Data Processing
Agreement

Este Data Processing Agreement (en adelante, "DPA" o "Acuerdo") es celebrado entre:

A Team Agency LLC (en adelante, "A Team" o "Encargado"): sociedad constituida bajo las leyes del Estado de Delaware, Estados Unidos, con domicilio en 25 SW 9th St, Suite 406, Miami, FL 33130, USA. Actúa como HoldCo titular de toda la tecnología, marca y Know-how de la plataforma.

El Cliente (en adelante, "Responsable" o "Data Controller"): persona física o jurídica que contrata los Servicios de A Team y carga en la plataforma datos personales de sus Usuarios para gestionar operaciones de cobranza, conciliación y comunicaciones automáticas.

Para Clientes del plan Starter en Argentina, la facturación es emitida por Bull Forward SRL (OpCo local), quien opera bajo licencia expresa de A Team Agency LLC. A los efectos de este DPA, Bull Forward SRL actúa en calidad de sub-encargado autorizado. Las obligaciones del presente Acuerdo aplican a A Team Agency LLC y a todas las Entidades Operativas Locales autorizadas con idéntico alcance.

• "Datos Personales": toda información sobre una persona física identificada o identificable, incluyendo nombre, teléfono, correo electrónico, información de deuda, estado de pago y demás datos cargados por el Cliente.

• "Datos Bancarios": información de cuentas bancarias y movimientos a los que el Cliente otorga acceso de solo lectura a A Team con fines exclusivos de conciliación automática.

• "Tratamiento": toda operación realizada sobre Datos Personales, incluyendo recolección, almacenamiento, consulta, uso, transmisión y eliminación.

• "Responsable del Tratamiento / Data Controller": el Cliente, quien determina los fines y medios del tratamiento de los datos de sus Usuarios.

• "Encargado del Tratamiento / Data Processor": A Team, quien trata los datos únicamente por instrucción del Responsable.

• "Sub-encargado / Subprocesador": proveedor tercero que A Team utiliza para prestar el servicio y al cual puede encargar parte del tratamiento.

• "Brecha de Seguridad": acceso no autorizado, pérdida, destrucción, alteración o divulgación accidental o ilícita de Datos Personales.

• "Marco Normativo Aplicable": conjuntamente el GDPR (UE), la LGPD (Brasil), la Ley 25.326 (Argentina) y la CCPA (California), según la jurisdicción del titular de los datos.

• "SCCs": Standard Contractual Clauses --- cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales de datos.

• "Legal Hold": excepción mandatoria de conservación de datos por obligación legal vigente, que suspende los plazos ordinarios de borrado.

This Data Processing Agreement (hereinafter "DPA" or "Agreement") is entered into between:

A Team Agency LLC (hereinafter "A Team" or "Processor"): a company incorporated under the laws of the State of Delaware, United States, with registered address at 25 SW 9th St, Suite 406, Miami, FL 33130, USA. It acts as HoldCo and exclusive owner of all technology, brand, and know-how of the platform.

The Client (hereinafter "Controller" or "Data Controller"): a natural or legal person who contracts A Team's Services and loads personal data of its Users onto the platform to manage collection, reconciliation, and automated communications operations.

For Clients on the Starter plan in Argentina, invoicing is issued by Bull Forward SRL (local OpCo), which operates under express license from A Team Agency LLC. For the purposes of this DPA, Bull Forward SRL acts as an authorized sub-processor. The obligations of this Agreement apply to A Team Agency LLC and all authorized Local Operating Entities with identical scope.

• "Personal Data": any information about an identified or identifiable natural person, including name, phone number, email address, debt information, payment status, and other data loaded by the Client.

• "Banking Data": banking account information and transaction data to which the Client grants A Team read-only access exclusively for automatic reconciliation purposes.

• "Processing": any operation performed on Personal Data, including collection, storage, consultation, use, transmission, and deletion.

• "Data Controller": the Client, who determines the purposes and means of processing their Users' data.

• "Data Processor": A Team, who processes data solely on the Controller's instruction.

• "Sub-processor": a third-party provider that A Team uses to provide the service and to whom it may delegate part of the processing.

• "Security Breach": unauthorized access to, or accidental or unlawful loss, destruction, alteration, or disclosure of Personal Data.

• "Applicable Regulatory Framework": collectively the GDPR (EU), LGPD (Brazil), Law 25.326 (Argentina), and CCPA (California), according to the jurisdiction of the data subject.

• "SCCs": Standard Contractual Clauses approved by the European Commission for international data transfers.

• "Legal Hold": mandatory data retention exception due to an active legal obligation, which suspends ordinary deletion timelines.

Este DPA regula el tratamiento de Datos Personales que A Team realiza en su carácter de Encargado del Tratamiento, actuando por cuenta e instrucción del Cliente (Responsable del Tratamiento), en el marco de la prestación de los Servicios descritos en los Términos y Condiciones vigentes publicados en www.the-ateam.ai/legal.

Este DPA aplica exclusivamente al tratamiento de datos en el rol de Processor. El tratamiento realizado por A Team en su carácter de Controller autónomo --- correspondiente al Dashboard del Usuario consolidado --- se rige por la Política de Privacidad para Usuarios aceptada directamente por el titular, y no por el presente Acuerdo.

