Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 1 de septiembre de 2020

Este Acuerdo se proporciona únicamente para comodidad del interesado. La versión en inglés de este Acuerdo prevalecerá y bajo ninguna circunstancia se interpretará que la versión de este Acuerdo en idioma español modifica a la versión del mismo en idioma inglés o que se aplica de algún modo a la relación entre las partes.

[Haz clic aquí para descargar el documento firmado (en inglés).]

Este Acuerdo para el procesamiento de datos («DPA») de HubSpot y sus Anexos reflejan el acuerdo entre las partes con respecto al procesamiento de datos personales que hacemos en representación del Cliente en relación con nuestros Servicios de suscripción y de conformidad con los Términos de servicio para clientes entre HubSpot y el Cliente (en este DPA, el «Acuerdo»).

Este DPA es una adición y parte integral del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, un Pedido o una enmienda ejecutada al Acuerdo. En caso de conflicto o inconsistencia con los términos del Acuerdo, este DPA tendrá prioridad, únicamente a los efectos de dicho conflicto o inconsistencia.

Actualizamos estos términos periódicamente. Si tienes una suscripción de HubSpot activa, te informaremos por correo electrónico (si estás suscrito para recibir notificaciones a través de un correo electrónico con el enlace en nuestros Términos principales) o con una notificación en la app. Puedes encontrar las versiones archivadas de este DPA aquí.

La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el Acuerdo.

1. Definiciones
2. Responsabilidades del cliente
3. Obligaciones de HubSpot
4. Solicitudes de la parte interesada
5. Subprocesadores
6. Transferencias de datos
7. Disposiciones adicionales para datos de Europa
8. Disposiciones adicionales para datos personales de California
9. Disposiciones generales
10. Partes de este DPA

Anexo 1: Detalles del procesamiento

Anexo 2: Medidas de seguridad

Anexo 3: Cláusulas contractuales estándar

Anexo 4: Lista de subprocesadores

1. Definiciones

«Información personal de California» hace referencia a Información personal sujeta a la protección del CCPA.

«CCPA» se refiere al Código Civil de California, Sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018).

«Consumidor», «Empresa», «Vender» y «Proveedor de servicios» tendrán las definiciones otorgadas en el CCPA. 

«Interventor» hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.

«Leyes de protección de datos» se refiere a toda la legislación aplicable a nivel mundial relacionada con la privacidad y protección de información en virtud del Acuerdo, lo que incluye, entre otras, leyes de protección de información de Europa, el CCPA y las leyes de protección y privacidad de información de Australia y Singapur, en cada caso, según se enmiende, consolide o reemplace ocasionalmente. 

«Parte interesada» hace referencia a la persona con la que se relacionan los datos personales.

«Europa» se refiere a la Unión Europea, el Área Económica Europea y sus estados miembros, más Suiza y el Reino Unido. 

«Información de Europa» se refiere a Información personal sujeta a la protección de leyes europeas de protección de información.

«Leyes europeas de protección de información» se refiere a las leyes de protección de información en Europa, que incluyen: (i) la Regulación 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, «RGPD»); (ii) Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas, y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) con respecto al Reino Unido, toda legislación nacional aplicable que sustituya o convierta en ley doméstica el RGPD o cualquier otra ley con relación a la información y la privacidad como consecuencia de la salida del Reino Unido de la Unión Europea; y (iv) la Ley federal suiza de protección de datos del 19 de junio de 1992 y su Ordenanza; en cada caso, según se enmiende, sustituya o reemplace.  

«Instrucciones» hace referencia a las instrucciones escritas y documentadas emitidas por un Interventor a un Procesador y mediante las cuales se solicita una acción específica o general respecto a los datos personales (incluidos, entre otros, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

«Afiliados permitidos» hace referencia a cualquiera de tus Afiliados que (i) tengan permiso para usar los Servicios de suscripción en virtud del Acuerdo, pero no hayan firmado su propio acuerdo por separado con HubSpot y no sean un «Cliente» según la definición del Acuerdo; (ii) califiquen como Interventores de datos personales procesados por nosotros; y (iii) estén sujetos a las Leyes de protección de datos de Europa.

«Datos personales» hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales, información personal o a la información personalmente identificable de conformidad con las Leyes de protección de datos.

«Violación de los datos personales» hace referencia a una violación de la seguridad, accidental o ilegal, que ocasiona la destrucción, pérdida, alteración y divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera por nosotros o nuestros subprocesadores en relación con la provisión de los Servicios de suscripción. La «Violación de los datos personales» no incluye intentos o actividades fallidas que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

«Escudo de privacidad» (Privacy Shield) hace referencia al programa de autocertificación UE-EE. UU y Suiza-EE. UU., operado por el Departamento de Comercio y aprobado por la Comisión Europea según la decisión del 12 de julio de 2016 y por el Consejo Federal Suizo el 11 de enero de 2017, respectivamente; en cada caso, según se enmiende, sustituya o reemplace.

«Principios del Escudo de privacidad (Privacy Shield)» hace referencia a los Principios del Escudo de privacidad (complementados por los Principios suplementarios) contenidos en el Anexo II a la Decisión de la Comisión Europea del 12 de julio de 2016; en cada caso, según se enmiende, sustituya o reemplace.

«Procesamiento» hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado. Los términos «proceso», «procesos» y «procesado» se interpretarán como corresponda.

«Procesador» hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del interventor.

