Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 15 de noviembre de 2022

Este documento se proporciona únicamente para comodidad de la persona interesada. La versión en inglés de este documento prevalecerá y bajo ninguna circunstancia se interpretará que la versión en español modifica a la versión en inglés, ni que se aplica de ningún modo a la relación entre las partes.

[¿Necesitas una copia firmada que incluya el texto completo de las cláusulas contractuales tipo, la Adenda del Reino Unido y la lista de subencargados del tratamiento? Haz clic aquí.]

Este acuerdo para el tratamiento de datos ("DPA") de HubSpot y sus anexos reflejan el acuerdo entre las partes con respecto al tratamiento de datos personales que hacemos en tu nombre, en relación con nuestros servicios de suscripción y de conformidad con los Términos de servicio para clientes de HubSpot, disponibles en https://legal.hubspot.com/es/terms-of-service, entre tú y HubSpot (en este DPA, el "Acuerdo").

Este DPA es una adición a este acuerdo, constituye una parte integral de él y entra en vigor en el momento de su incorporación al acuerdo; incorporación que puede estar especificada en el acuerdo, en un pedido o una enmienda ejecutada del acuerdo. En caso de conflicto o inconsistencia con los términos del acuerdo, este DPA tendrá prioridad únicamente a los efectos de dicho conflicto o inconsistencia.

Actualizamos estos términos periódicamente. Si tienes una suscripción de HubSpot activa, te informaremos mediante una notificación en la app, o bien por correo electrónico si hiciste clic en el enlace para recibir estas notificaciones incluido en nuestros Términos generales. Puedes encontrar las versiones archivadas de este DPA en https://legal.hubspot.com/legal-stuff/archive.

La vigencia de este DPA será la misma que la vigencia del acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el acuerdo.

1. Definiciones
2. Responsabilidades del cliente
3. Obligaciones de HubSpot
4. Solicitudes de los titulares de los datos
5. Subencargados
6. Transferencias de datos
7. Disposiciones adicionales sobre datos europeos
8. Disposiciones adicionales sobre la información personal de California
9. Disposiciones generales
10. Partes de este DPA

Anexo 1: Detalles del tratamiento

Anexo 2: Medidas de seguridad

Anexo 3: Subencargados

1. Definiciones

"Información personal de California" hace referencia a los datos personales sujetos a la protección de la CCPA.

"CCPA" se refiere al Código Civil de California, Sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018).

"Consumidor", "Empresa", "Vender" y "Proveedor de servicios" tendrán las definiciones que se les dé en la CCPA. 

"Responsable del tratamiento" hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del tratamiento de datos personales.

"Leyes de protección de datos" se refiere a toda la legislación aplicable a nivel mundial relacionada con la privacidad y protección de información en virtud del acuerdo, la cual incluye, entre otras, las leyes de protección de datos de Europa, la CCPA y las leyes de protección y privacidad de información de Australia y Singapur, en cada caso, según se enmiende, consolide o reemplace ocasionalmente. 

"Titular de los datos" hace referencia a la persona con la que guardan relación los datos personales.

"Europa" se refiere a la Unión Europea, el Área Económica Europea y sus Estados miembros, más Suiza y el Reino Unido. 

"Datos europeos" se refiere a datos personales sujetos a la protección de leyes europeas de protección de información.

"Leyes europeas de protección de datos" se refiere a las leyes de protección de datos aplicables en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, "RGPD"); (ii) la Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de comunicaciones electrónicas y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD incorporado a la legislación nacional aplicable del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea 2018 (Retirada) (el "RGPD del Reino Unido"); y (iv) la Ley Federal suiza de protección de datos del 19 de junio de 1992 y su Ordenanza ("DPA suizo"); en cada caso, según se enmiende, sustituya o reemplace.  

"Instrucciones" hace referencia a las instrucciones escritas y documentadas emitidas por un responsable a un encargado y mediante las cuales se solicita una acción específica o general respecto a los datos personales (como la despersonalización, el bloqueo, la eliminación o la puesta a disposición).

"Afiliados permitidos" hace referencia a cualquiera de tus afiliados que (i) tenga permiso para usar los servicios de suscripción en virtud del acuerdo pero que no haya firmado su propio acuerdo por separado con HubSpot y no sea un "Cliente" según la definición del acuerdo; (ii) se califique como responsable de datos personales que tratamos nosotros; y (iii) esté sujeto a las leyes de protección de datos de Europa.

"Datos personales" hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información (i) está incluida dentro de los datos del cliente y (ii) se la protege de manera similar a los datos personales, a la información personal o a la información personal identificable de conformidad con las leyes de protección de datos.

