Legal Stuff

Acuerdo para el tratamiento de datos (DPA) para partners comerciales de HubSpot 

Última modificación: 18 de septiembre de 2024 

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 18 de septiembre de 2024

La versión en inglés de este documento regirá nuestra relación. La versión traducida se proporciona únicamente como referencia y bajo ninguna circunstancia se interpretará que la versión traducida modifica la versión en inglés. Para consultar la versión en inglés, dirígete a la página HubSpot Legal Stuff.

Este acuerdo para el tratamiento de datos ("DPA para partners") se incorpora a los acuerdos que has suscrito con nosotros y rige el intercambio de datos entre tú (el "partner") y HubSpot, Inc. ("HubSpot"), pero no incluye los acuerdos de cliente entre el partner y HubSpot que rigen la compra y el uso de nuestros productos y servicios por parte de dicho partner ("acuerdo para partners").

Este DPA para partners abarca el tratamiento de lo siguiente: (1) datos personales que el partner carga, transfiere o proporciona a HubSpot en relación con un acuerdo para partners y (2) datos personales que HubSpot o sus clientes cargan, transfieren o proporcionan a un partner en relación con el acuerdo para partners.

En conjunto, se hace referencia a este DPA para partners (incluidas las cláusulas contractuales tipo que se definen más abajo) y al acuerdo para partners como el "acuerdo". En caso de que hubiera un conflicto o una incoherencia entre cualquiera de los términos del acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de precedencia): (a) las cláusulas contractuales tipo, (b) este DPA para partners y (c) el acuerdo para partners.

El propósito de este acuerdo para el tratamiento de datos para partners es definir un marco para aquellas situaciones donde:

1. HubSpot y el partner pudieran, en relación con el acuerdo para partners, ser responsables del tratamiento (según se define más abajo) de datos personales europeos y, en determinadas circunstancias, transferir esos datos personales a la otra parte para que esta actúe como responsable del tratamiento de datos personales europeos.
2. HubSpot y el partner pudieran ser responsables del tratamiento de datos personales europeos y, en determinadas circunstancias, transferir estos datos personales a la otra parte para que esta le preste ciertos servicios como encargada del tratamiento (como para que le brinde servicios como Solutions Partner o complete una llamada a la API).
3. HubSpot y el partner pudieran ser encargados del tratamiento de los datos personales europeos de un cliente en común y transferir esos datos a la otra parte para su tratamiento siguiendo las instrucciones de dicho cliente.

1. DEFINICIONES

"Empresa" y "proveedor de servicios" tendrán las definiciones que se les den en la CCPA. 

"Información personal de California" hace referencia a los datos personales sujetos a la protección de la CCPA.

"CCPA" se refiere al Código Civil de California, sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020, o "CPRA").

"Responsable del tratamiento" hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del tratamiento de datos personales.

"Marco de privacidad de datos" hace referencia al marco de privacidad de datos entre EE. UU. y la UE, al marco de privacidad de datos entre EE. UU. y Suiza, a la extensión para el Reino Unido del marco de privacidad de datos entre EE. UU. y la UE, y a los programas de autocertificación del marco de privacidad de datos operados por el departamento de comercio de EE. UU. (según corresponda), incluidas las adendas, sustituciones o reemplazos correspondientes. 

"Principios del marco de privacidad de datos" hace referencia a los principios y principios suplementarios del marco de privacidad de datos pertinente, incluidas las adendas, sustituciones o reemplazos que correspondan. 

 "Leyes de protección de datos" se refiere a toda legislación o normativa aplicable a escala internacional relacionada con la privacidad y la protección de la información y que se aplica a la parte que trata datos personales en virtud del acuerdo, y que incluye, entre otras, las leyes de protección de datos europeas, la CCPA, y las leyes de protección y privacidad de datos de Australia, Singapur, Canadá y la India en cada caso, según se enmienden, combinen o reemplacen ocasionalmente. "Europa" se refiere a la Unión Europea, al Espacio Económico Europeo y a sus estados miembros, Suiza y el Reino Unido. 

"Leyes europeas de protección de datos" se refiere a las leyes de protección de datos aplicables en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, "RGPD"); (ii) la Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD incorporado a la legislación nacional aplicable del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea 2018 (Retirada) (el "RGPD del Reino Unido"); y (iv) la Ley Federal Suiza de protección de datos de 2020 y su ordenanza ("acuerdo para el tratamiento de datos suizo"); en cada caso, según se enmiende, sustituya o reemplace.  