«Cláusulas contractuales estándar» hace referencia a las cláusulas estándar de conformidad con la decisión de la Comisión Europea (C(2010)593) del 5 de febrero de 2010, en la forma expuesta en el Anexo 3; en cada caso, según se enmiende, sustituya o reemplace.

«Subprocesador» hace referencia a cualquier Procesador participante de HubSpot o nuestros Afiliados que nos ayude a cumplir con nuestras obligaciones con respecto a la provisión de los Servicios de suscripción en virtud del Acuerdo.  Los Subprocesadores podrían incluir terceros o Afiliados nuestros, pero no incluyen a los empleados o consultores de HubSpot.  

2. Responsabilidades del cliente

a. Cumplimiento de la ley. Dentro del ámbito de aplicación del Acuerdo y su uso de los servicios, serás responsable de cumplir con todos los requisitos que correspondan según las Leyes de protección de datos aplicables con respecto al Procesamiento de datos personales y las Instrucciones que nos envías.

En particular, sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable por: (i) la exactitud, calidad y legalidad de la Información del cliente y la forma en que obtuviste los Datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad según las Leyes de protección de datos aplicables para la recopilación y el uso de los Datos personales, que incluye obtener todas las autorizaciones y consentimientos necesarios (en particular, para el uso con fines de marketing por parte del Cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer acceso a los Datos personales a HubSpot para que podamos procesarlos según los términos del Acuerdo (incluido este DPA); (iv) asegurar que las instrucciones que nos des con respecto al procesamiento de Datos personales cumplan con la ley aplicable, incluso las Leyes de protección de datos; y (v) cumplir con todas las leyes (incluso las Leyes de protección de datos) aplicables a todo correo electrónico o demás contenido creado, enviado o administrado a través de los Servicios de suscripción, incluso los que se relacionan con la obtención de consentimientos (donde sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de implementación. Deberás notificarnos sin demora indebida en caso de no poder cumplir con tus responsabilidades según esta subsección (a) o las Leyes de protección de datos aplicables.

b. Instrucciones del interventor. Las partes aceptan que el Acuerdo (incluido este DPA), junto con el uso que haces del Servicio de suscripción según el Acuerdo, constituyen la totalidad de tus Instrucciones a HubSpot con respecto al procesamiento de Datos personales y que las instrucciones adicionales fuera del alcance de estas Instrucciones requerirán un acuerdo previo por escrito entre tú y nosotros.

3. Obligaciones de HubSpot

a. Cumplimiento de las instrucciones. Solo procesaremos Datos personales con los fines descritos en este DPA o según lo acordado en las Instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con cualquier Ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.

b. Conflicto de leyes. Si descubrimos que no podemos procesar Datos personales de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la Ley; y (ii) cuando sea necesario, suspenderemos el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los Datos personales afectados) hasta que nos des nuevas Instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, HubSpot no será responsable ante ti por el incumplimiento de los Servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al procesamiento.

c. Seguridad. Implementaremos y mantendremos medidas técnicas y de organización adecuadas para proteger los Datos personales contra toda Violación de datos personales, según se describe en el Anexo 2 de este DPA («Medidas de seguridad»). No obstante cualquier disposición contraria, podemos modificar o actualizar las Medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por estas Medidas de seguridad. 

d. Confidencialidad. Debemos garantizar que el personal autorizado a procesar los Datos personales en nombre nuestro esté sujeto a obligaciones adecuadas de confidencialidad (ya sea por obligación legal o por contrato) respecto a esos Datos personales.

e. Violación de datos personales. Te notificaremos sin demora indebida cualquier Violación de Datos personales de la que seamos conscientes y te ofreceremos información oportuna con respecto a dicha violación, al ponerse esto en tu conocimiento o si tú lo solicitas. Si lo solicitas, HubSpot te ofrecerá la ayuda razonablemente necesaria para que puedas notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier Violación de Datos personales pertinente si tienes que hacerlo de conformidad con las Leyes de protección de datos.

f. Eliminación o devolución de datos personales. Eliminaremos o devolveremos toda la Información del cliente, incluidos los Datos personales procesados (incluso las copias) conforme a este DPA, al terminar o vencerse el Servicio de suscripción de acuerdo con los procedimientos y plazos definidos en el Acuerdo. Esto no se aplicará en la medida que se requiera a HubSpot, según la ley aplicable, retener la Información del cliente en forma parcial o total, o guardar la Información del cliente que tuviéramos archivada en sistemas de almacenamiento de copias de seguridad, la que deberemos aislar de forma segura y proteger contra todo procesamiento y eliminación, acorde a sus prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o terminación de tu suscripción enviando una solicitud aquí o siguiendo las instrucciones detalladas aquí. Puedes recuperar la Información de cliente desde tu cuenta, de acuerdo con las secciones sobre «Recuperación de la información del cliente» incluidas en los Términos específicos del producto.

4. Solicitudes de la parte interesada

El Servicio de suscripción te ofrece algunos controles para buscar, corregir, eliminar o limitar los Datos personales, que puedes usar en virtud de tus obligaciones según las Leyes de protección de datos, que incluyen tus obligaciones de responder solicitudes de partes interesadas de ejercer sus derechos según las Leyes de protección de datos aplicables («Solicitudes de la parte interesada»). 

