DATA PROCESSING ADDENDUM

ADENDA DE PROCESAMIENTO DE DATOS

Version 2.0 · Updated 14 May 2026

This Data Processing Addendum ("DPA") supplements and forms part of the InsureMO Subscription General Terms and Conditions available at https://insuremo.com/en/legal-general-terms-and-conditions/, as updated from time to time between Client and Company, or other agreement(s) between Client and Company governing Client's use of the Services (the "Agreement"). This DPA is an agreement between you and the entity you represent ("Client") and the InsureMO Contracting Entity under the Agreement ("Company"). This DPA reflects the Parties' agreement with regard to the Processing of Client Data (as defined below) by Company on behalf of Client in order to provide the Services pursuant to the Agreement.

Esta Adenda de Procesamiento de Datos ("DPA") complementa y forma parte de los Términos y Condiciones Generales de Suscripción de InsureMO disponibles en https://insuremo.com/en/legal-general-terms-and-conditions/, según sean actualizados periódicamente entre el Cliente y la Empresa, u otro(s) acuerdo(s) entre el Cliente y la Empresa que rijan el uso de los Servicios por parte del Cliente (el "Contrato"). Esta DPA es un acuerdo entre usted y la entidad que usted representa ("Cliente") y la Entidad Contratante de InsureMO bajo el Contrato ("Empresa"). Esta DPA refleja el acuerdo de las Partes con respecto al Tratamiento de los Datos del Cliente (según se define a continuación) por parte de la Empresa en nombre del Cliente, a fin de prestar los Servicios conforme al Contrato.

1. DEFINITIONS

1. DEFINICIONES

All capitalized terms shall follow the definition under the Agreement unless otherwise defined specifically in this DPA as below:

Todos los términos en mayúscula seguirán la definición establecida en el Contrato, salvo que se definan específicamente en esta DPA de la siguiente manera:

Client Data means the Personal Data that is uploaded to the Services under Client's InsureMO accounts, or otherwise provided by, or on behalf of Client to Company through the Use of the Services.

Datos del Cliente significa los Datos Personales que se cargan en los Servicios bajo las cuentas InsureMO del Cliente, o que son proporcionados de otro modo por el Cliente, o en nombre del Cliente, a la Empresa mediante el Uso de los Servicios.

Controller means the entity which, alone or jointly with others, determines the purposes and means of Processing of Personal Data.

Responsable significa la entidad que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos Personales.

Data Protection Laws mean all legislations and regulations applicable to the Processing of Client Data under the Agreement, including GDPR (EU General Data Protection Regulation 2016/679) and other data protection legislations, as applicable.

Leyes de Protección de Datos significan toda la legislación y regulación aplicable al Tratamiento de los Datos del Cliente bajo el Contrato, incluyendo el RGPD (Reglamento General de Protección de Datos de la UE 2016/679), y demás legislaciones de protección de datos aplicables, según corresponda.

Process or Processing means any operation or set of operations performed on Client Data, including collection, storage, use, access, disclosure, erasure, destruction, and reading.

Tratar o Tratamiento significa cualquier operación o conjunto de operaciones realizadas sobre los Datos del Cliente, incluidas la recopilación, el almacenamiento, el uso, el acceso, la divulgación, la supresión, la destrucción y la lectura.

Processor means the entity which Processes Personal Data on behalf of the Controller.

Encargado (también denominado "Encargado del Tratamiento" en algunas jurisdicciones de América Latina) significa la entidad que Trata los Datos Personales en nombre del Responsable.

Security Incident means a breach of Company's security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Client Data.

Incidente de Seguridad significa una violación de la seguridad de la Empresa que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a los Datos del Cliente.

Sub-processor means the entity engaged by Processor to provide Processing activities on Personal Data on behalf of Controller.

Subencargado significa la entidad contratada por el Encargado para llevar a cabo actividades de Tratamiento de Datos Personales en nombre del Responsable.

Supervisory Authority means an independent public authority or national body responsible for monitoring the application of the applicable Data Protection Laws.

Autoridad de Control significa una autoridad pública independiente u organismo nacional responsable de supervisar la aplicación de las Leyes de Protección de Datos aplicables.

