Acuerdo de Procesamiento de Datos (DPA)

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del acuerdo de servicios entre Hyperion Finance, Inc. ("Hyperion", "Procesador") y el cliente comercial que utiliza los Servicios ("Cliente", "Controlador") y aplica cuando Hyperion procesa Datos Personales por cuenta y en nombre del Cliente.

En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalecerá en materia de protección de datos.

1. Definiciones

• "Datos Personales" significa cualquier información relativa a una persona natural identificada o identificable que sea procesada por Hyperion en nombre del Cliente.
• "Procesamiento" significa cualquier operación realizada sobre Datos Personales, ya sea por medios automatizados o no.
• "Titular de los Datos" significa la persona natural a quien se refieren los Datos Personales.
• "Sub-procesador" significa cualquier tercero contratado por Hyperion para procesar Datos Personales por cuenta del Cliente.
• "Leyes de Protección de Datos" significa las leyes y regulaciones aplicables relativas a la protección de datos personales, incluyendo las leyes federales aplicables, las leyes del Estado Libre Asociado de Puerto Rico, y, cuando aplique, leyes extranjeras como el RGPD.

2. Roles de las Partes

En relación con los Datos Personales procesados por Hyperion en virtud del acuerdo de servicios, el Cliente actúa como Controlador (o controlador conjunto, según aplique) y Hyperion actúa como Procesador. Cada parte cumplirá con sus respectivas obligaciones bajo las Leyes de Protección de Datos.

3. Objeto y Duración

El objeto del procesamiento es la prestación de los Servicios descritos en los Términos de Servicio, incluyendo formación de entidades, automatización de presentaciones de IVU y presentaciones municipales, integraciones con sistemas de terceros y comunicaciones relacionadas. La duración del procesamiento coincide con la vigencia del acuerdo de servicios, más cualquier período adicional requerido por ley para la retención de registros.

4. Naturaleza y Propósito del Procesamiento

Hyperion procesará los Datos Personales únicamente con el propósito de prestar los Servicios al Cliente y cumplir con instrucciones documentadas del Cliente, salvo que la ley exija lo contrario.

5. Categorías de Datos y Titulares

• Categorías de Titulares: el Cliente, sus administradores, miembros invitados, beneficiarios finales, empleados (cuando aplique), y representantes autorizados.
• Categorías de Datos: datos de identificación (nombres, identificaciones fiscales, identificaciones gubernamentales), datos de contacto (correo electrónico, teléfono, dirección), información financiera y de cuentas bancarias, datos de transacciones y ventas, información corporativa y de cumplimiento, y registros generados en la operación de los Servicios.

6. Obligaciones del Procesador

Hyperion: (a) procesará Datos Personales únicamente conforme a instrucciones documentadas del Cliente (los Términos de Servicio y este DPA constituyen dichas instrucciones documentadas); (b) garantizará que el personal autorizado para procesar Datos Personales esté sujeto a obligaciones de confidencialidad; (c) implementará medidas técnicas y organizacionales apropiadas para proteger los Datos Personales (ver Anexo A); (d) asistirá al Cliente en el cumplimiento de las solicitudes de los Titulares de los Datos en la medida razonablemente posible; (e) asistirá al Cliente en la realización de evaluaciones de impacto, notificaciones de incidentes y consultas a autoridades de protección de datos, en la medida razonablemente posible; y (f) al término del acuerdo, eliminará o devolverá los Datos Personales conforme a la Sección 11.

7. Sub-procesadores

El Cliente otorga autorización general a Hyperion para contratar sub-procesadores para la prestación de los Servicios. Una lista actualizada está publicada en /legal/sub-processors. Hyperion notificará cambios significativos en la lista con al menos quince (15) días de anticipación; durante dicho período, el Cliente podrá objetar razonablemente, en cuyo caso las partes negociarán de buena fe una solución alternativa o, si no es posible, podrá terminarse la parte del Servicio afectada.

Hyperion celebrará con cada sub-procesador un acuerdo con obligaciones de protección de datos sustancialmente equivalentes a las aquí establecidas y será responsable del cumplimiento del sub-procesador.

8. Seguridad de los Datos

Hyperion implementará medidas técnicas y organizacionales razonables y apropiadas para proteger los Datos Personales contra acceso, divulgación, alteración o destrucción no autorizados. Las medidas incluyen, sin limitación: cifrado en tránsito (TLS) y en reposo donde sea técnicamente factible, controles de acceso basados en roles, autenticación multifactor para accesos administrativos, segregación de ambientes, monitoreo de actividad, gestión de vulnerabilidades, y formación del personal.

9. Notificación de Incidentes de Seguridad

Hyperion notificará al Cliente sin demora indebida, y en cualquier caso dentro de las setenta y dos (72) horas siguientes al conocimiento de un Incidente de Seguridad que afecte Datos Personales del Cliente. La notificación incluirá, en la medida disponible, la naturaleza del incidente, las categorías y volumen aproximado de datos afectados, las medidas adoptadas o propuestas, y un punto de contacto.

10. Transferencias Internacionales

Algunos Datos Personales pueden ser procesados fuera de Puerto Rico, incluyendo en los Estados Unidos continentales, la Unión Europea u otras jurisdicciones donde operen sub-procesadores. Para tales transferencias, Hyperion implementará los mecanismos legales apropiados (por ejemplo, cláusulas contractuales tipo) cuando sea exigido por la ley aplicable.

11. Devolución y Eliminación

Al término del acuerdo de servicios, Hyperion, a opción del Cliente, devolverá o eliminará los Datos Personales en su posesión, salvo que la retención sea requerida por ley aplicable (por ejemplo, requisitos de retención de registros tributarios). Hyperion confirmará por escrito el cumplimiento de esta obligación.

12. Auditoría

Una vez al año, o con mayor frecuencia si lo exige una autoridad reguladora, el Cliente podrá solicitar información razonable que demuestre el cumplimiento por parte de Hyperion de este DPA. Hyperion proporcionará, según corresponda, certificaciones de cumplimiento, reportes de auditoría de terceros (por ejemplo, SOC 2), o cuestionarios completados. Auditorías presenciales podrán realizarse, sujeto a aviso razonable, en horario laboral, sin interrumpir las operaciones de Hyperion, y bajo acuerdos de confidencialidad.

13. Responsabilidades

Las limitaciones de responsabilidad establecidas en los Términos de Servicio aplicarán a las reclamaciones que surjan en virtud de este DPA, en la medida permitida por la ley aplicable.

14. Ley Aplicable

Este DPA se rige por las leyes del Estado Libre Asociado de Puerto Rico, sin perjuicio de cualquier mecanismo de protección de datos exigido por leyes extranjeras aplicables a transferencias internacionales.

Anexo A — Medidas Técnicas y Organizacionales

• Cifrado de datos en tránsito (TLS 1.2+) y en reposo donde sea factible.
• Controles de acceso basados en roles; autenticación multifactor para accesos administrativos y del personal.
• Registros de auditoría y monitoreo de seguridad.
• Gestión de vulnerabilidades, parchado regular y pruebas periódicas.
• Segregación de ambientes (desarrollo, staging, producción).
• Procesos de respaldo y recuperación ante desastres.
• Acuerdos de confidencialidad con personal y sub-procesadores.
• Capacitación periódica del personal en privacidad y seguridad.

Anexo B — Sub-procesadores

La lista actualizada de sub-procesadores se mantiene en /legal/sub-processors.