Anexo de Protección de Datos SparkPost
Documentos
Contenidos
En el transcurso de proporcionar el servicio SparkPost a nuestros clientes, SparkPost puede procesar datos personales en nombre de nuestros clientes cuando dichos datos personales están sujetos a leyes de protección de datos de la UE como el GDPR. Con este fin, ofrecemos un anexo de protección de datos (DPA) como se proporciona a continuación. El DPA solo será legalmente vinculante y efectivo si: (1) se ejecuta aquí; y (2) usted es cliente de SparkPost en la fecha en que se ejecute completamente. Tenga en cuenta que debido a que tenemos tantos clientes, no podemos cambiar el DPA para ningún cliente en particular. Sin embargo, si tiene alguna pregunta sobre el DPA, contáctenos en privacy@sparkpost.com.
Definiciones
“Afiliado” significa cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo control común con la entidad en cuestión. “Control”, para los propósitos de esta definición, significa la propiedad o control directo o indirecto de más del 50% de los intereses de votación de la entidad en cuestión.
“Acuerdo” significa los Términos de Uso y el Pedido relacionado, que juntos rigen la provisión y uso del Servicio.
“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de esta, en cada caso, según se enmiende de vez en cuando.
“Cláusulas Contractuales Estándar de Controlador/Procesador” significa los módulos “Controlador a Procesador” (Módulo 2) de las Cláusulas Contractuales Estándar para la transferencia de datos personales a terceros países conforme al GDPR y la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 de la Comisión Europea.
“Leyes de Protección de Datos” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o Procesamiento de Datos Personales bajo el Acuerdo, incluyendo, donde sea aplicable, el GDPR, el CCPA y todas las demás leyes y regulaciones relacionadas con la privacidad, marketing directo o protección de datos. “Controlador de Datos” significa una entidad, sola o conjuntamente con otros, que determina los propósitos y medios del Procesamiento de Datos Personales.
“Procesador de Datos” significa una entidad que Procesa Datos Personales en nombre de un Controlador de Datos. “Sujeto de Datos” significa el individuo al que se refieren los Datos Personales.
“Solicitud de Sujeto de Datos” significa una solicitud del Sujeto de Datos para ejercer los derechos de esa persona bajo las Leyes de Protección de Datos con respecto a los Datos Personales de esa persona, incluyendo, sin limitación, el derecho a acceder, corregir, enmendar, transferir, obtener una copia de, oponerse al procesamiento, bloquear, eliminar, o optar por no vender dichos Datos Personales. “EEE” significa el Área Económica Europea y Suiza.
“GDPR” significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas con respecto al procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
“Datos Personales” significa cualquier información que identifique, que se relacione con, que describa, o que sea razonablemente capaz de ser asociada con una persona o hogar natural identificado o identificable.
“Procesamiento” significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
“Cláusulas Contractuales Estándar de Procesador/Sub-Processor” significa los módulos “Procesador a Procesador” (Módulo 3) de las Cláusulas Contractuales Estándar para la transferencia de datos personales a terceros países conforme al GDPR y la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 de la Comisión Europea.
“Regulador” significa la autoridad de protección de datos europea u otra autoridad reguladora, gubernamental o supervisora con autoridad sobre todo o cualquier parte de (a) la provisión o recepción del Servicio; (b) el Procesamiento de Datos Personales en conexión con el Servicio; o (c) el negocio o personal de SparkPost relacionado con el Servicio.
“Incidente de Seguridad” significa cualquier destrucción, pérdida, alteración, divulgación, acceso o encriptación de Datos Personales accidental, no autorizada o ilegal.
“Servicio” significa cualquier producto o servicio proporcionado por SparkPost al Cliente conforme al Acuerdo.
“Cláusulas Contractuales Estándar del EEE” significa (i) las Cláusulas Contractuales Estándar de Controlador/Procesador; o (ii) las Cláusulas Contractuales Estándar de Procesador/Sub-procesador, individualmente o de forma colectiva, según sea aplicable.
“Subprocesador” significa la entidad que Procesa Datos Personales en nombre de una entidad que actúa como un Procesador o un Sub-procesador.
“Cláusulas Contractuales Estándar del Reino Unido” significa las cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países en la forma establecida por la Decisión de la Comisión Europea 2010/87/UE, tal como se puedan enmendar, modificar o reemplazar por la Comisión Europea.
Relación con el acuerdo
Las partes acuerdan que este DPA reemplazará cualquier anexo de protección de datos existente o un acuerdo similar que las partes puedan haber celebrado previamente en relación con los Servicios.
Este DPA se aplica donde y solo en la medida en que SparkPost procese Datos Personales que están sujetos a las Leyes de Protección de Datos en el curso de prestación del Servicio en virtud del Acuerdo.
Excepto por los cambios realizados por este DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si hay algún conflicto entre los términos de este DPA y los términos del Acuerdo, este DPA prevalecerá en la medida de ese conflicto. En circunstancias donde SparkPost se base en las Cláusulas Contractuales Estándar del EEE o las Cláusulas Contractuales Estándar del Reino Unido (colectivamente, “Cláusulas Contractuales Estándar”), según corresponda, para transferir Datos Personales, las Cláusulas Contractuales Estándar aplicables prevalecerán en caso de conflicto con este DPA.
