Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 1 de septiembre de 2023

La versión en inglés de este documento regirá nuestra relación. La versión traducida se proporciona únicamente como referencia y bajo ninguna circunstancia se interpretará que la versión traducida modifica la versión en inglés. Para consultar la versión en inglés, dirígete a la página HubSpot Legal Stuff page.

Si necesitas una copia firmada que incluya el texto completo de las cláusulas contractuales tipo, la adenda del Reino Unido y la lista de subencargados del tratamiento, haz clic en este enlace.

Este acuerdo para el tratamiento de datos ("DPA") de HubSpot y sus anexos reflejan el acuerdo entre las partes con respecto al tratamiento de datos personales que hacemos en tu nombre, en relación con nuestros servicios de suscripción y de conformidad con los términos de servicio para clientes de HubSpot, disponibles en https://legal.hubspot.com/es/terms-of-service, entre tú y HubSpot (en este DPA, el "Acuerdo").

Este DPA es una adición a este acuerdo, constituye una parte integral de él y entra en vigor en el momento de su incorporación al acuerdo; incorporación que puede estar especificada en el acuerdo, en un formulario de pedido o en una enmienda ejecutada del acuerdo. En caso de conflicto o incoherencia con los términos del acuerdo, este DPA tendrá prioridad únicamente a los efectos de dicho conflicto o incoherencia.

Actualizamos estos términos periódicamente. Si tienes una suscripción de HubSpot activa, te mostraremos una notificación en la app, o bien te lo comunicaremos por correo electrónico si hiciste clic en el enlace que se incluye en nuestros términos generales y te registraste para recibir estas notificaciones. Puedes encontrar las versiones archivadas de este DPA en https://legal.hubspot.com/legal-stuff/archive.

La vigencia de este DPA será la misma que la vigencia del acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el acuerdo.

1. Definiciones
2. Responsabilidades del cliente
3. Obligaciones de HubSpot
4. Solicitudes de los titulares de los datos
5. Subencargados
6. Transferencias de datos
7. Demostración del cumplimiento
8. Disposiciones adicionales sobre los datos europeos
9. Disposiciones adicionales sobre la información personal de California
10. Disposiciones generales
11. Partes de este DPA

Anexo 1: Detalles del tratamiento

Anexo 2: Medidas de seguridad

Anexo 3: Subencargados

1. Definiciones

"Información personal de California" hace referencia a los datos personales sujetos a la protección de la CCPA.

"CCPA" se refiere al Código Civil de California, Sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020, o "CPRA").

Los términos "consumidor", "empresa", "vender", "proveedor de servicios" y "compartir" tendrán las definiciones que se les dé en la CCPA. 

"Responsable del tratamiento" hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del tratamiento de datos personales.

"Marco de privacidad de datos" hace referencia al marco de privacidad de datos entre EE. UU. y la UE, al marco de privacidad de datos entre EE. UU. y Suiza, a la extensión para el Reino Unido del marco de privacidad de datos entre EE. UU. y la UE, y a los programas de autocertificación del marco de privacidad de datos operados por el departamento de comercio de EE. UU. (según corresponda), incluidas las adendas, sustituciones o reemplazos correspondientes.

"Principios del marco de privacidad de datos" hace referencia a los principios y principios suplementarios del marco de privacidad de datos pertinente, incluidas las adendas, sustituciones o reemplazos que correspondan.

"Leyes de protección de datos" se refiere a toda la legislación aplicable a escala internacional relacionada con la privacidad y protección de información, que se aplica a la parte que trata los datos personales en virtud del acuerdo. Entre estas leyes se incluyen, entre otras, las leyes de protección de datos de Europa, la CCPA y otras leyes de privacidad aplicables, federales y estatales de EE. UU., así como las leyes de protección y privacidad de la información de Australia, Singapur y Japón, en cada caso, según se enmiende, revoque, consolide o reemplace ocasionalmente. En relación con HubSpot, las leyes de protección de datos excluyen las leyes que rigen la información sensible, como se define en los términos generales. 

"Titular de los datos" hace referencia a la persona a la que hacen referencia los datos personales.

"Europa" se refiere a la Unión Europea, el Área Económica Europea y sus Estados miembros, más Suiza y el Reino Unido. 

"Datos europeos" se refiere a datos personales sujetos a la protección de leyes europeas de protección de la información.

"Leyes europeas de protección de datos" se refiere a las leyes de protección de datos aplicables en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, "RGPD"); (ii) la Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD incorporado a la legislación nacional aplicable del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea 2018 (Retirada) (el "RGPD del Reino Unido"); y (iv) la Ley Federal Suiza de protección de datos y su ordenanza ("acuerdo para el tratamiento de datos suizo"); en cada caso, según se enmiende, sustituya o reemplace.  

"Instrucciones" hace referencia a las instrucciones escritas y documentadas emitidas por un responsable a un encargado y mediante las cuales se solicita una acción específica o general respecto a los datos personales (como la despersonalización, el bloqueo, la eliminación o la puesta a disposición).

