Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 7 de abril de 2020

Este Acuerdo se proporciona únicamente para comodidad del interesado. La versión en inglés de este Acuerdo prevalecerá y bajo ninguna circunstancia se interpretará que la versión de este Acuerdo en idioma español modifica a la versión del mismo en idioma inglés o que se aplica de algún modo a la relación entre las partes.

[Haz clic aquí para descargar el documento firmado (en inglés).]

Este Acuerdo para el procesamiento de datos de HubSpot («DPA») y sus Anexos reflejan el acuerdo entre las partes con respecto al procesamiento de datos personales que hace HubSpot en representación del Cliente en relación con los Servicios de suscripción HubSpot, de conformidad con los Términos de servicio para clientes de HubSpot entre HubSpot y el Cliente (el «Acuerdo»).  

Este Acuerdo para el procesamiento de datos es una adición y parte integral del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, un Pedido o una enmienda ejecutada al Acuerdo. En caso de conflicto o inconsistencia con los términos del Acuerdo, este DPA tendrá prioridad sobre los términos del Acuerdo, únicamente a los efectos de dicho conflicto o inconsistencia.

Los actualizamos periódicamente. Si tienes una suscripción de HubSpot activa, te informaremos por correo electrónico (si estás suscrito para recibir notificaciones a través de un correo electrónico con el enlace en nuestro Acuerdo) o con una notificación en la app. Puedes encontrar las versiones archivadas de los términos aquí.

La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en el presente documento tendrán el mismo significado que se establece en el Acuerdo.

1. Definiciones
2. Responsabilidades del cliente
3. Obligaciones de HubSpot
4. Solicitudes de la parte interesada
5. Subprocesadores
6. Transferencias de datos
7. Disposiciones adicionales para datos de Europa
8. Disposiciones adicionales para datos personales de California
9. Disposiciones generales
10. Partes de este DPA

Anexo 1: Detalles del procesamiento

Anexo 2: Medidas de seguridad

Anexo 3: Cláusulas contractuales estándar

Anexo 4: Lista de subprocesadores

1. Definiciones

«Información personal de California» hace referencia a Información personal sujeta a la protección del CCPA.

«CCPA» se refiere al Código Civil de California, Sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018).

«Consumidor», «Empresa», «Vender» y «Proveedor de servicios» tendrán las definiciones otorgadas en el CCPA. 

«Interventor» hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.

«Leyes de protección de datos» se refiere a toda la legislación aplicable a nivel mundial relacionada con la privacidad y protección de información en virtud del Acuerdo, lo que incluye, entre otras, leyes de protección de información de Europa, el CCPA y las leyes de protección y privacidad de información de Australia y Singapur, en cada caso, según se enmiende, consolide o reemplace ocasionalmente. 

«Parte interesada» hace referencia a la persona con la que se relacionan los datos personales.

«Europa» se refiere a la Unión Europea, el Área Económica Europea y sus estados miembros, más Suiza y el Reino Unido. 

«Información de Europa» se refiere a Información personal sujeta a la protección de leyes europeas de protección de información.

«Leyes europeas de protección de información» se refiere a las leyes de protección de información en Europa, que incluyen: (i) la Regulación 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, «RGPD»); (ii) Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas, y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) con respecto al Reino Unido, toda legislación nacional aplicable que sustituya o convierta en ley doméstica el RGPD o cualquier otra ley con relación a la información y la privacidad como consecuencia de la salida del Reino Unido de la Unión Europea; y (iv) la Ley federal suiza de protección de datos del 19 de junio de 1992 y su Ordenanza; en cada caso, según se enmiende, sustituya o reemplace.  

«Instrucciones» hace referencia a las instrucciones escritas y documentadas emitidas por un Interventor a un Procesador y mediante las cuales se solicita una acción específica o general respecto a los datos personales (incluidos, entre otros, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

«Afiliados permitidos» hace referencia a cualquiera de los Afiliados del cliente que (i) tengan permiso para usar los Servicios de suscripción en virtud del Acuerdo, pero no hayan firmado su propio acuerdo por separado con HubSpot y no sean un «Cliente» según la definición del Acuerdo, (ii) califiquen como Interventores de información personal procesada por HubSpot, y (iii) estén sujetos a las Leyes de protección de datos de Europa.

«Datos personales» hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales, información personal o a la información personalmente identificable de conformidad con las Leyes de protección de datos.

«Violación de los datos personales» hace referencia a una violación de la seguridad que genera la destrucción, pérdida, alteración y divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera por HubSpot o sus subprocesadores relacionados a la provisión de los Servicios de suscripción o el acceso a estos de manera accidental o ilegal. «Violación de los datos personales» no incluye intentos o actividades fallidas que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

«Escudo de privacidad» (Privacy Shield) hace referencia al programa de autocertificación UE-EE. UU y Suiza-EE. UU., operado por el Departamento de Comercio y aprobado por la Comisión Europea según la decisión del 12 de julio de 2016 y por el Consejo Federal Suizo el 11 de enero de 2017, respectivamente.

«Principios de Escudo de privacidad (Privacy Shield)» hace referencia a los Principios del Escudo de privacidad (complementados por los Principios suplementarios) contenidos en el Anexo II a la Decisión de la Comisión Europea del 12 de julio de 2016.

«Procesamiento» hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado. Los términos «proceso», «procesos» y «procesado» se interpretarán como corresponda.

«Procesador» hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del interventor.

«Cláusulas contractuales estándar» hace referencia a las cláusulas estándar de conformidad con la decisión de la Comisión Europea (C(2010)593) del 5 de febrero de 2010, en la forma expuesta en el Anexo 3.

