Anexo de procesamiento de datos de la UE y el Reino Unido

Este Anexo de Procesamiento de Datos de la UE y el Reino Unido ("DPA") complementa el Acuerdo de Términos de Servicio de SENDMARC (el "Acuerdo") celebrado por y entre el cliente que firma este DPA ("Cliente") y SENDMARC INC. ("Compañía") Al ejecutar el DPA de acuerdo con la Sección 11 del presente, el Cliente celebra este DPA en su nombre y, en la medida en que lo exijan las Leyes de Protección de Datos aplicables (definidas a continuación), en nombre y por cuenta de sus Filiales (definidas a continuación), si las hubiera. Este DPA incorpora los términos del Acuerdo, y cualquier término no definido en este DPA tendrá el significado establecido en el Acuerdo. 

1. Definiciones

  • "Afiliado" significa (i) una entidad de la cual una parte posee directa o indirectamente el cincuenta por ciento (50%) o más de las acciones u otra participación en el capital, (ii) una entidad que posee al menos el cincuenta por ciento (50%) o más de las acciones u otra participación en el capital de una parte, o (iii) una entidad que está bajo control común con una parte al tener al menos el cincuenta por ciento (50%) o más de las acciones u otra participación en el capital de dicha entidad y una parte propiedad de la misma persona, pero dicha entidad solo se considerará un Afiliado mientras exista dicha propiedad.
  • "Subprocesador autorizado" se refiere a un tercero que tiene la necesidad de conocer o acceder a los Datos personales del Cliente para permitir que la Compañía cumpla con sus obligaciones en virtud de este DPA o el Acuerdo, y que (1) figura en el Anexo B o (2) está autorizado posteriormente en virtud de la Sección 4.2 de este DPA.
  • "Datos de la Cuenta de la Empresa" se refiere a los datos personales relacionados con la relación de la Empresa con el Cliente, incluidos los nombres o la información de contacto de las personas autorizadas por el Cliente para acceder a la cuenta del Cliente y la información de facturación de las personas que el Cliente ha asociado a su cuenta. Los Datos de la Cuenta de la Empresa también incluyen cualquier dato que la Empresa pueda necesitar recopilar con el fin de gestionar su relación con el Cliente, la verificación de la identidad o según lo exijan las leyes y reglamentos aplicables.
  •  "Datos de uso de la Empresa" se refiere a los datos de uso del Servicio recopilados y procesados por la Empresa en relación con la prestación de los Servicios, incluidos, entre otros, los datos utilizados para identificar el origen y el destino de una comunicación, los registros de actividad y los datos utilizados para optimizar y mantener el rendimiento de los Servicios, y para investigar y prevenir el abuso del sistema.
  •  "Exportador de Datos" se refiere al Cliente.
  •  "Importador de Datos" se refiere a la Empresa. 
  •  "Leyes de Protección de Datos" se refiere a las leyes y regulaciones aplicables en cualquier jurisdicción relevante relacionada con el uso o procesamiento de Datos Personales, incluyendo: (i) la Ley de Privacidad del Consumidor de California ("CCPA"), (ii) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("RGPD de la UE") y el RGPD de la UE tal como forma parte de la ley de Inglaterra y Gales en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 (el "RGPD del Reino Unido") (en conjunto, colectivamente, el "RGPD"), (iii) la Ley Federal Suiza de Protección de Datos, ; (iv) la Ley de Protección de Datos del Reino Unido de 2018; y v) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva de la CE) de 2003; en cada caso, según se actualice, modifique o reemplace de vez en cuando. Los términos "Sujeto de datos", "Datos personales", "Violación de datos personales", "procesamiento", "procesador", "controlador" y "autoridad supervisora" tendrán los significados establecidos en el RGPD.  
  •  "CCT de la UE" se refiere a las cláusulas contractuales tipo aprobadas por la Comisión Europea en la Decisión 2021/914 de la Comisión, de 4 de junio de 2021, para las transferencias de datos personales a países que la Comisión Europea no reconoce como que ofrecen un nivel adecuado de protección de los datos personales (en su versión modificada y actualizada periódicamente), según lo modificado por la Sección 6.2 de este DPA. 
  •  "Transferencia fuera del EEE" se refiere a la transferencia de Datos personales, que se procesa de acuerdo con el RGPD, del Exportador de datos al Importador de datos (o sus instalaciones) fuera del Espacio Económico Europeo (el "EEE"), y dicha transferencia no se rige por una decisión de adecuación tomada por la Comisión Europea de acuerdo con las disposiciones pertinentes del RGPD. 
  • "Transferencia desde el Reino Unido" se refiere a la transferencia de Datos Personales cubiertos por el Capítulo V del RGPD del Reino Unido, que se procesa de acuerdo con el RGPD del Reino Unido y la Ley de Protección de Datos de 2018, desde el Exportador de Datos al Importador de Datos (o sus instalaciones) fuera del Reino Unido (el "Reino Unido"), y dicha transferencia no se rige por una decisión de adecuación tomada por el Secretario de Estado de acuerdo con las disposiciones pertinentes del RGPD del Reino Unido y la Ley de Protección de Datos de 2018. 
  • "Servicios" tendrá el significado establecido en el Acuerdo.
  • "Cláusulas contractuales tipo" se refiere a las CCT de la UE y las CCT del Reino Unido.   
  •  "CCT del Reino Unido" se refiere a las CCT de la UE, modificadas por el Apéndice del Reino Unido.  

