Acuerdo para el procesamiento de datos

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Última modificación: 27 de septiembre de 2021

Este Acuerdo se proporciona únicamente para comodidad del interesado. La versión en inglés de este Acuerdo prevalecerá y bajo ninguna circunstancia se interpretará que la versión de este Acuerdo en idioma español modifica a la versión del mismo en idioma inglés o que se aplica de algún modo a la relación entre las partes.

[¿Necesitas una copia firmada? Haz clic aquí].

Este Acuerdo para el procesamiento de datos («DPA») de HubSpot y sus Anexos reflejan el acuerdo entre las partes con respecto al procesamiento de datos personales que hacemos en representación del Cliente en relación con nuestros Servicios de suscripción y de conformidad con los Términos de servicio para clientes entre HubSpot y el Cliente (en este DPA, el «Acuerdo»).

Este DPA es una adición y parte integral del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, un Pedido o una enmienda ejecutada al Acuerdo. En caso de conflicto o inconsistencia con los términos del Acuerdo, este DPA tendrá prioridad, únicamente a los efectos de dicho conflicto o inconsistencia.

Actualizamos estos términos periódicamente. Si tienes una suscripción de HubSpot activa, te informaremos por correo electrónico (si estás suscrito para recibir notificaciones a través de un correo electrónico con el enlace en nuestros Términos principales) o con una notificación en la app. Puedes encontrar las versiones archivadas de este DPA aquí.

La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el Acuerdo.

Definiciones
Responsabilidades del cliente
Obligaciones de HubSpot
Solicitudes de la parte interesada
Subprocesadores
Transferencias de datos
Disposiciones adicionales para datos de Europa
Disposiciones adicionales para datos personales de California
Disposiciones generales
Partes de este DPA

Anexo 1: Detalles del procesamiento

Anexo 2: Medidas de seguridad

Anexo 3: Lista de subprocesadores

Anexo 4: Cláusulas contractuales estándar

1. Definiciones

«Información personal de California» hace referencia a Información personal sujeta a la protección del CCPA.

«CCPA» se refiere al Código Civil de California, Sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018).

«Consumidor», «Empresa», «Vender» y «Proveedor de servicios» tendrán las definiciones otorgadas en el CCPA.

«Interventor» hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.

«Leyes de protección de datos» se refiere a toda la legislación aplicable a nivel mundial relacionada con la privacidad y protección de información en virtud del Acuerdo, lo que incluye, entre otras, las leyes de protección de información de Europa, el CCPA y las leyes de protección y privacidad de información de Australia y Singapur, en cada caso, según se enmiende, consolide o reemplace ocasionalmente.

«Parte interesada» hace referencia a la persona con la que se relacionan los datos personales.

«Europa» se refiere a la Unión Europea, el Área Económica Europea y sus estados miembros, más Suiza y el Reino Unido.

«Información de Europa» se refiere a Información personal sujeta a la protección de leyes europeas de protección de información.

«Leyes europeas de protección de datos» se refiere a las leyes de protección de información vigentes en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, «RGPD»); (ii) la Directiva 2002/58/EC relativa al procesamiento de los datos personales y a la protección de la privacidad en el sector de comunicaciones electrónicas y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD incorporado a la legislación nacional aplicable del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea 2018 (Retirada) (el «RGPD del Reino Unido»); y (iv) la Ley federal suiza de protección de datos del 19 de junio de 1992 y su Ordenanza («DPA suizo»); en cada caso, según se enmiende, sustituya o reemplace.

«Instrucciones» hace referencia a las instrucciones escritas y documentadas emitidas por un Interventor a un Procesador y mediante las cuales se solicita una acción específica o general respecto a los datos personales (incluidos, entre otros, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

«Afiliados permitidos» hace referencia a cualquiera de tus Afiliados que (i) tengan permiso para usar los Servicios de suscripción en virtud del Acuerdo, pero no hayan firmado su propio acuerdo por separado con HubSpot y no sean un «Cliente» según la definición del Acuerdo; (ii) califiquen como Interventores de datos personales procesados por nosotros; y (iii) estén sujetos a las Leyes de protección de datos de Europa.

«Datos personales» hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales, información personal o a la información personalmente identificable de conformidad con las Leyes de protección de datos.

«Violación de los datos personales» hace referencia a una violación de la seguridad, accidental o ilegal, que ocasiona la destrucción, pérdida, alteración y divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera por nosotros o nuestros subprocesadores en relación con la provisión de los Servicios de suscripción. La «Violación de los datos personales» no incluye intentos o actividades fallidas que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

«Escudo de privacidad» (Privacy Shield) hace referencia al programa de autocertificación UE-EE. UU y Suiza-EE. UU., operado por el Departamento de Comercio y aprobado por la Comisión Europea según la decisión del 12 de julio de 2016 y por el Consejo Federal Suizo el 11 de enero de 2017, respectivamente; en cada caso, según se enmiende, sustituya o reemplace.

«Principios del Escudo de privacidad (Privacy Shield)» hace referencia a los Principios del Escudo de privacidad (complementados por los Principios suplementarios) contenidos en el Anexo II a la Decisión de la Comisión Europea del 12 de julio de 2016; en cada caso, según se enmiende, sustituya o reemplace.

«Procesamiento» hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado. Los términos «proceso», «procesos» y «procesado» se interpretarán como corresponda.

«Procesador» hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del interventor.

«Cláusulas contractuales estándar» hace referencia a las cláusulas contractuales estándar para procesadores que se anexan a la Decisión de Ejecución (UE) 2021/914 de la Comisión del 4 de junio de 2021 en la forma expuesta en el Anexo 4; en cada caso, según se enmiende, sustituya o reemplace.

«Subprocesador» hace referencia a cualquier Procesador participante de HubSpot o nuestros Afiliados que nos ayude a cumplir con nuestras obligaciones con respecto a la provisión de los Servicios de suscripción en virtud del Acuerdo. Los Subprocesadores podrían incluir terceros o Afiliados nuestros, pero no incluyen a los empleados o consultores de HubSpot.

2. Responsabilidades del cliente

a. Cumplimiento de la ley. Dentro del ámbito de aplicación del Acuerdo y su uso de los servicios, serás responsable de cumplir con todos los requisitos que correspondan según las Leyes de protección de datos aplicables con respecto al Procesamiento de datos personales y las Instrucciones que nos envías.

En particular, sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable por: (i) la exactitud, calidad y legalidad de la Información del cliente y la forma en que obtuviste los Datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad según las Leyes de protección de datos aplicables para la recopilación y el uso de los Datos personales, que incluye obtener todas las autorizaciones y consentimientos necesarios (en particular, para el uso con fines de marketing por parte del Cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer acceso a los Datos personales a HubSpot para que podamos procesarlos según los términos del Acuerdo (incluido este DPA); (iv) asegurar que las instrucciones que nos des con respecto al procesamiento de Datos personales cumplan con la ley aplicable, incluso las Leyes de protección de datos; y (v) cumplir con todas las leyes (incluso las Leyes de protección de datos) aplicables a todo correo electrónico o demás contenido creado, enviado o administrado a través de los Servicios de suscripción, incluso los que se relacionan con la obtención de consentimientos (donde sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de implementación. Deberás notificarnos sin demora injustificada si no puedes cumplir con tus responsabilidades según esta subsección («Cumplimiento de la ley») o las Leyes de protección de datos vigentes.

b. Instrucciones del interventor. Las partes aceptan que el acuerdo (incluido este DPA), junto con el uso que haces del servicio de suscripción según el acuerdo, constituyen la totalidad de tus instrucciones a HubSpot con respecto al procesamiento de datos personales en tanto que, durante el plazo de suscripción, nos proporciones instrucciones adicionales que sean coherentes con el acuerdo y la naturaleza y el uso legal del servicio de suscripción.

c. Seguridad. Es tu responsabilidad determinar de manera independiente si la seguridad de los datos que se proporciona en el Servicio de suscripción cumple adecuadamente con tus obligaciones de conformidad con las Leyes de protección de datos vigentes. También eres responsable del uso seguro del Servicio de suscripción; esto incluye proteger los datos personales en tránsito desde y hacia dicho servicio (incluyendo la creación de copias de respaldo o el cifrado seguros de estos datos).