"Quiebra de seguridad de los datos personales" hace referencia a una quiebra de la seguridad, accidental o ilegítima, que ocasiona la destrucción, pérdida, alteración o divulgación no autorizada de los datos personales transmitidos, almacenados o tratados de cualquier otra manera por nosotros o nuestros subencargados en relación con la provisión de los servicios de suscripción. "Quiebra de seguridad de los datos personales" no incluye intentos ni actividades fallidas que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

"Escudo de la privacidad" (Privacy Shield) hace referencia al programa de autocertificación UE-EE. UU. y Suiza-EE. UU., operado por el Departamento de Comercio y aprobado por la Comisión Europea según la decisión del 12 de julio de 2016 y por el Consejo Federal Suizo el 11 de enero de 2017, respectivamente, según se enmiende, sustituya o reemplace.

"Principios del Escudo de la privacidad (Privacy Shield)" hace referencia a los principios del Escudo de la privacidad (complementados por los principios suplementarios) contenidos en el Anexo II a la Decisión de la Comisión Europea del 12 de julio de 2016, según se enmiende, sustituya o reemplace.

"Tratamiento" hace referencia a toda operación o conjunto de operaciones que se lleve a cabo con los datos personales, incluido el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o publicación por cualquier otro medio, el ajuste o combinación, o la restricción o el borrado de datos personales. Los términos "tratamiento", "tratamientos" y "tratados" se interpretarán en consecuencia.

"Encargado" hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable.

"Cláusulas contractuales tipo" hace referencia a las cláusulas contractuales tipo que se anexan a la Decisión de ejecución de la Comisión Europea (UE) 2021/914 del 4 de junio de 2021, que actualmente se encuentra en https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers, según se enmiende, sustituya o reemplace.

"Subencargado" hace referencia a cualquier encargado del tratamiento, contratado por nosotros o por nuestros Afiliados, que nos ayude a cumplir con nuestras obligaciones con respecto a la provisión de los servicios de suscripción en virtud del acuerdo.  Los subencargados podrían incluir terceros o afiliados nuestros, pero no incluyen a los empleados ni a los consultores de HubSpot.  

"Adenda del Reino Unido" hace referencia a la adenda sobre transferencias internacionales de datos emitido por la Oficina del Comisionado de Información del Reino Unido en la sección 119A(1) de la Ley de Protección de datos 2018 y actualmente disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, en cada caso, según se enmiende, sustituya o reemplace.

2. Responsabilidades del cliente

a. Cumplimiento de la ley. Dentro del ámbito de aplicación del acuerdo y su uso de los servicios, serás responsable de cumplir con todos los requisitos que correspondan según las leyes de protección de datos aplicables con respecto al tratamiento de datos personales y las instrucciones que nos envías.

En particular, y sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable por: (i) la exactitud, calidad y legalidad de los datos de los clientes y la forma en que obtuviste datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad según las leyes de protección de datos aplicables para la recopilación y el uso de datos personales, que incluye la obtención de todas las autorizaciones y consentimientos necesarios (en particular, para el uso con fines de marketing por parte del cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer a HubSpot acceso a los datos personales para que podamos tratarlos según los términos del acuerdo (incluido este DPA); (iv) asegurar que las instrucciones que nos des con respecto al tratamiento de datos personales cumplan con la ley aplicable, incluidas las leyes de protección de datos; y (v) cumplir con todas las leyes (incluidas las leyes de protección de datos) aplicables a todo correo electrónico o demás contenido creado, enviado o administrado a través de los servicios de suscripción, incluidos los que se relacionan con la obtención de consentimiento (cuando sea necesario) para enviar correos electrónicos, el contenido de dichos correos y sus prácticas de implementación. Deberás notificarnos sin demora injustificada si no puedes cumplir con tus responsabilidades según esta subsección ("Cumplimiento de la ley") o las leyes de protección de datos aplicables.

b. Instrucciones del responsable. Las partes aceptan que el acuerdo (incluido este DPA), junto con el uso que haces del servicio de suscripción según el acuerdo, constituyen la totalidad de tus instrucciones a HubSpot con respecto al tratamiento de datos personales en tanto que, durante el plazo de suscripción, nos proporciones instrucciones adicionales que sean coherentes con el acuerdo, así como con la naturaleza y el uso legal del servicio de suscripción.

c. Seguridad. Es tu responsabilidad determinar de manera independiente si la seguridad de los datos que se proporciona en el servicio de suscripción cumple adecuadamente con tus obligaciones de conformidad con las leyes de protección de datos aplicables. También eres responsable del uso seguro del servicio de suscripción, lo cual incluye la protección de los datos personales en tránsito desde y hacia dicho servicio (incluida la creación de copias de seguridad o el cifrado seguros de estos datos).