2. Relación de las Partes; Tratamiento de datos

  • Las partes reconocen y acuerdan que, con respecto al tratamiento de los Datos Personales, el Cliente puede actuar como responsable o encargado del tratamiento y, salvo que se establezca expresamente en este DPA o en el Acuerdo, la Empresa es un encargado del tratamiento. El Cliente deberá, en su uso de los Servicios, procesar en todo momento los Datos Personales y proporcionar instrucciones para el procesamiento de los Datos Personales, de conformidad con las Leyes de Protección de Datos. El Cliente se asegurará de que el tratamiento de los Datos Personales de acuerdo con las instrucciones del Cliente no haga que la Empresa infrinja las Leyes de Protección de Datos.  El Cliente es el único responsable de la exactitud, calidad y legalidad de (i) los Datos Personales proporcionados a la Empresa por el Cliente o en su nombre, (ii) los medios por los que el Cliente adquirió dichos Datos Personales y (iii) las instrucciones que proporciona a la Empresa con respecto al tratamiento de dichos Datos Personales. El Cliente no proporcionará ni pondrá a disposición de la Empresa ningún Dato Personal que infrinja el Acuerdo o que sea inapropiado para la naturaleza de los Servicios, e indemnizará a la Empresa por todas las reclamaciones y pérdidas relacionadas con los mismos. 
  • La Empresa no procesará Datos Personales (i) para fines distintos a los establecidos en el Acuerdo y/o el Anexo A, (ii) de manera inconsistente con los términos y condiciones establecidos en este DPA o cualquier otra instrucción documentada proporcionada por el Cliente, incluso con respecto a las transferencias de datos personales a un tercer país o una organización internacional, a menos que así lo exija la Autoridad de Supervisión a la que está sujeta la Empresa; en tal caso, la Compañía informará al Cliente de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público, o (iii) en violación de las Leyes de Protección de Datos.  Por la presente, el Cliente da instrucciones a la Empresa para que procese los Datos Personales de acuerdo con lo anterior y como parte de cualquier procesamiento iniciado por el Cliente en su uso de los Servicios.
  • El objeto, la naturaleza, el propósito y la duración de este procesamiento, así como los tipos de Datos personales recopilados y las categorías de Sujetos de datos, se describen en el Anexo A de este DPA.
  • Una vez finalizados los Servicios, a elección del Cliente, la Empresa devolverá o eliminará los Datos Personales del Cliente, a menos que la legislación aplicable exija o autorice un almacenamiento adicional de dichos Datos Personales. Si la devolución o destrucción es impracticable o está prohibida por la ley, norma o reglamento, la Empresa tomará medidas para bloquear dichos Datos Personales de cualquier tratamiento posterior (excepto en la medida necesaria para su continuo alojamiento o tratamiento requerido por la ley, norma o reglamento) y continuará protegiendo adecuadamente los Datos Personales que permanezcan en su posesión. custodia, o control. Si el Cliente y la Empresa han suscrito Cláusulas Contractuales Tipo como se describe en la Sección 6 (Transferencias de Datos Personales), las partes acuerdan que la certificación de eliminación de Datos Personales que se describe en la Cláusula 8.1(d) y la Cláusula 8.5 de las CCT de la UE (según corresponda) será proporcionada por la Empresa al Cliente solo a petición del Cliente. 
  • CCPA. Excepto en lo que respecta a los Datos de la Cuenta de la Empresa y los Datos de Uso de la Empresa, las partes reconocen y acuerdan que la Empresa es un proveedor de servicios a los efectos de la CCPA (en la medida en que se aplique) y que recibe información personal del Cliente para prestar los Servicios de conformidad con el Acuerdo, lo que constituye un propósito comercial.  La Compañía no venderá dicha información personal. La Compañía no retendrá, usará ni divulgará ninguna información personal proporcionada por el Cliente de conformidad con el Acuerdo, excepto cuando sea necesario para el propósito específico de realizar los Servicios para el Cliente de conformidad con el Acuerdo, o de otro modo según lo establecido en el Acuerdo o según lo permitido por la CCPA.  Los términos "información personal", "proveedor de servicios", "venta" y "venta" se definen en la Sección 1798.140 de la CCPA. La Compañía certifica que comprende las restricciones de esta Sección 2.5.

3. Confidencialidad

  • La Empresa se asegurará de que cualquier persona a la que autorice a tratar Datos Personales haya aceptado proteger los Datos Personales de acuerdo con las obligaciones de confidencialidad de la Empresa en el Acuerdo. El Cliente acepta que la Empresa puede divulgar Datos Personales a sus asesores, auditores u otros terceros según sea razonablemente necesario en relación con el cumplimiento de sus obligaciones en virtud de este DPA, el Acuerdo o la prestación de Servicios al Cliente. 