Cualquier reclamación presentada en virtud de o en relación con este DPA estará sujeta a los términos y condiciones, incluyendo pero no limitándose a, las exclusiones y limitaciones establecidas en el Acuerdo. Las partes acuerdan que ninguna limitación de responsabilidad establecida en el Acuerdo se aplicará a la responsabilidad de cualquiera de las partes hacia los Sujetos de Datos bajo las disposiciones de terceros beneficiarios de las Cláusulas Contractuales Estándar hasta el punto de que la limitación de dicha responsabilidad esté prohibida por las Leyes de Protección de Datos.
Este DPA será regido y interpretado de acuerdo con las disposiciones de ley y jurisdicción del Acuerdo, a menos que sea requerido de otra manera por las Leyes de Protección de Datos aplicables. Este DPA permanecerá en efecto mientras SparkPost procese Datos Personales, sin perjuicio de la expiración o terminación del Acuerdo. ROLES Y ALCANCE DEL PROCESAMIENTO.
Rol de las Partes.
Las partes reconocen y acuerdan que, entre SparkPost y el Cliente: Con respecto a los Datos Personales de cualquier individuo que acceda y/o use el Servicio a través de la Cuenta del Cliente (“Usuarios”), el Cliente es el Controlador y SparkPost es el Procesador de los Datos Personales de los Usuarios; y con respecto a los Datos Personales de cualquier individuo: (i) cuya dirección de correo electrónico esté incluida en la(s) lista(s) de destinatarios del Cliente; (ii) cuya información se almacene o recopile a través del Servicio, o (ii) a quien los Usuarios envíen correos electrónicos o de otra manera interactúen o se comuniquen a través del Servicio (colectivamente, “Destinatarios”), el Cliente es el Procesador y SparkPost es el Subprocesador de los Datos Personales de los Destinatarios.
Procesamiento de Datos Personales por el Cliente.
El Cliente acuerda que cumplirá con sus obligaciones bajo las Leyes de Protección de Datos aplicables respecto a su Procesamiento de Datos Personales en conexión con el Servicio y respecto a cualquier instrucción de Procesamiento documentada que emita a SparkPost.
Procesamiento de Datos Personales por SparkPost. El Cliente instruye a SparkPost para Procesar Datos Personales de acuerdo con el Acuerdo (incluyendo, para evitar dudas, para cumplir con sus otras obligaciones y ejercer sus derechos bajo el Acuerdo) y para cumplir con otras instrucciones razonables del Cliente (por ejemplo, vía correo electrónico) donde tales instrucciones sean consistentes con el Acuerdo. SparkPost deberá: (i) Procesar Datos Personales solo en nombre del Cliente y de acuerdo con las instrucciones legales documentadas del Cliente y tratará los Datos Personales como información confidencial sujeta a las disposiciones de confidencialidad del Acuerdo; (ii) notificar al Cliente por escrito inmediatamente si, en la opinión razonable de SparkPost, SparkPost cree que cualquier instrucción dada por el Cliente infringe las Leyes de Protección de Datos; (iii) realizar el Servicio y Procesar Datos Personales en cumplimiento con las Leyes de Protección de Datos y el Acuerdo; (iv) notificar puntualmente al Cliente de cualquier incumplimiento de este DPA. Las partes acuerdan que este DPA y el Acuerdo establecen las instrucciones completas y finales del Cliente a SparkPost en relación con el procesamiento de Datos Personales y el procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirá un acuerdo previo por escrito entre el Cliente y SparkPost.
Detalles del Procesamiento de Datos.
Asunto: El asunto del procesamiento de datos bajo este DPA son los Datos Personales. Duración: Entre SparkPost y el Cliente, la duración del procesamiento de datos bajo este DPA es hasta la terminación del Acuerdo de acuerdo con sus términos.
Propósito: El propósito del procesamiento de datos bajo este DPA es la provisión del Servicio al Cliente y el desempeño de SparkPost conforme al Acuerdo (incluyendo este DPA) o según lo acordado de otro modo por las partes.
Naturaleza del procesamiento: SparkPost proporciona un servicio de entrega de correos electrónicos, análisis e inteligencia y otros servicios relacionados, como se describe en el Acuerdo. Categorías de sujetos de datos: Usuarios y Destinatarios.
Tipos de Datos Personales:
Cliente y Usuarios: datos de identificación y contacto (nombre, dirección, título, detalles de contacto, nombre de usuario); información financiera (detalles de la cuenta, información de pago); detalles del empleo (empleador, puesto de trabajo, ubicación geográfica, área de responsabilidad);
Destinatarios: datos de identificación y contacto (nombre, dirección de correo electrónico y otros datos demográficos y de segmentación proporcionados por el Cliente); información de TI (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos del navegador).
Acta de Privacidad del Consumidor de California.