"Filiales permitidas" hace referencia a cualquiera de tus filiales que (i) tenga permiso para usar los servicios de suscripción en virtud del acuerdo pero que no haya firmado su propio acuerdo por separado con HubSpot y no sea un "Cliente" según la definición del acuerdo; (ii) se califique como responsable de los datos personales que tratamos nosotros; y (iii) esté sujeta a las leyes de protección de datos de Europa.

"Datos personales" hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información (i) está incluida dentro de los datos del cliente y (ii) se la protege de manera similar a los datos personales, a la información personal o a la información personal identificable de conformidad con las leyes de protección de datos.

"Quiebra de seguridad de los datos personales" hace referencia a una quiebra de la seguridad, accidental o ilegítima, que ocasiona la destrucción, pérdida, alteración o divulgación no autorizada de los datos personales transmitidos, almacenados o tratados de cualquier otra manera por nosotros o nuestros subencargados en relación con la provisión de los servicios de suscripción. "Quiebra de seguridad de los datos personales" no incluye intentos ni actividades fallidas que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

"Tratamiento" hace referencia a toda operación o conjunto de operaciones que se lleve a cabo con los datos personales, incluido el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o publicación por cualquier otro medio, el ajuste o combinación, o la restricción o el borrado de datos personales. Los términos "tratamiento", "tratamientos" y "tratados" se interpretarán en consecuencia.

"Encargado" hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable.

El término "cláusulas contractuales tipo" hace referencia a las cláusulas contractuales tipo que se anexan a la Decisión de ejecución de la Comisión Europea (UE) 2021/914 del 4 de junio de 2021, que actualmente se encuentra en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32021D0914, según se enmiende, sustituya o reemplace.

"Subencargado" hace referencia a cualquier encargado del tratamiento, contratado por nosotros o por nuestros filiales, que nos ayude a cumplir con nuestras obligaciones con respecto a la provisión de los servicios de suscripción en virtud del acuerdo.  Los subencargados podrían incluir terceros o filiales nuestras, pero no incluyen a los empleados ni a los consultores de HubSpot.  

"Adenda del Reino Unido" hace referencia a la adenda sobre transferencias internacionales de datos emitida por la Oficina del Comisionado de la Información del Reino Unido en la sección 119A(1) de la Ley de Protección de datos 2018 y actualmente disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, en cada caso, según se enmiende, sustituya o reemplace.

2. Responsabilidades del cliente

a. Cumplimiento de la ley. Dentro del ámbito de aplicación del acuerdo y su uso de los servicios, serás responsable de cumplir con todos los requisitos que correspondan según las leyes de protección de datos aplicables con respecto al tratamiento de los datos personales y las instrucciones que nos envías.

En particular, y sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable de: (i) la exactitud, calidad y legalidad de los datos de los clientes y la forma en que obtuviste los datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad según las leyes de protección de datos aplicables para la recopilación y el uso de datos personales, que incluye la obtención de todas las autorizaciones y consentimientos necesarios (en particular, para el uso con fines de marketing por parte del cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer a HubSpot acceso a los datos personales para que podamos tratarlos según los términos del acuerdo (incluido este DPA); (iv) asegurar que las instrucciones que nos des con respecto al tratamiento de los datos personales cumplan con la ley aplicable, incluidas las leyes de protección de datos; y (v) cumplir con todas las leyes (incluidas las leyes de protección de datos) aplicables a todo correo electrónico o demás contenido creado, enviado o gestionado a través de los servicios de suscripción, incluidos los que se relacionan con la obtención de consentimiento (cuando sea necesario) para enviar correos electrónicos, así como al contenido de dichos correos y sus prácticas de implementación. Deberás notificarnos sin demora injustificada si no puedes cumplir con tus responsabilidades según esta subsección ("Cumplimiento de la ley") o las leyes de protección de datos aplicables.

b. Instrucciones del responsable. Las partes aceptan que el acuerdo (incluido este DPA), junto con el uso que haces del servicio de suscripción según el acuerdo, constituyen la totalidad de tus instrucciones a HubSpot con respecto al tratamiento de datos los personales, en tanto que, durante el plazo de suscripción, nos proporciones instrucciones adicionales que sean coherentes con el acuerdo, así como con la naturaleza y el uso legal del servicio de suscripción.

c. Seguridad. Es tu responsabilidad determinar de manera independiente si la seguridad de los datos que se proporciona en el servicio de suscripción cumple con tus obligaciones de conformidad respecto a las leyes de protección de datos aplicables. También eres responsable del uso seguro del servicio de suscripción, lo cual incluye la protección de los datos personales en tránsito desde y hacia dicho servicio (incluida la creación de copias de seguridad o el cifrado seguros de estos datos).