3. Obligaciones de HubSpot

a. Cumplimiento de las instrucciones. Solo procesaremos Datos personales con los fines descritos en este DPA o según lo acordado en las Instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con cualquier Ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.

b. Conflicto de leyes. Si descubrimos que no podemos procesar Datos personales de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la Ley; y (ii) cuando sea necesario, suspenderemos el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los Datos personales afectados) hasta que nos des nuevas Instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, HubSpot no será responsable ante ti por el incumplimiento de los Servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al procesamiento.

c. Seguridad. Implementaremos y mantendremos medidas técnicas y de organización adecuadas para proteger los Datos personales contra toda Violación de datos personales, según se describe en el Anexo 2 de este DPA («Medidas de seguridad»). No obstante cualquier disposición contraria, podemos modificar o actualizar las Medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por estas Medidas de seguridad.

d. Confidencialidad. Debemos garantizar que el personal autorizado a procesar los Datos personales en nombre nuestro esté sujeto a obligaciones adecuadas de confidencialidad (ya sea por obligación legal o por contrato) respecto a esos Datos personales.

e. Violación de datos personales. Te notificaremos sin demora injustificada cualquier violación de datos personales de la que seamos conscientes y te ofreceremos información oportuna al respecto al ponerse esto en tu conocimiento o si tú lo solicitas. Si lo solicitas, HubSpot te ofrecerá la ayuda razonablemente necesaria para que puedas notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier Violación de Datos personales pertinente si tienes que hacerlo de conformidad con las Leyes de protección de datos.

f. Eliminación o devolución de datos personales. Eliminaremos o devolveremos toda la información del cliente, incluidos los datos personales procesados (y sus copias) de conformidad con este DPA, al terminar o vencerse el servicio de suscripción de acuerdo con los procedimientos y plazos definidos en los Términos específicos de los productos. Esto no se aplicará si la ley aplicable nos exige retener la información del cliente en forma parcial o total, o guardar la información del cliente que tuviéramos archivada en sistemas de almacenamiento de copias de seguridad, que aislaremos de forma segura y protegeremos contra todo procesamiento y eliminación, acorde a nuestras prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o la terminación de tu suscripción enviando una solicitud aquí. También puedes cancelar tu cuenta de conformidad con la sección «Cancelación anticipada» del documento Términos de servicio para clientes de HubSpot y solicitar la eliminación permanente siguiendo las instrucciones que se detallan aquí. Puedes recuperar la Información de cliente desde tu cuenta, de acuerdo con las secciones sobre «Recuperación de la información del cliente» incluidas en los Términos específicos del producto.

4. Solicitudes de la parte interesada

El Servicio de suscripción te ofrece algunos controles para buscar, corregir, eliminar o limitar los Datos personales, que puedes usar en virtud de tus obligaciones según las Leyes de protección de datos, que incluyen tus obligaciones de responder solicitudes de partes interesadas de ejercer sus derechos según las Leyes de protección de datos aplicables («Solicitudes de la parte interesada»).

En la medida en que no puedas enviar de forma independiente una Solicitud de la parte interesada a través del Servicio de suscripción, entonces, mediante una solicitud escrita, HubSpot te ofrecerá asistencia razonable para responder cualquier solicitud de la parte interesada o solicitud de las autoridades de protección de datos con respecto al Procesamiento de datos personales según el Acuerdo. Deberás reembolsar a HubSpot los costos comercialmente razonables derivados de esta asistencia.

Si recibimos directamente una Solicitud de la parte interesada u otra comunicación con respecto al Procesamiento de datos personales según este Acuerdo, te informaremos de forma oportuna y le aconsejaremos a la parte interesada que te envíe su consulta a ti. Tú serás el único responsable de responder de forma sustancial a las solicitudes de las partes interesadas o a las comunicaciones relacionadas con los Datos personales.

5. Subprocesadores

Aceptas que HubSpot esté en contacto con Subprocesadores para procesar Datos personales en tu nombre. En este momento, hemos designado como subprocesadores a los afiliados de HubSpot y a los terceros mencionados en el Anexo 3 de este DPA. Te notificaremos si agregamos o remplazamos subprocesadores en el Anexo 3, en un plazo mínimo de 30 días antes de cualquier cambio. Si eliges recibir dichas notificaciones por correo electrónico, deberás completar este formulario.

Siempre que trabajemos con Subprocesadores, impondremos términos sobre la protección de datos para los Subprocesadores que ofrezcan al menos el mismo nivel de protección de Datos personales que los de este DPA (incluidas, cuando corresponda, las Cláusulas contractuales estándar), en la medida aplicable a la naturaleza de los servicios brindados por dichos Subprocesadores. Seguiremos siendo responsables por el cumplimiento de cada Subprocesador con las obligaciones de este DPA y por todo acto u omisión de dicho Subprocesador que cause un incumplimiento de cualquiera de las obligaciones de HubSpot en este DPA.

6. Transferencias de datos

Reconoces y aceptas que podremos acceder y procesar tus datos personales de forma global, según sea necesario, para ofrecer el servicio de suscripción de conformidad con este acuerdo y, en particular, que los datos personales serán procesados por HubSpot, Inc. en Estados Unidos y se transferirán a otras jurisdicciones donde operen los afiliados y subprocesadores de HubSpot. Cuando los datos personales se transfieran fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las Leyes de protección de datos.

7. Disposiciones adicionales para datos de Europa

a. Alcance. La sección «Disposiciones adicionales para datos de Europa» solo se aplicará a los datos de Europa.

b. Rol de las partes. Al procesar datos de Europa según tus Instrucciones, las partes reconocen y acuerdan que tú eres el Interventor de los datos de Europa y nosotros somos el Procesador (en la legislación europea, responsable y encargado respectivamente).

c. Instrucciones. Si consideramos que tus Instrucciones incumplen las Leyes de protección de datos de Europa (si corresponde), te lo informaremos sin demora.

d. Objeción a subprocesadores nuevos. Tendrás la oportunidad de objetar, con fundamentos razonables, la incorporación de nuevos subprocesadores en relación con la protección de datos personales dentro de los 30 días de haber recibido la notificación de acuerdo con la sección «Subprocesadores». Si nos notificas acerca de dicha objeción, las partes hablarán en buena fe de tus inquietudes para lograr una resolución comercialmente razonable. De no lograrse dicha resolución, HubSpot, a discreción, podrá elegir no designar al Subprocesador nuevo o permitirte suspender o cancelar el Servicio de suscripción afectado según las cláusulas de cancelación del Acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por ti antes de la suspensión o cancelación). Las partes acuerdan que, al cumplir con la subsección (d), HubSpot cumple con sus obligaciones de conformidad con la sección 9 de las cláusulas contractuales estándar.

e. Acuerdos de los subprocesadores. A los efectos de la Cláusula 9(c) de las cláusulas contractuales estándar, reconoces que podríamos tener limitaciones para divulgar los acuerdos de los subprocesadores, pero haremos todo lo posible razonablemente para solicitar a cualquier subprocesador que designemos que nos permita compartir contigo su acuerdo y te proporcionaremos (de manera confidencial) toda la información que podamos.

f. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté razonablemente disponible para nosotros y tú no tengas acceso a ella, te ofreceremos asistencia razonable con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes de privacidad de datos, según lo requerido por las Leyes de protección de datos europeas.

g. Mecanismos para transferencias de datos.

(A) HubSpot no transferirá datos europeos a ningún país o destinatario que no haya mostrado un nivel de protección de Datos personales adecuado (según la definición de la Ley de protección de datos europea), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumple con las Leyes de protección de Datos europeas aplicables. Dichas medidas pueden incluir, entre otras, la transferencia de dichos datos a un destinatario que tenga el respaldo de un marco apropiado u otro mecanismo legal y adecuado que las autoridades o tribunales pertinentes reconozcan con un nivel suficiente de protección de los Datos personales, a un destinatario que haya logrado la autorización de normas corporativas vinculantes según la Ley de protección de datos europea o un destinatario que haya aplicado las cláusulas contractuales estándar adecuadas, en cada caso según lo adoptado o aprobado en virtud de las Leyes de protección de datos de Europa.