"Datos personales europeos" se refiere a datos personales sujetos a la protección de leyes europeas de protección de la información.

"Cliente en común" se refiere a un cliente que tengan en común el partner y HubSpot.

"Datos personales de un cliente en común" se refiere a todo tipo de datos personales que un cliente en común maneja en carácter de responsable del tratamiento.

"Datos personales de HubSpot" se refiere a todo tipo de datos personales que HubSpot maneja en carácter de responsable del tratamiento.

"Datos personales del partner" hace referencia a todo tipo de datos personales que el partner maneja como responsable del tratamiento.

"Datos personales" hace referencia a toda la información relacionada con una persona identificada o identificable cuando dicha información se incluye dentro de los datos personales de HubSpot, los datos personales del partner o los datos personales de clientes en común, y se protege de manera similar a los datos personales o a la información personal identificable de conformidad con las leyes de protección de datos aplicables.

"Brecha de seguridad de los datos personales" hace referencia al acceso o a la destrucción, pérdida, alteración o divulgación no autorizados o accidentales de los datos personales.

"Tratamiento" hace referencia a toda operación o conjunto de operaciones que se lleve a cabo con los datos personales, incluido el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o publicación por cualquier otro medio, el ajuste o combinación, o la restricción o el borrado de datos personales. Los términos "tratamiento", "tratamientos" y "tratados" se interpretarán en consecuencia.

"Encargado del tratamiento" hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento.

"Cláusulas contractuales tipo" o "SCC" hace referencia a las cláusulas contractuales tipo anexadas a la Decisión de Implementación 2021/914 de la Comisión Europea con fecha del 4 de junio de 2021. 

"Subencargado" se refiere a cualquier entidad que proporcione servicios de tratamiento a un encargado del tratamiento.

"Autoridad supervisora" hace referencia a una autoridad pública independiente establecida por un estado miembro del Espacio Económico Europeo, Suiza o el Reino Unido.

"Anexo del Reino Unido" se refiere al Anexo sobre la Transferencia Internacional de Datos (versión B.1.0) desarrollado por el Comisionado de Información del Reino Unido según la sección 119A de la Ley de Protección de Datos de 2018, según se enmiende, sustituya o reemplace.

2. CUMPLIMIENTO DE LA LEY

Cada una de las partes declara y garantiza que cumplirá con sus respectivas obligaciones y deberes en virtud de las leyes de protección de datos aplicables.

3. SITUACIONES DE TRATAMIENTO CONJUNTO

Cada parte, en la medida en que, junto con la otra parte, actúe en carácter de encargado del tratamiento con respecto a los datos personales de clientes en común, deberá (i) cumplir con las instrucciones y las restricciones definidas en cualquier acuerdo suscrito con el cliente en común y (ii) cooperar en la medida de lo razonable con la otra parte para permitir el ejercicio de los derechos de protección de datos tal como lo estipulan las leyes de protección de datos aplicables. Las partes reconocen y aceptan que cada una actúa como encargada del tratamiento para el cliente en común y ninguna considera a la otra como subencargada del tratamiento.

4. SITUACIONES DE RESPONSABLE A RESPONSABLE

Cada parte, en la medida en que, junto con la otra, actúe en carácter de responsable del tratamiento con respecto a datos personales, cooperará con la otra en la medida de lo razonable para permitir el ejercicio de los derechos de protección de datos tal como lo estipulen las leyes de protección de datos aplicables. 

Las partes reconocen y aceptan que cada una actúa independientemente como responsable del tratamiento con respecto a los datos personales y no como responsables conjuntos tal cual se define en las leyes de protección de datos europeas.

5. SITUACIONES DE RESPONSABLE A ENCARGADO

En las operaciones de tratamiento en las que HubSpot trate datos personales en nombre del partner y según las instrucciones de dicho partner, el término "encargado del tratamiento" hace referencia a HubSpot, el término "responsable del tratamiento" se refiere al partner, y el término "datos personales" hace referencia a los datos personales del partner. En las operaciones de tratamiento de datos en las que el partner trata datos personales en nombre de HubSpot y según nuestras instrucciones, el término "encargado del tratamiento" hace referencia al partner, el término "responsable del tratamiento" hace referencia a HubSpot, y el término "datos personales" se refiere a los datos personales de HubSpot.