«Subprocesador» hace referencia a cualquier Procesador participante de HubSpot o sus Afiliados para ayudar a cumplir las obligaciones de HubSpot con respecto a la provisión de los Servicios de suscripción en virtud de este Acuerdo.  Los Subprocesadores podrían incluir terceros o Afiliados de HubSpot, pero deben excluir empleados o consultores de HubSpot.  

2. Responsabilidades del cliente

a. Cumplimiento de la ley. Dentro del ámbito de aplicación del Acuerdo y su uso de los servicios, el Cliente será responsable de cumplir con todos los requisitos que correspondan según las Leyes de protección de datos aplicables con respecto al Procesamiento de datos personales y las Instrucciones que envía a HubSpot.

En particular, sin perjuicio de la generalidad de lo anterior, el Cliente reconoce y acepta que será el único responsable por: (i) la exactitud, calidad y legalidad de la Información del Cliente y la forma en que el Cliente adquirió los Datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad según las Leyes de protección de datos aplicables para la recopilación y uso de los Datos personales, que incluye obtener todos los consentimientos y autorizaciones necesarias (en particular, para el uso con fines de marketing por parte del Cliente); (iii) asegurar que tiene el derecho a transferir u ofrecer acceso a los Datos personales de HubSpot para procesarlos según los términos del Acuerdo (lo que incluye el DPA); (iv) asegurar que sus instrucciones a HubSpot con respecto al procesamiento de Datos personales cumpla con la ley aplicable, incluso las Leyes de protección de datos; y (v) cumplir con todas las leyes (incluso las Leyes de protección de datos) aplicables a todo correo electrónico o demás contenido creado, enviado o administrado a través de los Servicios de suscripción, incluso los relacionados a obtener consentimientos (donde sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de implementación. El Cliente deberá notificar a HubSpot sin demora indebida en caso de no poder cumplir con sus responsabilidades según esta subsección (a) o con las Leyes de protección de datos aplicables.

b. Instrucciones del interventor. Las partes aceptan que el Acuerdo (incluido este DPA), junto con el uso que hace el Cliente del Servicio de suscripción según el Acuerdo, constituyen la totalidad de las Instrucciones del Cliente a HubSpot con respecto al procesamiento de Datos personales y que las instrucciones adicionales fuera del alcance de estas Instrucciones requerirán un acuerdo previo por escrito entre el Cliente y HubSpot.

3. Obligaciones de HubSpot

a. Cumplimiento de las instrucciones. HubSpot solo procesará Datos personales con los fines descritos en este DPA o según lo acordado en las Instrucciones válidas del Cliente, excepto en el caso y en la medida que lo requiera la ley aplicable. HubSpot no será responsable de cumplir con cualquier Ley de protección de datos aplicable al Cliente o al sector del Cliente que no se aplique de forma general a HubSpot.

b. Conflicto de leyes. Si HubSpot descubre que no puede procesar datos personales de acuerdo con las instrucciones del Cliente debido a un requisito legal, (i) informará de inmediato al Cliente acerca de ese requisito legal en la medida permitida por la Ley; y (ii) cuando sea necesario, suspenderá el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que el Cliente dé nuevas Instrucciones que HubSpot pueda cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, HubSpot no será responsable ante el Cliente por el incumplimiento de los servicios correspondientes hasta que el Cliente dé nuevas instrucciones válidas con respecto al procesamiento.

c. Seguridad. HubSpot implementará y mantendrá medidas técnicas y de organización adecuadas para proteger los Datos personales contra toda Violación de datos personales, según se describe en el Anexo 2 de este DPA («Medidas de seguridad»). No obstante cualquier disposición contraria, HubSpot puede modificar o actualizar las Medidas de seguridad a su discreción, siempre y cuando dicha modificación o actualización no genere una degradación material en la protección ofrecida por estas Medidas de seguridad. 

d. Confidencialidad. HubSpot debe garantizar que el personal autorizado a procesar datos personales en su nombre esté sujeto a obligaciones adecuadas de confidencialidad (ya sea por obligación legal o por contrato) respecto a esos datos personales.

e. Violación de datos personales. HubSpot notificará al Cliente sin demora indebida cualquier Violación de Datos personales de la que sea consciente y deberá ofrecer información oportuna con respecto a dicha violación, al ponerse esto en conocimiento del Cliente o si este lo solicita. Si el Cliente lo solicita, HubSpot le ofrecerá la ayuda razonablemente necesaria para que pueda notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier Violación de datos personales pertinente, si se requiere que el Cliente lo haga de conformidad con las Leyes de protección de datos.

f. Eliminación o devolución de datos personales. HubSpot eliminará o devolverá todos los datos de clientes, incluidos los datos personales procesados (incluso las copias) conforme a este DPA, al terminar o vencerse el Servicio de suscripción de acuerdo con los procedimientos y marcos de tiempo definidos en el Acuerdo. Esto no se aplicará en la medida que se requiera a HubSpot, según la ley aplicable, retener los datos de clientes en forma parcial o total, o guardar los datos de clientes que tuviera archivados en sistemas de almacenamiento de copias de seguridad, los que HubSpot deberá aislar de forma segura y proteger contra todo procesamiento y eliminación, acorde a sus prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o terminación de tu suscripción enviando una solicitud a privacy@hubspot.com o siguiendo las instrucciones detalladas aquí. Puedes recuperar la Información de cliente desde tu cuenta, de acuerdo con las secciones sobre «Recuperación de la información del cliente» incluidas en los Términos específicos del producto.

4. Solicitudes de la parte interesada

El Servicio de suscripción ofrece al Cliente algunos controles para buscar, corregir, eliminar o limitar los Datos personales, que el Cliente puede usar en virtud de sus obligaciones según las Leyes de protección de datos, que incluyen sus obligaciones de responder solicitudes de partes interesadas de ejercer sus derechos según las Leyes de protección de datos aplicables («Solicitudes de la parte interesada»). 

