Versión 1.0 — vigente desde el 4 de julio de 2026.
Este Acuerdo de Tratamiento de Datos ("DPA") complementa el contrato principal ("Contrato") entre ECOMILHAS TECNOLOGIA LTDA (CNPJ 46.740.714/0001-37 — "ECOMILHAS") y el cliente corporativo ("Cliente") que contrata el programa de remuneración variable por metas ESG y demás servicios corporativos (los "Servicios"). Se aplica siempre que ECOMILHAS trate datos personales por cuenta del Cliente, conforme a la LGPD, el RGPD, el UK GDPR, la APPI, la CCPA/CPRA y demás leyes de protección de datos aplicables.
En caso de conflicto sobre protección de datos, este DPA prevalece sobre el Contrato.
1. Roles de las partes
Respecto de los datos de los empleados del Cliente tratados en los Servicios, el Cliente es el Responsable y ECOMILHAS actúa como Encargado, siguiendo las instrucciones documentadas del Cliente. Cuando ECOMILHAS determine finalidades y medios propios (p. ej., prevención de fraude, cumplimiento legal, generación de créditos de carbono a partir de trayectos), actuará como Responsable independiente según la Política de Privacidad.
2. Objeto, naturaleza y finalidad
- Objeto: tratamiento de datos personales necesario para prestar los Servicios.
- Naturaleza: recopilación, registro, organización, almacenamiento, uso, comunicación a subencargados, eliminación.
- Finalidad: habilitar beneficios ESG, validar trayectos, calcular recompensas y producir informes de descarbonización.
- Duración: la vigencia del Contrato, más los plazos legales de conservación.
3. Categorías de interesados y de datos (Anexo I)
- Interesados: empleados y representantes designados por el Cliente.
- Datos: identificación (nombre, correo corporativo, ID interno), vínculo laboral, datos de trayecto y movilidad, geolocalización, ecomilhas y recompensas. No destinado a datos sensibles; el Cliente no debe incluirlos.
4. Obligaciones de ECOMILHAS (Encargado)
ECOMILHAS: (a) tratará datos solo según las instrucciones documentadas del Cliente y la ley; (b) garantizará la confidencialidad de las personas autorizadas; (c) aplicará las medidas de seguridad del Anexo II; (d) asistirá al Cliente, en lo posible, en las solicitudes de interesados, evaluaciones de impacto y consultas a autoridades; (e) notificará al Cliente los incidentes de seguridad sin dilación indebida tras tener conocimiento; (f) al finalizar, eliminará o devolverá los datos, salvo conservación obligatoria; (g) pondrá a disposición información para demostrar cumplimiento y permitirá auditorías según la Sección 8.
5. Obligaciones del Cliente (Responsable)
El Cliente garantiza que tiene base legal para el tratamiento y para facilitar los datos a ECOMILHAS, que sus instrucciones son lícitas, que informó a sus empleados conforme a la ley y que obtuvo los consentimientos exigibles (incluida la geolocalización en segundo plano, cuando aplique).
6. Subencargados
El Cliente autoriza a ECOMILHAS a contratar subencargados (p. ej., proveedores de nube, procesadores de pago/Mastercard, PIX, analítica y comunicación) bajo contratos con obligaciones de protección equivalentes a este DPA. ECOMILHAS mantiene una lista de subencargados disponible a solicitud e informará cambios relevantes con antelación razonable, pudiendo el Cliente objetar de forma motivada.
7. Transferencias internacionales
Las transferencias internacionales se realizarán solo con una salvaguarda adecuada: adecuación, Cláusulas Contractuales Tipo de la UE (CCT), el IDTA del Reino Unido u otra base autorizada por la ANPD/autoridades competentes. Las CCT/IDTA aplicables se consideran incorporadas a este DPA cuando sean exigibles.
8. Auditoría
Con aviso previo razonable, como máximo una vez al año (salvo orden de autoridad o incidente), el Cliente podrá auditar el cumplimiento de ECOMILHAS, preferentemente mediante informes, certificaciones o cuestionarios, preservando la confidencialidad y la continuidad operativa.
9. Incidentes de seguridad
ECOMILHAS asistirá al Cliente en la notificación a autoridades e interesados cuando sea exigible. Para tratamientos bajo RGPD/UK GDPR, la asistencia considera el plazo de 72 horas para notificar a la autoridad competente.
10. Responsabilidad
La responsabilidad de cada parte sigue los límites del Contrato. En la máxima medida legal, se excluye la responsabilidad por daños indirectos y lucro cesante. Las partes cooperarán para asignar la responsabilidad en proporción a la culpa.
11. Vigencia y terminación
Este DPA rige mientras continúe el tratamiento por cuenta del Cliente. Terminado el Contrato, ECOMILHAS eliminará o devolverá los datos en un plazo de 60 días, salvo conservación obligatoria.
Anexo II — Medidas técnicas y organizativas de seguridad
Cifrado en tránsito (TLS) y en reposo; control de acceso de mínimo privilegio y autenticación fuerte; segregación de entornos; registro y monitoreo de logs; copias de seguridad y plan de continuidad; gestión de vulnerabilidades y pruebas; evaluación y contratos con proveedores; formación y confidencialidad del personal; procedimientos de respuesta a incidentes; seudonimización/minimización cuando aplique.
Este documento es una plantilla y debe validarse jurídicamente y firmarse por las partes antes de surtir efectos.
Documentos relacionados: Política de Privacidad · Términos Generales de Uso · Política de Cookies.