B. Ámbito del tratamiento.

En el contexto de las situaciones mencionadas en la sección 5.A. que se incluye arriba, cada parte acepta tratar los datos personales solo para los fines que se establecen en el acuerdo para partners correspondiente o en los acuerdos del partner con el cliente en común. Para evitar dudas, las categorías de datos personales que se tratan, así como las categorías de los titulares de los datos a los que hace referencia este DPA, se describen en el apéndice A de este documento.

6. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

En su calidad de responsables del tratamiento, las partes aceptan lo siguiente:

A. Proporcionar instrucciones al encargado del tratamiento y determinar los propósitos y los medios del tratamiento de los datos personales por parte del encargado de conformidad con el acuerdo.

B. Cumplir con sus obligaciones de protección y seguridad respecto a los datos personales, así como con otras obligaciones relativas a esos datos, según lo estipulado en las leyes de protección de datos aplicables a los responsables del tratamiento, haciendo lo siguiente: (i) estableciendo y manteniendo un procedimiento para ejercer los derechos de los individuos cuyos datos personales se tratan en nombre del responsable del tratamiento; (ii) tratando solo los datos que se recopilen de manera legítima y válida, y garantizando que estos serán relevantes y proporcionales con respecto a sus usos; y (iii) garantizando el cumplimiento con las disposiciones de este DPA por parte de las personas empleadas por el responsable del tratamiento o de cualquier tercero que acceda a los datos personales o los use en nombre de dicho responsable.

7. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
A. Requisitos para el tratamiento. En su calidad de encargados del tratamiento, las partes aceptan lo siguiente:

a. Tratar los datos personales (i) solo para proporcionar, sustentar y mejorar los productos y servicios del encargado del tratamiento (incluido el suministro de estadísticas y otro tipo de informes) mediante la aplicación de las medidas de seguridad técnicas y organizacionales necesarias y (ii) cumplir con las instrucciones que se reciben del responsable del tratamiento. El encargado del tratamiento no usará ni tratará datos personales con ningún otro fin. También deberá informar de inmediato por escrito al responsable del tratamiento si no puede cumplir con los requisitos de las secciones 6 a 9 de este DPA, en cuyo caso el responsable del tratamiento podría rescindir el acuerdo y cualquier otro acuerdo para partners aplicable, o tomar otras medidas, dentro de lo razonable, que podrían incluir la suspensión de las operaciones de tratamiento de datos.

b. Informar al encargado del tratamiento, lo antes posible y sin demora injustificada, de si, según la opinión del encargado del tratamiento, una de las instrucciones del responsable del tratamiento infringe las leyes de protección de datos aplicables.

c. Si el encargado del tratamiento recopila datos personales de individuos en nombre del responsable del tratamiento, dicho encargado debe seguir las instrucciones del responsable en relación con dicha recopilación.

d. Tomar medidas dentro de lo razonable para garantizar que (i) las personas empleadas del encargado del tratamiento y (ii) otras personas que actúen en su nombre cumplirán con los términos del acuerdo y los de otros acuerdos para partners aplicables.

e. Declarar y garantizar que su personal, sus agentes autorizados y cualquier subencargado del tratamiento tienen el estricto deber de proteger la confidencialidad (ya sea por obligación judicial o contractual) y de no permitir que nadie trate datos personales a menos que cumpla con dichos deberes de confidencialidad.

f. Si el encargado del tratamiento contrata subencargados para que le ayuden a cumplir con sus obligaciones de conformidad con este DPA o para delegar la totalidad o parte de estas actividades de tratamiento a dichos subencargados, (i) el encargado debe suministrar al responsable del tratamiento una lista de los subencargados que participen en dicho tratamiento (en el caso de HubSpot, esta lista está disponible en https://legal.hubspot.com/es/sub-processors-page) y notificar al responsable del tratamiento con al menos 30 días de antelación si se contrata a un subencargado nuevo para que el responsable tenga la oportunidad de objetar; (ii) asumir la responsabilidad ante el responsable por los actos y omisiones del subencargado en relación con la protección de datos, en los casos en los que los subencargados actúen según las instrucciones del encargado; y (iii) suscribir cláusulas contractuales vinculantes con dichos subencargados para que ofrezcan el mismo nivel de protección de datos y de seguridad de la información que se exige en este documento.

g. Si así se solicitara previamente, proporcionar al responsable del tratamiento las políticas de privacidad y de seguridad del encargado.

h. Informar al responsable del tratamiento en caso de que el encargado realice una revisión de seguridad independiente.