4. Subprosesores autorizados

  • El Cliente reconoce y acepta que la Empresa puede (1) contratar a sus Afiliados, así como a los Subencargados Autorizados de la Lista (definidos a continuación) para acceder y procesar los Datos Personales en relación con los Servicios y (2) contratar ocasionalmente a terceros adicionales con el fin de prestar los Servicios, incluido, entre otros, el tratamiento de los Datos Personales. Por medio de este DPA, el Cliente proporciona una autorización general por escrito a la Compañía para contratar subprocesadores según sea necesario para realizar los Servicios.
  • Una lista de los Subprocesadores Autorizados actuales de la Compañía (la "Lista") está disponible para el Cliente en
    https://www.sendmarc.com/privacy/subprocessors o en el Anexo B.  Dicha Lista puede ser actualizada por la Compañía de vez en cuando.  La Compañía proporcionará un mecanismo para suscribirse a las notificaciones (que pueden incluir, entre otras, notificaciones por correo electrónico) de nuevos Subprocesadores Autorizados y el Cliente, si lo desea, se suscribirá a dichas notificaciones cuando estén disponibles. Si el Cliente no se suscribe a dichas notificaciones, el Cliente renuncia a cualquier derecho que pueda tener de recibir una notificación previa de los cambios a los Subprocesadores autorizados.  Al menos diez (10) días antes de permitir que cualquier tercero que no sean los Subprocesadores Autorizados existentes acceda o participe en el procesamiento de Datos Personales, la Compañía agregará a dicho tercero a la Lista y notificará a los suscriptores, incluido el Cliente, a través de las notificaciones antes mencionadas. El Cliente puede oponerse a dicho compromiso informando a la Compañía por escrito dentro de los diez (10) días posteriores a la recepción de la notificación antes mencionada por parte del Cliente, siempre que dicha objeción sea por escrito y se base en motivos razonables relacionados con la protección de datos. El Cliente reconoce que ciertos subprocesadores son esenciales para proporcionar los Servicios y que oponerse al uso de un subprocesador puede impedir que la Compañía ofrezca los Servicios al Cliente.
  • Si el Cliente se opone razonablemente a un compromiso de acuerdo con la Sección 4.2, y la Compañía no puede proporcionar una alternativa comercialmente razonable dentro de un período de tiempo razonable, el Cliente puede interrumpir el uso del Servicio afectado mediante notificación por escrito a la Compañía.  La interrupción no eximirá al Cliente de ninguna tarifa adeudada a la Compañía en virtud del Acuerdo. 
  • Si el Cliente no se opone a la contratación de un tercero de acuerdo con la Sección 4.2 dentro de los diez (10) días posteriores a la notificación por parte de la Compañía, ese tercero se considerará un Subprocesador autorizado a los fines de este DPA.
  • La Empresa celebrará un acuerdo por escrito con el Subencargado del Tratamiento Autorizado que impondrá al Subencargado del Tratamiento Autorizado obligaciones de protección de datos comparables a las impuestas a la Empresa en virtud de este DPA con respecto a la protección de los Datos Personales.  En caso de que un Subprocesador Autorizado no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito con la Compañía, la Compañía seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador Autorizado en virtud de dicho acuerdo.
  • Si el Cliente y la Empresa han suscrito Cláusulas Contractuales Tipo como se describe en la Sección 6 (Transferencias de Datos Personales), (i) las autorizaciones anteriores constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de la Empresa del tratamiento de Datos Personales si dicho consentimiento es necesario en virtud de las Cláusulas Contractuales Tipo, y (ii) las partes acuerdan que las copias de los acuerdos con los Subencargados Autorizados que la Empresa debe proporcionar al Cliente de conformidad con la Cláusula 9(c) de las CCT de la UE puede tener información comercial, o información no relacionada con las Cláusulas Contractuales Estándar o su equivalente, eliminada por la Compañía de antemano, y que dichas copias serán proporcionadas por la Compañía solo a solicitud del Cliente.

5. Seguridad de los datos personales

  • Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, la Empresa mantendrá las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos personales. El Anexo C establece información adicional sobre las medidas de seguridad técnicas y organizativas de la Compañía.