3. Obligaciones de HubSpot

a. Cumplimiento de las instrucciones. Solo tratamos datos personales con los fines descritos en este DPA o según lo acordado en las instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con ninguna ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.

b. Conflicto entre leyes. Si descubrimos que no podemos tratar datos personales de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la ley; y (ii) cuando sea necesario, suspenderemos el tratamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que nos des nuevas instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el acuerdo, HubSpot no será responsable ante ti por el incumplimiento de los servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al tratamiento.

c. Seguridad. Implementaremos y mantendremos medidas técnicas y organizativas adecuadas para proteger los datos personales contra toda quiebra de seguridad, según se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). Sin perjuicio de ninguna disposición contraria, podemos modificar o actualizar las medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por dichas medidas. 

d. Confidencialidad. Nos aseguraremos de que todo el personal que tenga autorización para tratar los datos personales en nuestro nombre esté sujeto a obligaciones adecuadas de confidencialidad respecto a esos datos personales (ya sea por obligación legal o por contrato).

e. Quiebra de seguridad de los datos personales. Te notificaremos sin demora injustificada cualquier quiebra en la seguridad de los datos personales de la que seamos conscientes, y te ofreceremos información oportuna tan pronto como tengas conocimiento de ella o tan pronto como nos lo solicites. Si nos lo solicitas, HubSpot te ofrecerá la ayuda necesaria, dentro de lo razonable, para que puedas notificar a las autoridades competentes o a los titulares de los datos afectados cualquier quiebra de seguridad pertinente si tienes que hacerlo de conformidad con las leyes de protección de datos.

f. Eliminación o devolución de datos personales. Eliminaremos o devolveremos todos los datos de los clientes, incluidos los datos personales tratados (y sus copias) de conformidad con este DPA, al terminar o vencer el servicio de suscripción y de acuerdo con los procedimientos definidos en nuestros términos específicos de los productos. Esta cláusula tendrá validez en todos los casos excepto si la ley aplicable nos exige retener datos de clientes de forma parcial o total, o en aquellos casos en los que tenemos archivados datos de clientes en sistemas de respaldo, que aislaremos de forma segura y protegeremos de forma que no se someta a más tratamiento, y que eliminaremos de conformidad con nuestras prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o la terminación de tu suscripción enviando una solicitud relativa a la privacidad a través de este formulario: https://preferences.hubspot.com/privacy.  

Es muy recomendable que recuperes los datos de tus clientes antes de que finalice el período de suscripción; para ello, sigue las instrucciones en estos artículos de la base de conocimientos:

Exportar tu contenido y tus datos: https://knowledge.hubspot.com/es/account/export-your-content-and-data 
Exportar tus registros: https://knowledge.hubspot.com/es/crm-setup/export-contacts-companies-deals-or-tickets  
Exportar los datos de rendimiento de tu anuncio: https://knowledge.hubspot.com/es/ads/export-your-ads-campaign-data 
Exportar datos de rendimiento del correo electrónico de marketing: https://knowledge.hubspot.com/es/email/how-do-i-export-my-overall-email-performance-data

Si necesitas ayuda para recuperar los datos de tus clientes durante el período de suscripción, te proporcionaremos asistencia en la medida de lo razonable, tal cual se estipula en la sección "Confidencialidad" de los términos generales, y los gastos correrán a tu cuenta.  

4. Solicitudes de los titulares de los datos

El servicio de suscripción incluye algunos controles para buscar, corregir, eliminar o limitar los datos personales, que puedes usar en virtud de tus obligaciones según las leyes de protección de datos, incluidas tus obligaciones de responder a las solicitudes de los titulares de los datos para cumplir sus derechos según las leyes de protección de datos aplicables ("solicitudes de los titulares de los datos"). 

Si no puedes satisfacer de forma independiente la solicitud de un titular de datos a través del servicio de suscripción, entonces, previa presentación de una solicitud escrita, HubSpot te ofrecerá asistencia en la medida de lo razonable para responder a todas las solicitudes de los titulares de los datos o a las solicitudes de las autoridades de protección de datos con respecto al tratamiento de datos personales según se estipula en el acuerdo. Deberás reembolsar a HubSpot los gastos derivados de esta asistencia según sea razonable desde un punto de vista comercial.

Si recibimos directamente una solicitud del titular de los datos u otra comunicación referente al tratamiento de datos personales según se estipula este acuerdo, te informaremos tan pronto como esté en nuestra mano y aconsejaremos al titular de los datos que te envíe su consulta. La responsabilidad de responder a las solicitudes de los titulares de los datos o a las comunicaciones relacionadas con datos personales es únicamente tuya.

5. Subencargados

Aceptas que podemos contratar subencargados para tratar datos personales en tu nombre, y que lo haremos de tres formas. Primero, podemos contratar subencargados para que nos ayuden con el alojamiento y la infraestructura. Segundo, podemos contratar subencargados para facilitar determinadas características e integraciones. Tercero, podemos contratar filiales de HubSpot como subencargados para prestar servicio y asistencia. Algunos subencargados tratarán tus datos de forma predeterminada, mientras que otros lo harán solo si das tu consentimiento.