Parámetro Descripción

Naturaleza del Almacenamiento, consulta, uso y transmisión de tratamiento Datos Personales para prestación de servicios de cobranza automática, conciliación bancaria y comunicaciones vía WhatsApp Business API.

Finalidad Ejecutar las instrucciones del Cliente para el seguimiento de pagos, envío de notificaciones, gestión de cobros y reportes operativos.

Duración Durante la vigencia del contrato con el Cliente y hasta 30 días posteriores a su terminación, salvo Legal Hold.

Tipos de datos Nombre, teléfono, correo electrónico, información de deuda/factura, estado de pago, Datos Bancarios (acceso de solo lectura), y demás datos que el Cliente decida incluir. Asimismo, comprobantes de pago compartidos por Usuarios vía WhatsApp: imágenes o archivos que el Usuario remite al Agente a través de la interfaz de mensajería para acreditar un pago. Pueden contener nombre, documento de identidad, entidad bancaria, CBU/CVU, monto e identificador de transacción. A Team los recibe y procesa exclusivamente como Processor del Cliente con el fin de validar la imputación del pago y ponerlos a disposición del Cliente en el Tablero de Control para su eventual conciliación. A Team no accede a saldos generales ni a información bancaria más allá del comprobante específico compartido por el Usuario. Estos datos quedan sujetos al mismo régimen de retención, Legal Hold y eliminación establecido en el presente DPA para los Datos del Cliente.

Titulares afectados Usuarios (pagadores) de los Clientes: pacientes, alumnos, inquilinos, clientes finales u otras categorías equivalentes según la industria del Cliente.

Marco normativo GDPR (UE) | LGPD (Brasil) | Ley 25.326 (Argentina) | CCPA (California, EE.UU.)

This DPA governs the processing of Personal Data that A Team carries out in its capacity as Data Processor, acting on behalf of and under the instructions of the Client (Data Controller), in the context of providing the Services described in the current Terms and Conditions published at www.the-ateam.ai/legal.

This DPA applies exclusively to data processing in the Processor role. Processing carried out by A Team in its capacity as independent Controller — corresponding to the consolidated User Dashboard — is governed by the Privacy Policy for Users accepted directly by the data subject, and not by this Agreement.

Parameter Description

Nature of processing Storage, consultation, use, and transmission of Personal Data for the provision of automatic collections, bank reconciliation, and communications services via WhatsApp Business API.

Purpose To execute the Client's instructions for payment follow-up, notification delivery, collections management, and operational reporting.

Duration During the term of the contract with the Client and up to 30 days after its termination, unless Legal Hold applies.

Types of data Name, phone number, email address, debt/invoice information, payment status, Banking Data (read-only access), and any other data the Client chooses to include. Also, payment receipts shared by Users via WhatsApp: images or files that the User sends to the Agent through the messaging interface to confirm a payment. These may contain name, identity document, banking institution, CBU/CVU, amount, and transaction identifier. A Team receives and processes these exclusively as the Client's Processor for the purpose of validating payment allocation and making them available to the Client in the Control Panel for reconciliation. A Team does not access general balances or banking information beyond the specific receipt shared by the User. This data is subject to the same retention, Legal Hold, and deletion regime established in this DPA for Client data.

Affected data Users (payers) of the Clients: patients, subjects students, tenants, end clients, or other equivalent categories depending on the Client's industry.

Regulatory framework GDPR (EU) | LGPD (Brazil) | Law 25.326 (Argentina) | CCPA (California, U.S.A.)

A Team tratará los Datos Personales únicamente según las instrucciones documentadas del Cliente, incluyendo las establecidas en los Términos y Condiciones y las configuraciones del Dashboard. Si A Team considera que una instrucción infringe el Marco Normativo Aplicable, notificará al Cliente de inmediato.

A Team garantiza que el personal autorizado para acceder a Datos Personales está sujeto a obligaciones de confidencialidad contractuales o legales. A Team no accederá ni utilizará los datos del Cliente fuera del alcance del servicio contratado.

A Team implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

• Cifrado en tránsito: protocolo TLS para todas las comunicaciones entre cliente y servidor.

• Cifrado en reposo: AES-256 para información sensible, incluyendo Datos Bancarios.

• Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.

• Autenticación multifactor (MFA) para todos los accesos administrativos.

• Segregación lógica de los Datos Bancarios del resto de los datos de la plataforma.

• Logs de auditoría con registro de accesos y operaciones sobre datos sensibles.

• Monitoreo automatizado de anomalías (Behavioral Guardrails) con revisión humana garantizada.

• Backups periódicos cifrados con pruebas de recuperación documentadas.

• Evaluaciones periódicas de vulnerabilidades y gestión de parches.

  Las medidas de seguridad detalladas se publican en la Security Policy disponible en www.the-ateam.ai/legal. Ante actualizaciones materiales, A Team notificará al Cliente con al menos 15 días corridos de anticipación.

Los Datos Personales del Cliente y los Datos Bancarios no serán utilizados en ningún caso para entrenar modelos de inteligencia artificial de A Team ni de ningún tercero. A Team puede utilizar datos completamente anonimizados e irreversiblemente desvinculados de personas identificables para mejorar la calidad general del servicio. El Cliente puede solicitar opt-out de este uso anónimo mediante notificación a legal@the-ateam.ai.

