Talk legal to me
Última modificación: 18 de septiembre de 2024
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Última modificación: 18 de septiembre de 2024
La versión en inglés de este documento regirá nuestra relación. La versión traducida se proporciona únicamente como referencia y bajo ninguna circunstancia se interpretará que la versión traducida modifica la versión en inglés. Para consultar la versión en inglés, dirígete a la página HubSpot Legal Stuff.
Si necesitas una copia firmada que incluya el texto completo de las cláusulas contractuales tipo, la adenda del Reino Unido y la lista de subencargados del tratamiento, haz clic en este enlace.
Este acuerdo para el tratamiento de datos y sus anexos (DPA, por sus siglas en inglés), se incluye en los términos del servicio para el cliente y forma parte integral de ese documento, que celebramos entre tú y nuestra empresa (en adelante, "el acuerdo"). Este documento refleja el acuerdo entre las partes con respecto (i) al procesamiento de datos personales de clientes por nuestra parte como encargados del tratamiento en tu nombre, y (ii) al procesamiento de los datos personales del responsable del tratamiento por cada una de las partes en calidad de responsables del tratamiento en relación con nuestros productos de enriquecimiento y el uso que hagas del código de seguimiento de HubSpot.
En caso de que exista conflicto o incoherencia con los términos del acuerdo, este DPA tendrá prioridad únicamente a los efectos de dicho conflicto o incoherencia.
Las secciones 3 a 9 de este DPA se aplican únicamente en la medida en que HubSpot sea el encargado del tratamiento de los datos personales de los clientes en relación con los servicios de suscripción.
La sección 10 solamente es aplicable en la medida en que el cliente active la función de transferencia de datos de intención y utilice los productos de enriquecimiento o el código de seguimiento de HubSpot, además de que cada una de las partes ejerza en calidad de responsable del tratamiento según la legislación de protección de datos.
Actualizamos estos términos periódicamente. Si tienes una suscripción de HubSpot activa, te informaremos mediante una notificación en la app, o bien por correo electrónico si hiciste clic en el enlace para recibir estas notificaciones incluido en nuestros términos generales. Puedes encontrar las versiones archivadas de este DPA en https://legal.hubspot.com/legal-stuff/archive.
La vigencia de este DPA será la misma que la vigencia del acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el acuerdo.
Anexo 1(A) - Información sobre el tratamiento de los datos: HubSpot como encargado del tratamiento
"Información personal de California" hace referencia a los datos personales del cliente sujetos a la protección de la CCPA.
"CCPA" se refiere al Código Civil de California, Sección "CCPA" se refiere al Código Civil de California, sección 1798.100 y siguientes (también conocida como la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020, o "CPRA").
Los términos "consumidor", "empresa", "vender", "proveedor de servicios" y "compartir" tendrán las definiciones que se les dé en la CCPA.
"Responsable del tratamiento" hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del tratamiento de datos personales.
"Datos personales del responsable del tratamiento" hace referencia a los datos personales que cada una de las partes procesa en calidad de responsable en relación con los productos de enriquecimiento o el código de seguimiento de HubSpot, además de que cada una se considere responsable del tratamiento según la legislación de protección de datos.
"Datos personales de clientes" se refiere a los datos personales incluidos en los datos de clientes que HubSpot procesa como encargado del tratamiento en nombre del cliente.
"Violación de la seguridad de los datos personales" hace referencia a una violación de la seguridad, accidental o ilegítima, que ocasiona la destrucción, pérdida, alteración o divulgación no autorizada de los datos personales de clientes transmitidos, almacenados o tratados de cualquier otra manera por nosotros o nuestros subencargados en relación con la prestación de los servicios de suscripción. Una "violación de la seguridad de los datos personales" no incluye intentos ni actividades fallidas que no comprometan la seguridad de los datos personales de clientes, incluidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.
"Marco de privacidad de datos" hace referencia al marco de privacidad de datos entre EE. UU. y la UE, al marco de privacidad de datos entre EE. UU. y Suiza, a la extensión para el Reino Unido del marco de privacidad de datos entre EE. UU. y la UE, y a los programas de autocertificación del marco de privacidad de datos operados por el departamento de comercio de EE. UU. (según corresponda), incluidas las adendas, sustituciones o reemplazos correspondientes.
"Principios del marco de privacidad de datos" hace referencia a los principios y principios suplementarios del marco de privacidad de datos pertinente, incluidas las adendas, sustituciones o reemplazos que correspondan.
"Leyes de protección de datos" se refiere a toda la legislación aplicable a escala internacional relacionada con la privacidad y protección de la información, que se aplica al tratamiento de los datos personales en virtud del acuerdo. Entre estas leyes se incluyen, entre otras, las leyes de protección de datos de Europa, la CCPA y otras leyes de privacidad aplicables, federales y estatales de EE. UU., así como las leyes de protección y privacidad de la información de Australia, Canadá, India, Japón y Singapur, en cada caso, según se enmiende, revoque, consolide o reemplace ocasionalmente.
"Titular de los datos" hace referencia a la persona a la que hacen referencia los datos personales.
"Europa" se refiere a la Unión Europea, al Espacio Económico Europeo y a sus estados miembros, Suiza y el Reino Unido.
"Datos europeos" se refiere a los datos personales de clientes sujetos a la protección de las leyes europeas de protección de la información.
"Leyes europeas de protección de datos" se refiere a las leyes de protección de datos aplicables en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo para la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales (Reglamento General de Protección de Datos, "RGPD"); (ii) la Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD incorporado a la legislación nacional aplicable del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea 2018 (Retirada) (el "RGPD del Reino Unido"); y (iv) la Ley Federal Suiza de protección de datos y su ordenanza ("acuerdo para el tratamiento de datos suizo"); en cada caso, según se enmiende, sustituya o reemplace.
"Instrucciones" hace referencia a las instrucciones escritas y documentadas emitidas por un cliente a un HubSpot, y mediante las cuales se solicita a HubSpot una acción específica o general respecto a los datos personales de clientes (como la despersonalización, el bloqueo, la eliminación y la puesta a disposición).
"Filiales permitidas" hace referencia a cualquiera de tus filiales que (i) tenga permiso para usar los servicios de suscripción en virtud del acuerdo pero que no haya firmado su propio acuerdo por separado con HubSpot y no sea un "cliente" según la definición del acuerdo; (ii) se califique como responsable de los datos personales de clientes o los datos personales del responsable del tratamiento; y (iii) esté sujeta a las leyes de protección de datos de Europa.
"Datos personales" se refiere a la información relacionada con una persona identificada o identificable cuando dicha información está protegida de manera similar a los datos personales, información personal o a la información personalmente identificable de conformidad con las leyes de protección de datos.