En la medida en que el Cliente no pueda enviar de forma independiente una Solicitud de la parte interesada a través del Servicio de suscripción, entonces, mediante una solicitud escrita del Cliente, HubSpot ofrecerá asistencia razonable al Cliente para responder toda solicitud de la parte interesada o solicitud de las autoridades de protección de datos con respecto al Procesamiento de datos personales según el Acuerdo. El Cliente deberá reembolsar a HubSpot los costos comercialmente razonables derivados de esta asistencia.

Si una Solicitud de la parte interesada u otra comunicación con respecto al Procesamiento de datos personales según este Acuerdo se hace directamente a HubSpot, HubSpot informará de forma oportuna al Cliente y le notificará a la parte interesada que envíe su solicitud al Cliente. El Cliente será el único responsable de responder de forma sustancial a las solicitudes de las partes interesadas o a las comunicaciones relacionadas con los Datos personales.

5. Subprocesadores

El Cliente acepta que HubSpot esté en contacto con Subprocesadores para procesar Datos personales en nombre del Cliente. En estos momentos, HubSpot ha designado como Subprocesadores a los Afiliados de HubSpot y a los terceros mencionados en el Anexo 4 de este DPA. HubSpot notificará al Cliente si agrega o elimina Subprocesadores del Anexo 4 antes de cualquier cambio, si el Cliente elige recibir dichas notificaciones por correo electrónico, deberá llenar este formulario.

Siempre que trabaje con Subprocesadores, HubSpot impondrá términos sobre la protección de datos para los Subprocesadores que ofrezcan al menos el mismo nivel de protección de Datos personales que los de este DPA, en la medida aplicable a la naturaleza de los servicios brindados por dichos Subprocesadores. HubSpot seguirá siendo responsable por el cumplimiento de cada Subprocesador con las obligaciones de este DPA y por todo acto u omisión de dicho Subprocesador que cause un incumplimiento de cualquiera de las obligaciones de HubSpot en este DPA.

6. Transferencias de datos

El Cliente reconoce y acepta que HubSpot podrá acceder y procesar sus Datos personales de forma global, como sea necesario, para ofrecer el Servicio de suscripción según este Acuerdo, y, en particular, que los Datos personales serán procesados por HubSpot, Inc. en Estados Unidos y se transferirán a otras jurisdicciones donde operen los Afiliados y Subprocesadores de HubSpot. HubSpot deberá garantizar que dichas transferencias cumplan los requisitos de las Leyes de protección de datos.

7. Disposiciones adicionales para datos de Europa

a. Alcance de la Sección 7. Esta Sección 7 (Disposiciones adicionales para datos de Europa) solo se aplicará respecto a los datos de Europa.

b. Rol de las partes. Al procesar datos de Europa según las Instrucciones del Cliente, las partes reconocen y acuerdan que el Cliente es el Interventor de los datos de Europa y HubSpot es el Procesador.

c. Instrucciones. Si HubSpot considera que una instrucción del Cliente incumple las Leyes de protección de datos de Europa (si corresponde), se lo informará al Cliente sin demora.

d. Notificación y objeción a Subprocesadores nuevos. HubSpot le notificará al Cliente de cualquier cambio en los Subprocesadores actualizando el Anexo 4 de este DPA y le dará la oportunidad de oponerse a la contratación de un Subprocesador nuevo con una debida justificación relacionada a la protección de Datos personales dentro de los 30 días posteriores a la actualización de dicho anexo. Si el Cliente no informa ninguna objeción a HubSpot, las partes hablarán en buena fe de las preocupaciones del Cliente para lograr una resolución comercialmente razonable. De no lograrse dicha resolución, HubSpot, a discreción, podrá elegir no designar al Subprocesador nuevo o permitirle al Cliente suspender o cancelar el Servicio de suscripción afectado según las cláusulas de cancelación del Acuerdo sin responsabilidad de ninguna de las partes (sin perjuicio de cualquier tarifa a pagar por el Cliente antes de la suspensión o cancelación).

e. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté razonablemente disponible para HubSpot y el Cliente no tenga acceso a ella, HubSpot ofrecerá la asistencia razonable al Cliente con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes de privacidad de datos, según lo requerido por las Leyes de protección de datos europeas.

f. Mecanismos para transferencias de datos.

(A) HubSpot no transferirá datos europeos a ningún país o destinatario que no haya mostrado un nivel de protección de Datos personales adecuado (según la definición de la Ley de protección de datos europea), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumpla con las Leyes de protección de Datos europeas aplicables. Dichas medidas pueden incluir, entre otras, la transferencia de dichos datos a un destinatario que tenga la autocertificación del Escudo de privacidad (Privacy Shield), a un destinatario que haya logrado la autorización de Normas corporativas vinculantes según la Ley de protección de datos europea o un destinatario que haya aplicado las cláusulas contractuales adecuadas o aprobadas por la Comisión Europea.

(B) El Cliente reconoce que, en conexión con la prestación de los Servicios de suscripción, HubSpot, Inc. es un destinatario de datos personales europeos en Estados Unidos. Las partes aceptan que HubSpot ponga a su disposición los siguientes mecanismos de transferencia:

• (a) Cláusulas contractuales estándar: HubSpot, Inc. acepta y se compromete a procesar los datos de Europa según las Cláusulas contractuales estándar, siempre que, sin perjuicio de lo anterior, las partes acepten que, cuando la entidad contratante de HubSpot según el Acuerdo no sea HubSpot, Inc., dicha entidad contratante (no HubSpot, Inc.) será la única y total responsable ante el Cliente por el cumplimiento de las Cláusulas contractuales estándar de HubSpot, Inc. Si estas Cláusulas (cuando se apliquen) estuvieran en conflicto con cualquier cláusula de este DPA, las Cláusulas contractuales estándar prevalecerán a los efectos de dicho conflicto, en la medida que sea necesario.