2. DATA PROCESSING

2. TRATAMIENTO DE DATOS

2.1 Scope and Roles. This DPA applies when Client Data is Processed by Company as a Processor on behalf of Client as a Controller in order to provide Services pursuant to the Agreement. For clarity, this DPA applies only to the Processing of Personal Data in environments controlled by Company and Company's Sub-processors. For the avoidance of doubt, this includes Personal Data sent to Company through the Use of the Services but does not include Personal Data that remains on Client's premises or in any of Client's selected third party operating environments.

2.1 Alcance y Roles. Esta DPA se aplica cuando los Datos del Cliente son Tratados por la Empresa como Encargado en nombre del Cliente como Responsable, a fin de prestar los Servicios conforme al Contrato. Para mayor claridad, esta DPA se aplica únicamente al Tratamiento de Datos Personales en entornos controlados por la Empresa y los Subencargados de la Empresa. Para evitar dudas, esto incluye los Datos Personales enviados a la Empresa mediante el Uso de los Servicios, pero no incluye los Datos Personales que permanezcan en las instalaciones del Cliente ni en ninguno de los entornos operativos de terceros seleccionados por el Cliente.

2.2 Processing Details

2.2 Detalles del Tratamiento

2.2.1 Subject matter. The subject matter of the data processing under this DPA is Client Data.

2.2.1 Objeto. El objeto del tratamiento de datos bajo esta DPA son los Datos del Cliente.

2.2.2 Duration of the Processing. The duration of the Processing of Client Data under this DPA corresponds to the duration of the Services unless otherwise agreed by the Parties in writing.

2.2.2 Duración del Tratamiento. La duración del Tratamiento de los Datos del Cliente bajo esta DPA corresponde a la duración de los Servicios, salvo acuerdo escrito en contrario entre las Partes.

2.2.3 Purpose and Nature of the Processing. Company will Process Personal Data as necessary to perform the Services pursuant to the Agreement, as further specified in the Documentation, and as further instructed by Client in its Use of the Services. The nature of the Processing is the performance of the Services pursuant to the Agreement.

2.2.3 Finalidad y Naturaleza del Tratamiento. La Empresa Tratará los Datos Personales en la medida necesaria para prestar los Servicios conforme al Contrato, según se especifique en la Documentación y según las instrucciones del Cliente en el Uso de los Servicios. La naturaleza del Tratamiento es la prestación de los Servicios conforme al Contrato.

2.2.4 Type of Personal Data. Personal Data uploaded to the Services under Client's InsureMO accounts or otherwise provided by Client to Company.

2.2.4 Tipo de Datos Personales. Datos Personales cargados en los Servicios bajo las cuentas InsureMO del Cliente o proporcionados de otro modo por el Cliente a la Empresa.

2.2.5 Categories of Data Subjects. The Data Subjects could include Client's customers, employees, suppliers and End Users.

2.2.5 Categorías de Titulares de Datos. Los Titulares de Datos pueden incluir clientes del Cliente, empleados, proveedores y Usuarios Finales.

2.3 Compliance with Law. Each party will comply with all Data Protection Laws applicable to and binding on it in the performance of this DPA. Client agrees that it shall comply with its obligations as a Controller under Data Protection Laws. Client will not use the Services in a way that would violate Data Protection Laws.

2.3 Cumplimiento Legal. Cada Parte cumplirá con todas las Leyes de Protección de Datos que le sean aplicables y vinculantes en el desempeño de esta DPA. El Cliente acepta que cumplirá con sus obligaciones como Responsable bajo las Leyes de Protección de Datos. El Cliente no utilizará los Servicios de manera que infrinja las Leyes de Protección de Datos.

3. CLIENT INSTRUCTIONS

3. INSTRUCCIONES DEL CLIENTE

The Parties agree that this DPA and the Agreement constitute Client's documented instructions regarding Company's Processing of Client Data ("Documented Instructions"). Company will Process Client Data only in accordance with Documented Instructions from Client, unless otherwise required by Data Protection Laws. Additional instructions outside the scope of the Documented Instructions (if any) require prior written agreement between Company and Client, including agreement on any additional fees payable by Client to Company for carrying out such instructions. Client is entitled to terminate this DPA and the Agreement if Company declines to follow instructions requested by Client that are outside the scope of, or changed from, those given or agreed to be given in this DPA.