B. Notificaciones al responsable del tratamiento. El encargado del tratamiento deberá notificar al responsable, lo antes posible y sin demora injustificada, si observa alguna de las siguientes situaciones:

a. El incumplimiento, ya sea por parte del encargado del tratamiento o de su personal, de las secciones 6 a 9 de este DPA o de las leyes de protección de datos aplicables en relación con la protección de los datos personales que se tratan de conformidad con este documento.

b. Un requerimiento legalmente vinculante para divulgar datos personales por parte de un organismo judicial o de una autoridad gubernamental, a menos que el encargado del tratamiento tenga prohibido por ley informar al responsable del tratamiento; por ejemplo, para preservar la confidencialidad de una investigación por parte de un organismo judicial.

c. Todo aviso, consulta o investigación por parte de una autoridad supervisora con respecto a los datos personales.

d. Toda reclamación o solicitud que se reciba directamente de los titulares de los datos a cargo del responsable del tratamiento (en particular, solicitudes de acceso a los datos personales o solicitudes para rectificar o bloquear dichos datos). El encargado del tratamiento no responderá a dicha solicitud sin una autorización previa por escrito del responsable.

C. Asistencia al responsable del tratamiento. El encargado del tratamiento proporcionará al responsable asistencia oportuna y en la medida de lo razonable a la hora de hacer a lo siguiente:

a. Dar respuesta a cualquier solicitud por parte de una persona que busque hacer efectivos sus derechos en virtud de las leyes de protección de datos aplicables (incluidos sus derechos de acceso, corrección, objeción, eliminación y portabilidad de los datos, según corresponda), y el encargado del tratamiento acepta informar de inmediato al responsable en caso de recibir directamente una solicitud de este tipo.

b. Investigar brechas de seguridad de los datos personales y notificar a la autoridad supervisora y a los titulares de los datos a cargo del responsable del tratamiento sobre dichas brechas.

c. Cuando corresponda, preparar evaluaciones de impacto relativas a la protección de datos y, si fuera necesario, consultar con cualquier autoridad supervisora pertinente.

D. Tratamiento obligatorio.

Si las leyes de protección de datos exigen al encargado tratar datos personales por un motivo distinto a los mencionados en el acuerdo, dicho encargado deberá informar al responsable del tratamiento sobre este requisito antes de tratar dichos datos, a menos que la ley se lo prohíba (p. ej., a menos que existan requisitos de confidencialidad en virtud de alguna ley aplicable que rija en los estados miembros de la UE).

E. Seguridad. El encargado del tratamiento:

a. Mantendrá las medidas de seguridad técnicas y organizacionales adecuadas (con respecto al personal, las instalaciones, el hardware y el software, el almacenamiento y las redes, los controles de acceso, la monitorización y el registro, la detección de vulnerabilidades y brechas, la respuesta ante incidentes y el cifrado de datos personales en tránsito y en reposo) para proteger los datos personales del acceso, la pérdida, la modificación, la divulgación o la destrucción accidentales o sin autorización.

b. Se asegurará de que todo su personal tome suficientes medidas en cuanto a la seguridad, privacidad y confidencialidad de los datos personales, y se hará responsable de cualquier infracción de este DPA por parte de su personal.

c. Tomará las medidas apropiadas para confirmar que todo su personal protege la seguridad, privacidad y confidencialidad de los datos personales de conformidad con los requisitos de este DPA.

d. Notificará al responsable del tratamiento cualquier brecha de seguridad de los datos personales que el encargado del tratamiento, sus subencargados o cualquier tercero que actúe en su nombre cometan, sin demora injustificada y, en cualquier caso, dentro de las 48 horas de haber tenido conocimiento de dicha infracción.