• (b) Escudo de privacidad (Privacy Shield): Siempre que HubSpot, Inc. cuente con la autocertificación del Escudo de privacidad (Privacy Shield) y en la medida en que se revoquen las Cláusulas contractuales estándar, o se dictamine por la jurisdicción competente que no son válidas, las partes reconocen y aceptan que: (i) HubSpot, Inc. ofrecerá una protección adecuada para los datos de Europa (con la definición de las Leyes de protección de datos europeas) en virtud de su autocertificación con el Escudo de privacidad; (ii) HubSpot, Inc. procesará los datos de Europa en cumplimiento con los principios del Escudo de privacidad; y (iii) si HubSpot, Inc. no puede cumplir con este requisito, se lo informará al Cliente.

g. Demostración de cumplimiento. HubSpot podrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento con este DPA y permitirá y contribuirá a todo proceso de auditoría, inclusive inspecciones del Cliente para evaluar el cumplimiento de este DPA. El Cliente reconoce y acepta que deberá ejercer sus derechos de auditoría según este DPA, instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta subsección (g). El Cliente reconoce que el Servicio de suscripción es alojado por los socios del centro de datos de HubSpot que tienen programas de seguridad validados de forma independiente (que incluyen SOC 2 e ISO 27001) y que los sistemas de HubSpot son evaluados de forma regular por empresas de pruebas de penetración ajenas a HubSpot. A pedido del Cliente, HubSpot deberá enviar (de forma confidencial) una copia resumida de sus informes de pruebas de penetración al Cliente, de forma que el mismo pueda corroborar el cumplimiento de HubSpot con este DPA.  Además, con una solicitud escrita del Cliente, HubSpot deberá enviar respuestas por escrito (de forma confidencial) a todas las solicitudes de información razonables hechas por el Cliente, necesarias para confirmar el cumplimiento de HubSpot con este DPA, siempre que el Cliente no utilice este derecho más de una vez por año calendario. 

8. Disposiciones adicionales para datos personales de California

a. Alcance de la Sección 8. Esta Sección 8 (Disposiciones adicionales para datos personales de California) solo se aplicará respecto a los datos personales de California

b. Rol de las partes. Al procesar datos personales de California según las Instrucciones del Cliente, las partes acuerdan que, a los efectos de la CCPA, el Cliente es una Empresa y HubSpot es un Proveedor de servicios.

c. Responsabilidades. Las partes acuerdan que HubSpot procesará los datos personales de California como Proveedor de servicios estrictamente a los efectos de brindar los Servicios de suscripción según el Acuerdo (el «Objetivo»). HubSpot usa datos de servicio para su Objetivo legítimo, según nuestra política de privacidad del producto. Las partes acuerdan que HubSpot no (a) venderá datos personales de California (según se definen en la CCPA); (b) retendrá, usará o divulgará datos personales de California con fines comerciales más que el Objetivo, o en la medida que lo permita la CCPA; ni (c) retendrá, usará o divulgará datos personales de California fuera de la relación comercial directa entre el Cliente y HubSpot.

d. Certificación. HubSpot certifica que entiende y cumplirá con las restricciones en la Sección 8(c) (Responsabilidades).

9. Disposiciones generales

a. Modificaciones. No obstante cualquier disposición contraria al Acuerdo y sin perjuicio de la Sección 3(c) (Seguridad), HubSpot se reserva el derecho a hacer todas las actualizaciones y cambios a este DPA y se aplicarán los términos de la Sección 9 (a) párrafo 1: «Modificación; no exención» del Acuerdo.

b. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

c. Exención de responsabilidad. La responsabilidad de cada parte y sus Afiliados, en conjunto, que resulte de este DPA (o cualquier otro DPA entre las partes) y de las Cláusulas contractuales estándar (cuando se apliquen), ya sea por responsabilidad civil o contractual o bajo cualquier otra teoría de responsabilidad, será sujeta a los límites y exclusiones de responsabilidad delimitadas en la sección del Acuerdo llamada «Limitación de responsabilidad» y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad sumada de esa parte y sus Afiliados según este Acuerdo (incluido este DPA).  A fines de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este Acuerdo, se aplicará la sección del Acuerdo titulada «Limitación de responsabilidad» entre el Cliente y HubSpot, Inc. y, en tal respecto, cualquier referencia a «HubSpot», «nosotros» y «nuestro» incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del Acuerdo.

d. Ley vigente. Este DPA será regido e interpretado según las cláusulas sobre ley vigente y jurisdicción de este Acuerdo, a menos que las Leyes de protección de datos dispongan lo contrario.

10. Partes de este DPA

a. Afiliados permitidos. Con la firma de este Acuerdo, el Cliente acepta este DPA en representación de sí mismo y, en la medida requerida por las Leyes de protección de datos, a nombre y en representación de sus Afiliados permitidos, estableciendo por lo tanto un DPA separado entre HubSpot y cada Afiliado permitido sujeto al Acuerdo y las Secciones 9 y 10 de este documento. Cada Afiliado permitido acepta comprometerse con este DPA y, en la medida aplicable, con este Acuerdo. A los efectos únicos de este DPA, excepto cuando se indique lo contrario, el término «Cliente» incluirá al Cliente y a dichos Afiliados permitidos.

b. Autorización. La entidad jurídica que acepta este DPA como Cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus Afiliados permitidos.