  • Transferencias de Datos Personales

  • Las partes acuerdan que la Empresa puede transferir los Datos Personales procesados en virtud de este DPA fuera del EEE, el Reino Unido o Suiza según sea necesario para proporcionar los Servicios. El Cliente reconoce que las operaciones de procesamiento principales de la Compañía tienen lugar en los Estados Unidos y que la transferencia de los Datos Personales del Cliente a los Estados Unidos es necesaria para la prestación de los Servicios al Cliente. Si la Empresa transfiere Datos Personales protegidos en virtud de este DPA a una jurisdicción para la que la Comisión Europea no ha emitido una decisión de adecuación, la Empresa se asegurará de que se hayan implementado las medidas de seguridad adecuadas para la transferencia de Datos Personales de acuerdo con las Leyes de Protección de Datos.
  • Transferencias fuera del EEE. Las partes acuerdan que las Transferencias fuera del EEE se realizan de conformidad con las CCT de la UE, que se consideran celebradas (e incorporadas a este DPA por esta referencia) y completadas de la siguiente manera:
    • El Módulo Uno (Responsable a Responsable del Tratamiento) de las CCT de la UE se aplica cuando la Empresa trata Datos Personales como responsable del tratamiento de conformidad con la Sección 9 de este DPA.
    • El Módulo Dos (De Responsable a Encargado del Tratamiento) de las CCT de la UE se aplica cuando el Cliente es un responsable del tratamiento y la Empresa trata Datos Personales para el Cliente como encargado del tratamiento de conformidad con la Sección 2 de este DPA.
    • El Módulo Tres (De Encargado a Subencargado) de las CCT de la UE se aplica cuando el Cliente es un encargado del tratamiento y la Empresa trata Datos Personales en nombre del Cliente como subencargado del tratamiento.
  • Para cada módulo, en su caso, se aplicará lo siguiente:
    • La cláusula de acoplamiento opcional de la Cláusula 7 no se aplica.
    • En la Cláusula 9, se aplica la Opción 2 (autorización general por escrito), y el período de tiempo mínimo para la notificación previa de los cambios en el subprocesador será el establecido en la Sección 4.2 de este DPA;
    • En la Cláusula 11, el lenguaje opcional no se aplica;
    • Se suprimen todos los corchetes de la cláusula 13;
    • En la cláusula 17 (opción 1), las CCT de la UE se regirán por la legislación irlandesa.
    • En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
    • El anexo B de este DPA contiene la información requerida en los anexos I y III de las CCT de la UE;
    • El anexo C de este DPA contiene la información requerida en el anexo II de las CCT de la UE; y
    • Al suscribir este DPA, se considera que las partes han firmado las CCT de la UE incorporadas en el mismo, incluidos sus anexos.
  • Transferencias desde el Reino Unido. Las partes acuerdan que las Transferencias fuera del Reino Unido se realizan de conformidad con las CCT del Reino Unido, que se consideran celebradas e incorporadas a este DPA por referencia, y se modifican y completan de acuerdo con el Anexo del Reino Unido, que se incorpora al presente documento como Anexo D de este DPA.
  • Traslados desde Suiza. Las partes acuerdan que las transferencias desde Suiza se realizan de conformidad con las CCT de la UE con las siguientes modificaciones:
    • Los términos "Reglamento General de Protección de Datos" o "Reglamento (UE) 2016/679" utilizados en las CCT de la UE se interpretarán en el sentido de que incluyen la Ley Federal de Protección de Datos de 19 de junio de 1992 (la "FADP" y, en su versión revisada a partir del 25 de septiembre de 2020, la "FADP revisada") con respecto a las transferencias de datos sujetas a la FADP.
    • Los términos de las CCT de la UE se interpretarán para proteger los datos de las personas jurídicas hasta la fecha de entrada en vigor del FADP revisado.
    • La cláusula 13 de las CCT de la UE se modifica para establecer que el Comisionado Federal de Protección de Datos e Información ("FDPIC") de Suiza tendrá autoridad sobre las transferencias de datos regidas por el FADP y la autoridad supervisora de la UE correspondiente tendrá autoridad sobre las transferencias de datos regidas por el RGPD. Sin perjuicio de lo anterior, se observarán todos los demás requisitos de la Sección 13.
    • El término "Estado miembro de la UE", tal como se utiliza en las CCT de la UE, no se interpretará de manera que excluya a los interesados en Suiza del ejercicio de sus derechos en su lugar de residencia habitual de conformidad con la cláusula 18(c) de las CCT de la UE.
  • Medidas complementarias. Con respecto a cualquier Transferencia fuera del EEE o fuera del Reino Unido, se aplicarán las siguientes medidas complementarias:
    • A la fecha de este DPA, el Importador de Datos no ha recibido ninguna solicitud legal formal de ningún servicio/agencia de inteligencia o seguridad gubernamental en el país al que se exportan los Datos Personales, para acceder a (o para obtener copias de) los Datos Personales del Cliente ("Solicitudes de Agencias Gubernamentales");
    • Si, después de la fecha de este DPA, el Importador de Datos recibe alguna Solicitud de Agencia Gubernamental, la Compañía intentará redirigir a la agencia gubernamental o de aplicación de la ley para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, la Compañía puede proporcionar la información de contacto básica del Cliente a la agencia gubernamental. Si se ve obligado a divulgar los Datos Personales del Cliente a una agencia gubernamental o de aplicación de la ley, la Compañía notificará al Cliente con una antelación razonable de la demanda y cooperará para permitir que el Cliente busque una orden de protección u otro recurso apropiado, a menos que la Compañía tenga legalmente prohibido hacerlo. La Compañía no divulgará voluntariamente Datos Personales a ninguna agencia gubernamental o de aplicación de la ley. El Exportador de Datos y el Importador de Datos discutirán y determinarán (tan pronto como sea razonablemente posible) si todas o algunas de las transferencias de Datos Personales de conformidad con este DPA deben suspenderse a la luz de dichas Solicitudes de Agencias Gubernamentales; y
    • El exportador de datos y el importador de datos se reunirán según sea necesario para considerar si:
      • la protección otorgada por las leyes del país del importador de datos a los interesados cuyos datos personales se transfieren es suficiente para proporcionar una protección ampliamente equivalente a la otorgada en el EEE o el Reino Unido, según sea el caso;
      • las medidas adicionales son razonablemente necesarias para permitir que la transferencia cumpla con las Leyes de Protección de Datos; y
      • sigue siendo apropiado que los Datos Personales se transfieran al Importador de Datos pertinente, teniendo en cuenta toda la información pertinente disponible para las partes, junto con las orientaciones proporcionadas por las autoridades de control.
    • Si las Leyes de Protección de Datos exigen que el Exportador de Datos ejecute las Cláusulas Contractuales Tipo aplicables a una transferencia particular de Datos Personales a un Importador de Datos como un acuerdo separado, el Importador de Datos, a petición del Exportador de Datos, ejecutará de inmediato dichas Cláusulas Contractuales Estándar que incorporen las modificaciones que el Exportador de Datos pueda requerir razonablemente para reflejar los apéndices y anexos aplicables. los detalles de la transferencia y los requisitos de las Leyes de Protección de Datos pertinentes.
    • Si (i) alguno de los medios para legitimar las transferencias de Datos Personales fuera del EEE o del Reino Unido establecidos en este DPA deja de ser válido o (ii) cualquier autoridad supervisora requiere que se suspendan las transferencias de Datos Personales de conformidad con esos medios, el Importador de Datos podrá, mediante notificación al Exportador de Datos, con efecto a partir de la fecha establecida en dicha notificación, modificar o establecer acuerdos alternativos con respecto a dichas transferencias, según lo exijan las Leyes de Protección de Datos.

  • Derechos de los interesados

  • La Empresa deberá, en la medida en que lo permita la ley, notificar al Cliente al recibir una solicitud de un Interesado para ejercer el derecho del Interesado a: acceso, rectificación, supresión, portabilidad de datos, restricción o cese del tratamiento, retirada del consentimiento para el tratamiento y/o oposición a ser objeto de un tratamiento que constituya una toma de decisiones automatizada (dichas solicitudes individual y colectivamente "Solicitud(es) del Interesado"). Si la Empresa recibe una Solicitud del Interesado en relación con los datos del Cliente, la Empresa aconsejará al Interesado que envíe su solicitud al Cliente y el Cliente será responsable de responder a dicha solicitud, incluyendo, cuando sea necesario, mediante el uso de la funcionalidad de los Servicios. El Cliente es el único responsable de garantizar que las Solicitudes de eliminación, restricción o cese del procesamiento de los Interesados, o la retirada del consentimiento para el procesamiento de cualquier Dato Personal se comuniquen a la Compañía y, si corresponde, de garantizar que se mantenga un registro del consentimiento para el procesamiento con respecto a cada Sujeto de Datos.
  • La Empresa deberá, a petición del Cliente, y teniendo en cuenta la naturaleza del tratamiento aplicable a cualquier Solicitud del Interesado, aplicar las medidas técnicas y organizativas adecuadas para ayudar al Cliente a cumplir con la obligación del Cliente de responder a dicha Solicitud del Interesado y/o a demostrar dicho cumplimiento, siempre que (i) el Cliente no pueda responder sin la ayuda de la Empresa y (ii) la Empresa pueda hacerlo de acuerdo con el todas las leyes, normas y reglamentos aplicables. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos que surjan de dicha asistencia por parte de la Empresa.