3. Obligaciones de HubSpot

a. Cumplimiento de las instrucciones. Solo tratamos datos personales con los fines descritos en este DPA o según lo acordado en las instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con ninguna ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.

b. Conflicto entre leyes. Si descubrimos que no podemos tratar datos personales de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la ley; y (ii) cuando sea necesario, suspenderemos el tratamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que nos des nuevas instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el acuerdo, HubSpot no será responsable ante ti por el incumplimiento de los servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al tratamiento.

c. Seguridad. Implementaremos y mantendremos medidas técnicas y organizativas adecuadas para proteger los datos personales contra toda quiebra de seguridad, según se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). Sin perjuicio de ninguna disposición contraria, podemos modificar o actualizar las medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por dichas medidas. 

d. Confidencialidad. Nos aseguraremos de que todo el personal que tenga autorización para tratar los datos personales en nuestro nombre esté sujeto a obligaciones adecuadas de confidencialidad respecto a esos datos personales (ya sea por obligación legal o por contrato).

e. Quiebra de seguridad de los datos personales. Te notificaremos sin demora injustificada cualquier quiebra en la seguridad de los datos personales de la que seamos conscientes, y te ofreceremos información oportuna tan pronto como tengas conocimiento de ella o tan pronto como nos lo solicites. Si nos lo solicitas, HubSpot te ofrecerá la ayuda necesaria, dentro de lo razonable, para que puedas notificar a las autoridades competentes o a los titulares de los datos afectados acerca de cualquier quiebra de seguridad pertinente si tienes que hacerlo de conformidad con las leyes de protección de datos.

f. Eliminación o devolución de datos personales. Eliminaremos o devolveremos todos los datos de los clientes, incluidos los datos personales tratados(y sus copias) de conformidad con este DPA, al terminar o al vencer el servicio de suscripción y de acuerdo con los procedimientos y los plazos definidos en los Términos específicos de los productos. Esta cláusula tendrá validez en todos los casos excepto si la ley aplicable nos exige retener datos de clientes de forma parcial o total, o en aquellos casos en los que tenemos archivados datos de clientes en sistemas de respaldo, que aislaremos de forma segura y protegeremos de forma que no se someta a más tratamiento, y que eliminaremos de conformidad con nuestras prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o la terminación de tu suscripción enviando una solicitud relativa a la privacidad mediante este formulario: https://preferences.hubspot.com/privacy.  También puedes cancelar tu cuenta de conformidad con la sección "Cancelación anticipada" del documento Términos de servicio para clientes de HubSpot, y solicitar la eliminación permanente siguiendo las instrucciones que se detallan en https://knowledge.hubspot.com/es/account/how-do-i-cancel-my-hubspot-account. Puedes obtener los datos de tus clientes desde tu cuenta, de acuerdo con las secciones sobre la obtención de datos de clientes" que se incluyen en el documento de Términos específicos de los productos.

4. Solicitudes de los titulares de los datos

El servicio de suscripción te ofrece algunos controles para buscar, corregir, eliminar o limitar los datos personales, que puedes usar en virtud de tus obligaciones según las leyes de protección de datos, incluidas tus obligaciones de responder a las solicitudes de los titulares de los datos para ejercer sus derechos según las leyes de protección de datos aplicables ("Solicitudes de los titulares de los datos"). 

Si no puedes satisfacer de forma independiente la solicitud de un titular de datos a través del servicio de suscripción, entonces, previa presentación de una solicitud escrita, HubSpot te ofrecerá asistencia en la medida de lo razonable para responder a todas las solicitudes de los titulares de los datos o a solicitudes de las autoridades de protección de datos con respecto al tratamiento de datos personales según se estipula en el acuerdo. Deberás reembolsar a HubSpot los gastos derivados de esta asistencia según sea razonable desde un punto de vista comercial.

Si recibimos directamente una solicitud del titular de los datos u otra comunicación con respecto al tratamiento de datos personales según se estipula este acuerdo, te informaremos tan pronto como esté en nuestra mano y aconsejaremos al titular de los datos que te envíe su consulta. La responsabilidad de responder de forma sustancial a las solicitudes de los titulares de los datos o a las comunicaciones relacionadas con datos personales es únicamente tuya.