A Team will process Personal Data only in accordance with the Client's documented instructions, including those set out in the Terms and Conditions and Dashboard configurations. If A Team considers that an instruction infringes the Applicable Regulatory Framework, it will notify the Client immediately.

A Team ensures that personnel authorized to access Personal Data are subject to contractual or statutory confidentiality obligations. A Team will not access or use Client data outside the scope of the contracted service.

A Team implements the following technical and organizational measures to ensure an appropriate level of security relative to the risk:

• Encryption in transit: TLS protocol for all client-server communications.

• Encryption at rest: AES-256 for sensitive information, including Banking Data.

• Role-based access control (RBAC) with the principle of least privilege.

• Multi-factor authentication (MFA) for all administrative access.

• Logical segregation of Banking Data from the rest of the platform's data.

• Audit logs recording accesses and operations on sensitive data.

• Automated anomaly monitoring (Behavioral Guardrails) with guaranteed human review.

• Periodic encrypted backups with documented recovery tests.

• Periodic vulnerability assessments and patch management.

  The detailed security measures are published in the Security Policy available at www.the-ateam.ai/legal. Upon material updates, A Team will notify the Client with at least 15 calendar days' advance notice.

Client Personal Data and Banking Data will not under any circumstances be used to train A Team's or any third party's artificial intelligence models. A Team may use completely anonymized data that is irreversibly de-linked from identifiable persons to improve the general quality of the service. The Client may request opt-out from this anonymous use by notifying legal@the-ateam.ai.

Mediante la aceptación de los Términos y Condiciones, el Cliente otorga autorización general a A Team para contratar Subprocesadores necesarios para la prestación del servicio. A Team notificará al Cliente con al menos quince (15) días corridos de anticipación ante la incorporación de nuevos Subprocesadores que procesen Datos del Cliente, mediante publicación en www.the-ateam.ai/legal y notificación dirigida al correo electrónico registrado del Cliente.

Si el Cliente objeta la incorporación de un nuevo Subprocesador, deberá notificarlo por escrito a legal@the-ateam.ai dentro de los quince (15) días corridos de recibida la notificación. Las partes negociarán de buena fe una solución. Si no se llega a acuerdo, el Cliente puede rescindir el contrato según la Sección 9 de los Términos y Condiciones, sin penalidad adicional.

A Team garantiza que cada Subprocesador está sujeto a obligaciones de protección de datos equivalentes a las establecidas en este DPA, incluyendo medidas de seguridad adecuadas y restricciones de uso de los datos. A Team responde ante el Cliente por el cumplimiento de dichos Subprocesadores como si fuera el propio tratamiento de A Team.

La lista actualizada de Subprocesadores se publica en www.the-ateam.ai/legal e incluye, para cada Subprocesador: nombre, país de operación, finalidad del tratamiento y marco legal aplicable.

Categoría País **Finalidad Marco legal base**

Infraestructura EE.UU. Almacenamiento y SCCs + DPA cloud cómputo de la
plataforma

WhatsApp Business EE.UU. Envío de mensajes a Políticas Meta + API (Meta) Usuarios DPA

Modelos de IA EE.UU. Procesamiento de SCCs + DPA lenguaje natural de los Agentes

Pasarelas de pago Variable Procesamiento de PCI-DSS + SCCs suscripciones del
Cliente

APIs de Variable Acceso de solo lectura Regulación local + conciliación a cuentas bancarias del DPA bancaria Cliente

Bull Forward SRL Argentina Facturación y soporte Ley 25.326 + DPA (OpCo Argentina) comercial local plan
Starter

Salvaguarda Intra-Grupo (Intercompany DPA): El flujo de datos personales y operativos entre A Team Agency LLC (HoldCo) y sus Entidades Operativas Locales ---tales como Bull Forward SRL en Argentina o futuras OpCos regionales--- se encuentra permanentemente regido y protegido por un Acuerdo de Transferencia de Datos Intercompany, el cual replica con exactitud los estándares de seguridad, confidencialidad y limitación de finalidades exigidos en el presente DPA, actuando las OpCos bajo instrucciones expresas e indisponibles de la HoldCo. Este mecanismo garantiza el cumplimiento de las normativas de la AAIP (Argentina) y la ANPD (Brasil) para transferencias transfronterizas intra-grupo.

La lista completa con nombres comerciales específicos y detalles de certificaciones se mantiene actualizada en www.the-ateam.ai/legal (Subprocessor List). Las categorías de esta tabla son ilústrativas.

By accepting the Terms and Conditions, the Client grants A Team general authorization to engage Sub-processors necessary for service provision. A Team will notify the Client with at least fifteen (15) calendar days' advance notice of the addition of new Sub-processors that process Client Data, via publication at www.the-ateam.ai/legal and notification to the Client's registered email address.

If the Client objects to the addition of a new Sub-processor, it must notify A Team in writing at legal@the-ateam.ai within fifteen (15) calendar days of receiving the notification. The parties will negotiate in good faith to find a solution. If no agreement is reached, the Client may terminate the contract under Section 9 of the Terms and Conditions, without additional penalty.

A Team ensures that each Sub-processor is subject to data protection obligations equivalent to those established in this DPA, including adequate security measures and data use restrictions. A Team is liable to the Client for Sub-processors' compliance as if it were A Team's own processing.

The updated list of Sub-processors is published at www.the-ateam.ai/legal and includes, for each Sub-processor: name, country of operation, purpose of processing, and applicable legal framework.