6. Solicitudes de acción y acceso; Auditorías

  • La Empresa, teniendo en cuenta la naturaleza del tratamiento y la información disponible para la Empresa, proporcionará al Cliente una cooperación y asistencia razonables cuando sea necesario para que el Cliente cumpla con sus obligaciones en virtud del RGPD de llevar a cabo una evaluación de impacto de la protección de datos y/o demostrar dicho cumplimiento, siempre que el Cliente no tenga acceso a la información pertinente. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos que surjan de dicha asistencia por parte de la Empresa.
  • La Empresa, teniendo en cuenta la naturaleza del tratamiento y la información disponible para la Empresa, proporcionará al Cliente una cooperación y asistencia razonables con respecto a la cooperación del Cliente y/o la consulta previa con cualquier Autoridad de Supervisión, cuando sea necesario y cuando así lo exija el RGPD. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos que surjan de dicha asistencia por parte de la Empresa.
  • La Compañía mantendrá registros suficientes para demostrar su cumplimiento de sus obligaciones en virtud de este DPA, y conservará dichos registros durante un período de tres (3) años después de la terminación del Acuerdo.  El Cliente tendrá, con un aviso razonable a la Compañía, el derecho de revisar, auditar y copiar dichos registros en las oficinas de la Compañía durante el horario comercial habitual.
  • Previa solicitud por escrito del Cliente a intervalos razonables, y sujeto a controles de confidencialidad razonables, la Compañía deberá, ya sea (i) poner a disposición del Cliente para su revisión copias de certificaciones o informes que demuestren el cumplimiento de la Compañía con los estándares de seguridad de datos vigentes aplicables al procesamiento de los Datos Personales del Cliente, o (ii) si la provisión de informes o certificaciones de conformidad con (i) no es razonablemente suficiente según las Leyes de Protección de Datos, permitir que el representante externo independiente del Cliente lleve a cabo una auditoría o inspección de la infraestructura y los procedimientos de seguridad de datos de la Compañía que sea suficiente para demostrar el cumplimiento de la Compañía con sus obligaciones en virtud de las Leyes de Protección de Datos, siempre que (a) el Cliente proporcione un aviso previo razonable por escrito de cualquier solicitud de auditoría y dicha inspección no sea irrazonablemente perjudicial para el negocio de la Compañía; (b) dicha auditoría solo se realizará durante el horario comercial y no se realizará más de una vez por año calendario; y (c) dicha auditoría se limitará a los datos relevantes para el Cliente. El Cliente será responsable de los costos de dichas auditorías o inspecciones, incluido, entre otros, un reembolso a la Compañía por el tiempo dedicado a las auditorías in situ.  Si el Cliente y la Empresa han suscrito Cláusulas Contractuales Tipo como se describe en la Sección 6 (Transferencias de Datos Personales), las partes acuerdan que las auditorías descritas en la Cláusula 8.9 de las CCT de la UE se llevarán a cabo de acuerdo con esta Sección 8.4. 
  • La Compañía notificará inmediatamente al Cliente si una instrucción, en opinión de la Compañía, infringe las Leyes de Protección de Datos o la Autoridad de Supervisión.
  • En el caso de una Violación de Datos Personales, la Compañía deberá, sin demora indebida, informar al Cliente de la Violación de Datos Personales y tomar las medidas que la Compañía, a su entera discreción, considere necesarias y razonables para remediar dicha violación (en la medida en que la corrección esté dentro del control razonable de la Compañía).
  • En caso de una Violación de Datos Personales, la Compañía, teniendo en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, proporcionará al Cliente la cooperación y asistencia razonables necesarias para que el Cliente cumpla con sus obligaciones en virtud del RGPD con respecto a notificar (i) a la Autoridad de Control pertinente y (ii) a los Interesados afectados por dicha Violación de Datos Personales sin demora indebida.
  • Las obligaciones descritas en las Secciones 8.6 y 8.7 no se aplicarán en caso de que una Violación de Datos Personales resulte de las acciones u omisiones del Cliente. La obligación de la Empresa de informar o responder a una Violación de Datos Personales en virtud de las Secciones 8.6 y 8.7 no se interpretará como un reconocimiento por parte de la Empresa de ninguna culpa o responsabilidad con respecto a la Violación de Datos Personales.

7. Papel de la empresa como responsable del tratamiento

  • Las partes reconocen y acuerdan que, con respecto a los Datos de la Cuenta de la Empresa y los Datos de Uso de la Empresa, la Empresa es un responsable del tratamiento independiente, no un responsable conjunto del Cliente. La Empresa tratará los Datos de la Cuenta de la Empresa y los Datos de Uso de la Empresa como responsable del tratamiento (i) para gestionar la relación con el Cliente; (ii) para llevar a cabo las operaciones comerciales principales de la Compañía, como contabilidad, auditorías, preparación y presentación de impuestos y fines de cumplimiento; (iii) para supervisar, investigar, prevenir y detectar fraudes, incidentes de seguridad y otros usos indebidos de los Servicios, y para evitar daños al Cliente; (iv) con fines de verificación de identidad; (v) para cumplir con las obligaciones legales o reglamentarias aplicables al procesamiento y retención de Datos Personales a los que está sujeta la Compañía; y (vi) según lo permitan las Leyes de Protección de Datos y de conformidad con este DPA y el Acuerdo. La Empresa también puede procesar los Datos de uso de la Empresa como responsable del tratamiento para proporcionar, optimizar y mantener los Servicios, en la medida en que lo permitan las Leyes de Protección de Datos. Cualquier procesamiento por parte de la Compañía como controlador estará de acuerdo con la política de privacidad de la Compañía establecida en https://www.sendmarc.com/privacy-policy.   