5. Subencargados

Aceptas que podemos contratar subencargados para tratar datos personales en tu nombre, y que lo haremos de tres formas. Primero, podemos contratar subencargados para que nos ayuden con el alojamiento y la infraestructura. Segundo, podemos contratar subencargados para facilitar determinadas características e integraciones. Tercero, podemos contratar afiliados de HubSpot como subencargados para prestar servicio y asistencia. Algunos subencargados tratarán tus datos de forma predeterminada, mientras que otros lo harán solo si das tu consentimiento.

En la actualidad, los subencargados que hemos designado son los afiliados de HubSpot y los terceros mencionados en el Anexo 3 de este DPA. Para solicitar que te enviemos una notificación por correo electrónico cuando añadamos o reemplacemos alguno de nuestros subencargados, completa el formulario que encontrarás en https://legal.hubspot.com/subscribe-subprocessor-updates y te informaremos de estos cambios con 30 días de antelación como mínimo. 

Siempre que trabajemos con subencargados, impondremos sobre ellos términos relativos a la protección de datos que ofrezcan al menos el mismo nivel de protección de datos personales que los de este DPA (incluidas, cuando corresponda, las cláusulas contractuales tipo), en la medida aplicable a la naturaleza de los servicios brindados por dichos subencargados. Seguiremos siendo responsables de que cada subencargado cumpla con las obligaciones de este DPA, así como de todas las acciones u omisiones de estos subencargados que conlleven el incumplimiento de cualquiera de las obligaciones de este DPA por parte de HubSpot.

6. Transferencias de datos

Reconoces y aceptas que podemos acceder a tus datos personales y tratarlos de forma global, según sea necesario, para ofrecer el servicio de suscripción de conformidad con este acuerdo y, en particular, que los datos personales pueden ser tratados por HubSpot, Inc. en Estados Unidos y transferirse a otras jurisdicciones donde operen los afiliados y subencargados de HubSpot. Cuando se transfieran datos personales fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las leyes de protección de datos.

7. Disposiciones adicionales sobre datos europeos

a. Alcance. La sección "Disposiciones adicionales sobre datos europeos" solo se aplicará a los datos europeos.

b. Rol de las partes. Al tratar datos europeos según tus instrucciones, las partes reconocen y aceptan que tú eres el responsable del tratamiento de los datos europeos y nosotros somos el encargado.

c. Instrucciones. Si consideramos que tus instrucciones incumplen las leyes de protección de datos de Europa (si corresponde), te informaremos de ello sin demora.

d. Objeción a nuevos subencargados. Tendrás la oportunidad de objetar, con fundamentos razonables, la incorporación de nuevos subencargados en relación con la protección de datos personales dentro de los 30 días de haber recibido la notificación de acuerdo con la sección "Subencargados". Si nos notificas acerca de dicha objeción, las partes hablarán en buena fe de tus inquietudes para lograr una resolución razonable desde un punto de vista comercial. De no lograrse dicha resolución, HubSpot, a su entera discreción, podrá elegir no designar al subencargado nuevo o permitirte suspender o cancelar el servicio de suscripción afectado según las cláusulas de cancelación del acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por ti antes de la suspensión o cancelación). Las partes acuerdan que, al cumplir con esta subsección (d), HubSpot cumple con sus obligaciones de conformidad con la sección 9 de las cláusulas contractuales tipo.

e. Acuerdos con los subencargados. A los efectos de la Cláusula 9(c) de las cláusulas contractuales tipo, reconoces que podríamos tener limitaciones a la hora de divulgar los acuerdos con nuestros subencargados, pero haremos todo lo razonablemente posible para solicitar a cualquier subencargado que designemos que nos permita compartir contigo su acuerdo y te proporcionaremos (de manera confidencial) toda la información que podamos.

f. Evaluaciones del impacto de la protección de datos y consulta con autoridades supervisoras. En la medida en que la información solicitada esté razonablemente disponible para nosotros y tú no tengas acceso a ella, te ofreceremos asistencia en la medida de lo razonable con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras (p. ej., la Agencia Francesa de Protección de Datos [CNIL], la Autoridad de Protección de Datos de Berlín [BlnBDI] y la Oficina del Comisionado de Información del Reino Unido [ICO]) u otras autoridades competentes de privacidad de datos, según lo requerido por las leyes de protección de datos de Europa.

g. Mecanismos de transferencias de datos.