(B) Reconoces que, en conexión con la prestación de los Servicios de suscripción, HubSpot, Inc. es un destinatario de Datos europeos en Estados Unidos. Las partes reconocen y acuerdan lo siguiente:

(a) Cláusulas contractuales estándar: las partes aceptan respetar y procesar los datos europeos en virtud de las Cláusulas contractuales estándar.

(b) Escudo de privacidad (Privacy Shield): aunque HubSpot, Inc. no adopta el Escudo de privacidad (Privacy Shield) UE-EE. UU. como base legal para las transferencias de Datos personales en virtud de la sentencia de la Corte de Justicia de EE. UU. en el Caso C-311/18, siempre que cuente con la autocertificación del Escudo de privacidad (Privacy Shield) procesará los datos de Europa en cumplimiento con los principios de dicho Escudo de privacidad (Privacy Shield) y te informará si no puede cumplir con este requisito.

(C) Las partes acuerdan que, a los efectos de las cláusulas contractuales estándar, (i) HubSpot, Inc. se considerará el «importador de datos» y el Cliente se considerará el «exportador de datos» (en nombre de sí mismo y de los afiliados autorizados); (ii) los anexos de dichas cláusulas se completarán con la información pertinente definida en los anexos 1 y 2 de este DPA; (iii) cuando la entidad contratante de HubSpot en virtud del acuerdo no sea HubSpot, Inc., dicha entidad en cuestión (y no HubSpot, Inc.) será total y exclusivamente responsable por el acatamiento de dichas cláusulas contractuales estándar de HubSpot, Inc. y tú dirigirás las instrucciones, los reclamos y las consultas en relación con estas cláusulas a dicha entidad; y (iv), si hubiera algún conflicto entre las cláusulas contractuales estándar y alguna disposición en este DPA, las cláusulas prevalecerán a los efectos de dicho conflicto.

(D) Durante el tiempo y en la medida en que las partes no puedan confiar en las cláusulas contractuales estándar tal como se implementan en virtud este DPA para transferir en forma legal los datos personales de conformidad con el RGPD del Reino Unido, las cláusulas de protección de datos estándar aplicables emitidas, adoptadas por o autorizadas según el RGPD del Reino Unido se incorporarán por referencia, y los anexos, apéndices o tablas de dichas cláusulas se completarán con la información pertinente establecida en los anexos 1 y 2 de este DPA.

(E) Si, por algún motivo, HubSpot no puede cumplir con sus obligaciones o garantías de cumplimiento según lo establecido en las cláusulas contractuales estándar y quieres suspender la transferencia de datos europeos a HubSpot o rescindir dichas cláusulas, aceptas informarnos con suficiente antelación para que podamos subsanar el incumplimiento y cooperar razonablemente con nosotros para establecer, de ser necesario, medidas de seguridad adicionales con ese fin. Si no podemos subsanar el incumplimiento, puedes suspender o rescindir la parte afectada del servicio de suscripción de conformidad con el acuerdo y sin responsabilidad para ninguna de las partes (pero sin perjuicio de cualquier tarifa a pagar por el exportador de datos antes de dicha suspensión o cancelación).

h. Prueba de cumplimiento.

Pondremos a disposición tuya toda la información razonablemente necesaria para demostrar el cumplimiento con este DPA y permitiremos y cooperaremos con todo proceso de auditoría, inclusive inspecciones a tu cargo o a cargo de tu auditor, para evaluar el cumplimiento de este DPA. Reconoces y aceptas que ejercerás tus derechos de auditoría según este DPA y la Cláusula 8.9 de las cláusulas contractuales estándar instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta sección («Prueba de cumplimiento»). Reconoces que el Servicio de suscripción es alojado por nuestros socios del centro de datos que tienen programas de seguridad validados de forma independiente (que incluyen SOC 2 e ISO 27001) y que nuestros sistemas son evaluados periódicamente por empresas de pruebas de penetración ajenas a HubSpot. Si lo solicitas, te enviaremos (de forma confidencial) una copia resumida de sus informes de pruebas de penetración para que puedas corroborar el cumplimiento de HubSpot con este DPA. Además, si envías una solicitud escrita, enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información razonables que hagas y que sean necesarias para confirmar nuestro cumplimiento con este DPA, siempre que no utilices este derecho más de una vez por año natural, a no ser que tengas fundamentos para sospechar un incumplimiento.

8. Disposiciones adicionales para datos personales de California

a. Alcance. Las disposiciones adicionales para la sección de datos personales de California de este DPA solo se aplicarán con respecto a los datos personales de California.

b. Rol de las partes. Al procesar datos personales de California según las Instrucciones que nos envíes, las partes acuerdan que, a los efectos de la CCPA, tú constituyes una Empresa y HubSpot es un Proveedor de servicios.

c. Responsabilidades. Las partes acuerdan que HubSpot procesará los datos personales de California como proveedor de servicios estrictamente a los efectos de brindar los servicios de suscripción y los servicios de consultoría según el acuerdo (el «objetivo empresarial») o según lo que permita la CCPA, incluido lo descrito en la sección «Prácticas sobre datos y datos de servicio» de nuestra Política de privacidad de productos.

9. Disposiciones generales

a. Modificaciones. No obstante cualquier disposición contraria al Acuerdo y sin perjuicio de la Sección «Cumplimiento de las instrucciones» o «Seguridad» de este DPA, HubSpot se reserva el derecho a hacer todas las actualizaciones y cambios a este DPA y se aplicarán los términos de la Sección «Modificación; no exención» de los Términos Principales.

b. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

c. Exención de responsabilidad. La responsabilidad de cada parte y sus Afiliados, en conjunto, que resulte de este DPA (o cualquier otro DPA entre las partes) o se relacione con él y de las Cláusulas contractuales estándar (cuando se apliquen), ya sea por responsabilidad civil o contractual o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad delimitados en la sección «Limitación de responsabilidad» de los Términos principales y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad sumada de esa parte y sus Afiliados según el Acuerdo (incluido este DPA). Con el fin de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este Acuerdo, la aplicación de la sección «Limitación de responsabilidad» de los Términos principales se entenderá como hecha entre tú y HubSpot, Inc. y, en tal respecto, cualquier referencia a «HubSpot», «nosotros» y «nuestro» incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del Acuerdo. En ningún caso la responsabilidad de cualquiera de las partes se limitará con respecto a los derechos de protección de datos de los individuos que se incluyen en este DPA (incluidas las Cláusulas contractuales estándar).

d. Ley vigente. Este DPA se regirá e interpretará de acuerdo con las secciones «Entidad contratante y ley aplicable» del documento Términos específicos según la jurisdicción, a menos que las Leyes de protección de datos especifiquen lo contrario.

10. Partes de este DPA

a. Afiliados permitidos. Al firmar este Acuerdo, aceptas este DPA (incluidas, cuando corresponda, las cláusulas contractuales estándar) en tu nombre y en nombre de tus afiliados permitidos. A los efectos únicos de este DPA, excepto cuando se indique lo contrario, los términos «Cliente» y «tú» te incluirán a ti y a dichos Afiliados permitidos.

b. Autorización. La entidad jurídica que acepta este DPA como Cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus Afiliados permitidos.

c. Recursos legales. Las partes acuerdan que: (i) solamente la entidad del Cliente que sea la parte contratante del Acuerdo podrá ejercer cualquier derecho o buscar recursos legales que podría tener cualquier afiliado permitido de conformidad con este DPA en representación de sus afiliados y que (ii) la entidad del Cliente que sea la parte contratante del acuerdo podrá ejercer tales derechos bajo este DPA de forma indivisa para cada Afiliado permitido, no individualmente, sino de forma conjunta para sí mismo y todos los Afiliados permitidos. La entidad del Cliente que sea la parte contratante del Acuerdo será la responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros según el DPA y tendrá derecho a realizar y recibir todas las comunicaciones relacionadas con este Acuerdo en representación de sus Afiliados permitidos.

d. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la Sección «Demostración de cumplimiento», tomar todas las medidas razonables para limitar el impacto en HubSpot y sus Afiliados, combinando varias solicitudes de auditoría realizadas en representación de la entidad del Cliente que es la parte contratante del Acuerdo y todos sus Afiliados permitidos en una sola auditoría.