Category Base **Purpose Legal country framework**

Cloud U.S.A. Platform storage and SCCs + DPA infrastructure computing

WhatsApp Business U.S.A. Sending messages to Meta Policies + API (Meta) Users DPA

AI models U.S.A. Natural language SCCs + DPA processing for Agents

Payment gateways Variable Processing Client PCI-DSS + SCCs subscriptions

Bank Variable Read-only access to Local regulation + reconciliation Client bank accounts DPA APIs

Bull Forward SRL Argentina Local invoicing and Law 25.326 + DPA (Argentina OpCo) commercial support, Starter plan

Intra-Group Safeguard (Intercompany DPA): The flow of personal and operational data between A Team Agency LLC (HoldCo) and its Local Operating Entities — such as Bull Forward SRL in Argentina or future regional OpCos — is permanently governed and protected by an Intercompany Data Transfer Agreement, which replicates with precision the security, confidentiality, and purpose-limitation standards required in this DPA, with OpCos acting under express and non-waivable instructions of the HoldCo. This mechanism ensures compliance with AAIP (Argentina) and ANPD (Brazil) regulations for intra-group cross-border transfers.

The complete list with specific trade names and certification details is kept current at www.the-ateam.ai/legal (Subprocessor List). The categories in this table are illustrative.

A Team opera desde los Estados Unidos y puede transferir Datos Personales a jurisdicciones fuera del país de residencia del titular. En todos los casos, A Team garantiza la adopción de salvaguardas adecuadas conforme el Marco Normativo Aplicable:

• GDPR (UE): transferencias amparadas en Standard Contractual Clauses (SCCs) aprobadas por la Comisión Europea (Decisión de Implementación 2021/914) y/o en la decisión de adecuación aplicable.

• LGPD (Brasil): transferencias amparadas en cláusulas contractuales tipo o mecanismos reconocidos por la ANPD.

• Ley 25.326 (Argentina): transferencias con las garantías apropiadas conforme las resoluciones de la AAIP.

• CCPA (California): A Team actúa como Service Provider bajo acuerdo escrito, sin utilizar datos para fines propios.

En la medida en que el tratamiento de Datos Personales de residentes en la Unión Europea esté sujeto al GDPR, las SCCs Módulo 2 (Controller-to-Processor) se incorporan por referencia a este DPA y se consideran parte integrante del mismo. Ante conflicto entre las disposiciones del DPA y las SCCs, prevalecen las SCCs para los datos de titulares residentes en la UE.

A Team ha realizado evaluaciones de impacto de transferencia (Transfer Impact Assessments) para los principales flujos de datos hacia EE.UU. y los pondrá a disposición del Cliente en respuesta a solicitudes documentadas dirigidas a legal@the-ateam.ai.

A Team operates from the United States and may transfer Personal Data to jurisdictions outside the data subject's country of residence. In all cases, A Team ensures the adoption of adequate safeguards in accordance with the Applicable Regulatory Framework:

• GDPR (EU): transfers covered by Standard Contractual Clauses (SCCs) approved by the European Commission (Implementing Decision 2021/914) and/or the applicable adequacy decision.

• LGPD (Brazil): transfers covered by standard contractual clauses or mechanisms recognized by the ANPD.

• Law 25.326 (Argentina): transfers with appropriate guarantees in accordance with AAIP resolutions.

• CCPA (California): A Team acts as Service Provider under a written agreement, without using data for its own purposes.

To the extent that the processing of Personal Data of EU residents is subject to the GDPR, the SCCs Module 2 (Controller-to-Processor) are incorporated by reference into this DPA and are considered an integral part thereof. In the event of conflict between the provisions of the DPA and the SCCs, the SCCs shall prevail for data of EU residents.

A Team has conducted Transfer Impact Assessments for the main data flows to the U.S. and will make them available to the Client in response to documented requests directed to legal@the-ateam.ai.

A Team implementará medidas técnicas y organizativas adecuadas para asistir al Cliente (Responsable) en el cumplimiento de su obligación de responder a solicitudes de ejercicio de derechos por parte de los titulares, en los plazos previstos por el Marco Normativo Aplicable.

Derecho Mecanismo de asistencia de A Team

Acceso Exportación de datos en CSV/JSON desde el Dashboard del Cliente o vía solicitud a soporte@the-ateam.ai.

Rectificación Actualización de datos vía interfaz del Cliente o solicitud de soporte.

Eliminación Borrado definitivo dentro de los 30 días de la solicitud, salvo Legal Hold aplicable.

Portabilidad Exportación en formato estructurado (CSV/JSON) con campos estándar.

Limitación del Suspensión del procesamiento del registro tratamiento afectado a solicitud documentada del Cliente.

Impugnación de Activación de revisión humana por Behavioral decisiones Guardrails dentro de los plazos SLA (48hs automatizadas Starter/Professional, 24hs Business).

El Cliente es el Responsable primario ante el titular. A Team asistirá al Cliente en la medida técnicamente posible. Las solicitudes de titulares que lleguen directamente a A Team serán redirigidas al Cliente en el plazo de cinco (5) días hábiles, salvo que A Team actúe como Controller autónomo respecto de esos datos.

A Team will implement adequate technical and organizational measures to assist the Client (Controller) in fulfilling its obligation to respond to data subject rights requests within the timeframes provided by the Applicable Regulatory Framework.