8. Conflicto

  • En caso de conflicto o inconsistencia entre los siguientes documentos, el orden de precedencia será: (1) los términos aplicables en las Cláusulas Contractuales Tipo; (2) los términos de este DPA; (3) el Acuerdo; y (4) la política de privacidad de la Compañía. Cualquier reclamación presentada en relación con este DPA estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo

Anexo A

Detalles del procesamiento

Naturaleza y finalidad del tratamiento: La Empresa tratará los Datos personales del Cliente según sea necesario para prestar los Servicios en virtud del Contrato, para los fines especificados en el Contrato y en este DPA, y de acuerdo con las instrucciones del Cliente según lo establecido en este DPA. La naturaleza del tratamiento incluye, entre otros: 

  • Recepción de datos, incluida la recopilación, el acceso, la recuperación, el registro y la entrada de datos
  • Protección de datos, incluida la restricción, el cifrado y las pruebas de seguridad
  • Almacenamiento de datos, incluido el almacenamiento, la organización y la estructuración
  • Borrado de datos, incluida la destrucción y eliminación
  • Análisis de datos, incluida la evaluación del uso del producto
  • Compartir datos, incluida la divulgación a los subprocesadores según lo permitido en este DPA

Duración del Tratamiento: La Empresa tratará los Datos Personales del Cliente durante el tiempo que sea necesario (i) para prestar los Servicios al Cliente en virtud del Acuerdo; (ii) para las necesidades comerciales legítimas de la Compañía; o (iii) por la ley o reglamento aplicable. Los Datos de la Cuenta de la Empresa y los Datos de Uso de la Empresa se procesarán y almacenarán según lo establecido en la política de privacidad de la Empresa.

Categorías de interesados: empleados del cliente, consultores, contratistas, agentes, usuarios finales del cliente y sus contrapartes de su comunicación por correo electrónico. 

Categorías de Datos Personales: La Empresa procesa los Datos Personales contenidos en los Datos de la Cuenta de la Empresa, los Datos de Uso de la Empresa y cualquier Dato Personal proporcionado por el Cliente (incluidos los Datos Personales que el Cliente recopile de sus usuarios finales y procese a través de su uso de los Servicios) o recopilados por la Empresa para prestar los Servicios o según lo establecido en el Acuerdo o en este DPA. Las categorías de datos personales incluyen nombre, correo electrónico, cargo, identificadores de dispositivos de usuario (por ejemplo, agente de usuario del navegador), dirección IP del dispositivo de la empresa.  

Datos confidenciales o categorías especiales de datos: Los clientes tienen prohibido proporcionar datos personales confidenciales o categorías especiales de datos a la Compañía, incluidos, entre otros, cualquier dato que revele antecedentes penales. 

Anexo B

A continuación se incluye la información requerida en los anexos I y III de las CCT de la UE, y en los cuadros 1, 1A y 1B de la adenda del Reino Unido. 

1. Las Partes

Exportador(es) de datos: 

El exportador de datos es la entidad que se ha suscrito a las Condiciones y sus datos de contacto son los que ha proporcionado al suscribirse a las Condiciones. 

Firma y fecha: Al suscribir los Términos, se considera que el Exportador de Datos ha firmado estas CCT incorporadas en el presente documento, incluidos sus Anexos, a partir de la Fecha de entrada en vigor de los Términos.

Rol: Controlador o Procesador

 

Importador(es) de datos: 

Nombre: SENDMARC INC. 

Nombre comercial (si es diferente): SENDMARC

Dirección e información de contacto: 221 W 9th St, Wilmington, Delaware, 19801; [email protected] 

Número de registro oficial (si lo hubiera) (número de empresa o identificador similar): N/A

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: ... Como se describe en la Sección 2 del DPA.

Firma y fecha: Al suscribir los Términos, se considera que el Importador de Datos ha firmado estas CCT incorporadas en el presente documento, incluidos sus Anexos, a partir de la Fecha de entrada en vigor de los Términos.

Función (controlador/procesador): Procesador o subprocesador

2. Descripción de la transferencia

InteresadosComo se describe en el Anexo A de la DPA 
Categorías de datos personalesComo se describe en el Anexo A de la DPA 
Datos personales de categoría especial (si corresponde)Como se describe en el Anexo A de la DPA 
Naturaleza del tratamiento Como se describe en el Anexo A de la DPA 
Finalidades del tratamientoComo se describe en el Anexo A de la DPA 
Duración del procesamiento y la retención (o los criterios para determinar dicho período) Como se describe en el Anexo A de la DPA 
Frecuencia de la transferenciaSegún sea necesario para proporcionar todas las obligaciones y derechos con respecto a los Datos Personales según lo dispuesto en el Acuerdo o DPA 
Destinatarios de los datos personales transferidos al importador de datosLa Compañía mantendrá una lista de Subprocesadores Autorizados en: https://www.sendmarc.com/privacy/subprocessors.

3. Autoridad de Supervisión Competente

La autoridad supervisora será la autoridad supervisora del exportador de datos, según lo determinado de conformidad con la cláusula 13 de las CCT de la UE. La autoridad supervisora a efectos de la Adenda del Reino Unido será el Oficial del Comisionado de Información del Reino Unido. 