Anexo 1: Detalles del procesamiento

A. Lista de las partes

Exportador de datos:

Nombre: el Cliente, según lo que se define en los Términos de servicio para clientes de HubSpot (en representación de sí mismo y los afiliados permitidos)

Dirección: la dirección del Cliente, tal como figura en el formulario de pedido

Nombre, cargo e información de la persona de contacto: la información de contacto del cliente como figura en el formulario de pedido o en su cuenta de HubSpot.

Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: procesamiento de datos personales en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según nuestros términos de servicio.

Rol (interventor/procesador): Interventor

Importador de datos:

Nombre: HubSpot, Inc.

Dirección: 25 First Street, 2nd Floor, Cambridge, Massachusetts 02141, EE. UU.

Nombre, cargo e información de la persona de contacto: Nicholas Knoop, delegado de protección de datos, HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, Massachusetts 02141, EE. UU.

Rol (interventor/procesador): Procesador

B. Descripción de la transferencia

Categorías de Partes interesadas cuya información personal se transfiere

Puedes presentar Datos personales durante el uso del Servicio de suscripción, en la medida en que sean determinados y controlados por ti a discreción, incluidos, entre otros, Datos personales relacionados con las siguientes categorías de partes interesadas:

Tus Contactos y otros usuarios finales, incluidos tus empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas. Se pueden considerar también como Partes interesadas las personas que intentan transferir datos personales a los usuarios finales del Cliente o comunicarse con ellos.

Categorías de Datos personales que se transfieren

Puedes presentar Datos personales a los Servicios de suscripción en la medida en que sean determinados y controlados por ti a discreción; se incluyen, entre otras, las siguientes categorías de Datos personales:

a. Información de contacto (como se define en los Términos principales).
b. Todos los demás datos personales que tú o tus usuarios finales envíen, presenten o reciban a través del servicio de suscripción.

Información confidencial transferida y restricciones o medidas de seguridad que se aplican

Las partes no anticipan la transferencia de información confidencial.

Frecuencia de la transferencia

Continua

Naturaleza del procesamiento

Los Datos personales se procesarán según el Acuerdo (incluido este DPA) y podrían estar sujetos a las siguientes actividades de procesamiento:

a. Almacenamiento y otros procesamientos necesarios para proveer, mantener y mejorar los Servicios de suscripción que te ofrecemos; y/o
b. Divulgación según el Acuerdo (incluido este DPA) y/o como lo requieren las leyes aplicables.

Propósito de la transferencia y procesamiento adicional

Procesaremos los Datos personales de la forma que sea necesaria para ofrecer los Servicios de suscripción según el Acuerdo, como se especifica en el Formulario de pedido, y como lo indiques en tu uso de los Servicios de suscripción.

Período durante el que se retendrán los datos personales

Conforme a la sección «Eliminación o devolución de datos personales» de este DPA, procesaremos los Datos personales durante el periodo del Acuerdo, a menos que se acuerde de otro modo por escrito.

C. Autoridad supervisora competente

Para los fines de las cláusulas contractuales estándar, quien actúe en carácter de autoridad supervisora competente se definirá de la siguiente manera: (i) si el cliente tiene sede en un estado miembro de la UE, será la autoridad supervisora responsable de garantizar el cumplimiento del Cliente con el RGPD; (ii) cuando el Cliente no tenga sede en un estado miembro de la UE, pero se vea afectado extraterritorialmente por el RGPD y haya designado un representante, será la autoridad supervisora del estado miembro de la UE en el que esté establecido el representante de dicho cliente; o (iii) cuando el Cliente no tenga sede en un estado miembro de la UE, pero se vea afectado extraterritorialmente por el RGPD sin tener que designar un representante, será la autoridad supervisora del estado miembro de la UE en el que se encuentren mayormente las partes interesadas. En relación con los datos personales sujetos al RGPD del Reino Unido o al DPA suizo, la autoridad supervisora competente será el Comisionado de Información del Reino Unido o el Comisionado Federal para la Protección de Datos y la Información de Suiza (según corresponda).

Anexo 2: Medidas de seguridad

Este Anexo forma parte del DPA.

Actualmente, cumplimos con las Medidas de seguridad descritas en este Anexo 2. Todos los términos específicos no definidos en este documento tendrán los significados establecidos en los Términos principales.

a) Control de acceso

i) Prevención del acceso no autorizado a productos

Procesamiento externalizado: alojamos nuestro Servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores con el fin de proporcionar nuestro Servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.

Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autentificación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: la Información del cliente se guarda en sistemas de almacenamiento para múltiples usuarios a los que los Clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los Clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de nuestros productos está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

ii) Prevención del uso no autorizado de productos

Implementamos los controles de acceso y capacidades de detección estándar de la industria para las redes internas que respaldan nuestros productos.

Controles de acceso: los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se realizan revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente para comprobar las buenas prácticas de programación y las fallas de software identificables.

Pruebas de penetración: recurrimos a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.

Programa de recompensas por detección de errores: un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente fallas de seguridad. Implementamos un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de los productos contra ataques sofisticados.

iii) Limitaciones de los requisitos de privilegio y autorización

Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just in time (justo a tiempo); todas estas solicitudes se registran. Los empleados obtienen acceso según la función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.

Comprobación de antecedentes: todos los empleados de HubSpot se someten a una comprobación de antecedentes a cargo de un tercero, de conformidad con las leyes aplicables, antes de recibir una oferta de trabajo. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

b) Control de transmisión

En tránsito: HubSpot ofrece el cifrado HTTPS (también conocido como SSL o TLS) en cada una de sus interfaces de inicio de sesión y gratis en cada sitio de cliente alojado en productos de HubSpot. Implementamos el protocolo HTTPS usando algoritmos y certificados estándares de la industria.

En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar de la industria para la seguridad. Implementamos tecnologías para garantizar que los datos guardados se cifren en reposo.

c) Control de entrada

Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados correspondientes acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.

Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifican y documentan las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del Acuerdo.

d) Control de disponibilidad

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y HVAC.

Tolerancia a fallas: las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Los datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad en línea: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una base de datos principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándares de la industria.

Nuestros productos están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, al tiempo que se limita el tiempo de inactividad.

Anexo 3: Lista de subprocesadores

Subprocesador externo	Objetivo	Servicio aplicable	Ubicación del subprocesador del centro de datos de EE. UU.: Estados Unidos	Ubicación del subprocesador del centro de datos de la UE: Unión Europea u otra ubicación
Ably.io	Funciones de conversación y chat	Se utiliza para habilitar las funciones de conversaciones/chat en el producto de HubSpot.	Estados Unidos	Irlanda y Alemania
Amazon Web Services, Inc.	Alojamiento e infraestructura	Se usa como plataforma en la nube bajo demanda y API.	Estados Unidos	Alemania
Google, Inc.	Procesamiento regional de datos	Proveedor de alojamiento de datos	Estados Unidos	Alemania
reCAPTCHA de Google	Evitar el envío de formularios de spam	Se usa para evitar el envío de formularios de spam.	Estados Unidos	*Estados Unidos
Cloudflare	Red de distribución de contenido	Se usa para garantizar la seguridad de la infraestructura web y sitios web, proporciona servicios de red para distribución de contenido, mitigación de DDoS, seguridad en internet y servidores de nombre de dominio distribuidos.	Estados Unidos	Figura local **Centros de datos en todo el mundo. El tráfico se dirigirá automáticamente al centro de datos más cercano.
ConvertAPI	Funcionalidad de archivos de producto	Se usa para la conversión de archivos y documentos para sitios web y aplicaciones web/de escritorio.	Estados Unidos	Alemania
HelloSign	Funcionalidad de firma electrónica de producto	Se usa en los negocios, para la solución de firma electrónica del producto de HubSpot.	Estados Unidos	Alemania
Litmus	Funcionalidad de correo electrónico	Se utiliza para generar vistas previas de correos electrónicos.	Estados Unidos	No disponible en el centro de datos de la UE.
Mux	Funcionalidad de video	Se usa como proveedor de servicios de video de HubSpot.	Estados Unidos	*Estados Unidos
Snowflake, Inc.	Funcionalidad de informes	Solución para el almacenamiento de datos que funciona como repositorio.	Estados Unidos	Alemania
Twilio, Inc.	Funcionalidad de llamada	Se utiliza como servicio que habilita las llamadas en HubSpot.	Estados Unidos	*Estados Unidos

*Puedes optar por no usar las funcionalidades proporcionadas por nuestros subprocesadores que aparecen marcadas con un asterisco en la tabla. Consulta la Política regional de datos de HubSpot para más información.