c. Recursos legales. Excepto cuando las Leyes de protección de datos aplicables requieran que un Afiliado permitido ejerza el derecho o busque Recursos legales bajo este DPA contra HubSpot directamente por sí mismo, las partes acuerdan que: (i) solamente la entidad del Cliente que es la parte contratante del Acuerdo podrá ejercer cualquier derecho o buscar Recursos legales que pueda tener cualquier Afiliado permitido bajo este DPA en representación de sus Afiliados y que (ii) la entidad del Cliente que es la parte contratante del Acuerdo podrá ejercer tales derechos bajo este DPA de forma indivisa para cada Afiliado permitido, no individualmente, sino de forma conjunta para sí mismo y todos los Afiliados permitidos. La entidad del Cliente que es la parte contratante del Acuerdo será responsable de coordinar todas las comunicaciones con HubSpot en virtud del DPA y tendrá derecho a realizar y recibir todas las comunicaciones relacionadas con este DPA en representación de sus Afiliados permitidos. 

d. Otros derechos. Las partes aceptan que el Cliente deberá, al revisar el cumplimiento de HubSpot con este DPA según la Sección 7(g) (Demostración de cumplimiento), tomar todas las medidas razonables para limitar el impacto en HubSpot y sus Afiliados, combinando varias solicitudes de auditoría realizadas en representación de la entidad del Cliente que es la parte contratante del Acuerdo y todos sus Afiliados permitidos en una sola auditoría.

Anexo 1: Detalles del procesamiento

Este Anexo forma parte del DPA. 

HubSpot procesará los datos personales de la forma que sea necesaria para ofrecer los Servicios de suscripción según el Acuerdo, como se especifica en el Formulario de pedido, y como se indique por el Cliente en su uso de los Servicios de suscripción.

B. Duración del procesamiento

Sujeto a la sección «Eliminación o devolución de Datos personales» de este DPA, HubSpot procesará Datos personales por la duración del Acuerdo, a menos que se acuerde lo contrario por escrito.  

El Cliente puede presentar Datos personales durante el uso del Servicio de suscripción, en la medida en que sean determinados y controlados por este a discreción, incluidos, entre otros, Datos personales relacionados con las siguientes categorías de partes interesadas:

Contactos del Cliente y otros usuarios finales, incluidos empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas del Cliente. Se pueden considerar también como partes interesadas las personas que intentan comunicar o transferir datos personales a los usuarios finales del Cliente.

El Cliente puede presentar Datos personales al Servicio de suscripción, en la medida en que sean determinados y controlados por este a discreción, incluidas, entre otras, las siguientes categorías de Datos personales: 

• - Información de contacto (como se define en los Términos de Servicio para Clientes de HubSpot).
• - Todos los demás Datos personales enviados, presentados o recibidos por el Cliente o sus usuarios finales a través del Servicio de suscripción.

Las partes no anticipan la transferencia de categorías especiales de datos.

Los Datos personales se procesarán según el Acuerdo (con este DPA) y podrían estar sujetos a las siguientes actividades de procesamiento: 

Anexo 2: Medidas de seguridad

Este Anexo forma parte del DPA.

Actualmente, HubSpot cumple con las medidas de seguridad descritas en este Anexo 2. Todos los términos en letras mayúsculas no definidos en el presente tendrán los significados establecidos en el Acuerdo.

a) Control de acceso

i) Prevención del acceso no autorizado a productos

Procesamiento externalizado: HubSpot aloja su servicio con proveedores externos de infraestructura de nube. Además, HubSpot mantiene relaciones contractuales con proveedores con el fin de proporcionar el servicio de conformidad con nuestro Acuerdo para el procesamiento de datos. HubSpot recurre a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.

Seguridad física y ambiental: HubSpot aloja su infraestructura de producto con proveedores externos de infraestructura multiinquilino. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autenticación: HubSpot implementó una política de contraseñas uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: Los Datos de los clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de los productos de HubSpot está diseñado para garantizar que solo las personas asignadas de manera adecuada puedan acceder a las características, las visualizaciones y las opciones de personalización relevantes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Acceso a la interfaz de programación de aplicaciones (API): Se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

HubSpot implementa los controles de acceso y capacidades de detección estándares de la industria para las redes internas que respaldan sus productos.

Controles de acceso: los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: HubSpot implementó una solución de Firewall de aplicación web (WAF) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se realizan revisiones de seguridad de los códigos guardados en los depósitos de código fuente de HubSpot para comprobar las buenas prácticas de codificación y las fallas de software identificables.

Prueba de penetración: HubSpot recurre a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas de penetración al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.

Recompensas por detección de errores: un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente las fallas de seguridad. HubSpot implementó un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de productos contra ataques sofisticados.

iii) Limitaciones de los requisitos de privilegio y autorización

Acceso a productos: un subconjunto de empleados de HubSpot tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just in time (justo a tiempo); todas estas solicitudes se registran. Los empleados obtienen acceso según la función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.

Comprobación de antecedentes: todos los empleados de HubSpot se someten a una comprobación de antecedentes a cargo de un tercero, de conformidad con las leyes aplicables, antes de recibir una oferta de trabajo. Todos los empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

En tránsito: HubSpot ofrece el cifrado HTTPS (también conocido como SSL o TLS) en cada una de sus interfaces de inicio de sesión y gratis en cada sitio de cliente alojado en productos de HubSpot. HubSpot implementa el protocolo HTTPS usando algoritmos y certificados estándares de la industria.

En reposo: HubSpot almacena las contraseñas de los usuarios de conformidad con políticas basadas en las prácticas estándares de la industria para la seguridad.  HubSpot ha implementado tecnologías para garantizar que los datos guardados se cifren en reposo. 

Detección: HubSpot diseñó su infraestructura para registrar mucha información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados correspondientes acerca de actividades maliciosas, no deseadas o anómalas. El personal de HubSpot, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.