"Tratamiento" hace referencia a toda operación o conjunto de operaciones que se lleve a cabo con los datos personales, incluido el registro, la recogida, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o publicación por cualquier otro medio, el ajuste o combinación, o la restricción o el borrado de datos personales. Los términos "tratamiento", "tratamientos" y "tratados" se interpretarán en consecuencia.
"Encargado del tratamiento" hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento.
"Transferencia restringida" se refiere a la transferencia de datos personales procedentes de Europa a un país que no proporciona un grado adecuado de protección según como se define en la legislación europea para la protección de datos correspondiente.
"Cláusulas contractuales tipo" hace referencia a las cláusulas contractuales tipo que se anexan a la Decisión de ejecución de la Comisión Europea (UE) 2021/914 del 4 de junio de 2021, que actualmente se encuentra en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32021D0914, según se enmiende, sustituya o reemplace.
"Subencargado" hace referencia a cualquier encargado del tratamiento, contratado por nosotros o por nuestras filiales, que nos ayude a cumplir con nuestras obligaciones con respecto al tratamiento de los datos personales de clientes en virtud del acuerdo. Los subencargados podrían incluir terceros o filiales nuestras, pero no incluyen a los empleados ni a los consultores de HubSpot.
"Adenda del Reino Unido" hace referencia a la adenda sobre transferencias internacionales de datos emitida por la Oficina del Comisionado de la Información del Reino Unido en la sección 119A(1) de la Ley de Protección de datos de 2018 y actualmente disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf en cada caso, según se enmiende, sustituya o reemplace.
a. Cumplimiento de la ley. Dentro del ámbito de aplicación del acuerdo y tu uso de los servicios, serás responsable de cumplir con todos los requisitos que te correspondan según las leyes de protección de datos aplicables con respecto al tratamiento de los datos personales que tú hagas.
En particular, y sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable de: (i) la exactitud, calidad y legalidad de los datos personales de los clientes y la forma en que obtuviste tales datos; (ii) cumplir con todos los requisitos de transparencia y legalidad según las leyes de protección de datos aplicables a la recogida y el uso de datos personales de clientes, que incluye el envío de notificaciones adecuadas, la obtención de todas las autorizaciones y consentimientos necesarios, la adhesión a las preferencias de retiro del consentimiento (en particular, para el uso con fines de marketing por parte del cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer a HubSpot acceso a los datos personales de clientes para que podamos tratarlos según los términos del acuerdo (incluido este DPA); (iv) cumplir con todas las leyes aplicables a todo correo electrónico o demás contenido creado, enviado o gestionado a través de los servicios de suscripción, incluidas las que se relacionan con la obtención de consentimiento para enviar correos electrónicos, así como al contenido de dichos correos y sus prácticas de implementación; y (v) garantizar que el uso que haces de los datos personales del responsable del tratamiento cumple con la legislación para la protección de datos y se limita únicamente a los objetivos establecidos en virtud del acuerdo (incluido este DPA). Deberás notificarnos sin demora injustificada si no puedes cumplir con tus responsabilidades según esta subsección ("Cumplimiento de la ley") o las leyes de protección de datos.
b. Instrucciones del cliente. Debes garantizar que las instrucciones que nos des en relación con el tratamiento de los datos personales de clientes cumplen con la legislación aplicable, entre lo que se incluyen las leyes para la protección de datos. Las partes aceptan que el acuerdo (incluido este DPA), junto con el uso que haces del servicio de suscripción según el acuerdo, constituyen la totalidad de tus instrucciones a HubSpot con respecto al tratamiento de los datos personales de clientes por nuestra parte, en tanto que, durante el plazo de suscripción, nos proporciones instrucciones adicionales que sean coherentes con el acuerdo, así como con la naturaleza y el uso legal del servicio de suscripción.
c. Seguridad. Es tu responsabilidad determinar de manera independiente si la seguridad de los datos que se proporciona en el servicio de suscripción cumple con tus obligaciones de conformidad respecto a las leyes de protección de datos. También eres responsable del uso seguro del servicio de suscripción, lo cual incluye la protección de los datos personales en tránsito desde y hacia dicho servicio (incluida la creación de copias de seguridad o el cifrado seguros de estos datos).
3. Obligaciones de HubSpot como encargado del tratamiento
a. Cumplimiento de las instrucciones. Solo tratamos datos personales de clientes con los fines descritos en este DPA o según lo acordado en las instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con ninguna ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.
b. Conflicto entre leyes. Si descubrimos que no podemos tratar datos personales de clientes de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la ley; y (ii) cuando sea necesario, suspenderemos el tratamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales de clientes afectados) hasta que nos des nuevas instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el acuerdo, HubSpot no será responsable ante ti por el incumplimiento de los servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al tratamiento.
c. Seguridad. Implementaremos y mantendremos medidas técnicas y organizativas adecuadas para proteger los datos personales de clientes contra toda violación de la seguridad, según se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). Sin perjuicio de ninguna disposición contraria, podemos modificar o actualizar las medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por dichas medidas.
d. Confidencialidad. Nos aseguraremos de que todo el personal que tenga autorización para tratar los datos personales de clientes en nuestro nombre esté sujeto a obligaciones adecuadas de confidencialidad respecto a esos datos personales (ya sea por obligación legal o por contrato).
e. Violaciones de la seguridad de los datos personales. Te notificaremos sin demora injustificada cualquier violación a la seguridad de los datos personales de clientes de la que seamos conscientes, y te ofreceremos información oportuna tan pronto como tengas conocimiento de ella o tan pronto como nos lo solicites. Si nos lo solicitas, HubSpot te ofrecerá la ayuda necesaria, dentro de lo razonable, para que puedas notificar a las autoridades competentes o a los titulares de los datos afectados sobre cualquier violación de la seguridad pertinente si tienes que hacerlo de conformidad con las leyes de protección de datos.
f. Eliminación o devolución de los datos personales de clientes. Eliminaremos o devolveremos todos los datos de los clientes, incluidos los datos personales tratados (y sus copias) de conformidad con este DPA, al terminar o vencer el servicio de suscripción y de acuerdo con los procedimientos definidos en nuestros términos específicos de los productos. Esta cláusula tendrá validez en todos los casos excepto si la ley aplicable nos exige retener datos de clientes de forma parcial o total, o en aquellos casos en los que tenemos archivados datos de clientes en sistemas de respaldo, que aislaremos de forma segura y protegeremos de forma que no se someta a más tratamiento, y que eliminaremos de conformidad con nuestras prácticas de eliminación. Puedes pedir que se elimine tu cuenta de HubSpot tras el vencimiento o la terminación de tu suscripción siguiendo las instrucciones de la página https://knowledge.hubspot.com/es/account/how-do-i-cancel-my-hubspot-account.