**Aquí encontrarás más información sobre Cloudflare.

Subprocesador de HubSpot	Objetivo	Ubicación
HubSpot, Inc.	Servicios y asistencia técnica	Estados Unidos
HubSpot Ireland, Ltd.	Servicios y asistencia técnica	Irlanda
HubSpot Germany GmbH	Servicios y asistencia técnica	HubSpot Germany GmbH
HubSpot Australia Pty. Ltd.	Servicios y asistencia técnica	HubSpot Australia Pty. Ltd.
HubSpot Asia Pte. Ltd.	Servicios y asistencia técnica	HubSpot Asia Pte. Ltd.
HubSpot Japan KK	Servicios y asistencia técnica	HubSpot Japan KK
HubSpot Latin America, S.A.S.	Servicios y asistencia técnica	Colombia
HubSpot Sweden	Servicios y asistencia técnica	Suecia
HubSpot France S.A.S.	Servicios y asistencia técnica	Francia
HubSpot UK Holdings Ltd.	Servicios y asistencia técnica	Reino Unido
HubSpot Canada Inc.	HubSpot Canada Inc.	Canadá

Si quieres recibir un correo electrónico cuando actualicemos el Anexo 3, haz clic aquí.

Anexo 4: Cláusulas contractuales estándar

Módulo 2: Transferencia de interventor a procesador («C2P»)

SECCIÓN I

Cláusula 1

Propósito y alcance

(a) El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (RGPD) para la transferencia de dichos datos a un tercer país.

(b) Las partes:

(i) las personas físicas o jurídicas, autoridades públicas, agencias u otros organismos (en adelante, «las entidades») que transfieren los datos personales, como figuran en el Anexo I.A. (en adelante, cada uno, «exportador de datos») y

(ii) las entidades en un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente, a través de otra entidad que también figura como parte en este pliego de cláusulas, como aparecen en el Anexo I.A. (en adelante, cada uno, «importador de datos»)

han acordado respetar estas cláusulas contractuales estándar (en adelante, las «cláusulas»).

(c) Estas cláusulas se aplican en relación con la transferencia de datos personales según lo especificado en el Anexo I.B.

(d) El apéndice de este pliego de cláusulas que contiene los anexos a los que se hace referencia aquí forma parte fundamental de estas cláusulas.

Cláusula 2

Efecto e invariabilidad de las cláusulas

(a) Estas cláusulas establecen medidas de seguridad adecuadas, que incluyen derechos aplicables de las partes interesadas y recursos jurídicos efectivos, en virtud de los artículos 46(1) y 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de interventores a procesadores o de procesadores a procesadores, las cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar los módulos apropiados o para agregar o actualizar información en el apéndice. Esto no es impedimento para que las partes incluyan en un contrato más amplio las cláusulas contractuales estándar establecidas en este pliego ni que agreguen otras cláusulas o medidas adicionales, siempre que no contradigan, directa o indirectamente, estas cláusulas ni comprometan los derechos fundamentales o las libertades de las partes interesadas.

(b) Estas cláusulas existen sin perjuicio de las obligaciones a las que el exportador de datos se ve sujeto en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

(a) Como terceros beneficiarios, las partes interesadas pueden invocar y hacer cumplir estas cláusulas al exportador o importador de datos, con las siguientes excepciones:

(i) Cláusulas 1, 2, 3, 6 y 7;

(ii) Cláusula 8: 8.1(b), 8.9(a), (c), (d) y (e);

(iii) Cláusula 9: 9(a), (c), (d) y (e);

(iv) Cláusula 12: 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18: 18(a) y (b).

(b) Lo dispuesto en el párrafo (a) se entiende sin perjuicio de los derechos de las partes interesadas de conformidad con el Reglamento (UE) 2016/679.

Cláusula 4

Interpretación

(a) Cuando en este pliego de cláusulas se usen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Estas cláusulas se leerán e interpretarán en el contexto de las disposiciones del Reglamento (UE) 2016/679.

(c) Estas cláusulas no se podrán interpretar de forma que contradigan los derechos y las obligaciones establecidas en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En el caso de que exista una contradicción entre estas cláusulas y las disposiciones de acuerdos relacionados entre las partes que estuvieran en vigor en el momento en que este pliego de cláusulas se acepte o empiece a regir, estas cláusulas prevalecerán.

Cláusula 6

Descripción de las transferencias

Los detalles de las transferencias y, en particular, las categorías de los datos personales que se transfieren y el propósito por el que se transfieren, se especifican en el Anexo I.B.

Cláusula 7

Cláusula de incorporación

(a) Cualquier entidad que no figure como parte en este pliego de cláusulas podrá, con el previo consentimiento de las partes, adherirse a ellas en cualquier momento, sea como exportador o importador de datos, completando el apéndice y firmando el Anexo I.A.

(b) Una vez que haya completado el apéndice y firmado el Anexo I.A., la entidad adherente se considerará parte en este pliego de cláusulas y tendrá los mismos derechos y obligaciones de un exportador o importador de datos de acuerdo con lo que se haya dispuesto en el Anexo I.A.

(c) La entidad adherente no se verá afectada por los derechos y obligaciones dispuestos en este pliego de cláusulas en el período anterior a su participación.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Medidas de protección de datos

El exportador de datos garantiza que se ha hecho todo lo posible razonablemente para determinar que el importador de datos es capaz, por medio de la implementación de las medidas técnicas y organizacionales pertinentes, de cumplir con las obligaciones dispuestas en estas cláusulas.

8.1 Instrucciones

(a) El importador de datos deberá procesar los datos personales únicamente según las instrucciones documentadas del exportador de datos. El exportador de datos puede dar instrucciones durante la vigencia del contrato.

(b) El importador de datos deberá informar de inmediato al exportador de datos si no puede seguir sus instrucciones.

8.2 Limitaciones del propósito

El importador de datos deberá procesar los datos personales solo para los fines específicos de la transferencia, tal como se establece en el Anexo I.B., a menos que reciba otras instrucciones por parte del exportador de datos.

8.3 Transparencia

Si una de las partes interesadas lo solicita, el exportador de datos deberá entregar, sin cargo, una copia de este pliego de cláusulas, incluido el apéndice completado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, que incluye las medidas que se explican en el Anexo II y los datos personales, el exportador de datos podría suprimir parte del texto del apéndice de este pliego de cláusulas antes de enviar una copia, pero deberá proporcionar un resumen significativo si, de otra forma, la parte interesada no fuera capaz de entender el contenido o ejercer sus derechos. A pedido, se deberán proporcionar a la parte interesada los motivos por los cuales se suprimió dicha información, en la medida que sea posible, sin divulgar la información que se resguarda. Esta cláusula existe sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Precisión

Si el importador de datos se da cuenta de que los datos personales que recibió son incorrectos o están desactualizados, deberá informar al exportador de datos sin demora. En este caso, el importador de datos cooperará con el exportador para eliminar o corregir la información.

8.5 Duración del procesamiento y eliminación o devolución de datos

El importador de datos procesará los datos solo durante el plazo especificado en el Anexo I.B. Al finalizar los servicios de procesamiento, el importador de datos podrá, si el exportador quisiera, eliminar todos los datos personales procesados en nombre del exportador de datos y confirmar a dicho exportador que lo ha hecho, o bien devolverle todos los datos personales procesados en su nombre y eliminar las copias existentes. Hasta el momento en que los datos sean eliminados o devueltos, el importador deberá continuar garantizando el cumplimiento de este pliego de cláusulas. Si las leyes locales vigentes prohíben al importador de datos devolver o eliminar los datos personales, este deberá garantizar el cumplimiento de estas cláusulas y solo procesará la información en la medida y durante el tiempo en que lo exijan dichas leyes. Esto se hará sin perjuicio de la Cláusula 14, en particular la obligación del importador de datos que se establece en la Cláusula 14(e) de notificar al exportador de datos en tanto dure el contrato en caso de que tenga motivos para creer que se ve afectado por leyes o prácticas que contradicen los requisitos de dicha cláusula.