Right A Team's assistance mechanism

Access Data export in CSV/JSON from the Client Dashboard or via request to soporte@the-ateam.ai.

Rectification Data update via the Client interface or support request.

Erasure Definitive deletion within 30 days of the request, except where Legal Hold applies.

Portability Export in structured format (CSV/JSON) with standard fields.

Restriction of Suspension of processing for the affected record processing upon the Client's documented request.

Objection to Human review activation via Behavioral Guardrails automated decisions within SLA timeframes (48h Starter/Professional, 24h Business).

The Client is the primary Controller before the data subject. A Team will assist the Client to the extent technically feasible. Data subject requests received directly by A Team will be redirected to the Client within five (5) business days, unless A Team acts as an independent Controller with respect to those data.

Ante el conocimiento o sospecha fundada de una Brecha de Seguridad que afecte Datos Personales tratados bajo este DPA, A Team:

1. Notificará al Cliente dentro de las setenta y dos (72) horas de tomado conocimiento del incidente, por correo electrónico al contacto de privacidad registrado.

2. Proveerá en la notificación inicial: naturaleza de la brecha, datos aproximados afectados, probable causa, medidas inmediatas adoptadas y punto de contacto de A Team para el seguimiento.

3. Actualizará al Cliente en forma regular hasta la resolución del incidente, con un mínimo de una actualización cada 48 horas durante la fase activa.

4. Asistirá al Cliente en la notificación a autoridades regulatorias (AAIP, ANPD, autoridades GDPR u otras) y a los titulares afectados, en la medida requerida por el Marco Normativo Aplicable.

5. Documentará el incidente en un post-mortem escrito dentro de los quince (15) días hábiles de su resolución, disponible para el Cliente bajo solicitud.

La notificación de A Team al Cliente no implica por sí sola reconocimiento de responsabilidad. A Team no puede garantizar inmunidad absoluta ante incidentes que afecten infraestructura de Terceros Proveedores fuera de su control directo; en estos casos, A Team notificará al Cliente con la información disponible y colaborará en la investigación.

Upon becoming aware or having reasonable grounds to suspect a Security Breach affecting Personal Data processed under this DPA, A Team will:

1. Notify the Client within seventy-two (72) hours of becoming aware of the incident, by email to the registered privacy contact.

2. Provide in the initial notification: the nature of the breach, approximate data affected, probable cause, immediate measures taken, and A Team's point of contact for follow-up.

3. Update the Client regularly until the incident is resolved, with a minimum of one update every 48 hours during the active phase.

4. Assist the Client in notifying regulatory authorities (AAIP, ANPD, GDPR authorities, or others) and affected data subjects, to the extent required by the Applicable Regulatory Framework.

5. Document the incident in a written post-mortem within fifteen (15) business days of its resolution, available to the Client upon request.

A Team's notification to the Client does not in itself constitute an admission of liability. A Team cannot guarantee absolute immunity from incidents affecting Third-Party Provider infrastructure outside its direct control; in such cases, A Team will notify the Client with the available information and cooperate in the investigation.

• Datos del Cliente activo: conservados durante toda la vigencia del contrato.

• Datos del Cliente tras la baja: treinta (30) días corridos desde la terminación del contrato. Durante este plazo el Cliente puede exportar sus datos. Vencido el plazo, A Team procede a eliminación definitiva.

• Datos Bancarios: eliminados o devueltos al Cliente dentro de los treinta (30) días posteriores a la terminación.

• Datos de Usuarios: conservados durante la vigencia del contrato y hasta treinta (30) días posteriores a su terminación. Los historiales de conversación entre los Agentes y los Usuarios, almacenados en la infraestructura de Chatwoot self-hosted de A Team, son archivados técnicamente al cierre de cada relación usuario-cliente como medida de preservación de auditoría. El archivado es un estado técnico transitorio: al vencimiento del plazo ordinario de retención aplicable, A Team procede a la eliminación definitiva e irreversible del historial de conversación archivado. El archivado no extiende ni modifica los plazos de retención establecidos en este DPA.

• Datos de terceros no registrados (módulo 'Sugerí a tu proveedor'): quince (15) días corridos desde la invitación, o de forma inmediata ante ejercicio de Opt-Out.

• Logs de seguridad y auditoría: doce (12) meses o el período mínimo exigido por la normativa aplicable, el mayor.

Los plazos de borrado de la Sección 8.1 quedan suspendidos para los datos sujetos a Legal Hold. Dichos datos son bloqueados para el giro operativo de la plataforma pero resguardados técnicamente hasta el vencimiento de la obligación legal que motivó la retención.

Los plazos ordinarios de eliminación no aplican a datos, registros transaccionales, logs de auditoría o información de facturación que deban conservarse por mandato imperativo de normativas locales vigentes, incluyendo:

a) Normativas fiscales: registros requeridos por ARCA (Argentina), Receita Federal (Brasil) o equivalentes en LATAM, por los plazos de prescripción fiscal de cada jurisdicción.

b) Prevención de lavado de activos y financiamiento del terrorismo (AML/CFT): datos de transacciones financieras conservados por el mínimo legal de cinco (5) a diez (10) años según la normativa de la UIF, BCRA y sus contrapartes regionales.

c) Procedimientos legales: datos preservados en respuesta a orden judicial, requerimiento regulatorio o procedimiento arbitral vigente.

