CONTRATO DE ENCARGO DE DATOS PERSONALES 

(“DATA PROCESSING AGREEMENT”) 

Última modificación: Marzo 2025 

El presente Contrato de Encargo de Certificaciones Digitales Buo, S.A. de C.V. (en adelante,  “BUO”) establece los términos del acuerdo entre las partes con respecto al Tratamiento de  Datos Personales que llevará a cabo BUO en nombre y por cuenta de Clientes de BUO (en  adelante “Cliente”), en el marco de la prestación de los Servicios y en conformidad con los  Términos de Servicio de BUO. 

El presente Contrato de Encargo entrará en vigor en la fecha de su última modificación, según  lo indicado en el encabezado de este documento. Los términos no definidos de otro modo en  el presente Contrato tendrán el significado establecido en el contrato principal que rige la  relación con el Cliente (“el Acuerdo”). En caso de conflicto o incoherencia con los términos 

del Acuerdo, el presente Contrato de Encargo prevalecerá sobre los términos en la medida de  dicho conflicto o incoherencia. 

BUO podrá actualizar estos términos ocasionalmente, por lo que corresponde al Cliente  revisar regularmente el sitio web de BUO para estar al tanto de cualquier modificación. En  caso de contar con una suscripción activa, BUO notificará al Cliente sobre dichos cambios  mediante correo electrónico (siempre que el Cliente haya optado por recibir notificaciones  por este medio) o a través de una notificación dentro de la plataforma. 

CLÁUSULAS 

1. OBJETO. El presente Contrato tiene como finalidad establecer las condiciones bajo las  cuales BUO realizará el tratamiento de datos personales requerido para garantizar la  adecuada prestación de los Servicios brindados por BUO al CLIENTE, según los  Términos del Servicio o Contrato principal pactado entre las partes (“el Acuerdo”).  

El tratamiento se llevará a cabo respetando los principios de licitud, lealtad, transparencia,  limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de  conservación, integridad, confidencialidad y responsabilidad proactiva. 

2. DEL RESPONSABLE DELTRATAMIENTO DE LOS DATOS. EL CLIENTE será  en todo momento el Responsable del tratamiento de los datos personales de las personas  físicas pertenecientes a su organización o en proceso de reclutamiento, cuyos datos sean  tratados y procesados a través de la plataforma y/o los Servicios de BUO, así como de  los datos de los usuarios autorizados de los Servicios y la Plataforma. El CLIENTE 

garantiza a BUO que los datos recolectados y entregados a BUO para su procesamiento,  han sido obtenidos con el consentimiento de sus titulares, o bajo cualquier otra base de 

1.Última modificación: Marzo 2025 

legitimación válida conforme a la legislación aplicable y que dichos titulares han sido  informados del tratamiento de sus datos para los fines de la prestación de los Servicios.  

3. DEL ENCARGADO DEL TRATAMIENTO DE LOS DATOS. BUO fungirá como  Encargado del tratamiento de los datos. BUO no tendrá capacidad de decisión sobre las  finalidades del uso y tratamiento de dichos datos personales. Las partes acuerdan que el  uso de los Servicios por parte del Cliente constituye las instrucciones completas del  Cliente hacia BUO en relación con el Tratamiento de Datos Personales. No obstante, el  Cliente podrá emitir instrucciones adicionales durante la vigencia del Acuerdo, siempre  que dichas instrucciones sean compatibles con los términos establecidos, la naturaleza de  los Servicios, el uso legítimo de la plataforma y la normativa aplicable. 

BUO no responderá a las solicitudes, quejas o peticiones de los titulares de los datos por  sí mismo. Cuando sea necesario y en la medida de lo posible, BUO ayudará a EL  CLIENTE a cumplir sus obligaciones al responder a las solicitudes de ejercicio de  derechos de los interesados teniendo en cuenta la naturaleza del tratamiento.  