Las Partes acuerdan que esta DPA y el Contrato constituyen las instrucciones documentadas del Cliente respecto al Tratamiento de los Datos del Cliente por parte de la Empresa ("Instrucciones Documentadas"). La Empresa Tratará los Datos del Cliente únicamente conforme a las Instrucciones Documentadas del Cliente, salvo que las Leyes de Protección de Datos exijan lo contrario. Las instrucciones adicionales fuera del alcance de las Instrucciones Documentadas (de haberlas) requerirán acuerdo previo por escrito entre la Empresa y el Cliente, incluyendo el acuerdo sobre cualquier tarifa adicional pagadera por el Cliente a la Empresa por llevar a cabo dichas instrucciones. El Cliente tiene derecho a resolver esta DPA y el Contrato si la Empresa rechaza seguir las instrucciones solicitadas por el Cliente que estén fuera del alcance o sean distintas de las instrucciones dadas o acordadas en esta DPA.

4. CONFIDENTIALITY COMMITMENT

4. COMPROMISO DE CONFIDENCIALIDAD

Company will take reasonable steps to ensure that its personnel engaged in the Processing of Client Data (i) will Process such data only on Documented Instructions from Client, and (ii) will be obligated to maintain the confidentiality and security of such data. Company imposes appropriate contractual obligations upon its personnel, including relevant obligations regarding confidentiality, data protection and data security.

La Empresa adoptará medidas razonables para garantizar que su personal que participe en el Tratamiento de los Datos del Cliente (i) Trate dichos datos únicamente conforme a las Instrucciones Documentadas del Cliente, y (ii) esté obligado a mantener la confidencialidad y seguridad de dichos datos. La Empresa impondrá a su personal las obligaciones contractuales pertinentes, incluyendo las relativas a la confidencialidad, la protección de datos y la seguridad de la información.

5. SECURITY OF DATA PROCESSING

5. SEGURIDAD DEL TRATAMIENTO DE DATOS

5.1 Company has implemented and will maintain appropriate technical and organizational measures, as set out in Annex 1 ("Security Measures"), for protection of the security, confidentiality and integrity of Client Data.

5.1 La Empresa ha implementado y mantendrá las medidas técnicas y organizativas apropiadas, según se establece en el Anexo 1 ("Medidas de Seguridad"), para la protección de la seguridad, confidencialidad e integridad de los Datos del Cliente.

5.2 Company regularly monitors compliance with the Security Measures. Client acknowledges that the Security Measures are subject to technical progress and development and that Company may update or modify the Security Measures from time to time provided that such updates and modifications will not materially decrease the overall security of the Services. Company will, at Client's request, make available to Client corresponding information reasonably requested by Client regarding Company's security practices and policies.

5.2 La Empresa supervisa regularmente el cumplimiento de las Medidas de Seguridad. El Cliente reconoce que dichas Medidas están sujetas al progreso y desarrollo técnico y que la Empresa podrá actualizarlas o modificarlas periódicamente, siempre que dichas actualizaciones no reduzcan materialmente el nivel general de seguridad de los Servicios. La Empresa pondrá a disposición del Cliente, a solicitud de este, la información razonablemente requerida sobre las prácticas y políticas de seguridad de la Empresa.

6. SUB-PROCESSING

6. SUBCONTRATACIÓN DEL TRATAMIENTO

6.1 General Authorization. Client acknowledges and agrees that Company may appoint its Affiliates, Amazon Web Services, Microsoft Azure, Google Cloud Platform and Oracle Cloud Infrastructure as Sub-processors to provide Processing activities on Client Data on behalf of Client.

6.1 Autorización General. El Cliente reconoce y acepta que la Empresa podrá designar a sus Filiales, Amazon Web Services, Microsoft Azure, Google Cloud Platform y Oracle Cloud Infrastructure como Subencargados para llevar a cabo actividades de Tratamiento de los Datos del Cliente en nombre del Cliente.

6.2 Company shall not engage a Sub-processor to carry out specific Processing activities which fall outside the general authorization granted above without Client's prior written authorization and, where such other Sub-processor is so engaged, Company shall ensure that the same contractual obligations set out in this DPA be imposed on that Sub-processor.