A Team notificará al Cliente cuando aplique Legal Hold sobre sus datos y eliminará dichos registros en cuanto cese la obligación legal.

A solicitud del Cliente, A Team emitirá una certificación escrita de la eliminación de los Datos Personales dentro de los quince (15) días hábiles de ejecutada la eliminación, con excepción de los datos sujetos a Legal Hold, sobre los cuales se informará el estado.

• Active Client data: retained for the entire duration of the contract.

• Client data after termination: thirty (30) calendar days from contract termination. During this period the Client may export their data. Upon expiry, A Team proceeds to definitive deletion.

• Banking Data: deleted or returned to the Client within thirty (30) days of termination.

• User data: retained during the term of the contract and up to thirty (30) days after its termination. Conversation histories between Agents and Users, stored in A Team's self-hosted Chatwoot infrastructure, are technically archived upon the closure of each user-client relationship as an audit preservation measure. Archiving is a transitional technical state: upon expiry of the applicable ordinary retention period, A Team proceeds to definitive and irreversible deletion of the archived conversation history. Archiving does not extend or modify the retention timelines established in this DPA.

• Unregistered third-party data (module 'Recommend your provider'): fifteen (15) calendar days from the invitation, or immediately upon Opt-Out.

• Security and audit logs: twelve (12) months or the minimum period required by applicable regulations, whichever is greater.

The deletion timelines of Section 8.1 are suspended for data subject to Legal Hold. Such data is blocked from the platform's operational flow but technically preserved until the expiry of the legal obligation that prompted the retention.

Ordinary deletion timelines do not apply to data, transactional records, audit logs, or billing information that must be retained by mandatory requirement of applicable local regulations, including:

a) Tax regulations: records required by ARCA (Argentina), Receita Federal (Brazil), or equivalents in LATAM, for the tax limitation periods of each jurisdiction.

b) Anti-money laundering and counter-terrorism financing (AML/CFT): financial transaction data retained for the legal minimum of five (5) to ten (10) years under UIF, BCRA, and their regional counterparts.

c) Legal proceedings: data preserved in response to a court order, regulatory requirement, or pending arbitral proceeding.

A Team will notify the Client when Legal Hold applies to their data and will delete such records as soon as the legal obligation ceases.

Upon the Client's request, A Team will issue a written certification of Personal Data deletion within fifteen (15) business days of the deletion being carried out, with the exception of data subject to Legal Hold, for which the status will be reported.

A Team concede al Cliente el derecho a auditar el cumplimiento de las obligaciones de este DPA, sujeto a las siguientes condiciones:

• El Cliente notificará a A Team con al menos treinta (30) días hábiles de anticipación.

• Las auditorías se realizarán durante el horario comercial habitual (GMT-3), sin interrumpir las operaciones de A Team.

• El Cliente asumirá los costos de la auditoría. Si A Team incurre en costos razonables por asistir al proceso, podrá repercutirlos al Cliente previa notificación.

• Las auditorías se limitarán al alcance de este DPA; el Cliente no tendrá acceso a datos de otros clientes de A Team.

• El auditor designado debe suscribir un acuerdo de confidencialidad con A Team antes de iniciar la revisión.

Como alternativa a la auditoría in situ, A Team pondrá a disposición del Cliente, bajo solicitud documentada a legal@the-ateam.ai:

• Resumen de su programa de seguridad de la información.

• Resultados de últimas evaluaciones de vulnerabilidades (sin información sensible sobre infraestructura).

• Certificaciones de seguridad vigentes cuando aplique.

• Resultados resumidos de auditorías de terceros cuando estén disponibles.

A Team asistirá al Cliente en la realización de Evaluaciones de Impacto sobre Protección de Datos (DPIA) cuando el tratamiento previsto pueda generar un alto riesgo para los derechos y libertades de los titulares, conforme lo exige el Art. 35 GDPR y normas equivalentes en otras jurisdicciones.

A Team grants the Client the right to audit compliance with the obligations of this DPA, subject to the following conditions:

• The Client will notify A Team with at least thirty (30) business days' advance notice.

• Audits will be conducted during regular business hours (GMT-3), without disrupting A Team's operations.

• The Client will bear the costs of the audit. If A Team incurs reasonable costs in assisting the process, it may pass these on to the Client upon prior notification.

• Audits will be limited to the scope of this DPA; the Client will not have access to other A Team clients' data.

• The designated auditor must sign a confidentiality agreement with A Team before beginning the review.

As an alternative to an on-site audit, A Team will make available to the Client, upon documented request to legal@the-ateam.ai:

• A summary of its information security program.

• Results of the latest vulnerability assessments (without sensitive infrastructure information).

• Current security certifications where applicable.

• Summarized results of third-party audits when available.

A Team will assist the Client in conducting Data Protection Impact Assessments (DPIAs) when the intended processing is likely to result in a high risk to the rights and freedoms of data subjects, as required by Art. 35 GDPR and equivalent provisions in other jurisdictions.

A Team implementa sistemas de monitoreo automatizado (Behavioral Guardrails) que analizan en tiempo real los patrones de volumen, frecuencia y contenido de las comunicaciones gestionadas a través de los Agentes, con el fin de detectar y prevenir spam, fraude y violaciones a las Políticas de Comercio de Meta / WhatsApp Business API.