4. DE LA NATURALEZA DE LOS DATOS. BUO tratará y procesará los datos de los  Usuarios Autorizados del Cliente, así como de colaboradores o candidatos a  colaboradores del Cliente, cuyos datos se procesan a través de los Servicios, actuando en  nombre y por cuenta del Cliente. Estos datos incluyen información personal general,  como nombres, apellidos, número de identificación oficial o pasaporte, género, edad,  lugar de residencia, correo electrónico, teléfono, así como datos relacionados con la  aptitud laboral, habilidades y desempeño laboral, incluida la preparación académica, 

perfil conductual, desempeño y evaluaciones, entre otros.  

5. MEDIDAS DE SEGURIDAD. BUO se obliga a aplicar las medidas de seguridad  técnicas, organizacionales y físicas que sean razonablemente necesarias según las  circunstancias, para proteger los datos personales contra acceso no autorizado, pérdida,  alteración o destrucción. Dichas medidas se establecerán de acuerdo con los principios y  obligaciones contenidas en la legislación aplicable; entre las cuales destacarán los  controles de acceso y autenticación, el cifrado de datos, el almacenamiento seguro en la  nube, monitorización regular de la seguridad, entre otros. Estas medidas se adoptarán  teniendo en cuenta, además de la legislación aplicable, el estado de la tecnología, la  naturaleza de los datos almacenados, las mejores prácticas y los riesgos a los que puedan  estar expuestos, ya sea por acción humana o por factores físicos, técnicos o naturales.  Además, BUO informará a El CLIENTE sobre dichas medidas y atenderá de manera  oportuna cualquier solicitud de información relacionada que el Cliente formule en  cualquier momento.

2 Última modificación: Marzo 2025 

6. DE LAS CONDICIONES PARA EL ACCESO Y TRATAMIENTO DE DATOS  PERSONALES. El tratamiento y el acceso de los datos personales por parte de BUO se  llevará a cabo exclusivamente para los fines relacionados con la prestación de los  Servicios acordados. En este sentido, BUO se compromete a tratar los datos personales  en estricto cumplimiento de la normativa vigente, absteniéndose de utilizarlos o tratarlos 

para fines distintos de los aquí descritos, así como de transferirlos a terceros sin la debida  autorización del Responsable. La remisión de datos que haga BUO a sus sub-contratistas  o proveedores para efectos de la adecuada prestación de los Servicios, no se considera  una transferencia de los datos.  

En caso de realizar transferencias de datos por petición del Responsable a otro encargado  contratistas, subcontratista u otros terceros, será obligación de EL CLIENTE obtener el  consentimiento de los titulares para llevar a cabo la transferencia, indicándole al titular a  quien se transferirán los datos y para que fines, ó verificar la validez legal de la  transferencia.  

En caso de que BUO subcontrate el tratamiento de datos personales a terceros,  garantizará que dichos terceros ofrezcan garantías suficientes para implementar medidas  técnicas y organizativas adecuadas.  

BUO no será responsable, en ninguna circunstancia, del uso indebido que El CLIENTE,  sus representantes, gerentes, encargados, empleados, colaboradores, candidatos a  colaboradores, contratistas, proveedores, subcontratistas u otros terceros no autorizados  por BUO puedan hacer de la plataforma o de la información y datos transmitidos,  ingresados, extraídos o gestionados a través de los Servicios. Cualquier actividad que no  cumpla con los Términos de Uso de la plataforma, con el Acuerdo, o con la Política de  Uso Aceptable de los Servicios, será considerada un uso no permitido. 