F. Disposiciones adicionales relativas a los datos personales de California. 

Cuando el encargado trata información personal de California de acuerdo con las instrucciones que recibe del responsable del tratamiento, a efectos de la CCPA, las partes reconocen y aceptan que el responsable es una empresa y que el encargado es un proveedor de servicios. Las partes también acuerdan que el encargado tratará la información personal de California como proveedor de servicios estrictamente, con el fin de prestar, sustentar y mejorar sus servicios (incluido el suministro de estadísticas y otro tipo de informes) (el "objeto social") o según como lo autorice la CCPA. Asimismo, el encargado del tratamiento certifica que i) no venderá ni compartirá información personal de California; ii) no tratará dicha información fuera de la relación comercial directa entre las partes a menos que lo exija la ley aplicable; y iii) no combinará la información personal de California incluida en los datos de los clientes con información personal que recopile o reciba de otra fuente (excepto la información que reciba de otra fuente en relación con sus obligaciones como proveedor de servicios en virtud del acuerdo). 

8. AUDITORÍAS Y CERTIFICACIONES

A. Auditorías por parte de una autoridad supervisora.

Si una autoridad supervisora exige una auditoría de las instalaciones que el encargado usa para tratar los datos personales, con el objetivo de comprobar o monitorizar el cumplimiento de las leyes de protección de datos, el encargado deberá cooperar con dicha auditoría. El responsable del tratamiento reembolsará al encargado los gastos de dicha auditoría, a menos que esta revele un incumplimiento del DPA por parte del encargado del tratamiento.

B. Certificaciones del encargado del tratamiento.

Si el responsable del tratamiento lo solicita (no más de una vez por año calendario), el encargado deberá proporcionar una certificación de cumplimiento al responsable del tratamiento por correo electrónico. Cuando el responsable sea HubSpot, los mensajes deberán enviarse a privacy@hubspot.com, y cuando el responsable sea el partner, este deberá definir y proporcionar a HubSpot, previa solicitud, una única persona de contacto para la correspondencia por correo electrónico sobre todo lo relacionado con la protección de datos.

9. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS

Las partes acuerdan que, al finalizar los servicios de tratamiento de datos o cuando el responsable del tratamiento haga una solicitud (siempre que esta esté dentro de lo razonable), el encargado del tratamiento deberá tomar medidas, también dentro de lo razonable, para que sus subencargados, previa solicitud del responsable, devuelvan todos los datos personales europeos y las copias de dichos datos al responsable, o bien los destruyan de manera segura y demuestren satisfactoriamente que estas medidas se implementaron, a menos que las leyes de protección de datos aplicables prohíban al encargado del tratamiento devolver o destruir la totalidad o parte de los datos personales que se divulgaron. En este caso, el encargado del tratamiento acepta preservar la confidencialidad de los datos personales que retiene, y solo tratará activamente esta información para cumplir con las leyes aplicables.

10. TRANSFERENCIAS DE DATOS

Cuando se transfieran datos personales fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las leyes de protección de datos.

(i) Marco de privacidad de datos: HubSpot usará el marco de privacidad de datos para recibir legalmente datos europeos de partners en EE. UU. y garantizar que proporciona al menos el mismo nivel de protección sobre esos datos europeos que el requerido por los principios del marco de privacidad de datos, y en caso de no poder cumplir con este requisito, se lo comunicará al partner.

(ii) Cláusulas contractuales tipo: Si las leyes de protección de datos europeas requieren que se pongan en práctica medidas de protección adecuadas (por ejemplo, si el marco de protección de datos no cubre la transferencia a HubSpot o si el marco de privacidad de datos se invalida), las partes acuerdan acatar las cláusulas contractuales tipo y tratar los datos europeos de los partners en virtud de dichas cláusulas, tan cual se incorpora más abajo.

b. Datos europeos de HubSpot. En las transferencias de datos personales de HubSpot que estén sujetos a las leyes de protección de datos europeas (los "datos europeos de HubSpot") y que se transfieran de HubSpot al partner para que el partner los trate en una jurisdicción fuera de Europa que no proporcione un nivel de protección adecuado de los datos personales (tal cual se define en las leyes de protección de datos europeos aplicables), las partes acuerdan que el partner debe proporcionar el mismo nivel de protección requerido por los principios del marco de privacidad de datos mediante el cumplimiento de lo siguiente:

(i) Si el partner tiene una autocertificación del marco de privacidad de datos, dicho partner usará el marco de privacidad de datos para recibir legalmente datos europeos de HubSpot en los Estados Unidos, y se asegurará de proporcionar al menos el mismo nivel de protección para dichos datos europeos de HubSpot que el que requieren los principios del marco de privacidad de datos, y si no puede cumplir con estos requisitos, se lo comunicará a HubSpot.