Respuesta y monitorización: HubSpot mantiene un registro de incidentes conocidos de seguridad, que incluye descripciones, fechas y horarios de actividades relevantes y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifican y documentan las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, HubSpot seguirá los pasos adecuados para minimizar el daño del producto o del cliente o la divulgación no autorizada. Las notificaciones al Cliente se realizarán según los términos del DPA o el Acuerdo. 

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y HVAC.

Tolerancia a fallas: las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Los datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad en línea: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una base de datos principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándares de la industria.

Los productos de HubSpot están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que las operaciones de HubSpot mantengan y actualicen las aplicaciones de producto y la capacidad backend, mientras limitan el tiempo de inactividad.

Anexo 3: Cláusulas contractuales estándar

Para los fines del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos,

el Cliente, como se define en los Términos de servicio para clientes de HubSpot (el «exportador de datos»),

y

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (el «importador de datos»),

cada uno de los cuales actúa como una «parte»; y en conjunto como «las partes»,

ACUERDAN las siguientes Cláusulas contractuales (las Cláusulas) con el objeto de ofrecer garantías suficientes respecto de la protección de privacidad y las libertades fundamentales de las personas para la transferencia de datos personales del exportador de datos al importador de datos, como se especifica en el Anexo 1.

Cláusula 1

Definiciones

Para los fines de las Cláusulas:

«datos personales», «categorías especiales de datos», «procesar/procesamiento», «interventor», «procesador», «parte interesada» y «autoridad supervisora» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y el Consejo del 24 de octubre de 1995 en cuanto a la protección de las personas respecto del procesamiento de datos personales y la transferencia libre de dichos datos;

«el exportador de datos» hace referencia al interventor que transfiere los datos personales;

«el importador de datos» es el procesador que acepta recibir los datos personales del exportador de datos destinados al procesamiento en su nombre después de la transferencia de acuerdo con las instrucciones y los términos de las Cláusulas, y que no está sujeto al sistema de un país tercero con el fin de garantizar la protección adecuada en virtud del Artículo 25(1) de la Directiva 95/46/CE;

«el subprocesador» hace referencia a cualquier procesador involucrado por el importador de datos o por otro subprocesador del importador de datos que acepte recibir datos personales del importador de datos o de cualquier otro subprocesador del importador de datos con el fin exclusivo de llevar a cabo actividades de procesamiento en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

«la ley de protección de datos aplicable» hace referencia a la legislación que protege los derechos fundamentales y las libertades de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicable a un interventor de datos en el estado miembro de establecimiento del exportador de datos;

«las medidas de seguridad técnicas y organizacionales» hacen referencia a las medidas destinadas a la protección de datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, especialmente cuando el procesamiento involucra la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Anexo 1, que forma una parte integral de las Cláusulas.

Cláusula 3

Cláusula de tercero como beneficiario

1.  La parte interesada puede aplicar esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el exportador de datos como tercero beneficiario.

2. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el importador de datos, en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad.

3. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y Cláusulas 9 a 12 contra el subprocesador, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o se hayan vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

4. Las partes no se oponen a que las partes interesadas estén representadas por una asociación u otras entidades, si así lo desean expresamente y si la ley nacional lo permite.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

(a) que el procesamiento, incluida la transferencia, de datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la ley de protección de datos aplicable (y, cuando corresponda, se notificará a las autoridades competentes del Estado Miembro donde se encuentre el exportador de datos), sin violar las disposiciones relevantes de ese Estado;

(b) que ha instruido y, durante todo el período de prestación de servicios de procesamiento de datos personales, instruirá al importador de datos que procese los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos y las Cláusulas aplicables;

(c) que el importador de datos brindará las garantías suficientes con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 de este contrato;

(d) que, después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal, o la pérdida, la alteración, la divulgación o el acceso accidentales o no autorizados, especialmente cuando el procesamiento requiere la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento; asegura también que estas medidas garantizan un nivel apropiado de seguridad ante los riesgos presentados por el procesamiento y la naturaleza de los datos por proteger teniendo en cuenta la técnica y los costos de la implementación;

(e) que asegurará el cumplimiento de las medidas de seguridad;

(f) que si la transferencia involucra categorías especiales de datos, la parte interesada ha sido informada o será informada de antemano o en cuanto sea posible de que los datos podrían transmitirse a un país tercero que no proporcione la protección adecuada en virtud de la Directiva 95/46/CE;

(g) que reenviará cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) que, a petición de la parte interesada, pondrá a disposición de esta una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, además de una copia de cualquier contrato para los servicios de subprocesamiento que debe hacerse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminarla;

(i) que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de acuerdo con la Cláusula 11 por parte del subprocesador, ofreciendo al menos el mismo nivel de protección de datos personales y los mismos derechos de la parte interesada que el importador de datos en virtud de las Cláusulas; y

(j) que asegurará el cumplimiento con la Cláusula 4(a) a (i).

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza lo siguiente:

(a) que procesará los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones y las Cláusulas; si no pudiera cumplir con estas por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, quien podrá suspender la transferencia de datos o finalizar el contrato;

(b) que no tiene motivos para creer que la legislación aplicable no le permitirá cumplir con las instrucciones recibidas de parte del exportador de datos y sus obligaciones de conformidad con el contrato y que, en caso de que cambiara la legislación de un modo que pudiera tener un efecto adverso sustancial sobre las garantías y obligaciones proporcionadas por las Cláusulas, notificará de inmediato al exportador de datos acerca del cambio en cuanto tome conocimiento de este, caso en el que el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 antes de procesar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos acerca de:

(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación;

(ii) todo acceso accidental o no autorizado; y

(iii) toda solicitud sin respuesta recibida directamente de las partes interesadas, a menos que haya sido autorizado para ese propósito;

(e) que resolverá de manera oportuna y adecuada todas las consultas del exportador de datos en relación con el procesamiento de los datos personales sujetos a la transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