Te recomendamos que recuperes los datos de tus clientes antes de que finalice el período de suscripción. Para hacerlo, puedes seguir las instrucciones de los artículos de la base de conocimientos que explican cómo hacer lo siguiente: exportar contenido y datos, exportar registros, exportar los datos de rendimiento de los anuncios, exportar los datos de rendimiento generales de los correos electrónicos y eliminar datos permanentemente en HubSpot.
Si necesitas ayuda para extraer los datos de tus clientes durante el período de suscripción, te proporcionaremos asistencia en la medida de lo razonable, tal cual se estipula en la sección "Confidencialidad" de los términos generales, y los gastos correrán por tu cuenta.
4. Solicitudes de los titulares de los datos
El servicio de suscripción incluye algunos controles para buscar, corregir, eliminar o limitar los datos personales de clientes, que puedes usar en virtud de tus obligaciones según las leyes de protección de datos, incluidas tus obligaciones de responder a las solicitudes de los titulares de los datos para cumplir sus derechos según las leyes de protección de datos ("solicitudes de los titulares de los datos").
Si no puedes satisfacer de forma independiente la solicitud de un titular de datos a través del servicio de suscripción, entonces, previa presentación de una solicitud escrita, HubSpot te ofrecerá asistencia en la medida de lo razonable para responder a todas las solicitudes de los titulares de los datos o a las solicitudes de las autoridades de protección de datos con respecto al tratamiento de los datos personales de clientes según se estipula en el acuerdo. Deberás reembolsar a HubSpot los gastos derivados de esta asistencia según sea razonable desde un punto de vista comercial.
Si recibimos directamente una solicitud del titular de los datos u otra comunicación referente al tratamiento de los datos personales de clientes según se estipula este acuerdo, te informaremos tan pronto como esté en nuestra mano y aconsejaremos al titular de los datos que te envíe su consulta. La responsabilidad de responder a las solicitudes de los titulares de los datos o a las comunicaciones relacionadas con datos personales de clientes es únicamente tuya.
5. Subencargados
Aceptas que podemos contratar subencargados para tratar datos personales de clientes en tu nombre, y que lo haremos de tres formas. Primero, podemos contratar subencargados para que nos ayuden con el alojamiento y la infraestructura. Segundo, podemos contratar subencargados para facilitar determinadas características e integraciones. Tercero, podemos contratar filiales de HubSpot como subencargados para prestar servicio y asistencia. Algunos subencargados tratarán tus datos de forma predeterminada, mientras que otros lo harán solo si das tu consentimiento.
En la actualidad, los subencargados que hemos designado son las filiales de HubSpot y los terceros mencionados en el Anexo 3 de este DPA. Para solicitar que te enviemos una notificación por correo electrónico cuando hagamos modificaciones a la página de subencargados, llena el formulario que encontrarás en https://legal.hubspot.com/subscribe-subprocessor-updates. Te comunicaremos estos cambios con 30 días de antelación como mínimo.
Tendrás la oportunidad de objetar, con fundamentos razonables y dentro de los 30 días posteriores a haber recibido la notificación, la incorporación de nuevos subencargados en relación con la protección de los datos personales de clientes. Si nos notificas dicha objeción, las partes considerarán tus inquietudes de buena fe para lograr una resolución razonable desde un punto de vista comercial. De no lograrse dicha resolución, HubSpot, a su entera discreción, podrá elegir no designar al nuevo subencargado o permitirte suspender o cancelar el servicio de suscripción afectado según las cláusulas de cancelación del acuerdo sin responsabilidad de ninguna de las partes (pero sin perjuicio de ninguna tarifa a pagar por ti antes de la suspensión o cancelación).
Siempre que trabajemos con subencargados, impondremos términos sobre la protección de datos a dichos subencargados; términos que ofrezcan al menos el mismo nivel de protección de datos personales que los de este acuerdo para el tratamiento de los datos de clientes, en la medida aplicable a la naturaleza de los servicios brindados por dichos subencargados. Seguiremos siendo responsables de que cada subencargado cumpla con las obligaciones de este DPA, así como de todas las acciones u omisiones de estos subencargados que conlleven el incumplimiento de cualquiera de las obligaciones de este DPA por parte de HubSpot.
6. Transferencias de datos
Reconoces y aceptas que podemos acceder a los datos personales de clientes y tratarlos de forma global, según sea necesario, para ofrecer el servicio de suscripción de conformidad con este acuerdo y, en particular, que los datos personales de clientes pueden ser tratados por HubSpot, Inc. en Estados Unidos y transferirse a otras jurisdicciones donde operen las filiales y subencargados de HubSpot. Cuando se transfieran los datos personales de clientes fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las leyes de protección de datos.
7. Demostración del cumplimiento
Pondremos a tu disposición toda la información necesaria en la medida de lo razonable para demostrar el cumplimiento con este DPA, y permitiremos y cooperaremos con todo proceso de auditoría, incluidas las inspecciones realizadas a tu cargo o a cargo de tu auditor, para evaluar el cumplimiento de este acuerdo si así lo exige la ley. Reconoces y aceptas que ejercerás tus derechos de auditoría según este DPA instruyendo a HubSpot a cumplir con las medidas de auditoría descritas en esta sección ("Prueba de cumplimiento"). Reconoces que el alojamiento del servicio de suscripción corre a cargo de nuestros subencargados de alojamiento, los cuales mantienen programas de seguridad validados de forma independiente (como SOC 2 e ISO 27001), y que nuestros sistemas se evalúan anualmente como parte del cumplimiento de la norma SOC 2 y se ponen a prueba regularmente por parte de empresas externas a HubSpot que evalúan los riesgos de penetración. Si lo solicitas, te enviaremos (de forma confidencial) el informe de SOC 2 y copias resumidas de nuestros informes de pruebas de penetración para que puedas corroborar el cumplimiento de HubSpot con este DPA. Puedes descargar copias de estos documentos desde el sitio web de seguridad de HubSpot, en trust.hubspot.com. Además, si nos proporcionas una solicitud escrita, enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información que hagas y que sean necesarias para confirmar nuestro cumplimiento con este DPA, siempre que sean razonables y que no utilices este derecho más de una vez por año natural, a no ser que tengas fundamentos para sospechar un incumplimiento.