7. OBLIGACIONES DEL CLIENTE (RESPONSABLE). Son obligaciones del Cliente,  como Responsable del Tratamiento, las siguientes:  

a. Garantizar el cumplimiento de la legislación aplicable. 

b. Obtener el consentimiento de los titulares de los datos para el tratamiento de los  datos personales, cuando así lo requiera la legislación aplicable. 

c. Enviar al titular el aviso de privacidad correspondiente, o cerciorarse por las formas  válidas posibles (p.e. el contrato de trabajo o las condiciones del proceso de  reclutamiento) de informar al titular sobre el tratamiento que se hará a través de los  Servicios de BUO, antes de que se inice el tratamiento de los datos para las  finalidades para las cuales los obtuvo. 

d. Solicitar el consentimiento nuevamente, cuando así la ley lo exija, si se presentan cambios en las finalidades del tratamiento de los datos, respecto de las informadas  inicialmente. 

3 Última modificación: Marzo 2025 

e. Limitar al mínimo posible el periodo de tratamiento de datos personales sensibles. f. Proporcionar instrucciones claras y legales a BUO para el tratamiento de los datos. g. Supervisar razonablemente el cumplimiento de las medidas de seguridad por parte  de BUO. 

h. Informar a BUO de cualquier modificación en las finalidades del tratamiento o en  las instrucciones iniciales. 

i. Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho de  protección de datos. 

j. Establecer mecanismos sencillos, expeditos, accesibles, agiles, eficaces y gratuitos  para que los titulares pueden ejercer sus derechos de acceso, rectificación,  cancelación u oposición. 

k. Proporcionar a los titulares de los datos personales, datos de contacto. l. Establecer y mantener, en su propia organización, personal e infraestructura  tecnológica y física, medidas de carácter administrativo, operativo, físico y técnico  suficientes para mantener la confidencialidad, integridad y disponibilidad de los  datos personales. 

8. OBLIGACIONES DE BUO (ENCARGADO) 

Tratar los datos personales únicamente conforme a las instrucciones de El Cliente  y para fines de la prestación de los Servicios.  

a. Implementar las medidas de seguridad necesarias para proteger los datos personales  contra pérdida, alteración o acceso no autorizado. BUO no será responsable de  filtraciones no autorizadas de la información, salvo cuando dicha filtración sea  originida por negligencia legalmente declarada en el manejo de la misma y/o  incumplimiento legamente declarado del presente contrato, siempre que dicho  incumplimiento haya sido la causa demostrada de la filtración.  

b. Informar sin dilación alguna al Cliente cuando un Titular ejercite sus derechos en  materia de protección de datos a través de BUO. 

c. Remitir a El Cliente de manera inmediata cualquier solicitud, queja o petición de  información que reciba directamente de los Usuarios, titulares de datos o de sus  representantes legales, en relación con el manejo de sus datos personales. 

d. Informar de manera inmediata a El Cliente si no puede, o anticipa que no podrá,  cumplir con las disposiciones del presente Contrato de Encargo por cualquier  motivo.  

e. Notificar a El Cliente sobre cualquier brecha de seguridad que comprometa los  datos personales bajo su custodia, proporcionando la información necesaria para  que El Cliente cumpla con sus obligaciones legales. 

f. Suprimir o devolver los datos personales al finalizar el contrato, salvo disposiciones  legales que exijan su conservación, en cuyo caso se conservarán los datos que sean  estrictamente necesarios para la finalidad de conservación estipulada por la ley  aplicable.

4 Última modificación: Marzo 2025 

g. Limitar el tratamiento a aquellos datos que sean necesarios para la prestación  adecuada, de calidad y eficiente de los Servicios. Cualquier limitación del  tratamiento de los datos instruida por EL CLIENTE que repercuta en la adecuada  prestación de los servicios, o en los resultados de los modelos, algoritmos y  sistemas de BUO, exime a BUO de cualquier responsabilidad contractual por  eventuales errores o por cualquier afectación en la calidad o precisión de los  Servicios.  

h. Guardar confidencialidad respecto de los datos personales tratados y garantizar que  su personal y cualquier persona autorizada por BUO para tratar datos personales  del Cliente, cuenten con obligaciones contractuales o derivadas de una obligación  legal que les obliguen a respetar la confidencialidad de los datos personales  tratados. 

i. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo  auditorías, para comprobar el cumplimiento de las políticas de protección de datos  personales.  

j. Abstenerse de transferir los datos personales, salvo en el caso de que el Cliente así  lo determine expresamente y por escrito, o por mandato expreso de una autoridad  judicial o administrativa legalmente competente.  

k. Permitir al Cliente o autoridad de control, cuando sea legalmente procedente en  este último caso, inspecciones y verificaciones. Estas verificaciones se harán  preferiblemente a través de cuestionarios, o de las certificaciones de seguridad de  la información con las que cuente BUO.  