En la actualidad, los subencargados que hemos designado son las filiales de HubSpot y los terceros mencionados en el Anexo 3 de este DPA. Para solicitar que te enviemos una notificación por correo electrónico cuando añadamos o reemplacemos alguno de nuestros subencargados, completa el formulario que encontrarás en https://legal.hubspot.com/subscribe-subprocessor-updates. Te comunicaremos estos cambios con 30 días de antelación como mínimo.

Tendrás la oportunidad de objetar, con fundamentos razonables y dentro de los 30 días posteriores a haber recibido la notificación, la incorporación de nuevos subencargados en relación con la protección de datos personales. Si nos notificas dicha objeción, las partes considerarán tus inquietudes de buena fe para lograr una resolución razonable desde un punto de vista comercial. De no lograrse dicha resolución, HubSpot, a su entera discreción, podrá elegir no designar al nuevo subencargado o permitirte suspender o cancelar el servicio de suscripción afectado según las cláusulas de cancelación del acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de ninguna tarifa a pagar por ti antes de la suspensión o cancelación). 

Siempre que trabajemos con subencargados, impondremos términos sobre la protección de datos a dichos subencargados; términos que ofrezcan al menos el mismo nivel de protección de datos personales que los de este acuerdo para el tratamiento de datos, en la medida aplicable a la naturaleza de los servicios brindados por dichos subencargados. Seguiremos siendo responsables de que cada subencargado cumpla con las obligaciones de este DPA, así como de todas las acciones u omisiones de estos subencargados que conlleven el incumplimiento de cualquiera de las obligaciones de este DPA por parte de HubSpot.

6. Transferencias de datos

Reconoces y aceptas que podemos acceder a tus datos personales y tratarlos de forma global, según sea necesario, para ofrecer el servicio de suscripción de conformidad con este acuerdo y, en particular, que los datos personales pueden ser tratados por HubSpot, Inc. en Estados Unidos y transferirse a otras jurisdicciones donde operen las filiales y subencargados de HubSpot. Cuando se transfieran datos personales fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las leyes de protección de datos.

7. Demostración del cumplimiento

Pondremos a tu disposición toda la información necesaria en la medida de lo razonable para demostrar el cumplimiento con este DPA, y permitiremos y cooperaremos con todo proceso de auditoría, incluidas las inspecciones realizadas a tu cargo o a cargo de tu auditor, para evaluar el cumplimiento de este acuerdo si así lo exige la ley. Reconoces y aceptas que ejercerás tus derechos de auditoría según este DPA instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta sección «Prueba de cumplimiento». Reconoces que el alojamiento del servicio de suscripción corre a cargo de nuestros subencargados de alojamiento, los cuales mantienen programas de seguridad validados de forma independiente (como SOC 2 e ISO 27001), y que nuestros sistemas se evalúan anualmente como parte del cumplimiento SOC 2 y se ponen a prueba regularmente por empresas externas a HubSpot que evalúan los riesgos de penetración. Si lo solicitas, te enviaremos (de forma confidencial) el informe de SOC 2 y copias resumidas de nuestros informes de pruebas de penetración para que puedas corroborar el cumplimiento de HubSpot con este DPA. Puedes descargar copias de estos documentos desde el sitio web de seguridad de HubSpot, en trust.hubspot.com.  Además, si nos proporcionas una solicitud escrita, enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información que hagas y que sean necesarias para confirmar nuestro cumplimiento con este DPA, siempre que sean razonables y que no utilices este derecho más de una vez por año natural, a no ser que tengas fundamentos para sospechar un incumplimiento.

8. Disposiciones adicionales sobre los datos europeos

a. Ámbito. La sección "Disposiciones adicionales sobre los datos europeos" solo se aplicará a los datos europeos.

b. Rol de las partes. Al tratar datos europeos según tus instrucciones, las partes reconocen y aceptan que tú eres el responsable del tratamiento de los datos europeos y nosotros somos el encargado.

c. Instrucciones. Si consideramos que tus instrucciones incumplen las leyes de protección de datos de Europa (si corresponde), te informaremos de ello sin demora.

d. Evaluaciones del impacto de la protección de datos y consulta con autoridades supervisoras Siempre que la información solicitada esté razonablemente disponible para nosotros y tú no tengas acceso a ella, te ofreceremos asistencia en la medida de lo razonable con las evaluaciones del impacto de la protección de datos, previa consulta con las autoridades supervisoras (como la Agencia Francesa de Protección de Datos [CNIL], la Autoridad de Protección de Datos de Berlín [BlnBDI] y la Oficina del Comisionado de la Información del Reino Unido [ICO]) o con otras autoridades competentes en materia de la privacidad de los datos, según lo requerido por las leyes de protección de datos de Europa.

f. Mecanismos de transferencia de datos.