6.2 La Empresa no contratará a un Subencargado para llevar a cabo actividades específicas de Tratamiento que estén fuera de la autorización general otorgada anteriormente sin la autorización previa y por escrito del Cliente; y, cuando dicho Subencargado sea contratado, la Empresa garantizará que se le impongan las mismas obligaciones contractuales establecidas en esta DPA.

6.3 Company is responsible for its Sub-processors' compliance with Company's obligations in this DPA.

6.3 La Empresa es responsable del cumplimiento por parte de sus Subencargados de las obligaciones de la Empresa establecidas en esta DPA.

6.4 The Parties agree that if copies of Company's agreements with a Sub-processor must be sent by Company to Client as required by Data Protection Laws, such copies will be provided only upon reasonable request by Client and all commercial information and provisions unrelated to this DPA will be redacted beforehand.

6.4 Las Partes acuerdan que, si las Leyes de Protección de Datos exigen que la Empresa envíe al Cliente copias de sus acuerdos con un Subencargado, dichas copias se proporcionarán únicamente previa solicitud razonable del Cliente, y toda la información comercial y las disposiciones no relacionadas con esta DPA serán previamente redactadas.

7. SECURITY INCIDENT NOTIFICATION

7. NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD

7.1 Company will (i) notify Client of a Security Incident without undue delay after becoming aware of the Security Incident, and (ii) take reasonable steps to mitigate any adverse effects resulting from the Security Incident.

7.1 La Empresa (i) notificará al Cliente de un Incidente de Seguridad sin demora indebida tras tener conocimiento del mismo, y (ii) adoptará medidas razonables para mitigar los efectos adversos derivados del Incidente de Seguridad.

7.2 Notification(s) of Security Incidents will be delivered to Client by any means Company selects, including via email. It is Client's sole responsibility to ensure Client maintains accurate contact information with Company for each applicable Service.

7.2 Las notificaciones de Incidentes de Seguridad serán enviadas al Cliente por cualquier medio que la Empresa elija, incluyendo el correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que mantiene información de contacto actualizada con la Empresa para cada Servicio aplicable.

7.3 Client is solely responsible for complying with its third-party notification obligations related to any Security Incident as required under Data Protection Laws.

7.3 El Cliente es exclusivamente responsable de cumplir con sus obligaciones de notificación a terceros relacionadas con cualquier Incidente de Seguridad, conforme a lo exigido por las Leyes de Protección de Datos.

7.4 Company shall make reasonable efforts to assist Client in fulfilling Client's obligation, as required under Data Protection Laws, to notify the relevant Supervisory Authority and Data Subjects about such Security Incident.

7.4 La Empresa realizará esfuerzos razonables para asistir al Cliente en el cumplimiento de su obligación, conforme a las Leyes de Protección de Datos, de notificar a la Autoridad de Control competente y a los Titulares de Datos sobre dicho Incidente de Seguridad.

8. AUDIT

8. AUDITORÍA

Subject to Client's commitment in confidentiality, Company shall allow for, and contribute to, audits conducted by Client or another auditor designated by Client, who shall not be a direct competitor of Company, including inspections to the extent required by Data Protection Laws, during Company's normal business hours without interference to Company's daily operations, in accordance with the following procedures: (a) Company will provide Client or its designated auditor with the most recent certifications and/or summary audit report(s), which Company has procured to regularly test, assess and evaluate the effectiveness of the security measures. (b) If further information is needed by Client to comply with its own or other Controllers audit obligations or a competent Supervisory Authority's request, Client shall inform Company in writing to enable Company to provide such information or to grant access to it. (c) To the extent that it is not possible to satisfy Client's audit rights as stipulated in Data Protection Laws or as required by a competent Supervisory Authority unless by way of onsite visit in Company's premise or facilities, Company shall allow the onsite visit provided that Client gives Company reasonable prior written notice of such onsite visit and such onsite visit shall be conducted on a Working Day during normal business hours mutually selected by the Parties to reduce any risk to Company's other clients, and only in a manner that causes minimal disruption to Company's business.