En la medida en que no puedas enviar de forma independiente una Solicitud de la parte interesada a través del Servicio de suscripción, entonces, mediante una solicitud escrita, HubSpot te ofrecerá asistencia razonable para responder cualquier solicitud de la parte interesada o solicitud de las autoridades de protección de datos con respecto al Procesamiento de datos personales según el Acuerdo. Deberás reembolsar a HubSpot los costos comercialmente razonables derivados de esta asistencia.

Si recibimos directamente una Solicitud de la parte interesada u otra comunicación con respecto al Procesamiento de datos personales según este Acuerdo, te informaremos de forma oportuna y le aconsejaremos a la parte interesada que te envíe su consulta a ti. Tú serás el único responsable de responder de forma sustancial a las solicitudes de las partes interesadas o a las comunicaciones relacionadas con los Datos personales.

5. Subprocesadores

Aceptas que HubSpot esté en contacto con Subprocesadores para procesar Datos personales en tu nombre. En estos momentos, hemos designado como Subprocesadores a los Afiliados de HubSpot y a los terceros mencionados en el Anexo 4 de este DPA. Te notificaremos si agregamos o eliminamos Subprocesadores del Anexo 4 antes de cualquier cambio. Si eliges recibir dichas notificaciones por correo electrónico, deberás completar este formulario.

Siempre que trabajemos con Subprocesadores, impondremos términos sobre la protección de datos para los Subprocesadores que ofrezcan al menos el mismo nivel de protección de Datos personales que los de este DPA (incluidas, cuando corresponda, las Cláusulas contractuales estándar), en la medida aplicable a la naturaleza de los servicios brindados por dichos Subprocesadores. Seguiremos siendo responsables por el cumplimiento de cada Subprocesador con las obligaciones de este DPA y por todo acto u omisión de dicho Subprocesador que cause un incumplimiento de cualquiera de las obligaciones de HubSpot en este DPA.

6. Transferencias de datos

Reconoces y aceptas que HubSpot podrá acceder y procesar tus Datos personales de forma global, como sea necesario, para ofrecer el Servicio de suscripción según este Acuerdo, y, en particular, que los Datos personales serán procesados por HubSpot, Inc. en Estados Unidos y se transferirán a otras jurisdicciones donde operen los Afiliados y Subprocesadores de HubSpot. Deberemos garantizar que dichas transferencias cumplan con los requisitos de las Leyes de protección de datos.

7. Disposiciones adicionales para datos de Europa

a. Alcance de la Sección 7. La sección «Disposiciones adicionales para datos de Europa» solo se aplicará a los datos de Europa.

b. Rol de las partes. Al procesar datos de Europa según tus Instrucciones, las partes reconocen y acuerdan que tú eres el Interventor de los datos de Europa y nosotros somos el Procesador.

c. Instrucciones. Si consideramos que una instrucción del Cliente incumple las Leyes de protección de datos de Europa (si corresponde), te lo informaremos sin demora.

d. Notificación y objeción a Subprocesadores nuevos. Te notificaremos por cualquier cambio en los Subprocesadores actualizando el Anexo 4 de este DPA y tendrás la oportunidad de oponerte a la contratación de un Subprocesador nuevo con una debida justificación relacionada a la protección de Datos personales dentro de los 30 días posteriores a la actualización de dicho anexo. Si nos notificas acerca de dicha objeción, las partes hablarán en buena fe de tus inquietudes para lograr una resolución comercialmente razonable. De no lograrse dicha resolución, HubSpot, a discreción, podrá elegir no designar al Subprocesador nuevo o permitirte suspender o cancelar el Servicio de suscripción afectado según las cláusulas de cancelación del Acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por ti antes de la suspensión o cancelación).

e. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté razonablemente disponible para nosotros y tú no tengas acceso a ella, te ofreceremos asistencia razonable con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes de privacidad de datos, según lo requerido por las Leyes de protección de datos europeas.

f. Mecanismos para transferencias de datos.

(A) HubSpot no transferirá datos europeos a ningún país o destinatario que no haya mostrado un nivel de protección de Datos personales adecuado (según la definición de la Ley de protección de datos europea), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumple con las Leyes de protección de Datos europeas aplicables. Dichas medidas pueden incluir, entre otras, la transferencia de dichos datos a un destinatario que tenga el respaldo de un marco apropiado u otro mecanismo legal y adecuado que las autoridades o tribunales pertinentes reconozcan con un nivel suficiente de protección de los Datos personales, a un destinatario que haya logrado la autorización de normas corporativas vinculantes según la Ley de protección de datos europea o un destinatario que haya aplicado las cláusulas contractuales estándar adecuadas, en cada caso según lo adoptado o aprobado en virtud de las Leyes de protección de datos de Europa.

(B) Reconoces que, en conexión con la prestación de los Servicios de suscripción, HubSpot, Inc. es un destinatario de Datos europeos en Estados Unidos. Las partes reconocen y acuerdan lo siguiente:

• (a) Cláusulas contractuales estándar: HubSpot, Inc. acepta respetar y procesar los Datos europeos en virtud de las Cláusulas contractuales estándar.