Anexo C

Descripción de las Medidas de Seguridad Técnicas y Organizativas implementadas por el Importador de Datos

Hemos implementado y mantendremos un programa de seguridad de acuerdo con los estándares de la industria, tal como se describe en https://sendmarc.com/information-security

Anexo D

Anexo del Reino Unido 

Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE

Parte 1: Tablas

Cuadro 1: Partes

Las partes ExportadorImportador
Detalles de las partesCliente Compañía 
Contacto clave Véase el Anexo B de este DPAVéase el Anexo B de este DPA

Tabla 2: CCT, módulos y cláusulas seleccionadas

CCT de la UELa versión de las CCT de la UE aprobadas a la que se adjunta este Anexo del Reino Unido, tal como se define en el DPA y se completa en las secciones 6.2 y 6.3 del DPA.  

Tabla 3: Información del Apéndice

"Información del Apéndice" significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CCT de la UE aprobadas (distintas de las Partes), y que para este Apéndice del Reino Unido se establece en:

Anexo 1A: Lista de PartesDe acuerdo con la Tabla 1 anterior
Anexo 2B: Descripción de la transferenciaVéase el Anexo B de este DPA
Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos:Véase el Anexo C de este DPA
Anexo III: Lista de subencargados del tratamiento (solo módulos 2 y 3):Véase el Anexo B de este DPA 

Tabla 4: Finalización de este Anexo del Reino Unido cuando cambia el Anexo del Reino Unido Aprobado

a) Tanto el importador de datos como el exportador de datos pueden rescindir la IDTA del Reino Unido de acuerdo con los términos de la IDTA del Reino Unido.

b) Al entrar en este Anexo del Reino Unido:

1. Cada una de las partes acepta estar sujeta a los términos y condiciones establecidos en este Anexo del Reino Unido, a cambio de que la otra parte también acepte estar sujeta a este Anexo del Reino Unido.

2.Aunque el Anexo 1A y la Cláusula 7 de las CCT de la UE aprobadas requieren la firma de las Partes, con el fin de realizar Transferencias fuera del Reino Unido, las Partes pueden suscribir este Anexo del Reino Unido de cualquier manera que los haga legalmente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en este Anexo del Reino Unido. La celebración de este Anexo del Reino Unido tendrá el mismo efecto que la firma de las CCT de la UE aprobadas y de cualquier parte de las CCT de la UE aprobadas.

c)Interpretación de esta Adenda del Reino Unido

3. Cuando en el presente Anexo del Reino Unido se utilicen términos definidos en las CCT de la UE aprobadas, dichos términos tendrán el mismo significado que en las CCT de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados:

Anexo del Reino Unidose refiere a este Anexo de Transferencia Internacional de Datos que incorpora las CCT de la UE, adjuntas al DPA como Anexo D. 
CCT de la UEse refiere a la(s) versión(es) de las CCT de la UE aprobadas a las que se adjunta este Apéndice del Reino Unido, tal como se establece en el cuadro 2, incluida la información del apéndice
Información del apéndiceserá la que figura en el cuadro 3
Salvaguardas apropiadas se refiere al nivel de protección de los datos personales y de los derechos de los interesados, exigido por las leyes de protección de datos del Reino Unido cuando se realiza una transferencia desde el Reino Unido basándose en las cláusulas estándar de protección de datos en virtud del artículo 46, apartado 2, letra d) del RGPD del Reino Unido.
Adenda aprobada en el Reino Unidose refiere al modelo de Adenda emitido por la ICO y presentado al Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, en su versión revisada en virtud del artículo 18 de la Adenda del Reino Unido.
CCT de la UE aprobadasse refiere a las cláusulas contractuales tipo aprobadas por la Comisión Europea en la Decisión 2021/914 de la Comisión, de 4 de junio de 2021, para las transferencias de datos personales a países que la Comisión Europea no reconoce como proveedores de un nivel adecuado de protección de los datos personales (en su versión modificada y actualizada periódicamente).
ICO (EN INGLÉS)se refiere al Comisionado de Información del Reino Unido.
Transferencia ex-Reino Unido  tendrá la misma definición que se establece en el DPA.
REINO UNIDOsignifica el Reino Unido de Gran Bretaña e Irlanda del Norte  
Leyes de protección de datos del Reino Unidose refiere a todas las leyes relacionadas con la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluido el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
RGPD DEL REINO UNIDO tendrá la definición establecida en el DPA.
  1. El Anexo del Reino Unido siempre debe interpretarse de manera coherente con las Leyes de Protección de Datos del Reino Unido y para que cumpla con la obligación de las Partes de proporcionar las Garantías Adecuadas. 
  2. Si las disposiciones incluidas en el Anexo del Reino Unido modifican las CCT de la UE aprobadas de alguna manera que no esté permitida en virtud de las CCT de la UE aprobadas o del Anexo aprobado del Reino Unido, dichas modificaciones no se incorporarán en el Apéndice del Reino Unido y la disposición equivalente de las CCT de la UE aprobadas ocupará su lugar.
  3. Si existe alguna inconsistencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y el Anexo del Reino Unido, se aplicarán las Leyes de Protección de Datos del Reino Unido.
  4. Si el significado del Anexo del Reino Unido no está claro o hay más de un significado, se aplica el significado que más se alinee con las Leyes de Protección de Datos del Reino Unido. 
  5. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa que la legislación (o la disposición específica) puede cambiar con el tiempo. Esto incluye cuando dicha legislación (o disposición específica) se ha consolidado, vuelto a promulgar y/o sustituido después de que se haya celebrado la Adenda del Reino Unido.