(A) HubSpot no transferirá datos europeos a ningún país ni destinatario que no haya demostrado ofrecer un nivel de protección de datos personales adecuado (según la definición de la ley europea de protección de datos), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumple con las leyes europeas de protección de datos aplicables. Dichas medidas pueden incluir, entre otras, la transferencia de dichos datos a un destinatario que tenga el respaldo de un marco apropiado u otro mecanismo legal y adecuado que las autoridades o tribunales pertinentes reconozcan con un nivel suficiente de protección de los datos personales, a un destinatario que haya logrado la autorización de normas corporativas vinculantes según la ley de protección de datos europea o un destinatario que haya aplicado las cláusulas contractuales tipo adecuadas, en cada caso según lo adoptado o aprobado en virtud de las leyes de protección de datos europeas.

(B) Reconoces que, en conexión con la prestación de los servicios de suscripción, HubSpot, Inc. es un destinatario de datos europeos en Estados Unidos. De conformidad con las subsecciones (C) y (D), las partes acuerdan que las cláusulas contractuales tipo se incorporarán como referencia y forman parte del acuerdo de la siguiente manera:

• (a) Transferencias del Espacio Económico Europeo (EEE). En relación con los datos europeos sujetos al RGPD: (i) el cliente es el "exportador de datos" y HubSpot, Inc. es el "importador de datos"; (ii) los términos del módulo dos se aplican cuando el cliente es un responsable del tratamiento de datos europeos y el módulo tres se aplica cuando el cliente es un encargado del tratamiento de datos europeos; (iii) en la Cláusula 7, se aplica la cláusula de incorporación adicional; (iv) en la Cláusula 9, se aplicará la opción 2 y los cambios en los subencargados se notificarán de acuerdo con la sección "Subencargados" de este DPA; (v) en la Cláusula 11, el idioma opcional deberá eliminarse; (vi) en las Cláusulas 17 y 18, las partes acuerdan que la ley aplicable y la jurisdicción de cualquier litigio para las cláusulas contractuales tipo se determinará de acuerdo con la sección "Entidad contratante; ley aplicable, notificación" del documento Términos específicos según la jurisdicción o, si dicha sección no especifica un estado miembro de la UE, la República de Irlanda (sin hacer referencia a cuestiones relativas al conflicto entre diversos sistemas jurídicos); (vii) los anexos de las cláusulas contractuales tipo se considerarán completos con la información detallada en los anexos de este DPA y (viii) si hubiera algún conflicto entre las cláusulas contractuales tipo y alguna disposición en este DPA, las cláusulas prevalecerán a los efectos de dicho conflicto.
• (b) Transferencias del Reino Unido. En relación con los datos europeos sujetos al RGPD del Reino Unido, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (a) y las siguientes modificaciones: (i) las cláusulas contractuales tipo se modificarán e interpretarán según la Adenda del Reino Unido, que se incorpora a modo de referencia y forma parte integral del acuerdo; (ii) las tablas 1, 2 y 3 de la Adenda del Reino Unido se considerarán completas con la información establecida en los anexos de este DPA y la tabla 4 se considerará completa al seleccionar "ninguna parte" y (iii) cualquier conflicto entre los términos de las cláusulas contractuales tipo y la Adenda del Reino Unido se resolverá de acuerdo con las Secciones 10 y 11 de dicha adenda.
• (c) Transferencias de Suiza. En relación con los datos personales que se rigen por el DPA suizo, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (a) y las siguientes modificaciones: (i) las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias al DPA suizo; (ii) las referencias "UE", "Unión" y "ley de Estado miembro" se interpretarán como referencias a la ley suiza y (iii) las referencias a "autoridad supervisora competente" y "tribunales competentes" se reemplazarán con las referencias "Comisionado Federal para la Protección de Datos y la Información de Suiza" y "tribunales pertinentes de Suiza".

(C) Cuando la entidad contratante de HubSpot en virtud del acuerdo no sea HubSpot, Inc., dicha entidad en cuestión (no HubSpot, Inc.) será total y exclusivamente responsable por el acatamiento de las cláusulas contractuales tipo de HubSpot, Inc. y deberás dirigir las instrucciones, los reclamos y las consultas en relación con dichas cláusulas a esta entidad. Si HubSpot no puede cumplir con sus obligaciones o garantías de cumplimiento según lo establecido en las cláusulas contractuales tipo o la Adenda del Reino Unido (según corresponda) y quieres suspender la transferencia de datos europeos a HubSpot o rescindir dichas cláusulas o la Adenda del Reino Unido, aceptas informarnos con suficiente antelación para que podamos subsanar el incumplimiento y cooperar razonablemente con nosotros para establecer, de ser necesario, medidas de seguridad adicionales con ese fin. Si no podemos subsanar el incumplimiento, puedes suspender o rescindir la parte afectada del servicio de suscripción de conformidad con el acuerdo y sin responsabilidad para ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por el exportador de datos antes de dicha suspensión o cancelación).

