Legal

Acuerdo de Procesamiento de Datos

Versión 1.0 — 9 de mayo de 2026

Conforme a LFPDPPP
Roles Datos procesados Obligaciones Vigencia

1. Roles de las partes

El presente Acuerdo de Procesamiento de Datos establece los roles y responsabilidades de cada parte en relación con el tratamiento de datos personales dentro de la plataforma Reward Points.

Responsable del Tratamiento

Organización suscriptora

El negocio que contrata Reward Points y decide las finalidades y medios del tratamiento de datos personales de sus clientes.

Encargado del Tratamiento

Red Plug

Red Plug, operando comercialmente como Red Plug, proveedor de la plataforma Reward Points que procesa datos personales exclusivamente según las instrucciones de la Organización suscriptora.

2. Datos procesados

A continuación se detallan las categorías de datos personales que la plataforma procesa en nombre de la Organización suscriptora:

Categoría Datos
Clientes B2C Número de teléfono, nombre completo
Historial de transacciones Fecha y hora de operación, monto, tipo (acumulación, canje, ajuste), puntos otorgados o redimidos, identificador de cajero
Tarjetas de regalo Saldo actual, historial de recargas y consumos, código de tarjeta, estado (activa, agotada, expirada)

Red Plug no recopila ni procesa datos sensibles (datos de salud, biométricos, ideología, preferencias sexuales, origen étnico, etc.) a través de la plataforma Reward Points.

3. Obligaciones del Encargado

Red Plug, en su calidad de Encargado del Tratamiento, se compromete a cumplir las siguientes obligaciones:

  • Procesar datos según instrucciones documentadas. Red Plug tratará los datos personales únicamente conforme a las instrucciones escritas de la Organización suscriptora y para las finalidades expresamente establecidas en el contrato de suscripción.
  • Implementar medidas de seguridad técnicas y administrativas. Incluyendo cifrado en tránsito (TLS 1.3) y en reposo (AES-256), controles de acceso basados en roles, monitoreo continuo y auditorías periódicas de seguridad.
  • Notificación de brechas de seguridad en 72 horas. En caso de incidente de seguridad que involucre datos personales, Red Plug notificará a la Organización suscriptora dentro de las 72 horas siguientes a tener conocimiento del incidente, proporcionando detalle de la naturaleza, alcance e impacto estimado.
  • Eliminación de datos al concluir el servicio. Al finalizar la relación contractual, Red Plug eliminará todos los datos personales procesados en nombre de la Organización dentro de los 30 días naturales siguientes, salvo que exista obligación legal de conservarlos.

Sub-encargados autorizados

Red Plug utiliza los siguientes proveedores como sub-encargados del tratamiento. Cada uno está sujeto a obligaciones contractuales equivalentes a las establecidas en este DPA:

  • Proveedor de infraestructura en la nube (hosting y almacenamiento)
  • Apple Inc. — servicios de Apple Wallet
  • Google LLC — servicios de Google Wallet
  • MercadoPago — procesamiento de pagos y facturación

La Organización suscriptora será notificada con al menos 15 días de anticipación antes de la incorporación de cualquier nuevo sub-encargado y tendrá derecho a objetar dicha incorporación.

4. Vigencia

Vinculado al contrato de suscripción

El presente Acuerdo de Procesamiento de Datos entra en vigor a partir de la fecha de contratación del servicio y permanecerá vigente durante toda la duración del contrato de suscripción. Al concluir la relación contractual —por cancelación, expiración o terminación anticipada— las obligaciones de confidencialidad y eliminación de datos subsistirán conforme a lo establecido en la cláusula 3 de este documento.