Sujeto al compromiso de confidencialidad del Cliente, la Empresa permitirá y contribuirá a las auditorías realizadas por el Cliente o por otro auditor designado por el Cliente, quien no deberá ser competidor directo de la Empresa, incluyendo inspecciones en la medida requerida por las Leyes de Protección de Datos, durante el horario comercial normal de la Empresa y sin interferencia en sus operaciones diarias, de acuerdo con los siguientes procedimientos: (a) La Empresa proporcionará al Cliente o a su auditor designado las certificaciones y/o informes de auditoría resumidos más recientes que la Empresa haya obtenido para evaluar periódicamente la eficacia de las medidas de seguridad. (b) Si el Cliente necesitara información adicional para cumplir con sus propias obligaciones de auditoría o las de una Autoridad de Control competente, el Cliente informará a la Empresa por escrito para que esta proporcione dicha información o conceda acceso a la misma. (c) En la medida en que no sea posible satisfacer los derechos de auditoría del Cliente sin una visita presencial a las instalaciones de la Empresa, la Empresa permitirá dicha visita siempre que el Cliente notifique con antelación razonable por escrito y la visita se realice en un día hábil y en horario comercial acordado mutuamente por las Partes, con el fin de reducir cualquier riesgo para los demás clientes de la Empresa y únicamente de una manera que cause la mínima interferencia posible en las operaciones comerciales de la Empresa.

9. TRANSFERS OF CLIENT DATA

9. TRANSFERENCIAS DE DATOS DEL CLIENTE

Client Data relating to the Services of the Agreement will be stored in a location as agreed with the Client. Company will not transfer Client Data to other locations/countries. In the event of a documented instruction from Client on international transfer of Client Data for purposes of performance of the Agreement or for Company to provide the Services initiated by Client, Client shall ensure its instructions will not breach the requirements under Data Protection Laws, and each Party will ensure such transfer is made in compliance with the requirements of Data Protection Laws.

Los Datos del Cliente relacionados con los Servicios del Contrato se almacenarán en la ubicación acordada con el Cliente. La Empresa no transferirá los Datos del Cliente a otras ubicaciones/países. En caso de instrucción documentada del Cliente sobre la transferencia internacional de Datos del Cliente para fines de ejecución del Contrato o para que la Empresa preste los Servicios a iniciativa del Cliente, el Cliente deberá asegurarse de que sus instrucciones no incumplan los requisitos de las Leyes de Protección de Datos, y cada Parte garantizará que dicha transferencia se realice en cumplimiento de los requisitos de las Leyes de Protección de Datos.

10. COMPANY ASSISTANCE

10. ASISTENCIA DE LA EMPRESA

10.1 Company will assist Client, when reasonably requested by Client, by technical and organizational measures for the fulfillment of Client's obligation to comply with the rights of Data Subjects and in compliance with Client's obligations relating to the security of Processing, the notification to Supervisory Authorities and/or communication of a Security Incident to Data Subjects, as and when required by Data Protection Laws, taking into account the nature of the Processing and the information available to Company, subject to reasonable additional charges as mutually agreed by the Parties in advance for the efforts incurred based on the then-current charging standard of Company. If Client does not agree to the quote of Company, the Parties agree to reasonably cooperate to find a feasible solution.

10.1 La Empresa asistirá al Cliente, cuando sea razonablemente solicitado, mediante medidas técnicas y organizativas para el cumplimiento de las obligaciones del Cliente respecto a los derechos de los Titulares de Datos y en cumplimiento de las obligaciones del Cliente relativas a la seguridad del Tratamiento, la notificación a las Autoridades de Control y/o la comunicación de un Incidente de Seguridad a los Titulares de Datos, conforme lo exijan las Leyes de Protección de Datos, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para la Empresa, sujeto a cargos adicionales razonables acordados mutuamente por las Partes con antelación. Si el Cliente no está de acuerdo con el presupuesto de la Empresa, las Partes acuerdan cooperar de forma razonable para encontrar una solución viable.

10.2 Data Protection Impact Assessment. Taking into account the nature of the Processing and the information available to Company, Company will assist Client in complying with Client's obligations in respect of data protection impact assessments and prior consultation with the responsible Supervisory Authority as and when required by the Data Protection Laws, by providing the necessary information reasonably requested by Client.