(D) Aunque HubSpot, Inc. no adopta actualmente el Escudo de privacidad (Privacy Shield) UE-EE. UU. como base legal para las transferencias de datos europeos en virtud de la sentencia de la Corte de Justicia de la UE en el Caso C-311/18, siempre que cuente con la autocertificación del Escudo de privacidad (Privacy Shield) tratará los datos europeos en cumplimiento con los principios de dicho Escudo de privacidad y te informará si no puede cumplir con este requisito. Si HubSpot adopta un mecanismo de transferencia alternativo para las transferencias de datos europeos a HubSpot, Inc. (incluida cualquier versión nueva o posterior del Escudo de privacidad [Privacy Shield]), dicho mecanismo se aplicará de forma automática en lugar de las cláusulas contractuales tipo que se describen en este DPA (pero solo si el mecanismo de transferencia se adhiere a las leyes de protección de datos de Europa) y tú aceptas ejecutar los demás documentos o tomar medidas según sea razonablemente necesario para conferirle efecto legal a tal mecanismo.

h. Demostración de cumplimiento. Pondremos a tu disposición toda la información razonablemente necesaria para demostrar el cumplimiento con este DPA, y permitiremos y cooperaremos con todo proceso de auditoría, incluidas las inspecciones realizadas a tu cargo o a cargo de tu auditor, para evaluar el cumplimiento de este DPA. Reconoces y aceptas que ejercerás tus derechos de auditoría según este DPA y la Cláusula 8.9 de las cláusulas contractuales tipo instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta sección ("Prueba de cumplimiento"). Reconoces que el alojamiento del servicio de suscripción corre a cargo de nuestros subencargados de alojamiento, los cuales mantienen programas de seguridad validados de forma independiente (como SOC 2 e ISO 27001), y que nuestros sistemas se evalúan anualmente como parte del cumplimiento SOC 2 y se ponen a prueba regularmente por empresas externas a HubSpot que evalúan los riesgos de penetración. Si lo solicitas, te enviaremos (de forma confidencial) el informe de SOC 2 y copias resumidas de nuestros informes de pruebas de penetración para que puedas corroborar el cumplimiento de HubSpot con este DPA.  Puedes descargar copias de estos documentos desde el sitio web de seguridad de HubSpot, en https://legal.hubspot.com/es/security#downloadable-reports.  Además, si nos proporcionas una solicitud escrita, enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información que hagas y que sean necesarias para confirmar nuestro cumplimiento con este DPA, siempre que sean razonables y que no utilices este derecho más de una vez por año natural, a no ser que tengas fundamentos para sospechar un incumplimiento.

8. Disposiciones adicionales sobre la información personal de California

a. Alcance. Las disposiciones adicionales de la sección sobre la información personal de California de este DPA solo se aplicarán con respecto a los datos personales de California.

b. Rol de las partes. Al tratar datos personales de California según tus instrucciones, las partes acuerdan que, a los efectos de la CCPA, tú eres una empresa y HubSpot es un proveedor de servicios.

c. Responsabilidades. Las partes acuerdan que HubSpot tratará los datos personales de California como proveedor de servicios estrictamente para ofrecer los servicios de suscripción y los servicios de consultoría según el acuerdo (el "objetivo empresarial") o según lo que permita la CCPA, incluido lo descrito en la sección "Datos de utilización" de nuestra Política de privacidad. 

9. Disposiciones generales

a. Modificaciones. Sin perjuicio de ninguna disposición contraria al acuerdo y sin perjuicio de las secciones "Cumplimiento de las instrucciones" o "Seguridad" de este DPA, HubSpot se reserva el derecho a hacer cualquier actualización y cambio a este documento, y se aplicarán los términos de la sección "Modificación; no exención" de los Términos generales.

b. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

c. Exención de responsabilidad. La responsabilidad de cada parte y sus afiliados, en conjunto, que resulte o que esté relacionada con este DPA (o con cualquier otro DPA entre las partes) y las cláusulas contractuales tipo (cuando corresponda), ya sea por responsabilidad civil o contractual, o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad delimitados en la sección "Limitación de responsabilidad" de los Términos generales, y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad agregada de esa parte y todos sus afiliados según el acuerdo (incluido este DPA).  Con el fin de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este acuerdo, la sección "Limitación de responsabilidad" de los Términos generales regirá la relación entre tú y HubSpot, Inc. y, en tal respecto, cualquier referencia a "HubSpot", "nosotros" y "nuestro" incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del acuerdo. En ningún caso la responsabilidad de ninguna de las partes se limitará con respecto a los derechos de protección de datos de los individuos que se incluyen en este DPA (incluidas las cláusulas contractuales tipo).

d. Ley aplicable. Este DPA se regirá e interpretará de acuerdo con la sección "Entidad contratante, ley aplicable, notificación" del documento Términos específicos según la jurisdicción, a menos que las leyes de protección de datos especifiquen lo contrario.