8.6 Seguridad del procesamiento

(a) El importador de datos y, durante la transmisión, también el exportador, deberán implementar las medidas técnicas y organizacionales pertinentes para garantizar la seguridad de los datos, incluidas las medidas de protección contra violaciones de la seguridad que provoquen la destrucción ilegítima o accidental, la pérdida, alteración, divulgación no autorizada o el acceso a estos datos (en adelante, la «violación de datos personales»). Al momento de evaluar el grado de seguridad adecuado, las partes deberán tener debidamente en cuenta la tecnología disponible, el valor de la implementación, la naturaleza, el alcance, el contexto y el propósito del procesamiento y los riesgos que conlleva dicho procesamiento para las partes interesadas. En especial, las partes deberán considerar el uso de técnicas de cifrado o seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda llevarse a cabo de esa manera. En el caso de la seudonimización, la información adicional para atribuir los datos personales a una parte interesada específica deberá, en lo posible, permanecer bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones según lo dispuesto en este párrafo, el importador de datos deberá, como mínimo, implementar las medidas técnicas y organizacionales que se especifican en el Anexo II. También deberá llevar a cabo comprobaciones periódicas para garantizar que estas medidas continúen proporcionando el nivel adecuado de seguridad.

(b) El importador de datos deberá otorgar acceso a los datos personales a miembros de su personal solo en la medida en que sea estrictamente necesario para la implementación, gestión y supervisión del contrato. Deberá garantizar que las personas autorizadas a procesar los datos personales se comprometan a proteger la confidencialidad de la información o tengan la obligación legal de hacerlo.

(c) En el caso de que se produzca una violación de datos personales sobre los datos procesados por el importador en virtud de estas cláusulas, este deberá tomar las medidas necesarias para abordar el problema, incluidas las medidas para reducir los efectos adversos. También deberá notificar al exportador sin demora cuando tenga conocimiento de dicha violación. Esta notificación deberá incluir los datos de un punto de contacto donde obtener más información, una descripción de la naturaleza de la violación (que incluya, en lo posible, categorías y número de partes interesadas y registros de datos personales aproximados en cuestión), las posibles consecuencias y las medidas adoptadas o propuestas para abordar el problema, incluidas, si corresponde, las medidas para reducir los posibles efectos adversos. Si no es posible brindar toda la información en el mismo momento, la notificación inicial deberá contener la información disponible hasta entonces y la información adicional o faltante deberá enviarse apenas se obtenga.

(d) El importador de datos deberá cooperar con el exportador para permitirle a este cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en especial para dar aviso a la autoridad supervisora competente y a las partes interesadas afectadas, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el importador de datos.

8.7 Datos confidenciales

Cuando la transferencia implique la revelación de datos personales de origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, participación en sindicatos, datos genéticos o biométricos para identificar específicamente a una persona física, información sobre la salud o la vida u orientación sexual de una persona, o los datos relacionados con condenas criminales y delitos (en adelante, «datos confidenciales»), el importador de datos deberá aplicar las restricciones específicas o las medidas de protección adicionales que se describen en el Anexo I.B.

8.8 Transferencias ulteriores

El importador de datos deberá divulgar los datos personales a un tercero únicamente según las instrucciones documentadas del exportador de datos. Además, los datos solo podrán divulgarse a un tercero que se encuentre fuera de la Unión Europea (en el mismo país que el importador de datos o en otro país, en adelante «transferencias ulteriores») si dicho tercero se rige o acepta regirse por este pliego de cláusulas, de conformidad con el módulo correspondiente, o si:

(i) la transferencia ulterior se hace hacia un país beneficiario de una decisión de adecuación en virtud del Artículo 45 del Reglamento (UE) 2016/679 que abarque dicha transferencia;

(ii) la tercera parte garantiza las medidas de protección adecuadas según los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;

(iii) la transferencia ulterior es necesaria para el establecimiento, la ejecución o la defensa de reclamaciones en el contexto de procesos administrativos, regulatorios o judiciales específicos; o

(iv) la transferencia ulterior es necesaria para proteger los intereses vitales de la parte interesada o de otra persona física.

Todas las transferencias ulteriores están sujetas al cumplimiento por parte del importador de datos de todas las demás medidas de protección contempladas en estas cláusulas, especialmente las limitaciones en el propósito.

8.9 Documentación y cumplimiento

(a) El importador de datos debe abordar las inquietudes del exportador con respecto al procesamiento en conformidad con este pliego de cláusulas de forma rápida y adecuada.

(b) Las partes deberán ser capaces de demostrar cumplimiento con estas cláusulas. Específicamente, el importador de datos deberá conservar documentación apropiada sobre las actividades de procesamiento que se realizan en nombre del exportador.

(c) El importador de datos debe poner a disposición del exportador toda la información necesaria para demostrar su cumplimiento con las obligaciones establecidas en estas cláusulas y, a pedido del exportador, deberá facilitar auditorías de las actividades de procesamiento contempladas en este pliego a intervalos razonables o si hay indicios de incumplimiento. Cuando se decida hacer una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador.

(d) El exportador de datos puede optar por llevar a cabo la auditoría por su cuenta o designar a un auditor independiente. Las auditorías podrán incluir inspecciones en las oficinas o instalaciones físicas del importador y, cuando corresponda, deberán hacerse con la suficiente antelación.

(e) Las partes deberán poner a disposición de la autoridad supervisora competente, y a pedido de esta, la información que se menciona en los párrafos (b) y (c), además de los resultados de las auditorías.

Cláusula 9

Uso de subprocesadores

(a) El importador de datos tiene autorización general del exportador para recurrir a los subprocesadores de una lista acordada. El importador deberá informar por escrito específicamente al exportador de datos sobre cualquier cambio en esa lista, como la incorporación o el reemplazo de subprocesadores, con al menos 30 días hábiles de anterioridad para que el exportador tenga tiempo suficiente de objetar dichas modificaciones antes de que tengan lugar. El importador deberá proporcionarle la información necesaria al exportador para permitirle ejercer su derecho a objetar.

(b) Si el importador de datos trabaja con un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador), deberá hacerlo por medio de un contrato por escrito que garantice, en lo esencial, las mismas obligaciones de protección de datos que las adquiridas por el importador en virtud de este pliego de cláusulas, incluidos los derechos de terceros beneficiarios en relación con las partes interesadas. Las partes acuerdan que, al cumplir con esta cláusula, el importador de datos cumple con sus obligaciones, que se especifican en la Cláusula 8.8. El importador deberá asegurarse de que el subprocesador cumple con las obligaciones a las que el importador está sujeto en virtud de estas cláusulas.

(c) El importador de datos deberá proporcionar al exportador, a pedido de este, una copia del acuerdo con el subprocesador y de las modificaciones subsiguientes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, incluidos los datos personales, el importador de datos podría suprimir parte del texto del acuerdo antes de compartir una copia.

(d) El importador de datos continuará asumiendo plena responsabilidad ante el exportador de datos por el desempeño de las obligaciones del subprocesador en virtud de su contrato con este último. El importador deberá notificar al exportador en caso de que el subprocesador no pudiera cumplir con las obligaciones establecidas en tal contrato.

(e) El importador de datos deberá establecer, de común acuerdo, una cláusula de tercero beneficiario con el subprocesador en la que se establezca que, en caso de que el importador desaparezca de facto, deje de existir jurídicamente o se vuelva insolvente, el exportador tendrá derecho a finalizar el contrato con dicho subprocesador y a pedirle que elimine o devuelva los datos personales.

Cláusula 10

Derechos de las partes interesadas

(a) El importador de datos deberá notificar oportunamente al exportador acerca de cualquier solicitud que haya recibido de una parte interesada y no deberá responderla hasta que reciba su autorización.

(b) El importador de datos debe colaborar con el exportador en el cumplimiento de su obligación de responder las solicitudes de las partes interesadas para ejercer sus derechos de conformidad con el Reglamento (UE) 2016/679. Para este efecto, las partes deberán establecer en el Anexo II las medidas técnicas y organizacionales pertinentes, teniendo en cuenta la naturaleza del procesamiento, que garanticen tanto el ámbito de aplicación de la asistencia como su alcance.

(c) En cumplimiento con las obligaciones atribuidas en los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador.