Ante detección de una anomalía, el sistema puede:

• Suspender preventivamente el procesamiento de nuevas comunicaciones del Cliente afectado.

• Retener temporalmente los datos en cola de revisión sin procesarlos ni eliminarlos.

• Generar un registro de auditoría del evento para revisión humana.

Durante el período de suspensión, los Datos Personales afectados permanecerán bajo cifrado y no serán objeto de alteración, borrado ni uso adicional. Los plazos de retención de la Sección 8 no se modifican.

En consonancia con el derecho a impugnar decisiones automatizadas previsto por el GDPR (Art. 22), la LGPD (Art. 20) y normas equivalentes, A Team garantiza que toda suspensión automática es revisada por un analista humano dentro de los siguientes plazos máximos:

Plan Plazo de revisión humana

Starter y Professional 48 horas hábiles (GMT-3) desde la suspensión automática.

Business 24 horas hábiles (GMT-3) desde la suspensión automática.

La revisión puede resultar en: (i) restablecimiento del acceso si se trata de un falso positivo; (ii) solicitud de información adicional al Cliente; o (iii) rescisión del contrato si se confirma la violación. El resultado de la revisión es notificado al Cliente por correo electrónico.

A Team implements automated monitoring systems (Behavioral Guardrails) that analyze in real time the volume, frequency, and content patterns of communications managed through the Agents, with the aim of detecting and preventing spam, fraud, and violations of Meta / WhatsApp Business API Commerce Policies.

Upon detecting an anomaly, the system may:

• Preventively suspend the processing of new communications from the affected Client.

• Temporarily retain data in a review queue without processing or deleting it.

• Generate an audit log of the event for human review.

During the suspension period, affected Personal Data will remain encrypted and will not be subject to alteration, deletion, or further use. The retention timelines of Section 8 are not modified.

In line with the right to object to automated decisions provided by the GDPR (Art. 22), the LGPD (Art. 20), and equivalent regulations, A Team guarantees that every automatic suspension is reviewed by a human analyst within the following maximum timeframes:

Plan Human review timeframe

Starter and Professional 48 business hours (GMT-3) from the automatic suspension.

Business 24 business hours (GMT-3) from the automatic suspension.

The review may result in: (i) access reinstatement if it is a false positive; (ii) a request for additional information from the Client; or (iii) contract termination if the violation is confirmed. The outcome of the review is communicated to the Client by email.

El Cliente asume responsabilidad absoluta por el cumplimiento de las Políticas de Comercio de Meta y las condiciones de uso de WhatsApp Business API, incluyendo la obtención de consentimientos válidos de los Usuarios para recibir comunicaciones, el uso de bases de datos lícitas y la prohibición de prácticas de spam.

El Cliente indemnizará y mantendrá indemne a A Team Agency LLC y a sus Entidades Operativas Locales por cualquier pérdida, daño, multa, costo o gasto (incluyendo honorarios legales razonables) derivado de:

• Bloqueos o sanciones de Meta causados por conductas del Cliente que infrinjan las Políticas de Comercio de Meta.

• Reclamaciones de Usuarios derivadas de comunicaciones enviadas sin autorización válida.

• Cargas de bases de datos obtenidas sin los consentimientos legalmente requeridos.

• Cualquier uso de los Agentes para actividades prohibidas por la Acceptable Use Policy de A Team.

  Las suspensiones preventivas por activación de Behavioral Guardrails causadas por infracciones atribuibles al Cliente no generan derecho a créditos, indemnizaciones ni reclamos por daños de ningún tipo.

The Client assumes absolute responsibility for compliance with Meta's Commerce Policies and WhatsApp Business API terms of use, including obtaining valid User consent to receive communications, using lawfully obtained databases, and the prohibition of spam practices.

The Client will indemnify and hold harmless A Team Agency LLC and its Local Operating Entities from any loss, damage, fine, cost, or expense (including reasonable legal fees) arising from:

• Meta blocks or penalties caused by Client conduct that infringes Meta's Commerce Policies.

• User claims arising from communications sent without valid authorization.

• Uploading databases obtained without the legally required consents.

• Any use of the Agents for activities prohibited by A Team's Acceptable Use Policy.

  Preventive suspensions triggered by Behavioral Guardrails due to infringements attributable to the Client do not give rise to any right to credits, indemnification, or claims for damages of any kind.

La responsabilidad total de A Team bajo este DPA está sujeta a los límites establecidos en los Términos y Condiciones v1.0, concretamente:

• Plan de pago activo: máximo tres (3) meses del valor del plan efectivamente contratado.

• Plan gratuito: máximo un (1) mes del plan de pago más económico disponible en la jurisdicción del Cliente al momento del reclamo.

Estos límites aplican a la responsabilidad total acumulada de A Team derivada de este DPA, incluyendo brechas de seguridad, incumplimientos en plazos de notificación y cualquier otra obligación establecida en este Acuerdo, salvo en casos de dolo o culpa grave demostrados.

A Team's total liability under this DPA is subject to the limits established in the Terms and Conditions v1.0, specifically:

• Active paid plan: maximum three (3) months of the value of the plan actually contracted.

• Free plan: maximum one (1) month of the most affordable paid plan available in the Client's jurisdiction at the time of the claim.

These limits apply to A Team's total cumulative liability under this DPA, including security breaches, failures to meet notification timelines, and any other obligation established in this Agreement, except in cases of proven willful misconduct or gross negligence.