10. Partes de este DPA

a. Afiliados permitidos. Al firmar este acuerdo, aceptas este DPA en tu nombre y en nombre de tus afiliados permitidos (incluidas, cuando corresponda, las cláusulas contractuales tipo). A los efectos únicos de este DPA, excepto cuando se indique lo contrario, los términos "Cliente", "tú" y "tu" te incluirán a ti y a dichos afiliados permitidos.

b. Autorización. La entidad jurídica que acepta este DPA como cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus afiliados permitidos.

c. Recursos legales. Las partes acuerdan que: (i) solamente la entidad cliente que sea la parte contratante del acuerdo podrá ejercer cualquier derecho o buscar recursos legales que podría tener cualquier afiliado permitido de conformidad con este DPA en representación de sus afiliados y que (ii) la entidad cliente que sea la parte contratante del acuerdo podrá ejercer tales derechos bajo este DPA de forma indivisa para cada Afiliado permitido, no individualmente, sino de forma conjunta para sí mismo y todos los afiliados permitidos. La entidad cliente que sea la parte contratante del acuerdo será la responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros según el DPA, y tendrá derecho a realizar y recibir todas las comunicaciones relacionadas con este acuerdo en representación de sus afiliados permitidos. 

d. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la sección "Demostración de cumplimiento", tomar todas las medidas razonables para limitar cualquier efecto en HubSpot y sus afiliados, combinando varias solicitudes de auditoría realizadas en representación de la entidad cliente que es la parte contratante del acuerdo y todos sus afiliados permitidos en una sola auditoría.

Anexo 1: Detalles del tratamiento

A. Lista de las partes

Exportador de datos:

Nombre: el cliente, según lo que se define en los Términos de servicio para clientes de HubSpot (en representación de sí mismo y de los afiliados permitidos) 

Dirección: la dirección del cliente, tal como figura en el formulario de pedido

Nombre, cargo e información de la persona de contacto: la información de contacto del cliente, como figura en el formulario de pedido o en su cuenta de HubSpot.

Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de datos personales en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según nuestros Términos de servicio.

Rol (responsable o encargado del tratamiento): responsable

Importador de datos:

Nombre: HubSpot, Inc.

Dirección: 25 First Street, 2nd Floor, Cambridge, Massachusetts 02141, EE. UU. 

Nombre, cargo e información de la persona de contacto: Nicholas Knoop, delegado de protección de datos, HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, Massachusetts 02141 EE. UU.

Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de datos personales en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según nuestros Términos de servicio.

Rol (responsable o encargado del tratamiento): encargado

B. Descripción de la transferencia

Categorías de titulares de datos cuya información personal se transfiere

Puedes enviar datos personales durante el uso del servicio de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse los datos personales relacionados con las siguientes categorías de titulares de datos:

Tus contactos y otros usuarios finales, incluidos tus empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas. Se pueden considerar también como titulares de datos las personas que intentan transferir datos personales a tus usuarios finales o comunicarse con ellos.

Puedes enviar datos personales a los servicios de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse las siguientes categorías de datos: 

• a. Información de contacto (como se define en los Términos generales).
• b. Todos los demás datos personales que tú o tus usuarios finales envíen, presenten o reciban a través del servicio de suscripción.

Las partes no anticipan la transferencia de datos sensibles.

Frecuencia de la transferencia

Continua

Naturaleza del tratamiento

Los datos personales se tratarán según el acuerdo (incluido este DPA) y podrían estar sujetos a las siguientes actividades de tratamiento: 

1. Almacenamiento y otros tipos de tratamiento necesarios para proveer, mantener y mejorar los servicios de suscripción que te ofrecemos; o

2. Divulgación de conformidad con el acuerdo (incluido este DPA) o tal cual lo requieran las leyes aplicables.

Propósito de la transferencia y tratamiento adicional

Trataremos los datos personales de la forma que sea necesaria para ofrecer los servicios de suscripción de conformidad con el acuerdo, tal como se especifica en el formulario de pedido, y como lo indiques en uso que hagas de los servicios de suscripción.