9. SUBCONTRATACIÓN. Por medio de este Contrato, EL CLIENTE otorga su  autorización expresa a BUO para subcontratar a los proveedores que considere necesarios  para la adecuada prestación de los Servicios, incluyendo aquellos relacionados con  infraestructura, plataformas y servicios en la nube. Dichos proveedores actuarán en  nombre y por cuenta de BUO respecto al tratamiento de los datos personales, por lo que  estarán prohibidos de utilizarlos para cualquier propósito ajeno a los establecido en este  Contrato y en el Acuerdo correspondiente. Además, BUO garantizará que los  proveedores cumplan con las mismas obligaciones en materia de protección de datos y  seguridad de la información, exigiendo que dichas obligaciones sean formalizadas  mediante acuerdos contractuales. EL CLIENTE reconoce y acepta que estos sub proveedores, especialmente aquellos que proveen servicios en la nube, podrían estar  sujetos a leyes de sus países de origen que les obliguen a suministrar información,  incluidos datos personales, por motivos de seguridad nacional o interés público. BUO no  será responsable por dicho suministro de información, lo cual el CLIENTE acepta  libremente. BUO hará esfuerzos razonables, según las circunstancias, para obtener de sus  proveedores, información relacionada con dicho suministro de datos y procurará pactará  en los acuerdos con dichos proveedores, cláusulas que permitan a BUO obtener 

5 Última modificación: Marzo 2025 

información sobre requerimientos de datos fundados en dichos motivos de interés público  o seguridad nacional.  

Cuando así lo solicite el CLIENTE, BUO podrá entregar una lista de sub-contratistas  para efectos de conocimiento del CLIENTE.  

10. REMISIÓN DE DATOS PERSONALES. Dado que el tratamiento de datos personales  realizado por BUO constituye un encargo derivado de la contratación de un servicio,  entre EL CLIENTE y BUO no se configurará una transferencia de datos personales, sino  únicamente una remisión de estos. Sin embargo, si la legislación de protección de datos  personales aplicable determina que existe una transferencia, ya sea nacional o  internacional, y para ello requiere el consentimiento expreso de los titulares, será  responsabilidad exclusiva del CLIENTE obtener dicho consentimiento, actuando en su  calidad de Responsable de los datos. EL CLIENTE garantiza a BUO que cualquier  transferencia, remisión o cesión de datos personales efectuada o instruida por aquél,  cumple con las disposiciones legales aplicables. Esta remisión no generará ningún  vínculo directo entre BUO y los titulares de los datos personales tratados. 

11. CONFIDENCIALIDAD Y TRATAMIENTO DE DATOS POR TERCEROS. BUO únicamente permitirá el acceso a los datos personales tratados a aquellos miembros de su  personal o terceros contratistas cuando sea estrictamente necesario para la ejecución y  gestión de los Servicios. BUO se compromete a mantener acuerdos de confidencialidad  con sus colaboradores, contratistas, proveedores, representantes, directores o  subcontratistas que puedan tener acceso a la Información Confidencial, garantizando que  dichos acuerdos aseguren condiciones de confidencialidad similares a las establecidas en  este contrato. 

12. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD. En caso de una violación de la  seguridad de los datos personales, BUO notificará al CLIENTE sin dilación  injustificada, proporcionando toda la información requerida para cumplir con las  obligaciones de notificación ante las autoridades de protección de datos y los titulares. 