(f) que, a petición del exportador de datos, someterá a las instalaciones en las que se lleva a cabo el procesamiento de datos a la auditoría de las actividades de procesamiento cubiertas por las Cláusulas a cargo del exportador de datos o un organismo de inspección compuesto por miembros independientes que tengan las calificaciones profesionales requeridas, que estén sujetos a una obligación de confidencialidad y que estén seleccionados por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;

(g) que, a petición de la parte interesada, pondrá a su disposición una copia de las Cláusulas, o un contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información sobre la empresa, en cuyo caso eliminará dicha información, con excepción del Anexo 2 que deberá ser reemplazado por una descripción resumida de las medidas de seguridad en los casos en que la parte interesada no pueda obtener una copia del exportador de datos;

(h) que, en caso de subprocesamiento, informará previamente al exportador de datos y obtendrá su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

(j) que enviará de inmediato al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier parte interesada que haya sido afectada por una violación de las obligaciones que se mencionan en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.

2. Si la parte interesada no puede interponer la demanda de indemnización contra el exportador de datos de acuerdo con el Párrafo 1, a causa del incumplimiento de las obligaciones por parte del importador de datos o su subprocesador a las que se hace referencia en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de facto, ha cesado de existir o se ha vuelto insolvente, el importador de datos acepta que la parte interesada puede presentar una demanda contra el importador de datos en calidad del exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede ejercer sus derechos contra dicha entidad. El importador de datos no podrá basarse en el incumplimiento de las obligaciones por parte de un subprocesador para eludir sus propias responsabilidades.

3. Si una parte interesada no puede presentar una demanda contra el exportador de datos o el importador de datos a los que se hace referencia en los párrafos 1 y 2, a causa del incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes, el subprocesador acuerda que la parte interesada puede presentar una demanda contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por efecto de la ley, en cuyo caso la parte interesada podrá exigir sus derechos a dicha entidad. La responsabilidad del subprocesador debe limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

Cláusula 7

Mediación y jurisdicción

(a) remitir el conflicto a mediación por parte de una persona independiente o, si corresponde, por parte de la autoridad de control;
(b) remitir el conflicto a los tribunales del Estado miembro donde está establecido el exportador de datos.

2. Las partes acuerdan que la elección que haga la parte interesada no perjudicará sus derechos sustantivos a obtener reparación de conformidad con otras disposiciones de derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades supervisoras

1. El exportador de datos acuerda proporcionar una copia de este contrato a la autoridad supervisora si esta lo solicita o si se requiere de conformidad con la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tenga el mismo alcance y esté sujeta a las mismas condiciones que corresponderían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

3. El importador de datos debe informar sin demora al exportador de datos acerca de la existencia de leyes aplicables a este o a cualquier subprocesador que prevengan la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el Párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).

Cláusula 9

Ley vigente

Las Cláusulas deben regirse por la ley del Estado miembro donde se establece el exportador de datos.

Cláusula 10

Variantes del contrato

Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus empresas en caso necesario, siempre y cuando estas no contradigan las Cláusulas.

Cláusula 11

Subprocesamiento

1. El importador de datos no deberá subcontratar ninguna de sus operaciones de procesamiento en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con respecto a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador, en el que se le impongan las mismas obligaciones que se imponen al importador de datos de conformidad con las Cláusulas. En caso de que el subprocesador no cumpla con sus obligaciones de protección de datos de conformidad con dicho acuerdo escrito, el importador de datos continuará asumiendo plena responsabilidad ante el exportador de datos por el desempeño de las obligaciones del subprocesador en virtud de dicho acuerdo.

2. El contrato escrito previo entre el importador de datos y el subprocesador contendrá también una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que la parte interesada no pueda interponer la demanda de indemnización a la que se refiere en el Párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, y en caso de que ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud del contrato o por efecto de la ley. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

3. Las disposiciones relacionadas con los aspectos de protección de datos para el subprocesamiento del contrato que se mencionan en el Párrafo 1 deben regirse por la ley del Estado miembro en el que se establece el exportador de datos.

4. El exportador de datos debe mantener una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j). Dicha lista se debe actualizar, al menos, una vez al año. La lista debe ponerse a disposición de la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales

1. Las partes acuerdan que, al término de la prestación de servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de estos al exportador de datos o deberán destruir los datos personales y certificar al exportador de datos que esto se ha hecho, a menos que las leyes impuestas al importador de datos lo impidan. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y que no los volverá a procesar activamente.

2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad supervisora, pondrán a disposición sus instalaciones de procesamiento de datos para realizar una auditoría de las medidas mencionadas en el Párrafo 1.

Anexo 1 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas.

Los términos definidos utilizados en este Anexo 1 tendrán los significados otorgados en el Acuerdo (con el DPA).

Exportador de datos

El exportador de datos es la entidad jurídica especificada como «Cliente» en el DPA. 

Importador de datos

El importador de datos es HubSpot, Inc.

Partes interesadas

Ver el Anexo 1 del DPA, que describe a las Partes interesadas. 

Categorías de datos

Ver el Anexo 1 del DPA, que describe las Categorías de datos. 

Categorías de datos especiales (si corresponde)

Las partes no anticipan la transferencia de categorías especiales de datos.

Propósito del procesamiento

HubSpot, Inc. procesará los datos personales como sea necesario para ofrecer los Servicios de suscripción al exportador de datos según lo dispuesto en el Acuerdo.  

Operaciones de procesamiento

Ver el Anexo 1 del DPA, que describe las operaciones de procesamiento. 

Anexo 2 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas. 

Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o la documentación/legislación adjunta):

Ver el Anexo 2 del DPA, que describe las medidas de seguridad técnicas y organizacionales implementadas por HubSpot. 

Anexo 3 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas. 