Período durante el que se retendrán los datos personales

Conforme a la sección "Eliminación o devolución de datos personales" de este DPA, trataremos los datos personales durante el periodo del acuerdo, a menos que se acuerde de otro modo por escrito.

C. Autoridad supervisora competente

A los fines de las cláusulas contractuales tipo, la autoridad supervisora que actuará como autoridad supervisora competente se determinará en virtud del RGPD.

Anexo 2: Medidas de seguridad

Actualmente cumplimos con las medidas de seguridad descritas en este Anexo 2. Todos los términos en mayúscula no definidos en este documento tendrán los significados establecidos en los Términos generales.  Si quieres más información sobre estas medidas de seguridad, consulta el informe de SOC 2 tipo II de HubSpot, el informe de SOC 3, el resumen de seguridad y los resúmenes de pruebas de penetración disponibles en https://legal.hubspot.com/es/security#downloadable-reports.

a) Control de acceso

i) Prevención del acceso no autorizado a productos

Tratamiento externalizado: alojamos nuestro servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores con el fin de proporcionar nuestro servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos tratados o almacenados por ellos.

Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. No somos propietarios ni realizamos el mantenimiento del hardware ubicado en los centros de datos de los proveedores de infraestructura externos. Los servidores de producción y las aplicaciones de primera línea se protegen física y lógicamente desde nuestros sistemas internos de información corporativa. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autentificación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: los datos de clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de las aplicaciones. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

Implementamos controles de acceso y funciones de detección estándar del sector para las redes internas que respaldan nuestros productos.

Controles de acceso: los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se utilizan herramientas automatizadas para realizar revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente y así comprobar que se siguen buenas prácticas de programación y detectar fallas de software identificables.

Pruebas de penetración: recurrimos a proveedores de servicios de pruebas de penetración reconocidos en el sector para realizar cuatro pruebas al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso. Las pruebas de penetración se realizan en las capas de la aplicación y en las capas de infraestructura del sistema tecnológico de HubSpot.

Programa de recompensas por detección de errores: un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente fallas de seguridad. Implementamos un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de los productos contra ataques sofisticados.

iii) Limitaciones de los requisitos de privilegio y autorización

Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos de los clientes mediante interfaces controladas. El objetivo de dar acceso a un subconjunto de empleados es proporcionar al cliente asistencia efectiva, posibilitar el desarrollo de productos y la recogida de información, solucionar posibles problemas, detectar y resolver incidentes de seguridad e implementar medidas de protección. El acceso se habilita mediante solicitudes "just in time" ("justo a tiempo" o JITA), que siempre quedan registradas. Los empleados obtienen acceso según su función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Los permisos de acceso administrativo o de alto riesgo se revisan al menos una vez cada seis meses.

Comprobación de antecedentes: cuando la ley lo permita, el personal de HubSpot se someterá a comprobaciones de antecedentes o de referencias a cargo de entidades externas. En Estados Unidos, las ofertas de empleo dependen de los resultados de dichas comprobaciones de antecedentes. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

En tránsito: HubSpot exige el cifrado HTTPS (también conocido como SSL o TLS) en cada una de sus interfaces de inicio de sesión y gratis en cada sitio de cliente alojado en productos de HubSpot. Implementamos el protocolo HTTPS usando algoritmos y certificados estándares del sector.

En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar del sector en materia de seguridad.  Implementamos tecnologías para garantizar que los datos guardados se cifren en reposo. 

Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos reúnen datos de registro y alertan al personal correspondiente acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.

Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifica y documenta las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del acuerdo. 

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen todo lo que pueden, en la medida de lo razonable desde un punto de vista comercial, para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 en los servicios de energía, redes y calefacción, ventilación y aire acondicionado (HVAC).

Tolerancia a fallas: las estrategias de copia de seguridad y replicación están diseñadas para garantizar que se apliquen protecciones de redundancia y conmutación por error si se produce un error importante de procesamiento. Los datos de clientes se almacenan en copias de seguridad guardadas en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad online: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una base de datos principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándares del sector.

Planes de recuperación ante desastres: HubSpot mantiene y evalúa periódicamente planes de recuperación ante desastres para ayudar a garantizar la disponibilidad de la información tras una interrupción o fallas en procesos empresariales críticos.

Nuestros productos están diseñados para garantizar la redundancia y una conmutación por error perfectamente fluida. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, al tiempo que se limita el tiempo de inactividad.

Anexo 3: Subencargados