(A) HubSpot no transferirá datos europeos a ningún país ni destinatario que no haya demostrado ofrecer un nivel de protección de datos personales adecuado (según la definición de la ley europea de protección de datos), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumple con las leyes europeas de protección de datos aplicables. Dichas medidas pueden incluir, entre otras, (i) la transferencia de dichos datos a un destinatario que tenga el respaldo de un marco apropiado u otro mecanismo legal y adecuado que las autoridades o tribunales pertinentes reconozcan con un nivel suficiente de protección de los datos personales, incluido el marco de privacidad de datos; (ii) a un destinatario que haya obtenido la autorización de normas corporativas vinculantes según la ley de protección de datos europea, o (iii) un destinatario que haya aplicado las cláusulas contractuales tipo adecuadas, en cada caso según lo adoptado o aprobado en virtud de las leyes de protección de datos europeas.

(B) Reconoces que, en conexión con la prestación de los servicios de suscripción, HubSpot, Inc. es un destinatario de datos europeos en Estados Unidos. Cuando HubSpot reciba datos europeos en EE. UU, HubSpot, Inc. cumplirá con lo siguiente:

(1) El marco de privacidad de datos. HubSpot, Inc. usará el marco de privacidad de datos para recibir legalmente datos europeos en EE. UU. y garantizar que proporciona al menos el mismo nivel de protección sobre esos datos europeos que el requerido por los principios del marco de privacidad de datos, y en caso de no poder cumplir con este requisito, te lo hará saber.

 (2) Las cláusulas contractuales tipo. Si las leyes de protección de datos europeas requieren que se pongan en práctica medidas de protección adecuadas (por ejemplo, si el marco de protección de datos no cubre la transferencia a HubSpot, Inc. o si el marco de privacidad de datos se invalida), las cláusulas contractuales tipo se incorporarán por referencia y formarán parte del acuerdo, de la siguiente forma:

(a) En relación con los datos europeos sujetos al RGPD: (i) el cliente es el "exportador de datos" y HubSpot, Inc. es el "importador de datos"; (ii) los términos del módulo dos se aplican cuando el cliente es un responsable del tratamiento de datos europeos y el módulo tres se aplica cuando el cliente es un encargado del tratamiento de datos europeos; (iii) en la cláusula 7 se aplica la cláusula de incorporación adicional; (iv) en la cláusula 9, se aplicará la opción 2 y los cambios en los subencargados se notificarán de acuerdo con la sección "Subencargados" de este DPA; (v) en la cláusula 11, el idioma opcional deberá eliminarse; (vi) en las cláusulas 17 y 18, las partes acuerdan que la ley aplicable y la jurisdicción de cualquier litigio referente a las cláusulas contractuales tipo se determinará de acuerdo con la sección "Entidad contratante; ley aplicable, notificación" de los términos específicos según la jurisdicción o, si dicha sección no especifica un estado miembro de la UE, la República de Irlanda (sin hacer referencia a cuestiones relativas al conflicto entre diversos sistemas jurídicos); (vii) los anexos de las cláusulas contractuales tipo se considerarán completos con la información detallada en los anexos de este acuerdo para el tratamiento de datos; (viii) la autoridad supervisora que actuará como autoridad supervisora competente será determinada de acuerdo con el RGPD, y (ix) si hubiera algún conflicto entre las cláusulas contractuales tipo y alguna disposición de este acuerdo para el tratamiento de datos, las cláusulas prevalecerán a los efectos de dicho conflicto.

(b) En relación con los datos europeos sujetos al RGPD del Reino Unido, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (a) y las siguientes modificaciones: (i) las cláusulas contractuales tipo se modificarán e interpretarán según la Adenda del Reino Unido, que se incorpora a modo de referencia y forma parte integral del acuerdo; (ii) las tablas 1, 2 y 3 de la Adenda del Reino Unido se considerarán completas con la información establecida en los anexos de este DPA y la tabla 4 se considerará completa al seleccionar "ninguna parte", y (iii) cualquier conflicto entre los términos de las cláusulas contractuales tipo y la Adenda del Reino Unido se resolverá de acuerdo con las secciones 10 y 11 de dicha adenda.

(c) En relación con los datos personales que se rigen por el DPA suizo, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (a) y las siguientes modificaciones: (i) las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias al DPA suizo; (ii) las referencias "UE", "Unión" y "ley de Estado miembro" se interpretarán como referencias a la ley suiza y (iii) las referencias a "autoridad supervisora competente" y "tribunales competentes" se reemplazarán con las referencias "Comisionado Federal para la Protección de Datos y la Información de Suiza" y "tribunales pertinentes de Suiza".

(d) Aceptas que, al respetar esta subsección sobre subencargados, HubSpot, Inc. cumple con sus obligaciones de conformidad con la sección 9 de las cláusulas contractuales tipo. A los efectos de la Cláusula 9(c) de las cláusulas contractuales tipo, reconoces que podríamos tener limitaciones a la hora de divulgar los acuerdos con nuestros subencargados, pero haremos todo lo razonablemente posible para solicitar a cualquier subencargado que designemos que nos permita compartir contigo su acuerdo y te proporcionaremos (de manera confidencial) toda la información que podamos. También reconoces y aceptas que ejercerás tus derechos de auditoría según la cláusula 8.9 de las cláusulas contractuales tipo, instruyendo a HubSpot a cumplir con las medidas descritas en la sección ("Prueba de cumplimiento") de este acuerdo para el tratamiento de datos. 