Este anexo define la interpretación de las partes de sus respectivas obligaciones según términos específicos de las Cláusulas contractuales estándar («Cláusulas»). Cuando una parte cumple con las interpretaciones delineadas en este Anexo, considerará que la otra parte ha cumplido con sus compromisos según las Cláusulas.  

A los efectos de este Anexo, «DPA» hace referencia al Acuerdo para el procesamiento de datos establecido entre el Cliente y HubSpot y al que se incorporan estas Cláusulas, y «Acuerdo» tiene el significado establecido en el DPA. 

Cláusula 4(h) y 8: Divulgación de estas cláusulas  

a. El exportador de datos acepta que estas Cláusulas constituyen la Información confidencial del importador de datos como se define ese término en el Acuerdo y que no podrá ser divulgado por el exportador de datos a ningún tercero sin el previo consentimiento por escrito del importador de datos, a menos que esto esté permitido según el Acuerdo.  Esto no deberá evitar la divulgación de estas cláusulas a una parte interesada según la Cláusula 4(h) o una autoridad supervisora según la Cláusula 8.

Cláusula 5(a): Suspensión de transferencias de datos y finalización

a. Las partes reconocen que el importador de datos puede procesar los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones dadas por el mismo y las Cláusulas.

b. Las partes reconocen que si el importador de datos no pudiera garantizar el cumplimiento por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, en cuyo caso este podrá suspender la transferencia de datos o finalizar el contrato.

c. Si el exportador de datos desea suspender la transferencia de datos o finalizar estas Cláusulas, deberá notificar al importador de datos y ofrecerle un período razonable para subsanar el incumplimiento («período de subsanación»).

d. Si luego del período de subsanación, el importador de datos no ha podido o querido subsanar el incumplimiento, entonces el exportador de datos puede suspender o finalizar la transferencia de datos de forma inmediata.  El exportador de datos no necesita dar aviso previo en el caso de que considere que constituye un riesgo material a las partes interesadas de sus Datos personales.

Cláusula 5(f): Auditorías

a. El exportador de datos reconoce y acepta que deberá ejercer sus derechos de auditoría según la Cláusula 5(f), instruyendo al importador de datos a cumplir con las medidas de auditoría descritas en la Sección 7(g) (Demostración de cumplimiento) del DPA.  

Cláusula 5(j): Divulgación de acuerdos para subprocesadores

a. Las partes reconocen la obligación del importador de datos de enviar inmediatamente al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.

b. Además, las partes reconocen que, conforme a las restricciones de confidencialidad para subprocesadores, el importador de datos puede verse imposibilitado de mostrar acuerdos de subprocesadores posteriores al exportador de datos.  Sin perjuicio de esto, el importador de datos deberá hacer todos los esfuerzos razonables para que cualquier subprocesador que designe le muestre su acuerdo de subprocesador al exportador de datos.

c. Incluso cuando el importador de datos no pueda mostrarle un acuerdo de subprocesador al exportador de datos, las partes acuerdan que, a pedido del exportador de datos, el importador de datos deberá (de forma confidencial) ofrecer toda la información razonable que se requiere en relación a dicho acuerdo de subprocesador al exportador de datos. 

Cláusula 6: Responsabilidad

Cláusula 11:  Subprocesamiento posterior

a. Las partes reconocen que, según el Preguntas frecuentes II.1 en el Artículo 29 del Informe de trabajo WP 176, llamado «Preguntas frecuentes para responder a algunos interrogantes relacionados con la entrada en vigor de la Decisión 2010/87/EU de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales para la transferencia de datos personales a procesadores establecidos en países terceros según la Directiva 95/46/EC», el exportador de datos puede dar un consentimiento general al subprocesamiento posterior por el importador de datos.

b. Por consiguiente, el exportador de datos ofrece un consentimiento general al importador de datos, según la Cláusula 11 de estas Cláusulas, para trabajar con Subprocesadores en adelante.  Dicho consentimiento dependerá del cumplimiento del importador de datos con los requisitos definidos en la Sección 7(d) (Notificación y objeción a nuevos subprocesadores) del DPA. 

Cláusula 12: Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales

a. El importador de datos acepta que el exportador de datos cumplirá su obligación de devolver o destruir todos los datos personales al término del servicio de procesamiento de datos, cumpliendo con la sección «Eliminación o devolución de Datos personales» del DPA.  

 Anexo 4: Lista de subprocesadores

Amazon Web Services, Inc.

Google, Inc.

Cloudflare, Inc.

Twilio, Inc.

Message Systems, Inc.

SendGrid, Inc.

Snowflake, Inc.* 

HubSpot, Inc.

HubSpot Ireland, Ltd.

HubSpot Germany GmbH

HubSpot Australia Pty. Ltd.

HubSpot Asia Pte. Ltd.

HubSpot Japan KK

HubSpot Latin America, S.A.S.

HubSpot Sweden

*En el caso de los clientes de HubSpot que adquirieron servicios después del 11 de marzo de 2020, los datos se almacenarán/procesarán automáticamente en nuestro nuevo Subprocesador, Snowflake. Los clientes de HubSpot actuales que compraron nuestros servicios antes del 11 de marzo de 2020 recibirán un aviso por correo electrónico durante las próximas semanas en relación con la incorporación del Subprocesador Snowflake. 

En ese correo se detallará el derecho a rechazar que los Datos del cliente (tal como se definen en los Términos de servicio para clientes de HubSpot) se carguen en este subprocesador. Los datos solo se cargarán en Snowflake una vez finalizado el periodo de 30 días en el que puedes solicitar la exclusión. Si tienes alguna pregunta, envíanos un correo electrónico a snowflakemigration@hubspot.com. 

Si quieres recibir un mensaje cuando actualicemos el Anexo 4, haz clic aquí.