• (b) Escudo de privacidad (Privacy Shield): aunque HubSpot, Inc. no adopta el Escudo de privacidad (Privacy Shield) UE-EE. UU. como base legal para las transferencias de Datos personales en virtud de la sentencia de la Corte de Justicia de EE. UU. en el Caso C-311/18, siempre que cuente con la autocertificación del Escudo de privacidad (Privacy Shield) procesará los datos de Europa en cumplimiento con los principios de dicho Escudo de privacidad (Privacy Shield) y te informará si no puede cumplir con este requisito.
• (c) Las partes acuerdan que (i) únicamente a los efectos de las descripciones en las Cláusulas contractuales estándar, HubSpot, Inc. se considerará el «importador de datos» y el cliente se considerará el «exportador de datos» (a pesar de que tú te encuentres fuera de Europa o actúes como procesador en nombre de controladores externos); (ii) no obstante lo anterior, cuando la entidad contratante de HubSpot en virtud del Acuerdo no sea HubSpot, Inc., tú darás a dicha entidad contratante la orden de respetar las Cláusulas contractuales estándar con HubSpot, Inc. en su nombre. La entidad contratante en cuestión será total y exclusivamente responsable por el acatamiento de las Cláusulas contractuales estándar de HubSpot, Inc. y tú dirigirás las instrucciones, los reclamos y las consultas en relación con las Cláusulas contractuales estándar a dicha entidad; y (iii) si hubiera algún conflicto entre las Cláusulas contractuales estándar (cuando corresponda) y alguna disposición en este DPA, las cláusulas prevalecerán a los efectos de dicho conflicto.

g. Prueba de cumplimiento. Pondremos a disposición tuya toda la información razonablemente necesaria para demostrar el cumplimiento con este DPA y permitiremos y contribuiremos a todo proceso de auditoría, inclusive inspecciones a tu cargo, para evaluar el cumplimiento de este DPA. Reconoces y aceptas que deberás ejercer tus derechos de auditoría según este DPA, instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta subsección (g). Reconoces que el Servicio de suscripción es alojado por nuestros socios del centro de datos que tienen programas de seguridad validados de forma independiente (que incluyen SOC 2 e ISO 27001) y que nuestros sistemas son evaluados periódicamente por empresas de pruebas de penetración ajenas a HubSpot. Si lo solicitas, te enviaremos (de forma confidencial) una copia resumida de sus informes de pruebas de penetración para que puedas corroborar el cumplimiento de HubSpot con este DPA.  Además, si envías una solicitud escrita, te enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información razonables que hagas y que sean necesarias para confirmar el cumplimiento de HubSpot con este DPA, siempre que no utilices este derecho más de una vez por año natural.

8. Disposiciones adicionales para datos personales de California

a. Alcance de la Sección 8. Las disposiciones adicionales para la sección de datos personales de California de este DPA solo se aplicarán con respecto a los datos personales de California.

b. Rol de las partes. Al procesar datos personales de California según las Instrucciones que nos envíes, las partes acuerdan que, a los efectos de la CCPA, el Cliente es una Empresa y HubSpot es un Proveedor de servicios.

c. Responsabilidades. Las partes acuerdan que HubSpot procesará los datos personales de California como Proveedor de servicios estrictamente a los efectos de brindar los Servicios de suscripción y los Servicios de consultoría según el Acuerdo (el «Objetivo») o según lo que permita la CCPA, incluido lo se describe en la sección «Prácticas sobre datos y aprendizaje automático» de nuestros Términos específicos de los productos. 

9. Disposiciones generales

a. Modificaciones. No obstante cualquier disposición contraria al Acuerdo y sin perjuicio de la Sección «Cumplimiento de las instrucciones» o «Seguridad» de este DPA, HubSpot se reserva el derecho a hacer todas las actualizaciones y cambios a este DPA y se aplicarán los términos principales de la Sección «Modificación; no exención».

b. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

c. Exención de responsabilidad. La responsabilidad de cada parte y sus Afiliados, en conjunto, que resulte de este DPA (o cualquier otro DPA entre las partes) o se relacione con él y de las Cláusulas contractuales estándar (cuando se apliquen), ya sea por responsabilidad civil o contractual o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad delimitados en la sección «Limitación de responsabilidad» de los Términos principales y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad sumada de esa parte y sus Afiliados según el Acuerdo (incluido este DPA).  Con el fin de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este Acuerdo, se aplicará la sección «Limitación de responsabilidad» de los Términos principales entre tú y HubSpot, Inc. y, en tal respecto, cualquier referencia a «HubSpot», «nosotros» y «nuestro» incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del Acuerdo.

d. Ley vigente. Este DPA se regirá e interpretará de acuerdo con las secciones «Entidad contratante y ley aplicable» del documento Términos específicos según la jurisdicción, a menos que las Leyes de protección de datos especifiquen lo contrario.

10. Partes de este DPA

a. Afiliados permitidos. Con la firma de este Acuerdo, aceptas este DPA en representación de ti mismo y, en la medida requerida por las Leyes de protección de datos, a nombre y en representación de tus Afiliados permitidos, estableciendo, por lo tanto, un DPA separado entre nosotros y cada Afiliado permitido sujeto al Acuerdo y las secciones «Disposiciones generales» y «Partes de este DPA» de este DPA. Cada Afiliado permitido acepta comprometerse con este DPA y, en la medida aplicable, con este Acuerdo. A los efectos únicos de este DPA, excepto cuando se indique lo contrario, los términos «Cliente» y «tú» te incluirán a ti y a dichos Afiliados permitidos.

b. Autorización. La entidad jurídica que acepta este DPA como Cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus Afiliados permitidos.