(e) Cuando la entidad contratante de HubSpot en virtud del acuerdo no sea HubSpot, Inc., dicha entidad en cuestión (y no HubSpot, Inc.) será total y exclusivamente responsable del acatamiento de las cláusulas contractuales tipo de HubSpot, Inc. y deberás dirigir las instrucciones, las reclamaciones y las consultas referentes a dichas cláusulas a esa entidad. Si HubSpot no puede cumplir con sus obligaciones o garantías de cumplimiento según lo establecido en las cláusulas contractuales tipo o la Adenda del Reino Unido (según corresponda) y quieres suspender la transferencia de datos europeos a HubSpot o rescindir dichas cláusulas o la Adenda del Reino Unido, aceptas informarnos con suficiente antelación para que podamos subsanar el incumplimiento, y también aceptas cooperar con nosotros en la medida de los razonable para identificar qué medidas de seguridad adicionales deben implementarse con ese fin. Si no podemos subsanar el incumplimiento, puedes suspender o rescindir la parte afectada del servicio de suscripción de conformidad con el acuerdo y sin responsabilidad para ninguna de las partes (pero sin perjuicio de ninguna tarifa a pagar por el exportador de datos antes de dicha suspensión o cancelación).

(C) Mecanismo de transferencia alternativo. Si HubSpot se viera obligado a adoptar un mecanismo de transferencia alternativo para los datos europeos (además o en lugar de los mecanismos descritos en la subsección (B) de arriba), dicho mecanismo de transferencia alternativo se aplicará de forma automática en lugar de los mecanismos que se describen en este acuerdo para el tratamiento de datos (pero solo si el mecanismo de transferencia se adhiere a las leyes de protección de datos de Europa) y tú aceptas ejecutar los demás documentos o tomar medidas según sea razonablemente necesario para conferirle efecto legal a tal mecanismo.

9. Disposiciones adicionales sobre la información personal de California

a. Ámbito. Las disposiciones adicionales de la sección sobre la información personal de California de este DPA solo se aplicarán con respecto a los datos personales de California.

b. Rol de las partes. Al tratar datos personales de California según tus instrucciones, las partes acuerdan que, a los efectos de la CCPA, tú eres una empresa y HubSpot es un proveedor de servicios.

c. Responsabilidades. Certificamos que HubSpot tratará la información personal de California como proveedor de servicios estrictamente para ofrecer los servicios de suscripción y los servicios de consultoría según el acuerdo (el "objeto social") o según lo que permita la CCPA, incluido lo descrito en la sección "Datos de utilización" de nuestra política de privacidad.  Asimismo, certificamos que i) no venderemos ni compartiremos información personal de California; ii) no trataremos dicha información fuera de la relación comercial directa entre las partes a menos que lo exija la ley aplicable; y iii) no combinaremos la información personal de California incluida en los datos de los clientes con información personal que recopilemos o recibamos de otra fuente (excepto la información que recibamos de otra fuente en relación con nuestras obligaciones como proveedor de servicios en virtud del acuerdo).

d. Cumplimiento. (i) Cumpliremos con nuestras obligaciones como proveedor de servicios en virtud de la CCPA y (ii) proporcionaremos información personal de California con el mismo nivel de privacidad que requiere la CCPA. Te informaremos si determinamos que ya no podemos cumplir con nuestras obligaciones como proveedor de servicios de conformidad con la CCPA.

e. Auditorías de la CCPA. Tienes derecho a tomar todas las medidas razonables y necesarias para asegurarte de que tratemos la información personal de California de acuerdo con las obligaciones de los clientes en virtud de la CCPA. Previo aviso, tendrás derecho a tomar las medidas que creas conveniente, dentro de lo razonable y de conformidad con el acuerdo, para detener y corregir el uso no autorizado de la información personal de California. 

f. Renuncia a la venta de información. Las partes reconocen y acuerdan que la información personal de California que un cliente divulga a HubSpot no forma parte de ningún acuerdo económico ni de carácter oneroso entre las partes.

10. Disposiciones generales

a. Modificaciones. No obstante cualquier disposición contraria al acuerdo y sin perjuicio de las secciones "Cumplimiento de las instrucciones" o "Seguridad" de este DPA, nos reservamos el derecho a hacer cualquier actualización y cambio a este documento, y se aplicarán los términos de la sección "Modificación; no exención" de los términos generales.

b. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

c. Exención de responsabilidad. La responsabilidad de cada parte y sus filiales, consideradas en conjunto, que resulte o que esté relacionada con este DPA (incluido cualquier otro DPA entre las partes) y las cláusulas contractuales tipo (cuando corresponda), ya sea por responsabilidad civil o contractual, o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad definidos en la sección "Limitación de responsabilidad" de los términos generales, y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad total de esa parte y de todas sus filiales según el acuerdo (incluido este acuerdo para el tratamiento de datos).  Con el fin de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este acuerdo, la sección "Limitación de responsabilidad" de los términos generales regirá la relación entre tú y HubSpot, Inc. y, a ese respecto, cualquier referencia a "HubSpot", "nosotros" y "nuestro" incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del acuerdo. En ningún caso la responsabilidad de ninguna de las partes se limitará con respecto a los derechos de protección que se incluyen en este DPA (incluido cualquier otro DPA entre las partes y las cláusulas contractuales tipo) en referencia a los datos de los individuos.

d. Ley aplicable. Este DPA se regirá e interpretará de acuerdo con la sección "Entidad contratante, ley aplicable, notificación" de los términos específicos según la jurisdicción, a menos que las leyes de protección de datos especifiquen lo contrario.

11. Partes de este DPA

a. Filiales permitidas. Al firmar este acuerdo, aceptas este DPA (incluidas, cuando corresponda, las cláusulas contractuales tipo) en tu nombre y en nombre de tus filiales permitidas. A los efectos únicos de este DPA, excepto cuando se indique lo contrario, los términos "cliente", "tú" y "tu" te incluirán a ti y a dichas filiales permitidas.

b. Autorización. La entidad jurídica que acepta este DPA como cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus filiales permitidas.

c. Recursos legales. Las partes acuerdan que: (i) solamente la entidad cliente que sea la parte contratante del acuerdo podrá ejercer cualquier derecho o recurrir a los recursos legales que cualquier filial permitida podría tener de conformidad con este DPA en representación de sus filiales y que (ii) la entidad cliente que sea la parte contratante del acuerdo podrá ejercer tales derechos bajo este DPA de forma indivisa para cada filial permitida, no individualmente, sino de forma conjunta para sí mismo y todos los filial permitidas. La entidad cliente que sea la parte contratante del acuerdo será la responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros según el DPA, y tendrá derecho a realizar y recibir todas las comunicaciones relacionadas con este acuerdo en representación de sus filiales permitidas. 

d. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la sección "Demostración del cumplimiento", tomar todas las medidas razonables para limitar cualquier consecuencia en HubSpot y sus filiales, combinando varias solicitudes de auditoría realizadas en representación de la entidad cliente que es la parte contratante del acuerdo y todas sus filiales permitidas en una sola auditoría.

Anexo 1: Detalles del tratamiento

A. Lista de las partes

Exportador de datos:

Nombre: el cliente, según se define en los términos de servicio para clientes de HubSpot (en representación de sí mismo y de las filiales permitidas) 

Dirección: la dirección del cliente, tal como figura en el formulario de pedido

Nombre, cargo e información de la persona de contacto: la información de contacto del cliente, como figura en el formulario de pedido o en su cuenta de HubSpot.

Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según los términos de nuestro servicio.

Rol (responsable o encargado del tratamiento): responsable

Importador de datos:

Nombre: HubSpot, Inc.

Dirección: Two Canal Park, Cambridge, MA 02141, EE. UU. 

Nombre, cargo e información de la persona de contacto: Nicholas Knoop, delegado de protección de datos, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, EE. UU.

Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según los términos de nuestro servicio.

Rol (responsable o encargado del tratamiento): encargado

B. Descripción de la transferencia

Categorías de titulares de datos cuya información personal se transfiere

Puedes enviar datos personales durante el uso del servicio de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse los datos personales relacionados con las siguientes categorías de titulares de datos:

Tus contactos y otros usuarios finales, incluidos tus empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas. Se pueden considerar también como titulares de datos las personas que intentan transferir datos personales a tus usuarios finales o comunicarse con ellos.

Categorías de datos personales que se transfieren

Puedes enviar datos personales a los servicios de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse las siguientes categorías de datos: 

Datos sensibles transferidos y restricciones o medidas de seguridad aplicadas

Las partes no anticipan la transferencia de datos sensibles.

Frecuencia de la transferencia

Continua

Naturaleza del tratamiento

Los datos personales se tratarán según el acuerdo (incluido este DPA) y pueden estar sujetos a las siguientes actividades de tratamiento: 

1. Almacenamiento y otros tipos de tratamiento necesarios para proveer, mantener y mejorar los servicios de suscripción que te ofrecemos; o

2. Divulgación de conformidad con el acuerdo (incluido este DPA) o tal cual lo requieran las leyes aplicables.

Propósito de la transferencia y tratamiento adicional

Trataremos los datos personales de la forma que sea necesaria para ofrecer los servicios de suscripción de conformidad con el acuerdo, tal como se especifica en el formulario de pedido y como lo indiques en el uso que hagas de los servicios de suscripción.

Período durante el que se retendrán los datos personales

Conforme a la sección "Eliminación o devolución de datos personales" de este DPA, trataremos los datos personales durante el periodo del acuerdo, a menos que se convenga de otro modo por escrito.