BUO proporcionará información detallada sobre: La naturaleza de la brecha, los datos  comprometidos, las medidas adoptadas para mitigar el daño y las acciones correctivas  implementadas para evitar su repetición. EL CLIENTE reconoce que por la naturaleza  de estos incidentes, en ocasiones no será posible entregar más información de la que  exista al momento de la confirmación del incidente, por lo que acepta que BUO entregue  información de forma periódica conforme avance la investigación del incidente. 

6 Última modificación: Marzo 2025 

13. USO DE INTELIGENCIA ARTIFICIAL Y DECISIONES AUTOMATIZADAS. El  CLIENTE reconoce y acepta que los Servicios de BUO implican el uso de tecnologías  de machine learning, inteligencia artificial y decisiones automatizadas, y que dicho uso  es parte esencial de los Servicios. Por lo tanto, EL CLIENTE acepta expresamente que  BUO efectúe dicho tratamiento y perfilación sobre los datos personales de los  colaboradores o candidatos a colaboradores del CLIENTE y exime de responsabilidad  a BUO sobre las obligaciones legales que puedan existir para el procesamiento de datos  personales a través de herramientas de IA y que le competan al CLIENTE.  

BUO no es responsable por ninguna de las decisiones que adopte EL CLIENTE con  base en los Servicios, incluida la información, predicciones y datos ofrecidos a través  de los Servicios y/o la Plataforma.  

14. CONSERVACIÓN DE LOS DATOS. BUO se compromete a conservar los datos  personales únicamente durante el tiempo estrictamente necesario para cumplir con las  finalidades establecidas en este contrato. Una vez cumplida la finalidad del tratamiento o  finalizado el contrato, ya sea por su resolución o por la expiración de su plazo de vigencia,  BUO procederá a suprimir, de sus bases de datos o sistemas, los datos personales tratados  en nombre del CLIENTE y proporcionará evidencia de dicha eliminación, o bien,  devolverá todos los datos personales al CLIENTE y eliminará cualquier copia restante.  Lo anterior no aplicará cuando exista una obligación legal que justifique la conservación  de los datos para ciertos fines, o si estos son necesarios para la defensa en procedimientos  legales o administrativos.  

En cualquier caso, según se indica en la cláusula BUO podrá optar por anonimizar los  datos personales y, una vez anonimizados, conservarlos para sus propios fines legítimos,  tales como investigación, análisis estadístico, desarrollo, entre otros. Toda información  y/o datos anonimizados no constituyen datos personales, por lo que BUO se reserva el  derecho de conservación y el derecho de propiedad intelectual sobre aquellos datos  agregados, estadísticos y bases de datos suficientemente anonimizadas, relacionados al  uso de sus Servicios y su Plataforma, así como la información resultante de analítica de  datos aplicada sobre sus Servicios o Plataforma, siempre que la data conservada se  encuentre debidamente anonimizada.  

15. RESOLUCIÓN DEL CONTRATO. Ambas partes estarán facultadas para dar por  terminado este contrato, y por ende el Acuerdo principal, en caso de incumplimiento  grave ó incumplimiento recurrente de sus disposiciones, o de las obligaciones que les  imponga la legislación de protección de datos aplicable.

7 Última modificación: Marzo 2025 

16. LEY APLICABLE. Este contrato de encargo de datos personales constituye las  cláusulas contractuales que regulan la relación entre el CLIENTE y BUO para el  tratamiento de datos bajo el Acuerdo principal, de conformidad con las siguientes leyes: 

• Para Clientes responsables de datos personales de personas radicadas en territorio  de los Estados Unidos Mexicanos: Ley Federal de Protección de Datos Personales  en Posesión de los Particulares (2010) y su Reglamento. 

• Para Clientes responsables de datos personales de personas radicadas en territorio  de Costa Rica: Ley N.º 8968 de Protección de la Persona Frente al Tratamiento  de sus Datos Personales y su Reglamento.