c. Recursos legales.Excepto cuando las Leyes de protección de datos aplicables requieran que un Afiliado permitido ejerza el derecho o busque Recursos legales bajo este DPA contra HubSpot directamente por sí mismo, las partes acuerdan que: (i) solamente la entidad del Cliente que es la parte contratante del Acuerdo podrá ejercer cualquier derecho o buscar Recursos legales que pueda tener cualquier Afiliado permitido bajo este DPA en representación de sus Afiliados y que (ii) la entidad del Cliente que es la parte contratante del Acuerdo podrá ejercer tales derechos bajo este DPA de forma indivisa para cada Afiliado permitido, no individualmente, sino de forma conjunta para sí mismo y todos los Afiliados permitidos. La entidad del Cliente que es la parte contratante del Acuerdo será responsable de coordinar todas las comunicaciones con nosotros bajo el DPA y tendrá derecho a realizar y recibir todas las comunicaciones relacionadas con este DPA en representación de sus Afiliados permitidos. 

d. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la Sección «Demostración de cumplimiento», tomar todas las medidas razonables para limitar el impacto en HubSpot y sus Afiliados, combinando varias solicitudes de auditoría realizadas en representación de la entidad del Cliente que es la parte contratante del Acuerdo y todos sus Afiliados permitidos en una sola auditoría.

Anexo 1: Detalles del procesamiento

Este Anexo forma parte del DPA. 

Procesaremos los datos personales de la forma que sea necesaria para ofrecer los Servicios de suscripción según el Acuerdo, como se especifica en el Formulario de pedido, y como lo indiques en tu uso de los Servicios de suscripción.

B. Duración del procesamiento

Sujeto a la sección «Eliminación o devolución de datos personales» de este DPA, procesaremos Datos personales por la duración del Acuerdo, a menos que se acuerde lo contrario por escrito.  

Puedes presentar Datos personales durante el uso del Servicio de suscripción, en la medida en que sean determinados y controlados por ti a discreción, incluidos, entre otros, Datos personales relacionados con las siguientes categorías de partes interesadas:

Tus Contactos y otros usuarios finales, incluidos tus empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas. Se pueden considerar también como partes interesadas las personas que intentan transferir datos personales a los usuarios finales del Cliente o comunicarse con ellos.

Puedes presentar Datos personales a los Servicios de suscripción en la medida en que sean determinados y controlados por ti a discreción; se incluyen, entre otras, las siguientes categorías de Datos personales: 

• - Información de contacto (como se definen en los Términos principales).
• - Todos los demás Datos personales que tú o tus usuarios finales envíen, presenten o reciban a través del Servicio de suscripción.

Las partes no anticipan la transferencia de categorías especiales de datos.

Los Datos personales se procesarán según el Acuerdo (con este DPA) y podrían estar sujetos a las siguientes actividades de procesamiento: 

Anexo 2: Medidas de seguridad

Este Anexo forma parte del DPA.

Actualmente, cumplimos con las Medidas de seguridad descritas en este Anexo 2. Todos los términos en letra mayúscula no definidos en este documento tendrán los significados establecidos en los Términos principales.

a) Control de acceso

i) Prevención del acceso no autorizado a productos

Procesamiento externalizado: alojamos nuestro Servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores con el fin de proporcionar nuestro Servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.

Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autentificación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: la Información del cliente se guarda en sistemas de almacenamiento para múltiples usuarios a los que los Clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de nuestros productos está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

Implementamos los controles de acceso y capacidades de detección estándar de la industria para las redes internas que respaldan nuestros productos.

Controles de acceso: los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se realizan revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente para comprobar las buenas prácticas de codificación y las fallas de software identificables.

Pruebas de penetración: recurrimos a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.

Programa de recompensas por detección de errores: un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente fallas de seguridad. Implementamos un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de los productos contra ataques sofisticados.

iii) Limitaciones de los requisitos de privilegio y autorización

Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just in time (justo a tiempo); todas estas solicitudes se registran. Los empleados obtienen acceso según la función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.

Comprobación de antecedentes: todos los empleados de HubSpot se someten a una comprobación de antecedentes a cargo de un tercero, de conformidad con las leyes aplicables, antes de recibir una oferta de trabajo. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

En tránsito: HubSpot ofrece el cifrado HTTPS (también conocido como SSL o TLS) en cada una de sus interfaces de inicio de sesión y gratis en cada sitio de cliente alojado en productos de HubSpot. Implementamos el protocolo HTTPS usando algoritmos y certificados estándares de la industria.

En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar de la industria para la seguridad.  Implementamos tecnologías para garantizar que los datos guardados se cifren en reposo. 

Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados correspondientes acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.

Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifican y documentan las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del Acuerdo. 

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y HVAC.

Tolerancia a fallas: las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Los datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad en línea: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una base de datos principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándares de la industria.

Nuestros productos están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, mientras limitan el tiempo de inactividad.

Anexo 3: Cláusulas contractuales estándar

Para los fines del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos,

el Cliente, como se define en los Términos de servicio para clientes de HubSpot (el «exportador de datos»),

y

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (el «importador de datos»),

cada uno de los cuales actúa como una «parte»; y en conjunto como «las partes»,

ACUERDAN las siguientes Cláusulas contractuales (las Cláusulas) con el objeto de ofrecer garantías suficientes respecto de la protección de privacidad y las libertades fundamentales de las personas para la transferencia de datos personales del exportador de datos al importador de datos, como se especifica en el Anexo 1.