8. Disposiciones adicionales sobre los datos europeos
a. Ámbito. La sección "Disposiciones adicionales sobre los datos europeos" solo se aplicará a los datos europeos que HubSpot trate en tu nombre durante la vigencia del acuerdo.
b. Rol de las partes. Al tratar datos europeos según tus instrucciones, las partes reconocen y aceptan que tú actúas en calidad de responsable o encargado del tratamiento en nombre de otro responsable, y que nuestra empresa actúa en calidad de encargado según el acuerdo.
c. Instrucciones. Si consideramos que tus instrucciones incumplen las leyes de protección de datos de Europa (si corresponde), te informaremos de ello sin demora.
d. Evaluaciones del impacto de la protección de datos y consulta con autoridades supervisoras. Siempre que la información solicitada esté razonablemente disponible para nosotros y tú no tengas acceso a ella, te ofreceremos asistencia en la medida de lo razonable con las evaluaciones del impacto de la protección de datos, previa consulta con las autoridades supervisoras (como la Agencia Francesa de Protección de Datos [CNIL], la Autoridad de Protección de Datos de Berlín [BlnBDI] y la Oficina del Comisionado de la Información del Reino Unido [ICO]) o con otras autoridades competentes en materia de la privacidad de los datos, según lo requerido por las leyes de protección de datos de Europa.
e. Transferencias de datos. HubSpot no transferirá datos europeos a ningún país ni destinatario que no haya demostrado ofrecer un nivel de protección de los datos personales de clientes adecuado (según la definición de la ley europea de protección de datos), a menos que primero tome todas las medidas necesarias para asegurar que la transferencia cumple con las leyes europeas de protección de datos aplicables. Dichas medidas pueden incluir, entre otras, (i) la transferencia de dichos datos a un destinatario que tenga el respaldo de un marco apropiado u otro instrumento legal y adecuado que las autoridades o tribunales pertinentes reconozcan con el nivel suficiente de protección de los datos personales de clientes, incluido el marco de privacidad de datos; (ii) a un destinatario que haya obtenido la autorización de normas corporativas vinculantes según la ley de protección de datos europea, o (iii) un destinatario que haya aplicado las cláusulas contractuales tipo adecuadas, en cada caso según lo adoptado o aprobado en virtud de las leyes de protección de datos europeas.
9. Disposiciones adicionales sobre la información personal de California
a. Ámbito. La sección "Disposiciones adicionales sobre la información personal en California" de este DPA solo se aplicarán con respecto a los datos personales en California que HubSpot trate en tu nombre según el acuerdo.
b. Rol de las partes. Al tratar datos personales de California según tus instrucciones, las partes acuerdan que, a los efectos de la CCPA, tú eres una empresa y HubSpot es un proveedor de servicios.
c. Responsabilidades. Certificamos que HubSpot tratará la información personal de California como proveedor de servicios estrictamente para ofrecer los servicios de suscripción y los servicios de consultoría según el acuerdo (el "objeto social") o según lo que permita la CCPA, incluido lo descrito en la sección "Datos de utilización" de nuestra política de privacidad. Asimismo, certificamos que i) no venderemos ni compartiremos información personal de California; ii) no trataremos dicha información fuera de la relación comercial directa entre las partes a menos que lo exija la ley aplicable; y iii) no combinaremos la información personal de California incluida en los datos de los clientes con información personal que recojamos o recibamos de otra fuente (excepto la información que recibamos de otra fuente en relación con nuestras obligaciones como proveedor de servicios en virtud del acuerdo).
d. Cumplimiento. (i) Cumpliremos con nuestras obligaciones como proveedor de servicios en virtud de la CCPA; (ii) proporcionaremos el mismo nivel de protección requerida por la CCPA a la información personal de California, y (iii) te notificaremos en caso de que nos demos cuenta de que no podemos cumplir con nuestras obligaciones como proveedor de servicios en virtud de este DPA.
e. Auditorías según la CCPA. Tienes derecho a tomar todas las medidas razonables y necesarias para asegurarte de que tratemos la información personal de California de acuerdo con tus obligaciones en virtud de la CCPA. Previo aviso, tendrás derecho a tomar las medidas que creas convenientes, dentro de lo razonable y de conformidad con el acuerdo, para detener y corregir el uso no autorizado de la información personal de California.
f. Renuncia a la venta de información. Las partes reconocen y acuerdan que la información personal de California que un cliente divulga a HubSpot no forma parte de ningún acuerdo económico ni de carácter oneroso entre las partes.
10. Términos aplicables de responsable a responsable
a. Ámbito. La sección "Términos aplicables de responsable a responsable", se aplicará solo en caso de que las partes traten información personal del responsable del tratamiento en relación con el uso del cliente de los productos de enriquecimiento de datos y el código de seguimiento de HubSpot.
b. Rol de las partes. Las partes reconocen y aceptan que actúan como responsables del tratamiento de los datos personales del responsable y que cumplirán con sus respectivas obligaciones en virtud de las leyes de protección de datos cuando traten datos personales del responsable. Para mayor claridad, nada de lo dispuesto en el acuerdo o en esta sección ("Términos aplicables de responsable a responsable") restringirá en modo alguno la recogida, uso o transferencia de datos por parte de HubSpot que en otras circunstancias trataríamos independientemente del uso de los servicios de suscripción por parte del cliente, incluidos nuestros productos de enriquecimiento de datos.
c. Cumplimiento de la ley. Cada una de las partes garantizará que los datos personales del responsable del tratamiento que transfiera o divulgue a otras parte se han recogido cumpliendo con las disposiciones de las leyes de protección de datos, entre las cuales se incluye: (i) enviar notificaciones adecuadas y obtener el consentimiento que se requiera de los titulares de los datos; (ii) establecer una base jurídica para el tratamiento de los datos personales del responsable del tratamiento; (iii) implementar las medidas técnicas y organizativas para proteger los datos personales del responsable, y (iv) cumplir con las obligaciones de notificación de violaciones a la seguridad que involucren datos personales del responsable del tratamiento. Entre las partes, el cliente es responsable de proporcionar todas las notificaciones, consentimientos y mecanismos de retiro del consentimiento en cuanto al uso del código de seguimiento de HubSpot, y garantizar que el sitio web declara el uso de tecnología de seguimiento externa según la legislación de protección de datos. Si el titular de los datos se pone en contacto con cualquiera de las partes para ejercer sus derechos en virtud de la legislación para la protección de los datos, la parte que reciba la comunicación cumplirá la solicitud directamente o, si esto no es posible, lo notificará sin demora y se coordinará con la otra parte para garantizar que la solicitud se cumpla de conformidad con la legislación de protección de datos. El cliente acepta eliminar los resultados del enriquecimiento de datos (según como se establece en los términos específicos de los productos de HubSpot) si determina que no hay una base jurídica (u otros términos esencialmente similares) para el tratamiento de dichos datos en virtud de las leyes de protección de datos.