(ii) Cláusulas contractuales tipo: Si las leyes de protección de datos europeas requieren que se pongan en práctica medidas de protección adecuadas (por ejemplo, si el marco de protección de datos no cubre la transferencia al partner, o si el marco de privacidad de datos se invalida), las partes acuerdan acatar las cláusulas contractuales tipo y tratar los datos europeos de HubSpot en virtud de dichas cláusulas, tan cual se incorpora más abajo.

c. Cláusulas contractuales tipo. Las partes reconocen y aceptan que, a efectos de las cláusulas contractuales tipo (SCC): (i) con respecto a los datos europeos del partner, el "exportador de datos" será el partner y el "importador de datos" será HubSpot (que actuará en su propio nombre y en el de sus empresas afiliadas); (ii) con respecto a los datos europeos de HubSpot, el "exportador de datos" será HubSpot (que actuará en su propio nombre y en el de sus empresas afiliadas) y el "importador de datos" será el partner; (iii) los términos del módulo uno se aplican cuando ambas partes son responsables del tratamiento, y los términos del módulo dos se aplican cuando la parte que recibe los datos personales en virtud de las SCC actúa en carácter de encargado del tratamiento en nombre de la otra parte, que actúa como responsable; (iv) en la cláusula 7, se aplicará la cláusula de incorporación opcional; (v) en la cláusula 9, se aplicará la opción 2 del módulo dos y el encargado del tratamiento deberá obtener autorización para los subencargados de acuerdo con la sección 7(a) de este DPA; (vi) en la cláusula 11, el idioma opcional deberá eliminarse; (vii) en las cláusulas 17 y 18(b), las SCC se regirán por las leyes de la República de Irlanda y cualquier disputa se resolverá en los tribunales de este país o de otro estado miembro del EEE en el que la entidad legal de HubSpot que suscribió el acuerdo tenga sede o, si HubSpot no tuviera sede en el EEE, en la República de Irlanda; (viii) en el anexo I de las SCC, los datos de las partes se estipulan en el acuerdo; y (ix) la información restante de los anexos I y II de las SCC se considerará completa junto con la información que aparece en el apéndice A de este DPA.

d. Transferencias del Reino Unido. En lo que respecta a los datos personales sujetos al RGPD del Reino Unido, se aplicarán las cláusulas contractuales tipo de acuerdo con la sección 10(c) que se incluye arriba, con las siguientes modificaciones adicionales: (i) las SCC deben corregirse según se especifica en el Anexo del Reino Unido, que se incorporará por referencia; (ii) las tablas 1 a 3 de la parte 1 del Anexo del Reino Unido se completarán con la información relevante definida en el apéndice A de este DPA; (iii) la tabla 4 de la parte 1 del Anexo del Reino Unido se considerará completada seleccionando la opción "neither" (ninguna); y (iv) cualquier conflicto entre las SCC y el Anexo del Reino Unido se resolverá en virtud de la sección 10 y de la sección 11 de dicho anexo.

e. (c) Transferencias de Suiza. En lo que respecta a los datos personales sujetos al DPA de Suiza, se aplicarán las SCC de acuerdo con la sección 10(c) que se incluye arriba, con las siguientes modificaciones adicionales: (i) las referencias al "Reglamento (UE) 2016/679" y los artículos específicos de este se interpretarán por referencia al DPA suizo y a los artículos o las secciones equivalentes de dicho documento; (ii) las referencias a "UE", "Unión" y "estado miembro" se remplazarán con referencias a "Suiza"; (iii) las referencias a "autoridad supervisora competente" y "tribunales competentes" se remplazarán con referencias al "Comisionado Federal para la Protección de Datos y la Información de Suiza" y a los "tribunales pertinentes de Suiza"; y (iv) en la cláusula 17 y en la cláusula 18(b), las SCC se regirán por las leyes de los tribunales de Suiza, donde también se resolverá cualquier disputa.

f. Las partes se notificarán mutuamente lo antes posible que ya no son capaces de cumplir con las disposiciones de esta sección 10.

11. VIGENCIA

Este DPA tendrá vigencia en tanto que cada parte trate los datos personales que se carguen o que proporcione la otra parte de conformidad con el acuerdo para partners.

