD en nuestro sitio web, y tales cambios se comunicarán de la forma adecuada. La mención “Última modificación” en la parte superior del ATD indica cuándo se ha revisado por última vez.

12.4. Cualquier pregunta relativa a este ATD o a otras solicitudes relacionadas con el tratamiento de datos personales debe dirigirse a dpo@sumup.com. SumUp intentará resolver cualquier queja relacionada con el uso de los Datos de Sus Clientes conforme a este ATD, los Términos y las políticas internas de SumUp.

12.5. Si alguna de las disposiciones del ATD se considera no válida, ello no afecta a las demás disposiciones. Las partes sustituirán las disposiciones inválidas por una disposición legal que refleje el propósito de la disposición inválida.

12.6. El presente ATD se regirá e interpretará de conformidad con la ley que rige los Términos Adicionales aplicables.

Anexo 1

1. Objeto

El objeto es el tratamiento de datos en virtud del presente ATD.

2. Finalidad y naturaleza del tratamiento

La finalidad del tratamiento de datos en el marco de este ATD es la prestación y la mejora de los Servicios iniciados por usted.

3. Duración

Entre usted y nosotros, la duración del tratamiento de datos en virtud de este ATD la determina usted y abarca el periodo durante el cual elige utilizar nuestros Servicios.

4. Categorías de interesados

Sus Clientes, los clientes potenciales de Sus Clientes, su equipo (empleados, contables u otros terceros) y/o cualquier otra persona cuyos datos personales se incluyan en el Contenido. En el caso de las tarjetas regalo, los compradores y/o los destinatarios de las tarjetas regalo cuyos datos se traten como parte de los Servicios de tarjetas regalo de conformidad con los Términos Adicionales y los Términos de SumUp.

5. Tipo de datos personales

Los Datos de Sus Clientes se tratan como parte de los Servicios de conformidad con los Términos y las instrucciones dadas. Esos datos pueden variar en función de los Servicios utilizados, y pueden incluir, entre otras cosas:

Tienda en línea

El nombre, la dirección de correo electrónico, el número de teléfono móvil/fijo, la dirección postal, los datos de pago, el historial de transacciones/pedidos, la dirección IP, información de cookies y tecnologías similares, y preferencias de marketing de Sus Clientes. 

Tarjetas regalo

El nombre y la dirección de correo electrónico del comprador y el destinatario de la tarjeta regalo, el importe de la tarjeta regalo y el mensaje de la tarjeta regalo.

Facturación y contabilidad

Nombres, direcciones postales, números de teléfono móvil/fijo, direcciones de correo electrónico, números de cuenta y/o datos bancarios, asunto de la factura, fecha de la transacción/del pedido, y estado de las facturas. En el caso de los servicios de factoring a través de nuestros socios, los datos relacionados con la oferta de factoring, el pago de facturas y las disputas. 

TPV y servicios asociados

Nombres, direcciones postales, números de teléfono móvil/fijo, direcciones de correo electrónico, datos de transacciones/pedidos y comentarios, así como, en el caso de sus empleados, número de empleado, credenciales de inicio de sesión, dirección IP, cargo, correo electrónico, pedidos y preferencias de idioma. 

En el caso de los recibos y la información de los pedidos al usar los servicios de pedido o Kiosk, la información de los pedidos, números de teléfono móvil, direcciones de correo electrónico y notas de los pedidos. 

SumUp Connect (fidelidad)

Si envía comunicaciones a Sus Clientes a través de los servicios de SumUp Connect (fidelidad), las comunicaciones, las direcciones de correo electrónico, los números de teléfono móvil y las preferencias de marketing.

SumUp Bookings

Nombres, números de teléfono móvil/fijo, direcciones de correo electrónico, datos de las transacciones/los pedidos/las citas, datos de asistencia, reembolsos y depósitos, direcciones postales (en caso de que el servicio deba prestarse en la dirección indicada por Sus Clientes), comentarios y preferencias de marketing de Sus Clientes. Las citas, los horarios, los números de teléfono y las reseñas de su equipo.

Otros Servicios (pagos en línea, enlaces/QR de pago, SumUp Checkout) 

En caso de que, con el uso de nuestros Servicios relacionados con los pagos en línea, decida recoger, además de los datos estrictamente necesarios para el procesamiento de pagos, datos adicionales sobre Sus Clientes (datos relativos a sus ventas, como pedidos y datos de contacto de Sus Clientes o datos de pago de Sus Clientes para futuras compras), direcciones de correo electrónico, nombres, números de teléfono móvil/fijo, NIF/CIF (si lo exige la ley), datos de transacciones/pedidos, notas/comentarios y campos de datos personalizables del pago/pedido, direcciones de envío, direcciones y datos de facturación, datos de las tarjetas de pago para futuras compras (si Sus Clientes lo aceptan) y preferencias de marketing (si se prestan técnicamente como Servicio).     

No está previsto tratar categorías especiales de datos personales, incluidos los relativos a condenas penales y delitos, en el marco de los Servicios y quedan excluidos de los términos del presente ATD. Si tales datos se tratan mientras se utilizan nuestros Servicios, esto es sin el conocimiento de SumUp y debe suprimir dicha información inmediatamente después de identificar dicho tratamiento. Nuestros Servicios no están destinados al uso por parte de personas menores de 18 años.