e) Jerarquía

  1. Aunque la Cláusula 5 de las CCT de la UE aprobadas establece que las CCT de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las Transferencias desde el Reino Unido, prevalecerá la jerarquía de la Sección 10 a continuación.
  2. En caso de que exista alguna incoherencia o conflicto entre el Anexo Aprobado del Reino Unido y las CCT de la UE (según corresponda), el Anexo Aprobado del Reino Unido anula las CCT de la UE, excepto cuando (y en la medida en que) los términos incoherentes o contradictorios de las CCT de la UE proporcionen una mayor protección a los interesados, en cuyo caso dichos términos anularán el Anexo del Reino Unido Aprobado. 
  3. Cuando este Anexo del Reino Unido incorpore CCT de la UE que se hayan suscrito para proteger las Transferencias fuera de la UE sujetas al RGPD, las partes reconocen que nada en el Anexo del Reino Unido afecta a esas CCT de la UE. 

f) Incorporación y modificaciones de las CCT de la UE:

  1. Este Apéndice del Reino Unido incorpora las CCT de la UE, que se modifican en la medida necesaria para que:
    g) juntos operan para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar esa transferencia de datos, y proporcionan las Garantías adecuadas para esas transferencias de datos;
    h) Las secciones 9 a 11 anteriores anulan la Cláusula 5 (Jerarquía) de las CCT de la UE; y
    i) el Anexo del Reino Unido (incluidas las CCT de la UE incorporadas en él) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelve en los tribunales de Inglaterra y Gales.

A menos que las partes hayan acordado modificaciones alternativas que cumplan con los requisitos de la Sección 12 de este Anexo del Reino Unido, se aplicarán las disposiciones de la Sección 15 de este Anexo del Reino Unido.

  1. No se podrán realizar modificaciones en las CCT de la UE aprobadas que no sean para cumplir con los requisitos de la Sección 12 de este Anexo del Reino Unido.
  2. Se introducen las siguientes modificaciones en las CCT de la UE (a los efectos de la sección 12 de este Apéndice del Reino Unido):
    a) Referencias a las "Cláusulas" se refiere a este Anexo del Reino Unido, que incorpora las CCT de la UE;
    b) En la cláusula 2, suprímanse las palabras: «y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679».
    c) La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por: "Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y el(los) propósito(s) para los que se transfieren) son los especificados en el Anexo I.B cuando las leyes de protección de datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia.";
    d) La cláusula 8.7(i) del módulo 1 se sustituye por: "es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior";
    e) La cláusula 8.8(i) de los módulos 2 y 3 se sustituye por: "la transferencia ulterior es a un país que se beneficia de las normas de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior;"
    f) Las referencias al "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)" y "dicho Reglamento" se sustituyen por "Leyes de protección de datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o la sección equivalente de las leyes de protección de datos del Reino Unido;
    g) Se suprimen las referencias al Reglamento (UE) 2018/1725.
    h) Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";
    i) La referencia a la "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno, se sustituye por "Cláusula 11(c)(i)";
    j) no se utilicen la cláusula 13, letra a), ni la parte C del anexo I; k)Las palabras "autoridad supervisora competente" y "autoridad supervisora" se sustituyen por "Comisionado de Información";
    l) En la cláusula 16(e), la subsección (i) se sustituye por: "el Secretario de Estado establece regulaciones de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";
    m) La cláusula 17 se sustituye por el siguiente: "Estas cláusulas se rigen por las leyes de Inglaterra y Gales";
    n) La cláusula 18 se sustituye por el siguiente: "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales". Un interesado también puede iniciar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las partes acuerdan someterse a la jurisdicción de dichos tribunales.". y
    o) Las notas a pie de página de las CCT de la UE aprobadas no forman parte de la Adenda del Reino Unido, a excepción de las notas a pie de página 8, 9, 10 y 11.
    j) Enmiendas a la Adenda del Reino Unido
  1. Las partes pueden acordar cambiar las cláusulas 17 y/o 18 de las CCT de la UE para hacer referencia a las leyes y/o tribunales de Escocia o Irlanda del Norte.
  2. Si las partes desean cambiar el formato de la información incluida en la Parte 1: Tablas de la Adenda Aprobada del Reino Unido, pueden hacerlo aceptando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardias Apropiadas.
  3. De vez en cuando, la ICO puede emitir un Apéndice aprobado revisado del Reino Unido que:
    a) realice cambios razonables y proporcionados en el Anexo del Reino Unido Aprobado, incluida la corrección de errores en el Anexo del Reino Unido Aprobado; y/o
    b) refleja los cambios en las leyes de protección de datos del Reino Unido;
    El Anexo revisado del Reino Unido especificado la fecha de inicio a partir de la cual los cambios en el Anexo del Reino Unido Aprobado entrarán en vigor y si las partes deben revisar este Anexo del Reino Unido, incluida la Información del Apéndice. Este Anexo del Reino Unido se modifica automáticamente según lo establecido en el Anexo del Reino Unido aprobado revisado a partir de la fecha de inicio especificada.
  4. Si la ICO emite un Anexo Aprobado del Reino Unido revisado en virtud de la Sección 18 de este Anexo del Reino Unido, si una de las partes, como resultado directo de los cambios en el Anexo Aprobado del Reino Unido, tendrá un aumento sustancial, desproporcionado y demostrable en: 
    c) los costes directos del cumplimiento de sus obligaciones en virtud de la adenda del Reino Unido; y/o 
    d) su riesgo en virtud de la Adenda del Reino Unido, 

    y en cualquiera de los dos casos en que haya tomado primero medidas razonables para reducir esos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces esa parte podrá poner fin a este Anexo del Reino Unido al final de un período de notificación razonable, proporcionando una notificación por escrito para ese período a la otra parte antes de la fecha de inicio del Anexo del Reino Unido Aprobado revisado.

  5. Las partes no necesitan el consentimiento de ningún tercero para realizar cambios en este Anexo del Reino Unido, pero cualquier cambio debe realizarse de acuerdo con sus términos