12. INDEMNIZACIÓN

Cada parte deberá defender, indemnizar y librar de responsabilidad a la otra y a sus subsidiarias, afiliadas y respectivos funcionarios, directivos, personal y agentes por pérdidas, daños, responsabilidades, deficiencias, acciones judiciales, juicios, intereses, laudos, sanciones, multas, cantidades debidas o gastos de cualquier tipo, entre los que se incluyen, dentro de lo razonable, los honorarios de abogados, los gastos por hacer efectivo cualquier derecho a la indemnización aquí indicado y los gastos de contratación de proveedores de seguros que deriven como consecuencia de reclamaciones realizadas por un tercero contra la otra parte o como consecuencia del incumplimiento de sus obligaciones por parte de dicha parte en virtud de este DPA o de las leyes, normas o principios aplicables que se incluyan en las leyes de protección de datos europeas. La responsabilidad de cada parte estará sujeta a la limitación de responsabilidad definida en el acuerdo para partners aplicable.

APÉNDICE A

ANEXO A: DESCRIPCIÓN DE LA TRANSFERENCIA

1. Categorías de los titulares de los datos. Los datos personales que se transfieren atañen a las siguientes categorías de titulares de los datos, en función del acuerdo entre el importador y el exportador de datos:

Miembros de HubSpot, clientes actuales y potenciales, y las personas contratadas por el exportador de datos; leads de marketing y ventas del exportador de datos; y terceras partes que tengan o pudieran tener una relación comercial con el exportador de datos (p. ej., anunciantes, clientes, suscriptores corporativos, contratistas y usuarios de productos).

2. Categorías de los datos personales. Los datos personales transferidos pueden ser de las siguientes categorías:

Los datos transferidos son los datos personales que proporciona el exportador de datos al importador en relación con el acuerdo para partners. Dichos datos personales pueden incluir: nombre, apellidos, dirección de correo electrónico, información de contacto, nivel de educación e historial laboral, así como otra información proporcionada en los perfiles de los miembros de HubSpot, sus curriculum vitae, datos del CRM relacionados con leads de ventas y listas de clientes, las notas que proporcione el exportador de datos sobre lo anterior y otras actividades que los miembros de HubSpot realicen en nuestra plataforma.

1. Datos sensibles (si corresponde). 
   El tratamiento de datos sensibles está sujeto a las limitaciones, restricciones y protecciones que se hayan acordado mutuamente entre las partes, tal cual se refleja en el ámbito permisible de los servicios de suscripción de clientes conjuntos.
2. Frecuencia de la transferencia.
   Los datos personales se transfieren en forma continua. 
3. Naturaleza y propósito del tratamiento. La transferencia de realiza por los siguientes motivos:
   Para permitir la relación entre las partes que contempla el acuerdo para partners. El "acuerdo para partners" es el acuerdo (o acuerdos) que suscriben el importador y el exportador de datos y que rige el intercambio de datos entre esas partes (sin incluir los acuerdos de cliente entre el partner y HubSpot que rigen la compra por parte del partner de los productos y servicios de HubSpot).
4. Período durante el que se retendrán los datos personales:
   Los datos personales transferidos entre las partes solo podrán retenerse por el período estipulado en el acuerdo para partners. Cada parte, en la medida en que, junto con la otra, actúe en carácter de responsable del tratamiento con respecto a los datos personales, cooperará con la otra en la medida de lo razonable para permitir el ejercicio de los derechos de protección de datos tal como lo estipulen las leyes de protección de datos aplicables.
5. Tema, naturaleza y duración del tratamiento.
   El tema, la naturaleza y la duración del tratamiento serán los que se hayan establecido en el acuerdo, incluido este DPA.
6. Autoridad supervisora competente. A efectos de las cláusulas contractuales tipo, la autoridad supervisora competente es la autoridad del estado miembro del EEE en el que el partner o el representante del partner en el EEE estén establecidos (con respecto a los datos personales del partner) o el [Comisionado de Protección de Datos de Irlanda] (con respecto a los datos personales de HubSpot). A efectos de las transferencias en el Reino Unido y Suiza, la autoridad supervisora competente es el Comisionado de Información del Reino Unido o el Comisionado Federal para la Protección de Datos y la Información de Suiza (según corresponda).

ANEXO B: MEDIDAS DE SEGURIDAD

Utilizamos una amplia variedad de tecnologías y procedimientos de seguridad que contribuyen a proteger los datos personales. Todos los datos personales se protegen tomando las medidas físicas, técnicas y organizacionales adecuadas. Para más información acerca de la seguridad en HubSpot, consulta https://trust.hubspot.com.