Cláusula 11

Reparación

(a) El importador de datos deberá informar a las partes interesadas un punto de contacto autorizado para manejar reclamaciones en un formato transparente y de fácil acceso a través de notificación individual o en su sitio web. Este deberá abordar oportunamente las reclamaciones que reciba.

(b) En caso de que surja un litigio entre una parte interesada y una de las partes en relación con el cumplimiento de este pliego de cláusulas, se deberá hacer todo lo posible para resolver el problema en buenos términos y de manera oportuna. Las partes deberán mantenerse mutuamente informadas acerca de dichos litigios y, cuando corresponda, cooperar para resolverlos.

(c) Si la parte interesada invoca un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos deberá aceptar la decisión de esta parte de:

(i) presentar una reclamación ante la autoridad supervisora en el estado miembro donde reside o trabaja habitualmente, o ante la autoridad supervisora competente de conformidad con la Cláusula 13;

(ii) derivar la disputa a los tribunales competentes dentro del significado de la Cláusula 18.

(d) Las partes aceptan que el interesado puede estar representado por una entidad, organismo o asociación sin fines de lucro según las condiciones que se definen en el Artículo 80(1) del Reglamento (UE) 2016/679.

(e) El importador de datos deberá acatar las resoluciones vinculantes de conformidad con la ley de la UE o el estado miembro vigente.

(f) El importador de datos acepta que la elección que hace la parte interesada no afectará sus derechos sustantivos y procesales a obtener reparación de acuerdo con las leyes vigentes.

Cláusula 12

Responsabilidad

(a) Cada parte será responsable ante las otras por los daños que les ocasione si incumple cualquiera de estas cláusulas.

(b) El importador de datos será responsable ante la parte interesada y esta tendrá derecho a recibir una indemnización por los daños materiales o inmateriales que el importador o sus subprocesadores le ocasionen al violar los derechos de tercero beneficiario derivados de estas cláusulas.

(c) No obstante lo establecido en el párrafo (b), el exportador de datos será responsable ante la parte interesada y esta tendrá derecho a recibir una indemnización por los daños materiales o inmateriales que el exportador o el importador de datos (o su subprocesador) le ocasionen al violar los derechos de tercero beneficiario derivados de estas cláusulas. Esto se hará sin perjuicio de la responsabilidad del exportador de datos y, cuando este sea un procesador que actúa en nombre de un interventor, sin perjuicio de la responsabilidad del interventor, de conformidad con el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.

(d) Las partes acuerdan que, si el exportador de datos se considera responsable en virtud del párrafo (c) por los daños causados por el importador (o su subprocesador), podría tener derecho a exigir al importador la parte de la indemnización que corresponde a la responsabilidad de este último por el daño.

(e) Cuando más de una parte tenga responsabilidad por los daños ocasionados a la parte interesada como resultado del incumplimiento de estas cláusulas, todas las partes se considerarán responsables en forma conjunta y solidaria, y la parte interesada tendrá derecho a iniciar acciones judiciales contra cualquiera de ellas.

(f) Las partes acuerdan que, si una de ellas es responsable según lo que establece el párrafo (e), tendrá derecho a exigir a las demás la parte de la indemnización que corresponde a su responsabilidad por los daños.

(g) El importador de datos no puede alegar la conducta de un subprocesador para eludir su propia responsabilidad.

Cláusula 13

Supervisión

(a) La autoridad supervisora que tiene la responsabilidad de garantizar el cumplimiento del exportador de datos con el Reglamento (UE) 2016/679 en relación con la transferencia de datos, según el Anexo I.C. deberá actuar como autoridad supervisora competente.

(b) El importador de datos acepta someterse a la jurisdicción de dicha autoridad y cooperar con ella en todos los procedimientos destinados a garantizar el cumplimiento de este pliego de cláusulas. Específicamente, el importador acepta responder consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y indemnizatorias. Deberá proporcionar a la autoridad supervisora confirmación escrita donde conste que se tomaron las medidas necesarias.

SECCIÓN III - DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE
LAS AUTORIDADES PÚBLICAS

Cláusula 14

Derecho y prácticas del país que afectan el cumplimiento del pliego de cláusulas

(a) Las partes aseguran que no tienen ninguna razón para creer que el derecho y las prácticas en el tercer país de destino en relación con el procesamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autorizan el acceso de autoridades públicas, impiden que el importador pueda cumplir con sus obligaciones en virtud de estas cláusulas. Esto se fundamenta sobre la premisa de que el derecho y las prácticas que respetan la esencia de los derechos y las libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para proteger uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679 no contradicen lo dispuesto en estas cláusulas.

(b) Las partes declaran que, a la hora de proporcionar las garantías mencionadas en el párrafo (a), han considerado, en particular, los siguientes aspectos:

(i) las circunstancias específicas de la transferencia, entre ellas la longitud de la cadena de procesamiento, el número de agentes que participan y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales que se transfieren; el sector económico en el que se desarrolla la transferencia y el lugar de almacenamiento de la información transferida;

(ii) el derecho y las prácticas del tercer país de destino (entre ellos los que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso por parte de dichas autoridades) pertinentes según las circunstancias específicas de la transferencia, y las limitaciones y medidas de seguridad aplicables;

(iii) las medidas de protección contractuales, técnicas u organizacionales pertinentes que se toman para complementar las medidas que contemplan estas cláusulas, incluidas las que se toman durante la transmisión y el procesamiento de los datos personales en el país de destino.

(c) El importador de datos asegura que, a la hora de llevar a cabo la evaluación mencionada en el párrafo (b), hizo todo lo necesario para brindar al exportador de datos la información pertinente y acepta que continuará cooperando con este para garantizar el cumplimiento de este pliego de cláusulas.

(d) Las partes aceptan documentar la evaluación a la que se refiere el párrafo (b) y ponerla a disposición de la autoridad supervisora competente a pedido de esta.

(e) El importador de datos acepta notificar al exportador oportunamente si, tras haber aceptado estas cláusulas y durante la duración del contrato, tiene motivos para creer que está sujeto a leyes o prácticas que contradicen los requisitos del párrafo (a), lo que incluye cambios en las normativas del tercer país o una medida (como una solicitud de divulgación) que sugiera una aplicación de dichas normativas en la práctica que no se ajuste a lo dispuesto en dicho párrafo.

(f) De realizarse la notificación referida en el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador ya no puede cumplir con sus obligaciones en virtud de estas cláusulas, el exportador deberá definir oportunamente las medidas adecuadas (p. ej., medidas técnicas u organizacionales para garantizar la seguridad y confidencialidad) que él o el importador adoptarán para resolver el problema. El exportador suspenderá la transferencia de datos si considera que no pueden garantizarse las medidas de protección apropiadas o si la autoridad supervisora competente así lo solicita. En este caso, el exportador tendrá derecho a finalizar el contrato, en lo que se refiera al procesamiento de datos personales en virtud de este pliego de cláusulas. Si el contrato involucra a más de dos partes, el exportador podrá ejercer su derecho de terminación del contrato solo con respecto a la parte que corresponda, a menos que las partes hayan acordado algo distinto. Si se finaliza el contrato en virtud de esta cláusula, se deberá aplicar la Cláusula 16(d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

(a) El importador de datos acepta notificar oportunamente al exportador y, cuando sea posible, a la parte interesada (si fuera necesario, con ayuda del exportador) en las siguientes situaciones:

(i) si recibe una solicitud jurídicamente vinculante por parte de una autoridad pública, incluidas autoridades judiciales, en virtud de las leyes del país de destino, para la divulgación de datos personales transferidos de conformidad con estas cláusulas; dicha notificación debe incluir información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o

(ii) si llega a tener conocimiento del acceso directo por parte de autoridades públicas a los datos personales transferidos de conformidad con estas cláusulas y teniendo en cuenta las leyes del país de destino; dicha notificación debe incluir toda la información disponible para el importador.

(b) Si, debido a las leyes del país de destino, el importador de datos tiene prohibido notificar al exportador o a la parte interesada, acepta hacer lo posible para obtener una excepción y comunicar la mayor cantidad de información tan pronto como se pueda. El importador de datos acepta documentar sus esfuerzos para así poder dar cuenta de ellos cuando el exportador lo solicite.