10.2 Evaluación de Impacto en la Protección de Datos. Teniendo en cuenta la naturaleza del Tratamiento y la información disponible para la Empresa, la Empresa asistirá al Cliente en el cumplimiento de sus obligaciones respecto a las evaluaciones de impacto en la protección de datos y la consulta previa con la Autoridad de Control competente, cuando así lo exijan las Leyes de Protección de Datos, proporcionando la información necesaria razonablemente solicitada por el Cliente.

11. TERMINATION OF THE DPA

11. RESOLUCIÓN DE LA DPA

This DPA will continue in force and effect until the expiry or termination of the Agreement.

Esta DPA permanecerá en vigor hasta la expiración o resolución del Contrato.

12. DELETION OR RETURN OF CLIENT DATA

12. SUPRESIÓN O DEVOLUCIÓN DE LOS DATOS DEL CLIENTE

Upon termination of the Agreement, Company will, subject to the terms and conditions of the Agreement or otherwise agreed with the Client, delete or return Client Data in its possessions, unless otherwise required by applicable laws.

Tras la resolución del Contrato, la Empresa, sujeto a los términos y condiciones del Contrato o a lo acordado con el Cliente, suprimirá o devolverá los Datos del Cliente en su posesión, salvo que las leyes aplicables exijan lo contrario.

13. LIMITATION OF LIABILITY

13. LIMITACIÓN DE RESPONSABILIDAD

EACH PARTY'S AND ALL OF ITS AFFILIATES' TOTAL AND AGGREGATE LIABILITIES ARISING OUT OF OR IN CONNECTION WITH THIS DPA, WHETHER IN CONTRACT, TORT OR UNDER ANY OTHER THEORY OF LIABILITY, ARE SUBJECT TO THE LIMITATION OF LIABILITY SET OUT IN THE AGREEMENT.

LA RESPONSABILIDAD TOTAL Y AGREGADA DE CADA PARTE Y DE TODAS SUS FILIALES DERIVADA DE O RELACIONADA CON ESTA DPA, YA SEA EN VIRTUD DE CONTRATO, RESPONSABILIDAD EXTRACONTRACTUAL O CUALQUIER OTRA TEORÍA DE RESPONSABILIDAD, ESTARÁ SUJETA A LA LIMITACIÓN DE RESPONSABILIDAD ESTABLECIDA EN EL CONTRATO.

14. MISCELLANEOUS

14. DISPOSICIONES GENERALES

14.1 In the event and to the extent of a conflict between the Agreement and this DPA, the terms of this DPA will prevail.

14.1 En caso de conflicto entre el Contrato y esta DPA, prevalecerán los términos de esta DPA en la medida del conflicto.

14.2 Company has a Data Security Committee that includes a Data Protection Officer responsible for overseeing data protection and security measures. The Data Security Committee may be contacted at security-committee@insuremo.com.

14.2 La Empresa cuenta con un Comité de Seguridad de Datos que incluye un Delegado de Protección de Datos responsable de supervisar las medidas de protección de datos y seguridad. El Comité de Seguridad de Datos puede ser contactado en security-committee@insuremo.com.

14.3 In the event of any discrepancy or inconsistency between the LATAM Spanish and English versions of this DPA, the English version shall prevail and shall be deemed the official version for all legal purposes.

14.3 En caso de cualquier discrepancia o inconsistencia entre las versiones en español para LATAM y en inglés del presente DPA, prevalecerá la versión en inglés, la cual será considerada la versión oficial para todos los efectos legales.

ANNEX 1 – SECURITY MEASURES

ANEXO 1 — MEDIDAS DE SEGURIDAD

Company has implemented and will maintain for Client Data the following Security Measures, which are in conjunction with the security commitments in this DPA, and the following are Company’s only responsibility with respect to the security of Client Data. La Empresa ha implementado y mantendrá, respecto de los Datos del Cliente, las siguientes Medidas de Seguridad, las cuales se aplican conjuntamente con los compromisos de seguridad establecidos en el presente DPA, y constituyen las únicas responsabilidades de la Empresa en relación con la seguridad de los Datos del Cliente.