d. Demostración de cumplimiento. Si alguna de las partes recibe una queja, notificación o comunicación de una autoridad supervisora u otra autoridad gubernamental relacionada con el actuar de la otra parte con respecto a: (i) el tratamiento de los datos personales del responsable del tratamiento; o (ii) el posible incumplimiento de las leyes de protección de datos con respecto al tratamiento de los datos personales del responsable, dicha parte remitirá a la autoridad supervisora o a la autoridad gubernamental a la otra parte y, en el caso de que las obligaciones, reclamaciones o los datos personales del responsable del tratamiento afectados sean compartidos, proporcionará asistencia razonable a la otra parte para responder ante la autoridad supervisora o la autoridad gubernamental.
e. Seguridad. Implementaremos y mantendremos medidas de seguridad razonables para proteger los datos del responsable del tratamiento. Todos los datos personales se protegen tomando las medidas físicas, técnicas y organizativas adecuadas. Para más información sobre la seguridad en HubSpot, consulta https://trust.hubspot.com.
f. Cumplimiento de la ley CCPA. En la medida en que la CCPA se aplique al tratamiento de los datos personales del responsable, cada una de las partes reconoce y acepta que (i) los datos personales del responsable se divulgan a la otra parte exclusivamente para los propósitos estipulados específicamente en el acuerdo; (ii) la parte que recibe los datos personales del responsable cumplirá y proporcionará el mismo nivel de protección que requiere la CCPA; (iii) la parte que recibe los datos personales del responsable notificará oportunamente a la otra parte si determina que no podrá cumplir con sus obligaciones según la CCPA; y (iv) la parte que entrega los datos personales del responsable tendrá derecho a tomar las medidas razonables y necesarias, notificando esto de manera adecuada, para garantizar que la parte que recibe los datos personales del responsable los utilice conforme a sus obligaciones en virtud de la CCPA e impida y subsane todo uso no autorizado de los datos personales del responsable del tratamiento.
11. Mecanismos de transferencia de datos.
Cuando la transferencia entre las partes de datos personales de clientes o de datos personales del responsable implique una transferencia restringida, y las leyes europeas de protección de datos exijan tomar las medidas adecuadas, HubSpot y el cliente cumplirán con la siguiente normativa:
a. Marco de privacidad de datos. HubSpot, Inc. se acoge al marco de privacidad de datos y certifica su cumplimiento. En la medida y en los casos en que corresponda, HubSpot Inc. usará el marco de privacidad de datos para recibir legalmente datos personales de clientes y datos personales del responsable del tratamiento en EE. UU. y garantizar que proporciona al menos el mismo nivel de protección sobre esos datos que el requerido por los principios del marco de privacidad de datos. En caso de que no podamos cumplir con este requisito, te lo informaremos oportunamente.
b. Cláusulas contractuales tipo. Si las leyes de protección de datos europeas requieren que se pongan en práctica medidas de protección adecuadas (por ejemplo, si el marco de protección de datos no cubre la transferencia o si el marco de privacidad de datos se invalida), las cláusulas contractuales tipo se incorporarán por referencia y formarán parte del acuerdo, de la siguiente forma:
(A) En relación con los datos personales de clientes que HubSpot trata como encargado: (i) los términos del módulo dos se aplican cuando el cliente es un responsable del tratamiento de los datos y el módulo tres se aplica cuando el cliente es un encargado del tratamiento de los datos de clientes; (ii) en la cláusula 7 se aplica la cláusula de incorporación adicional; (iii) en la cláusula 9, se aplicará la opción 2 y los cambios en los subencargados se notificarán de acuerdo con la sección "Subencargados" de este DPA; (iv) en la cláusula 11, el idioma opcional deberá eliminarse; (v) en las cláusulas 17 y 18, las partes acuerdan que la ley aplicable y la jurisdicción de cualquier litigio referente a las cláusulas contractuales tipo se determinará de acuerdo con la sección "Entidad contratante; ley aplicable, notificación" de los términos específicos según la jurisdicción o, si dicha sección no especifica un estado miembro de la UE, la República de Irlanda (sin hacer referencia a cuestiones relativas al conflicto entre diversos sistemas jurídicos); (vi) los anexos de las cláusulas contractuales tipo se considerarán completos con la información detallada en los anexos de este acuerdo para el tratamiento de datos; y (vii) la autoridad supervisora que actuará como autoridad supervisora competente será determinada de acuerdo con el RGPD.
(B) En relación con los datos personales del responsable del tratamiento que tanto HubSpot como el cliente tratan como responsables del tratamiento: (i) se aplicarán los términos del módulo 1; (ii) en la cláusula 7 se aplica la cláusula de incorporación adicional; (iii) en la cláusula 11, el idioma opcional deberá eliminarse; (vi) en las cláusulas 17 y 18, las partes acuerdan que la ley aplicable y la jurisdicción de cualquier litigio referente a las cláusulas contractuales tipo se determinará de acuerdo con la sección "Entidad contratante; ley aplicable, notificación" de los términos específicos según la jurisdicción o, si dicha sección no especifica un estado miembro de la UE, la República de Irlanda (sin hacer referencia a cuestiones relativas al conflicto entre diversos sistemas jurídicos); (v) los anexos de las cláusulas contractuales tipo se considerarán completos con la información detallada en los anexos de este acuerdo para el tratamiento de datos; y (vi) la autoridad supervisora que actuará como autoridad supervisora competente será la Comisión irlandesa de protección de datos.
(C) En relación con los datos personales de clientes y los datos personales del responsable del tratamiento sujetos al RGPD del Reino Unido, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (A) y las siguientes modificaciones: (i) las cláusulas contractuales tipo se modificarán e interpretarán según la Adenda del Reino Unido, que se incorpora a modo de referencia y forma parte integral del acuerdo; (ii) las tablas 1, 2 y 3 de la Adenda del Reino Unido se considerarán completas con la información establecida en los anexos de este DPA y la tabla 4 se considerará completa al seleccionar "ninguna parte" y (iii) cualquier conflicto entre los términos de las cláusulas contractuales tipo y la Adenda del Reino Unido se resolverá de acuerdo con las Secciones 10 y 11 de dicha adenda.
(D) En relación con los datos personales de clientes y los datos personales del responsable del tratamiento que se rigen por el DPA suizo, las cláusulas contractuales tipo se aplicarán de acuerdo con la subsección (A) y las siguientes modificaciones: (i) las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias al DPA suizo; (ii) las referencias "UE", "Unión" y "ley del Estado miembro" se interpretarán como referencias a la ley suiza, y (iii) las referencias a "autoridad supervisora competente" y "tribunales competentes" se reemplazarán con las referencias "Comisionado Federal para la Protección de Datos y la Información de Suiza" y "tribunales pertinentes de Suiza".