(c) Cuando las leyes del país de destino lo permitan, el importador de datos acepta proporcionar al exportador la mayor cantidad de información posible, a intervalos regulares y en tanto dure el contrato, sobre las solicitudes que recibió (en especial, el número de solicitudes, el tipo de datos solicitados, las autoridades solicitantes, si las solicitudes se impugnaron y el resultado de tales impugnaciones, etc.).

(d) El importador de datos acepta conservar la información según lo establecido en los párrafos (a) a (c) en lo que dure el contrato y ponerla a disposición de la autoridad supervisora competente si se le solicita.

(e) Los párrafos (a) a (c) existen sin perjuicio de la obligación del importador de datos contemplada en las Cláusulas 14(e) y 16 de informar oportunamente al exportador de datos en caso de que no pueda cumplir con este pliego de cláusulas.

15.2 Evaluación de la legalidad y minimización de datos

(a) El importador de datos aceptar evaluar la legalidad de la solicitud de divulgación, en particular si la autoridad supervisora solicitante está facultada para ello, y de impugnar la solicitud si, tras una valoración minuciosa, concluye que hay motivos razonables para considerar que dicha solicitud es ilícita en virtud de las leyes del país de destino, las obligaciones aplicables según las leyes internacionales y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, buscar posibilidades de apelación. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No deberá divulgar los datos personales solicitados hasta que se requiera hacerlo para cumplir con las normas procedimentales que se definan. Estos requisitos existen sin perjuicio de las obligaciones del importador de datos de conformidad con la Cláusula 14(e).

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación a la solicitud de divulgación y, en la medida en que las leyes del país de destino lo permitan, a poner la documentación a disposición del exportador. También deberá proporcionarla a la autoridad supervisora competente si esta lo solicita.

(c) El importador de datos se compromete a suministrar el mínimo de información permitido a la hora de responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y terminación del contrato

(a) El importador de datos deberá informar oportunamente al exportador si no puede cumplir con este pliego de cláusulas por cualquier motivo.

(b) En el caso de que el importador de datos incumpla estas cláusulas, el exportador deberá suspender la transferencia de datos personales al importador hasta que se vuelva a garantizar el cumplimiento o finalice el contrato. Lo anterior se entiende sin perjuicio de la Cláusula 14(f).

(c) El exportador de datos tendrá derecho a finalizar el contrato en lo que se refiere al procesamiento de datos personales en virtud de estas cláusulas, en las siguientes situaciones:

(i) el exportador de datos suspendió la transferencia de datos personales al importador según lo dispuesto en el párrafo (b) y el cumplimiento de estas cláusulas no se restituye dentro de un plazo razonable y, en cualquier caso, dentro del mes siguiente a la suspensión;

(ii) el importador de datos incumple de forma sustancial o persistente estas cláusulas; o

(iii) el importador de datos incumple con la decisión vinculante de un tribunal o autoridad supervisora competente en lo referente a las obligaciones atribuidas por este pliego de cláusulas.

En estos casos, deberá informar dicho incumplimiento a la autoridad supervisora competente. Si el contrato involucra a más de dos partes, el exportador de datos podrá ejercer su derecho de terminación del contrato solo en lo concerniente a la parte correspondiente, a menos que las partes hayan acordado algo distinto.

(d) Los datos personales que se hayan transferido antes de finalizar el contrato de conformidad con el párrafo (c) deberán, si el exportador lo decide, devolverse de inmediato al exportador o eliminarse en su totalidad. Lo mismo se aplica a las copias de los datos. El importador de datos deberá certificar la eliminación de los datos al exportador. Hasta el momento en que los datos sean eliminados o devueltos, el importador deberá continuar garantizando el cumplimiento de este pliego de cláusulas. En el caso en que el derecho aplicable del país prohíba al importador de datos devolver o eliminar los datos personales transferidos, dicho importador garantiza que continuará cumpliendo con este pliego de cláusulas y solo procesará los datos durante el tiempo y en la medida que se requiera según el derecho del país.

(e) Ninguna de las partes puede revocar su decisión de cumplir con estas cláusulas si (i) la Comisión Europea adopta la decisión según el Artículo 45(3) del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a la que se refiere este pliego de cláusulas; o (ii) el Reglamento (UE) 2016/679 se incorpora al marco jurídico del país al que se transfieren los datos. Esto se entiende sin perjuicio de otras obligaciones que se aplican al procesamiento en cuestión de conformidad con el Reglamento (UE) 2016/679.

Cláusula 17

Derecho aplicable

Estas cláusulas se regirán por la legislación de uno de los estados miembro de la UE, siempre que admita la existencia de los derechos de terceros beneficiarios. Las partes acuerdan que estas cláusulas se regirán de acuerdo con la sección «Entidad contratante; Derecho aplicable, Notificación» de los Términos específicos según la jurisdicción o, si en dicha sección no se especifica un estado miembro de la UE, por la ley de la República de Irlanda (sin tener en cuenta el conflicto entre diversos sistemas jurídicos).

Cláusula 18

Elección del foro y la jurisdicción

(a) La resolución de cualquier controversia que surja de este pliego de cláusulas estará a cargo de los tribunales de un estado miembro de la UE.

(b) Las partes acuerdan que serán tribunales de la jurisdicción especificada en la Cláusula 17.

(c) Una parte interesada también podría iniciar acciones judiciales contra el exportador o el importador de datos ante los tribunales del estado miembro en el que reside habitualmente.

(d) Las partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO SOBRE SUIZA Y EL REINO UNIDO PARA LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

(a) Este anexo modifica las cláusulas contractuales estándar en la medida necesaria para que se puedan aplicar a las transferencias que realiza el exportador al importador de datos, según el grado en el que el RGPD del Reino Unido o el DPA suizo (como se definen en el anexo de procesamiento de datos de HubSpot) sean pertinentes al procesamiento del exportador cuando haga dicha transferencia.

(b) Las cláusulas contractuales estándar podrán enmendarse con las siguientes modificaciones:

(i) las referencias al «Reglamento (UE) 2016/679» deberán interpretarse como referencias al RGPD del Reino Unido o al DPA suizo (según corresponda);

(ii) las referencias a artículos específicos del «Reglamento (UE) 2016/679» se remplazarán con el artículo o la sección equivalentes del RGPD del Reino Unido o el DPA suizo (según corresponda);

(iii) las referencias al Reglamento (UE) 2018/1725 se eliminarán;

(iv) las referencias «UE», «Unión» y «estado miembro» se remplazarán con las referencias «Reino Unido» o «Suiza» (según corresponda);

(v) La Cláusula 13(a) y la Parte C del Anexo II no se utilizarán y la «autoridad supervisora competente» será el Comisionado de Información del Reino Unido o el Comisionado Federal para la Protección de Datos y la Información de Suiza (según corresponda);

(vi) las referencias «autoridad supervisora competente» y «tribunales competentes» se remplazarán con referencias al «Comisionado de Información» y los «tribunales de Inglaterra y Gales» o el «Comisionado Federal para la Protección de Datos y la Información de Suiza» y los «tribunales pertinentes de Suiza» (según corresponda);

(vii) en la Cláusula 17, las cláusulas contractuales estándar se regirán por las leyes de Inglaterra y Gales o Suiza (según corresponda); y

(viii) en la medida en que el RGPD del Reino Unido se aplique al procesamiento, la Cláusula 18 se reemplazará para que diga: «La resolución de cualquier controversia que surja de este pliego de cláusulas estará a cargo de los tribunales de Inglaterra y Gales. Una parte interesada también podría iniciar acciones judiciales contra el exportador o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las partes aceptan someterse a la jurisdicción de dichos tribunales»; y

(ix) en la medida en que el DPA suizo se aplique al procesamiento, la Cláusula 18 se reemplazará para que diga: «La resolución de cualquier controversia que surja de estas cláusulas estará a cargo de los tribunales competentes de Suiza. Las partes aceptan someterse a la jurisdicción de dichos tribunales».

La plataforma CRM de HubSpot

CRM gratuito de HubSpot

Plataforma de CRM completa

Marketing Hub

Sales Hub

Service Hub

CMS Hub

Operations Hub

Mercado de apps

Formación

¿Por qué HubSpot?

Servicios

Recursos de usuario

Legal Stuff

Acuerdo para el procesamiento de datos de HubSpot

1. Definiciones

2. Responsabilidades del cliente