Cláusula 1

Definiciones

Para los fines de las Cláusulas:

«datos personales», «categorías especiales de datos», «procesar/procesamiento», «interventor», «procesador», «parte interesada» y «autoridad supervisora» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y el Consejo del 24 de octubre de 1995 en cuanto a la protección de las personas respecto del procesamiento de datos personales y la transferencia libre de dichos datos;

«el exportador de datos» hace referencia al interventor que transfiere los datos personales;

«el importador de datos» es el procesador que acepta recibir los datos personales del exportador de datos destinados al procesamiento en su nombre después de la transferencia de acuerdo con las instrucciones y los términos de las Cláusulas, y que no está sujeto al sistema de un país tercero con el fin de garantizar la protección adecuada en virtud del Artículo 25(1) de la Directiva 95/46/CE;

«el subprocesador» hace referencia a cualquier procesador involucrado por el importador de datos o por otro subprocesador del importador de datos que acepte recibir datos personales del importador de datos o de cualquier otro subprocesador del importador de datos con el fin exclusivo de llevar a cabo actividades de procesamiento en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

«la ley de protección de datos aplicable» hace referencia a la legislación que protege los derechos fundamentales y las libertades de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicable a un interventor de datos en el estado miembro de establecimiento del exportador de datos;

«las medidas de seguridad técnicas y organizacionales» hacen referencia a las medidas destinadas a la protección de datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, especialmente cuando el procesamiento involucra la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Anexo 1, que forma una parte integral de las Cláusulas.

Cláusula 3

Cláusula de tercero como beneficiario

1.  La parte interesada puede aplicar esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el exportador de datos como tercero beneficiario.

2. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el importador de datos, en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad.

3. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y Cláusulas 9 a 12 contra el subprocesador, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o se hayan vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

4. Las partes no se oponen a que las partes interesadas estén representadas por una asociación u otras entidades, si así lo desean expresamente y si la ley nacional lo permite.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

(a) que el procesamiento, incluida la transferencia, de datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la ley de protección de datos aplicable (y, cuando corresponda, se notificará a las autoridades competentes del Estado Miembro donde se encuentre el exportador de datos), sin violar las disposiciones relevantes de ese Estado;

(b) que ha instruido y, durante todo el período de prestación de servicios de procesamiento de datos personales, instruirá al importador de datos que procese los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos y las Cláusulas aplicables;

(c) que el importador de datos brindará las garantías suficientes con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 de este contrato;

(d) que, después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal, o la pérdida, la alteración, la divulgación o el acceso accidentales o no autorizados, especialmente cuando el procesamiento requiere la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento; asegura también que estas medidas garantizan un nivel apropiado de seguridad ante los riesgos presentados por el procesamiento y la naturaleza de los datos por proteger teniendo en cuenta la técnica y los costos de la implementación;

(e) que asegurará el cumplimiento de las medidas de seguridad;

(f) que si la transferencia involucra categorías especiales de datos, la parte interesada ha sido informada o será informada de antemano o en cuanto sea posible de que los datos podrían transmitirse a un país tercero que no proporcione la protección adecuada en virtud de la Directiva 95/46/CE;

(g) que reenviará cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) que, a petición de la parte interesada, pondrá a disposición de esta una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, además de una copia de cualquier contrato para los servicios de subprocesamiento que debe hacerse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminarla;

(i) que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de acuerdo con la Cláusula 11 por parte del subprocesador, ofreciendo al menos el mismo nivel de protección de datos personales y los mismos derechos de la parte interesada que el importador de datos en virtud de las Cláusulas; y

(j) que asegurará el cumplimiento con la Cláusula 4(a) a (i).

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza lo siguiente:

(a) que procesará los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones y las Cláusulas; si no pudiera cumplir con estas por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, quien podrá suspender la transferencia de datos o finalizar el contrato;

(b) que no tiene motivos para creer que la legislación aplicable no le permitirá cumplir con las instrucciones recibidas de parte del exportador de datos y sus obligaciones de conformidad con el contrato y que, en caso de que cambiara la legislación de un modo que pudiera tener un efecto adverso sustancial sobre las garantías y obligaciones proporcionadas por las Cláusulas, notificará de inmediato al exportador de datos acerca del cambio en cuanto tome conocimiento de este, caso en el que el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 antes de procesar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos acerca de:

(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación;

(ii) todo acceso accidental o no autorizado; y

(iii) toda solicitud sin respuesta recibida directamente de las partes interesadas, a menos que haya sido autorizado para ese propósito;

(e) que resolverá de manera oportuna y adecuada todas las consultas del exportador de datos en relación con el procesamiento de los datos personales sujetos a la transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

(f) que, a petición del exportador de datos, someterá a las instalaciones en las que se lleva a cabo el procesamiento de datos a la auditoría de las actividades de procesamiento cubiertas por las Cláusulas a cargo del exportador de datos o un organismo de inspección compuesto por miembros independientes que tengan las calificaciones profesionales requeridas, que estén sujetos a una obligación de confidencialidad y que estén seleccionados por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;

(g) que, a petición de la parte interesada, pondrá a su disposición una copia de las Cláusulas, o un contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información sobre la empresa, en cuyo caso eliminará dicha información, con excepción del Anexo 2 que deberá ser reemplazado por una descripción resumida de las medidas de seguridad en los casos en que la parte interesada no pueda obtener una copia del exportador de datos;

(h) que, en caso de subprocesamiento, informará previamente al exportador de datos y obtendrá su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

(j) que enviará de inmediato al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier parte interesada que haya sido afectada por una violación de las obligaciones que se mencionan en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.