(E) En relación con los datos personales de clientes que HubSpot trata como encargado, aceptas que, al respetar la subsección "Subencargados" de este DPA, HubSpot, Inc. cumple con sus obligaciones de conformidad con la sección 9 de las cláusulas contractuales tipo. A los efectos de la Cláusula 9(c) de las cláusulas contractuales tipo, reconoces que podríamos tener limitaciones a la hora de divulgar los acuerdos con nuestros subencargados, pero haremos todo lo razonablemente posible para solicitar a cualquier subencargado que designemos que nos permita compartir contigo su acuerdo y te proporcionaremos (de manera confidencial) toda la información que podamos. También reconoces y aceptas que ejercerás tus derechos de auditoría según la cláusula 8.9 de las cláusulas contractuales tipo, instruyendo a HubSpot a cumplir con las medidas descritas en la sección "Prueba de cumplimiento" de este acuerdo para el tratamiento de datos.
(F) En el caso en que las cláusulas contractuales tipo entren en conflicto, en la medida que corresponda, con alguna de las disposiciones de este acuerdo para el tratamiento de datos, las cláusulas contractuales tipo se impondrán dentro del ámbito del conflicto. Cuando la entidad contratante de HubSpot en virtud del acuerdo no sea HubSpot, Inc., dicha entidad en cuestión (y no HubSpot, Inc.) será total y exclusivamente responsable del acatamiento de las cláusulas contractuales tipo de HubSpot, Inc. y deberás dirigir las instrucciones, las reclamaciones y las consultas referentes a dichas cláusulas a esa entidad. Si, por algún motivo, HubSpot no puede cumplir con sus obligaciones o garantías de cumplimiento según lo establecido en las cláusulas contractuales tipo y quieres suspender o rescindir la transferencia de datos personales a HubSpot, aceptas informarnos con suficiente antelación para que podamos subsanar el incumplimiento y cooperar razonablemente con nosotros para establecer, de ser necesario, medidas de seguridad adicionales con ese fin. Si no subsanamos o no podemos subsanar el incumplimiento, puedes suspender o rescindir la parte afectada del servicio de suscripción de conformidad con el acuerdo, sin responsabilidad para ninguna de las partes (pero sin perjuicio de ninguna tarifa a pagar antes de dicha suspensión o rescisión).
c. Mecanismo de transferencia alternativo. Si HubSpot se viera obligado a adoptar un mecanismo de transferencia alternativo en virtud de las leyes de protección de datos de Europa (además o en lugar de los mecanismos descritos más arriba), dicho mecanismo de transferencia alternativo se aplicará de forma automática en lugar de los mecanismos que se describen en este acuerdo para el tratamiento de datos (pero solo si el mecanismo de transferencia se adhiere a las leyes de protección de datos de Europa) y tú aceptas ratificar los demás documentos o tomar medidas según sea razonablemente necesario para conferirle efecto legal a tal mecanismo.
12. Disposiciones generales
a. Modificaciones. No obstante cualquier disposición contraria al acuerdo y sin perjuicio de las secciones "Cumplimiento de las instrucciones" o "Seguridad" de este DPA, nos reservamos el derecho a hacer cualquier actualización y cambio a este documento, y se aplicarán los términos de la sección "Modificación; no exención" de los términos generales.
b. Independencia de las cláusulas. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.
c. Exención de responsabilidad. La responsabilidad de cada parte y sus filiales, consideradas en conjunto, que resulte o que esté relacionada con este DPA (incluido cualquier otro acuerdo para el tratamiento de datos entre las partes) y las cláusulas contractuales tipo (cuando corresponda), ya sea por responsabilidad civil o contractual, o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad definidos en la sección "Limitación de responsabilidad" de los términos generales, y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad total de esa parte y de todas sus filiales según el acuerdo (incluido este acuerdo para el tratamiento de datos). Con el fin de esclarecer cualquier duda, si HubSpot, Inc. no es parte de este acuerdo, la sección "Limitación de responsabilidad" de los términos generales regirá la relación entre tú y HubSpot, Inc. y, a ese respecto, cualquier referencia a "HubSpot", "nosotros" y "nuestro" incluirá tanto a HubSpot, Inc. como a la entidad de HubSpot que forma parte del acuerdo. En ningún caso la responsabilidad de ninguna de las partes se limitará con respecto a los derechos de protección que se incluyen en este DPA (incluido cualquier otro DPA entre las partes y las cláusulas contractuales tipo) en referencia a los datos de los individuos.
d. Ley aplicable. Este DPA se regirá e interpretará de acuerdo con la sección "Entidad contratante, ley aplicable, notificación" de los términos específicos según la jurisdicción, a menos que las leyes de protección de datos lo especifiquen de otra manera.
13. Partes de este DPA
a. Filiales permitidas. Al firmar este acuerdo, aceptas este DPA (incluidas, cuando corresponda, las cláusulas contractuales tipo) en tu nombre y en nombre de tus filiales permitidas. A los efectos únicos de este DPA, excepto cuando se indique de otro modo, los términos "cliente", "tú" y "tu" te incluirán a ti y a dichas filiales permitidas.
b. Autorización. La entidad jurídica que acepta este DPA como cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus filiales permitidas.
c. Recursos legales. Las partes acuerdan que: (i) solamente la entidad cliente que sea la parte contratante del acuerdo podrá ejercer cualquier derecho o recurrir a los recursos legales que cualquier filial permitida podría tener de conformidad con este DPA en representación de sus filiales y que (ii) la entidad cliente que sea la parte contratante del acuerdo podrá ejercer tales derechos bajo en virtud de DPA de forma indivisa para cada filial permitida, no individualmente, sino de forma conjunta para sí misma y todas las filiales permitidas. La entidad cliente que sea la parte contratante del acuerdo será la responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros según el DPA, y tendrá derecho a enviar y recibir todas las comunicaciones relacionadas con este acuerdo en representación de sus filiales permitidas.
d. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la sección "Demostración del cumplimiento", tomar todas las medidas razonables para limitar cualquier consecuencia en HubSpot y sus filiales, combinando varias solicitudes de auditoría realizadas en nombre de la entidad cliente que es la parte contratante del acuerdo y todas sus filiales permitidas en una sola auditoría.
Anexo 1A - Información sobre el tratamiento de los datos: - HubSpot como encargado del tratamiento
A. Lista de las partes
Exportador de datos:
Nombre: el cliente, según se define en los términos de servicio para clientes de HubSpot (en representación de sí mismo y de las filiales permitidas)
Dirección: la dirección del cliente, tal como figura en el formulario de pedido
Nombre, cargo e información de la persona de contacto: la información de contacto del cliente, como figura en el formulario de pedido o en su cuenta de HubSpot.
Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales de clientes en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según los términos de nuestro servicio.