A Team trata datos de verificación de identidad (KYC/KYB) del Cliente bajo su carácter de Responsable autónomo, no como Encargado. La base legal de este tratamiento es el cumplimiento de obligaciones legales de prevención de lavado de activos y financiamiento del terrorismo, y constituye una condición suspensiva de activación de los Agentes.

Fase de Entrada (Plan Starter) --- Soft KYC: validación de token OTP (vía SMS o WhatsApp) y cruce con bases de datos fiscales públicas (ej. padrón ARCA/AFIP). No se recopilan datos biométricos en esta fase.

Fase de Activación Financiera (upgrades / planes Professional y Business / módulos transaccionales): verificación biométrica avanzada (prueba de vida, selfie, documento de identidad oficial) y validación de representación societaria, activada de forma mandatoria al habilitar conexiones bancarias (Open Banking) o la billetera recaudadora.

Los datos KYC/KYB se conservan por el período mínimo exigido por la normativa AML/CFT aplicable, sujeto a Legal Hold según la Sección 8.2.

A Team processes Client identity verification data (KYC/KYB) in its capacity as independent Controller, not as Processor. The legal basis for this processing is compliance with legal anti-money laundering and counter-terrorism financing obligations, and it constitutes a condition precedent for Agent activation.

Entry Phase (Starter Plan) --- Soft KYC: OTP token validation (via SMS or WhatsApp) and cross-checking with public tax databases (e.g., ARCA/AFIP registry). No biometric data is collected in this phase.

Financial Activation Phase (upgrades / Professional and Business plans / transactional modules): advanced biometric verification (liveness detection, selfie, official identity document) and corporate representation validation, mandatorily activated upon enabling banking connections (Open Banking) or the collection wallet.

KYC/KYB data is retained for the minimum period required by applicable AML/CFT regulations, subject to Legal Hold under Section 8.2.

Este DPA se rige por las leyes del Estado de Delaware, Estados Unidos de América. En materia de protección de datos, se aplica adicionalmente el Marco Normativo Aplicable correspondiente a la jurisdicción del titular de los datos (GDPR, LGPD, Ley 25.326, CCPA), en lo que resulte más protector para el titular.

Toda controversia derivada de este DPA que no pueda resolverse amigablemente entre las partes dentro de los treinta (30) días de notificada por escrito, se someterá a arbitraje ante la Cámara de Comercio Internacional (CCI), bajo procedimiento abreviado, con un árbitro único, sede en Miami, Florida, idioma español. El laudo arbitral será definitivo y vinculante. Las partes renuncian expresamente a la acción de clase (class action) y al juicio por jurado (jury trial).

En caso de conflicto entre este DPA y los Términos y Condiciones v1.0, prevalecerá el documento que establezca el estándar más protector para el titular de los datos. En materia de transferencias internacionales de datos de residentes en la UE, las SCCs prevalecen sobre cualquier disposición contradictoria de este DPA.

Este DPA entra en vigor en la fecha de aceptación de los Términos y Condiciones por parte del Cliente y permanece vigente durante todo el período contractual. Ante cambios materiales en la normativa aplicable o en las prácticas de tratamiento de datos, A Team actualizará este DPA y notificará al Cliente con al menos treinta (30) días corridos de anticipación. La versión vigente siempre estará disponible en www.the-ateam.ai/legal.

A Team Agency LLC --- Responsable de Privacidad y DPA

Correo: legal@the-ateam.ai

Sitio web: www.the-ateam.ai/legal

Domicilio legal: 25 SW 9th St, Suite 406, Miami, FL 33130, USA

--- FIN DEL DOCUMENTO ---

A Team Agency LLC -- Documento de uso público. www.the-ateam.ai/legal

Data Processing Agreement v1.0 -- Junio 2026

This DPA is governed by the laws of the State of Delaware, United States of America. In matters of data protection, the Applicable Regulatory Framework corresponding to the data subject's jurisdiction (GDPR, LGPD, Law 25.326, CCPA) additionally applies, to the extent most protective of the data subject.

Any dispute arising from this DPA that cannot be resolved amicably between the parties within thirty (30) days of written notification shall be submitted to arbitration before the International Chamber of Commerce (ICC), under the expedited procedure, with a sole arbitrator, seat in Miami, Florida, in the Spanish language. The arbitral award shall be final and binding. The parties expressly waive class action and jury trial.

In the event of conflict between this DPA and the Terms and Conditions v1.0, the document establishing the higher standard of protection for the data subject shall prevail. In matters of international transfers of EU residents' data, the SCCs shall prevail over any conflicting provision of this DPA.

This DPA enters into force on the date of the Client's acceptance of the Terms and Conditions and remains in effect throughout the contractual period. Upon material changes to applicable regulations or data processing practices, A Team will update this DPA and notify the Client with at least thirty (30) calendar days' advance notice. The current version will always be available at www.the-ateam.ai/legal.

A Team Agency LLC --- Privacy and DPA Officer

Email: legal@the-ateam.ai

Website: www.the-ateam.ai/legal

Registered address: 25 SW 9th St, Suite 406, Miami, FL 33130, USA

--- END OF DOCUMENT ---

A Team Agency LLC -- Public document. www.the-ateam.ai/legal

Data Processing Agreement v1.0 -- June 2026