2. Si la parte interesada no puede interponer la demanda de indemnización contra el exportador de datos de acuerdo con el Párrafo 1, a causa del incumplimiento de las obligaciones por parte del importador de datos o su subprocesador a las que se hace referencia en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de facto, ha cesado de existir o se ha vuelto insolvente, el importador de datos acepta que la parte interesada puede presentar una demanda contra el importador de datos en calidad del exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede ejercer sus derechos contra dicha entidad. El importador de datos no podrá basarse en el incumplimiento de las obligaciones por parte de un subprocesador para eludir sus propias responsabilidades.

3. Si una parte interesada no puede presentar una demanda contra el exportador de datos o el importador de datos a los que se hace referencia en los párrafos 1 y 2, a causa del incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes, el subprocesador acuerda que la parte interesada puede presentar una demanda contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por efecto de la ley, en cuyo caso la parte interesada podrá exigir sus derechos a dicha entidad. La responsabilidad del subprocesador debe limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

Cláusula 7

Mediación y jurisdicción

(a) remitir el conflicto a mediación por parte de una persona independiente o, si corresponde, por parte de la autoridad de control;
(b) remitir el conflicto a los tribunales del Estado miembro donde se establece el exportador de datos.

2. Las partes acuerdan que la elección que haga la parte interesada no perjudicará sus derechos sustantivos a obtener reparación de conformidad con otras disposiciones de derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades supervisoras

1. El exportador de datos acuerda proporcionar una copia de este contrato a la autoridad supervisora si esta lo solicita o si se requiere de conformidad con la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tenga el mismo alcance y esté sujeta a las mismas condiciones que corresponderían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

3. El importador de datos debe informar sin demora al exportador de datos acerca de la existencia de leyes aplicables a este o a cualquier subprocesador que prevengan la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el Párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).

Cláusula 9

Ley vigente

Las Cláusulas deben regirse por la ley del Estado miembro donde se establece el exportador de datos.

Cláusula 10

Variantes del contrato

Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus empresas en caso necesario, siempre y cuando estas no contradigan las Cláusulas.

Cláusula 11

Subprocesamiento

1. El importador de datos no deberá subcontratar ninguna de sus operaciones de procesamiento en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con respecto a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador, en el que se le impongan las mismas obligaciones que se imponen al importador de datos de conformidad con las Cláusulas. En caso de que el subprocesador no cumpla con sus obligaciones de protección de datos de conformidad con dicho acuerdo escrito, el importador de datos continuará asumiendo plena responsabilidad ante el exportador de datos por el desempeño de las obligaciones del subprocesador en virtud de dicho acuerdo.

2. El contrato escrito previo entre el importador de datos y el subprocesador contendrá también una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que la parte interesada no pueda interponer la demanda de indemnización a la que se refiere en el Párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, y en caso de que ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud del contrato o por efecto de la ley. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

3. Las disposiciones relacionadas con los aspectos de protección de datos para el subprocesamiento del contrato que se mencionan en el Párrafo 1 deben regirse por la ley del Estado miembro en el que se establece el exportador de datos.

4. El exportador de datos debe mantener una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j). Dicha lista se debe actualizar, al menos, una vez al año. La lista debe ponerse a disposición de la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales

1. Las partes acuerdan que, al término de la prestación de servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de estos al exportador de datos o deberán destruir los datos personales y certificar al exportador de datos que esto se ha hecho, a menos que las leyes impuestas al importador de datos lo impidan. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y que no los volverá a procesar activamente.

2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad supervisora, pondrán a disposición sus instalaciones de procesamiento de datos para realizar una auditoría de las medidas mencionadas en el Párrafo 1.

Anexo 1 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas contractuales estándar (las «Cláusulas»).

Los términos definidos utilizados en este Anexo 1 tendrán los significados otorgados en el Acuerdo (con el DPA).

Exportador de datos

El exportador de datos es la entidad jurídica especificada como «Cliente» en el DPA. 

Importador de datos

El importador de datos es HubSpot, Inc.

Partes interesadas

Ver el Anexo 1 del DPA, que describe a las Partes interesadas. 

Categorías de datos

Ver el Anexo 1 del DPA, que describe las Categorías de datos. 

Categorías de datos especiales (si corresponde)

Las partes no anticipan la transferencia de categorías especiales de datos.

Propósito del procesamiento

HubSpot, Inc. procesará los datos personales como sea necesario para ofrecer los Servicios de suscripción al exportador de datos según lo dispuesto en el Acuerdo.  

Operaciones de procesamiento

Ver el Anexo 1 del DPA, que describe las operaciones de procesamiento. 

Anexo 2 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas contractuales estándar (las «Cláusulas»). 

Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o la documentación/legislación adjunta):

Ver el Anexo 2 del DPA, que describe las medidas de seguridad técnicas y organizacionales implementadas por HubSpot. 

Anexo 3 a las Cláusulas contractuales estándar

Este Anexo forma parte de las Cláusulas contractuales estándar (las «Cláusulas»).