Anexo 2: Medidas de seguridad

Actualmente cumplimos con las medidas de seguridad descritas en este Anexo 2. Todos los términos no definidos en este documento tendrán los significados que se les dé en los términos generales.  Si quieres más información sobre estas medidas de seguridad, consulta el informe SOC 2 tipo II de HubSpot, el informe SOC 3, el resumen sobre seguridad y los resúmenes de pruebas de penetración disponibles en trust.hubspot.com.

a) Control de acceso

i) Prevención del acceso no autorizado a productos

Tratamiento externalizado: alojamos nuestro servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores para proporcionar nuestro servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos tratados o almacenados por ellos.

Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. No somos propietarios ni realizamos el mantenimiento del hardware ubicado en los centros de datos de los proveedores de infraestructura externos. Los servidores de producción y las aplicaciones de primera línea se protegen física y lógicamente desde nuestros sistemas internos de información corporativa. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con los estándares SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autentificación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: los datos de clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de las aplicaciones. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que solo las personas con los permisos adecuados pueden acceder a las características, las vistas y las opciones de personalización pertinentes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

ii) Prevención del uso no autorizado de los productos

Implementamos controles de acceso y funciones de detección estándar del sector en las redes internas que respaldan nuestros productos.

Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se utilizan herramientas automatizadas para realizar revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente y así comprobar que se siguen buenas prácticas de programación y detectar fallos identificables en el software.

Pruebas de penetración: trabajamos con proveedores de servicios reconocidos en el sector para realizar pruebas de penetración en la aplicación web de HubSpot y en la infraestructura de nuestra red corporativa, una vez al año como mínimo. El objetivo de estas pruebas es detectar vulnerabilidades de seguridad y reducir los riesgos y las consecuencias comerciales que presentan para los sistemas analizados.

Programa de recompensas por detección de errores: un programa de recompensas por detección de errores que invita e incentiva a investigadores de seguridad independientes a descubrir y comunicar fallos de seguridad, siempre sujeto a la ética profesional. Implementamos este programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad dedicada a la seguridad y mejorar la defensa de los productos contra ataques sofisticados.

iii) Limitaciones de los requisitos de privilegio y autorización

Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos de los clientes mediante interfaces controladas. El objetivo de dar acceso a un subconjunto de empleados es proporcionar al cliente asistencia efectiva, posibilitar el desarrollo de productos y la recogida de información, solucionar posibles problemas, detectar y resolver incidentes de seguridad e implementar medidas de protección. Este acceso se habilita mediante solicitudes "just in time" ("justo a tiempo" o JITA), que siempre quedan registradas. Los empleados obtienen acceso según su función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Los permisos de acceso administrativo o de alto riesgo se revisan al menos una vez cada seis meses.

Comprobación de antecedentes: cuando la ley lo permita, el personal de HubSpot se someterá a comprobaciones de antecedentes o de referencias a cargo de entidades externas. En Estados Unidos, las ofertas de empleo dependen de los resultados de dichas comprobaciones de antecedentes. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

b) Control de transmisión

En tránsito: requerimos el uso el cifrado HTTPS (también conocido como SSL o TLS) en cada una de las interfaces de inicio de sesión y de forma gratuita en cada sitio de cliente alojado en productos de HubSpot. Nuestra implementación de HTTPS usa algoritmos y certificados estándar del sector.

En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar del sector en materia de seguridad.  Implementamos tecnologías para garantizar que los datos guardados se cifren en reposo. 

c) Control de entrada

Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos reúnen datos de registro y alertan al personal correspondiente acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, incluidos los empleados de seguridad, operaciones y asistencia, responden ante los incidentes conocidos.

Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifica y documenta las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño causado en producto o en el cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del acuerdo. 

d) Control de disponibilidad

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen todo lo que pueden, en la medida de lo razonable desde un punto de vista comercial, para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 en los servicios de energía, redes y calefacción, ventilación y aire acondicionado (HVAC).

Tolerancia a fallos: las estrategias de copia de seguridad y replicación están diseñadas para garantizar que se apliquen protecciones de redundancia y conmutación por error si se produce un fallo importante de procesamiento. Los datos de clientes se almacenan en copias de seguridad guardadas en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad online: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una base de datos principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándar del sector.

Planes de recuperación ante desastres: HubSpot mantiene y evalúa periódicamente planes de recuperación ante desastres para asegurar la disponibilidad de la información tras una interrupción o fallas en procesos empresariales críticos.

Nuestros productos están diseñados para garantizar la redundancia y una conmutación por error perfectamente fluida. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, al tiempo que se limita el tiempo de inactividad.

Anexo 3: Subencargados 

Con el fin de proporcionar el servicio de suscripción de HubSpot, colaboramos con subencargados filiales en nuestras actividades de tratamiento de datos. Puedes consultar la lista de los subencargados y el propósito de nuestra colaboración con ellos en la página de subercargados de HubSpot, disponible en https://legal.hubspot.com/es/sub-processors-page y que se incorpora a este acuerdo para el tratamiento de datos.