Rol (responsable o encargado del tratamiento): responsable (ya sea como responsable o como entidad que actúa en capacidad de responsable como encargado del tratamiento de datos en nombre de otro responsable)
Importador de datos:
Nombre: HubSpot, Inc.
Dirección: Two Canal Park, Cambridge, MA 02141, EE. UU.
Nombre, cargo e información de la persona de contacto: Nicholas Knoop, delegado de protección de datos, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, EE. UU.
Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales de clientes en relación con el uso que hace el cliente de los servicios de suscripción de HubSpot según los términos de nuestro servicio.
Rol (responsable o encargado del tratamiento): encargado
B. Descripción de la transferencia
Categorías de titulares de datos cuya información personal se transfiere
Puedes enviar datos personales de clientes durante el uso del servicio de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse los datos personales de clientes relacionados con las siguientes categorías de titulares de datos:
Tus contactos y otros usuarios finales, incluidos tus empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas. Se pueden considerar también como titulares de datos las personas que intentan transferir datos personales de clientes a tus usuarios finales o comunicarse con ellos.
Categorías de datos personales que se transfieren
Puedes enviar datos personales a los servicios de suscripción, en la medida que tú determines y controles a tu entera discreción, y entre los que pueden incluirse las siguientes categorías de datos:
1. Información de contacto (como se define en los términos generales).
2. Todos los demás datos personales que tú o tus usuarios finales envíen, presenten o reciban a través del servicio de suscripción.
Datos sensibles transferidos y restricciones o medidas de seguridad aplicadas
El tratamiento de datos sensibles está sujeto a las limitaciones de permisos, a las restricciones y a las medidas preventivas acordadas mutuamente por las partes, tal cual se recogen en el acuerdo.
Frecuencia de la transferencia
Continua
Naturaleza del tratamiento
Los datos personales de clientes se tratarán según el acuerdo (incluido este DPA) y pueden estar sujetos a las siguientes actividades de tratamiento:
1. Almacenamiento y otros tipos de tratamiento necesarios para prestar, mantener y mejorar los servicios de suscripción que te ofrecemos; o
2. Divulgación de conformidad con el acuerdo (incluido este DPA) o tal cual lo requieran las leyes aplicables.
Propósito de la transferencia y tratamiento adicional
Trataremos los datos personales de clientes de la forma que sea necesaria para ofrecer los servicios de suscripción de conformidad con el acuerdo, tal como se especifica en el formulario de pedido y como lo indiques en el uso que hagas de los servicios de suscripción.
Período durante el que se retendrán los datos personales
Conforme a la sección "Eliminación o devolución de datos personales de clientes" de este DPA, trataremos los datos personales durante el periodo del acuerdo, a menos que se convenga de otro modo por escrito.
Anexo 1B - Información sobre el tratamiento de los datos: - HubSpot como responsable del tratamiento
A. Lista de las partes
Exportador e importador de los datos: el cliente
Nombre: el cliente, según se define en los términos de servicio para clientes de HubSpot (en representación de sí mismo y de las filiales permitidas)
Dirección: la dirección del cliente, tal como figura en el formulario de pedido
Nombre, cargo e información de la persona de contacto, lo que incluye la dirección de correo electrónico: la información de contacto del cliente, como figura en el formulario de pedido o en su cuenta de HubSpot.
Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales del responsable en relación con el uso que hace el cliente de los productos de enriquecimiento y el código de seguimiento de HubSpot.
Rol (responsable o encargado del tratamiento): responsable
Exportador e importador de los datos: HubSpot, Inc.
Nombre: HubSpot, Inc.
Dirección: Two Canal Park, Cambridge, MA 02141, EE. UU.
Nombre, cargo e información de la persona de contacto: Nicholas Knoop, delegado de protección de datos, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, EE. UU.
Actividades pertinentes a los datos transferidos de conformidad con estas cláusulas: tratamiento de los datos personales del responsable en relación con el uso que hace el cliente de los productos de enriquecimiento y el código de seguimiento de HubSpot.
Rol (responsable o encargado del tratamiento): responsable
B. Descripción de la transferencia
Categorías de titulares de datos cuya información personal se transfiere:
Personas asociadas a una empresa u otra institución
Categorías de datos personales que se transfieren:
Datos corporativos, que pueden incluir, entre otros, nombre y apellidos, dirección de correo electrónico corporativa, empleador, función en la empresa, cargo profesional, dirección IP, identificadores en línea y otra información similar
Datos sensibles transferidos y restricciones o medidas de seguridad aplicadas:
Las partes no anticipan la transferencia de datos sensibles.
Frecuencia de la transferencia
Continua
Naturaleza del tratamiento
Los datos personales del responsable del tratamiento serán tratados de conformidad con el acuerdo y podrán estar sujetos a las siguientes actividades de tratamiento: (1) almacenamiento y otros tipos de tratamiento de los datos por parte de HubSpot en el sitio web (como direcciones IP y otros identificadores en línea) y datos de enriquecimiento (como direcciones de correo corporativas) necesarios para proporcionar, mantener, añadir, mejorar y desarrollar el conjunto de datos comerciales de HubSpot y los servicios de suscripción; y (2) divulgación de conformidad con el Acuerdo y según lo exijan las leyes aplicables.
Propósito de la transferencia y tratamiento adicional
Los datos personales del responsable del tratamiento se transferirán para los fines contemplados en el acuerdo, lo que incluye suministrar al cliente información comercial y proporcionar, mantener, añadir, mejorar, ampliar y desarrollar el conjunto de datos comerciales de HubSpot y los servicios de suscripción.
Período durante el cual se conservarán los datos personales: los datos personales del responsable del tratamiento serán procesados y conservados por las partes de acuerdo con sus respectivas políticas de conservación de datos o según como se establezca en el acuerdo.
Anexo 2: Medidas de seguridad
Actualmente cumplimos con las medidas de seguridad descritas en este Anexo 2. Todos los términos no definidos en este documento tendrán los significados que se les dé en los términos generales. Si quieres más información sobre las medidas de seguridad de HubSpot, consulta el informe SOC 2 tipo II, el informe SOC 3, el resumen sobre seguridad y los resúmenes de pruebas de penetración disponibles en trust.hubspot.com.
a) Política de seguridad de la información
Mantenemos y nos guiamos por una política escrita interna de seguridad de la información. Si quieres consultar un resumen de nuestros estándares de seguridad, visita el centro de confidencialidad de HubSpot.
b) Control del acceso
i) Prevención del acceso no autorizado a productos
Tratamiento externalizado: alojamos nuestro servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores para proporcionar nuestro servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos tratados o almacenados por ellos.
Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. No somos propietarios ni realizamos el mantenimiento del hardware ubicado en los centros de datos de los proveedores de infraestructura externos. Los servidores de producción y las aplicaciones de primera línea se protegen física y digitalmente desde nuestros sistemas internos de información corporativa. Los controles de seguridad físicos y medioambientales de los proveedores de infraestructuras se someten a auditorías de cumplimiento de los estándares SOC 2 de tipo II e ISO 27001, y también han obtenido otras certificaciones.
Autenticación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz del usuario deben autenticarse antes de acceder a los datos personales de los clientes desde su cuenta de HubSpot.
Autorización: los datos de clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de las aplicaciones. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que solo las personas con los permisos adecuados pueden acceder a las características, las vistas y las opciones de personalización pertinentes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.
Acceso a la interfaz de programación de aplicaciones (API): puede accederse a las API públicas de nuestros productos mediante una autorización Oauth o con tokens privados de la aplicación.
ii) Prevención del uso no autorizado de los productos
Implementamos controles de acceso y funciones de detección estándar del sector en las redes internas que respaldan nuestros productos.
Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.
Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.
Análisis de código estático: se utilizan herramientas automatizadas para realizar revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente y así comprobar que se siguen buenas prácticas de programación y detectar fallos identificables en el software.
Protección de puntos de terminación: los puntos de terminación están protegidos de acuerdo con las prácticas estándar del sector. Las estaciones de trabajo están protegidas contra los programas maliciosos y con herramientas de detección y respuesta para puntos de terminación, que reciben actualizaciones regulares de firmas y definiciones.
iii) Limitaciones de los requisitos de privilegio y autorización
Gestión de acceso privilegiado: el acceso privilegiado a los entornos de nuestros productos está controlado y monitorizado, y se revoca rápidamente mediante controles de acceso puntual ("just in time access" or "JITA"). Las cuentas no personales que se usan para acceder a los sistemas se almacenan en un entorno protegido con controles adicionales que rigen los procesos de asignación de privilegios y de acceso a las cuentas.
Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos de los clientes mediante interfaces controladas. El objetivo de dar acceso a un subconjunto de empleados es proporcionar al cliente asistencia efectiva, posibilitar el desarrollo de productos y la recogida de información, solucionar posibles problemas, detectar y resolver incidentes de seguridad e implementar medidas de protección. Este acceso se habilita a través de solicitudes JITA, y todas esas solicitudes quedan registradas. Los empleados obtienen acceso según su función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Los permisos de acceso administrativo o de alto riesgo se revisan al menos una vez cada seis meses.
c) Control de transmisión
En tránsito: requerimos el uso el cifrado HTTPS (también conocido como SSL o TLS) en cada una de las interfaces de inicio de sesión y de forma gratuita en cada sitio del cliente alojado en productos de HubSpot. Nuestra implementación de HTTPS usa algoritmos y certificados estándar del sector.
En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar del sector en materia de seguridad. Seguimos una estrategia de capas con las tecnologías de encriptado en reposo para asegurarnos de que los datos de los clientes y los datos sensibles permitidos de identificación de los clientes están debidamente cifrados.
d) Gestión de incidencias, registro y monitorización
Plan de respuesta a incidentes: mantenemos un plan de respuesta a incidentes por escrito, guías y otros procesos y procedimientos necesarios para cumplir con las obligaciones y los estándares descritos en este documento.
Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos reúnen datos de registro y alertan al personal correspondiente acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, incluidos los empleados de seguridad, operaciones y asistencia, responden ante los incidentes conocidos.
Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifica y documenta las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño causado en el producto o en el cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del acuerdo.
e) Control de disponibilidad
Disponibilidad de la infraestructura: los proveedores de infraestructura hacen todo lo posible, en la medida de lo razonable desde un punto de vista comercial, para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 en los servicios de energía, redes y calefacción, ventilación y aire acondicionado (HVAC).
Tolerancia a fallos: las estrategias de copia de seguridad y replicación están diseñadas para garantizar que se apliquen protecciones de redundancia y conmutación por error si se produce un fallo importante de procesamiento. Los datos de clientes se almacenan en copias de seguridad guardadas en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Réplicas y copias de seguridad online: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una instancia principal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándar del sector.
Planes de recuperación ante desastres: HubSpot mantiene y evalúa periódicamente planes de recuperación ante desastres para asegurar la disponibilidad de la información tras una interrupción o fallas en procesos empresariales críticos.
Nuestros productos están diseñados para garantizar la redundancia y una conmutación por error perfectamente fluida. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, al tiempo que se limita el tiempo de inactividad.
f) Programa de gestión de vulnerabilidades
Programa de compensación por vulnerabilidad: mantenemos un programa de compensación por vulnerabilidad diseñado según los estándares del sector. Seguimos una estrategia de evaluación del riesgo para determinar la relevancia, la probabilidad y los efectos en nuestros sistemas de distintas vulnerabilidades.
Análisis de vulnerabilidades: usamos tecnología y estándares de detección estándares del sector para analizar diariamente nuestros productos en busca de vulnerabilidades.
Pruebas de penetración: trabajamos con proveedores de servicios reconocidos en el sector para realizar pruebas de penetración en la aplicación web de HubSpot y en la infraestructura de nuestra red corporativa, una vez al año como mínimo. El objetivo de estas pruebas es detectar vulnerabilidades de seguridad y reducir los riesgos y las consecuencias comerciales que presentan para los sistemas analizados.
Programa de recompensas por detección de errores: un programa de recompensas por detección de errores que invita e incentiva a investigadores de seguridad independientes a descubrir y comunicar fallos de seguridad, siempre sujeto a la ética profesional. Implementamos este programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad dedicada a la seguridad y mejorar la defensa de los productos contra ataques sofisticados.
g) Gestión del personal
Empleamos personal cualificado para desarrollar, mantener y mejorar nuestro programa de seguridad. Capacitamos a todos los miembros de nuestra plantilla en cuanto a políticas, procesos y estándares de seguridad relevantes a su puesto de trabajo y en consonancia con las prácticas del sector.
Comprobación de antecedentes: cuando la ley lo permita, el personal de HubSpot se someterá a la comprobación de antecedentes o de referencias a cargo de entidades externas. En Estados Unidos, las ofertas de empleo dependen de los resultados de dichas comprobaciones de antecedentes. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.
Anexo 3: Subencargados
Con el fin de proporcionar el servicio de suscripción de HubSpot, colaboramos con subencargados en nuestras actividades de tratamiento de datos. Puedes consultar la lista de los subencargados y el propósito de nuestra colaboración con ellos en la página de subercargados de HubSpot, disponible en https://legal.hubspot.com/es/sub-processors-page y que se incorpora a este acuerdo para el tratamiento de datos.