Este anexo define la interpretación de las partes de sus respectivas obligaciones según términos específicos de las Cláusulas. Cuando una parte cumple con las interpretaciones delineadas en este Anexo, considerará que la otra parte ha cumplido con sus compromisos según las Cláusulas.  

A los efectos de este Anexo, «DPA» hace referencia al Acuerdo para el procesamiento de datos establecido entre el Cliente y HubSpot y al que se incorporan estas Cláusulas, y «Acuerdo» tiene el significado establecido en el DPA. 

Cláusulas 4(h) y 8: Divulgación de estas cláusulas  

a. El exportador de datos acepta que estas Cláusulas constituyen la Información confidencial del importador de datos como se define ese término en el Acuerdo y que no podrá ser divulgado por el exportador de datos a ningún tercero sin el previo consentimiento por escrito del importador de datos, a menos que esto esté permitido según el Acuerdo.  Esto no deberá evitar la divulgación de estas cláusulas a una parte interesada según la Cláusula 4(h) o una autoridad supervisora según la Cláusula 8.

Cláusulas 5(a) y 5(b): suspensión de transferencias de datos y finalización

a. Las partes reconocen que el importador de datos puede procesar los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones dadas por el mismo y las Cláusulas.

b. Las partes reconocen que si el importador de datos no pudiera garantizar el cumplimiento de las Cláusulas 5(a) y 5(b) por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, en cuyo caso este podrá suspender la transferencia de datos o finalizar en el contrato para las partes afectadas de los Servicios según los términos del Acuerdo.

c. Si el exportador de datos desea suspender la transferencia de datos personales o finalizar las partes afectadas de los Servicios, deberá notificar al importador de datos y ofrecerle un período razonable para subsanar el incumplimiento («período de subsanación»). 

d. Si fuera necesario, las partes deberán cooperar durante el Período de subsanación para acordar las medidas de protección adicionales que podrían implementarse en la medida de lo razonable para garantizar el cumplimiento de las Cláusulas y las leyes vigentes de protección de datos por parte del importador de datos.

e. Si tras el Período de subsanación, el importador de datos no ha podido o querido subsanar el incumplimiento, entonces el exportador de datos puede suspender o finalizar la parte afectada de los Servicios en virtud de las disposiciones del Acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por el exportador de datos antes de la suspensión o cancelación). El exportador de datos no necesita dar aviso previo en el caso de que considere que constituye un riesgo material a las partes interesadas de sus Datos personales.

Cláusula 5(f): Auditoría

a. El exportador de datos reconoce y acepta que deberá ejercer sus derechos de auditoría según la Cláusula 5(f), instruyendo al importador de datos a cumplir con las medidas de auditoría descritas en la Sección «Demostración de cumplimiento» del DPA.  

Cláusula 5(j): Divulgación de acuerdos para subprocesadores

a. Las partes reconocen la obligación del importador de datos de enviar inmediatamente al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.

b. Además, las partes reconocen que, conforme a las restricciones de confidencialidad para subprocesadores, el importador de datos puede verse imposibilitado de mostrar acuerdos de subprocesadores posteriores al exportador de datos.  Sin perjuicio de esto, el importador de datos deberá hacer todos los esfuerzos razonables para que cualquier subprocesador que designe le muestre su acuerdo de subprocesador al exportador de datos.

c. Incluso cuando el importador de datos no pueda mostrarle un acuerdo de subprocesador al exportador de datos, las partes acuerdan que, a pedido del exportador de datos, el importador de datos deberá (de forma confidencial) ofrecer toda la información razonable que se requiere en relación a dicho acuerdo de subprocesador al exportador de datos. 

Cláusula 6: Responsabilidad 

Claúsula 11: Subprocesamiento posterior 

a. Las partes reconocen que, según el Preguntas frecuentes II.1 en el Artículo 29 del Informe de trabajo WP 176, llamado «Preguntas frecuentes para responder a algunos interrogantes relacionados con la entrada en vigor de la Decisión 2010/87/EU de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales para la transferencia de datos personales a procesadores establecidos en países terceros según la Directiva 95/46/EC», el exportador de datos puede dar un consentimiento general al subprocesamiento posterior por el importador de datos.

b. Por consiguiente, el exportador de datos ofrece un consentimiento general al importador de datos, según la Cláusula 11 de estas Cláusulas, para trabajar con Subprocesadores en adelante.  Dicho consentimiento dependerá del cumplimiento del importador de datos con los requisitos definidos en la Sección «Notificación y objeción a nuevos subprocesadores» del DPA. 

Cláusula 12: Obligaciones una vez finalizada la prestación de los servicios de procesamiento de datos personales

a. El importador de datos acepta que el exportador de datos cumplirá su obligación de devolver o destruir todos los datos personales al término del servicio de procesamiento de datos, cumpliendo con la sección «Eliminación o devolución de Datos personales» del DPA.  

 Anexo 4: Lista de subprocesadores

*En el caso de los clientes de HubSpot que adquirieron servicios después del 11 de marzo de 2020, los datos se almacenarán/procesarán automáticamente en nuestro nuevo Subprocesador, Snowflake. No almacenaremos en Snowflake Datos de clientes de HubSpot que hayan adquirido nuestros servicios antes del 11 de marzo de 2020 y hayan solicitado no almacenar sus datos en Snowflake.

Si quieres recibir un mensaje cuando actualicemos el Anexo 4, haz clic aquí.