SparkPost cumplirá con el CCPA y tratará todos los Datos Personales sujetos al CCPA (“Datos Personales CCPA”) de acuerdo con las disposiciones del CCPA. Con respecto a los Datos Personales CCPA, SparkPost es un proveedor de servicios bajo el CCPA. SparkPost no (a) venderá Datos Personales CCPA; (b) retendrá, usará o divulgará ningún Dato Personal CCPA para ningún propósito que no sea el propósito específico de proporcionar los Servicios, incluida la retención, uso o divulgación de Datos Personales CCPA para un propósito comercial que no sea proporcionar los Servicios; o (c) retendrá, usará o divulgará Datos Personales CCPA fuera de la relación comercial directa entre SparkPost y el Cliente. Las partes reconocen y acuerdan que el Procesamiento de Datos Personales CCPA autorizado por las instrucciones del Cliente descritas en el Acuerdo y este DPA es parte integral y está incluido en la provisión de los Servicios por parte de SparkPost y la relación comercial directa entre las partes. Las partes reconocen y acuerdan que el acceso de SparkPost a los Datos del Cliente no constituye una parte de la consideración intercambiada por las partes con respecto al Acuerdo. En la medida en que cualquier Dato de Uso se considere Datos Personales CCPA, SparkPost es la empresa con respecto a dichos datos y procesará dichos datos de acuerdo con su Política de Privacidad, la cual se puede encontrar en https://www.sparkpost.com/policies/privacy/. Los términos “empresa”, “propósito comercial”, “proveedor de servicios” y “vender” tal como se usan en esta Sección tienen los significados que se les da en el CCPA. SparkPost y el Cliente certifican que comprenden y cumplirán con las obligaciones y restricciones establecidas en este DPA y el Acuerdo según lo requerido bajo el CCPA.
Intereses legítimos.
El Cliente reconoce que SparkPost tendrá el derecho de usar y divulgar datos relacionados con la operación, soporte y/o uso del Servicio para sus intereses comerciales legítimos, como facturación, gestión de cuentas, soporte técnico y desarrollo de productos. En la medida en que tales datos se consideren Datos Personales bajo las Leyes de Protección de Datos, SparkPost es el Controlador de Datos de dichos datos y, en consecuencia, procesará dichos datos de acuerdo con la Política de Privacidad de SparkPost y las Leyes de Protección de Datos.
Tecnologías de Rastreo.
El Cliente reconoce que en conexión con el desempeño del Servicio, SparkPost emplea el uso de balizas web, píxeles de rastreo y tecnologías de rastreo similares (“Tecnologías de Rastreo”). El Cliente mantendrá una base legal adecuada de procesamiento como lo requieren las Leyes de Protección de Datos para permitir que SparkPost despliegue Tecnologías de Rastreo legalmente en, y recolecte datos de, los dispositivos de los Destinatarios de acuerdo con y como se describe en la Política de Privacidad de SparkPost.
Subprocesamiento
Subprocesadores autorizados. El Cliente acepta que SparkPost puede contratar Subprocesadores para procesar los Datos del Cliente en nombre del Cliente. Los Subprocesadores contratados por SparkPost y autorizados por el Cliente a partir de la Fecha de Efecto se enumeran en: https://www.sparkpost.com/policies/subprocessors. Obligaciones del Subprocesador. SparkPost: (i) firmará un acuerdo escrito con el Subprocesador imponiendo términos de protección de datos que exijan al Subprocesador proteger los Datos del Cliente al estándar requerido por las Leyes de Protección de Datos; y (ii) seguirá siendo responsable de su cumplimiento con las obligaciones de este DPA y de cualquier acto u omisión del Subprocesador que cause que SparkPost incumpla cualquiera de sus obligaciones bajo este DPA.
Notificación. SparkPost: (i) proporcionará una lista actualizada de los Subprocesadores que haya designado tras la solicitud por escrito del Cliente; y (ii) notificará al Cliente (el correo electrónico será suficiente) si agrega un Subprocesador al menos diez (10) días antes de cualquier cambio.
Objeción. El Cliente puede objetar por escrito a la designación por parte de SparkPost de un nuevo Subprocesador dentro de los cinco (5) días posteriores a dicho aviso, siempre que tal objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán tales inquietudes de buena fe con el fin de lograr una resolución. Si no se alcanza una resolución en un plazo razonable, el Cliente puede rescindir la(s) Orden(es) aplicable(s) solo con respecto al Servicio específico que no puede ser proporcionado por SparkPost sin el uso del nuevo Subprocesador objetado, proporcionando aviso por escrito a SparkPost.
Security
Política de Seguridad.
Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, SparkPost implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales de Incidentes de Seguridad y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos Personales y sistemas de SparkPost utilizados para el Procesamiento de Datos Personales.
Actualizaciones de Medidas de Seguridad.
El Cliente es responsable de revisar la información puesta a disposición por SparkPost relacionada con la seguridad de los datos y de hacer una determinación independiente sobre si dicha información cumple con los requisitos y obligaciones legales del Cliente bajo las Leyes de Protección de Datos. El Cliente reconoce que la Política de Seguridad está sujeta a progreso técnico y desarrollo y que SparkPost puede actualizar o modificar la Política de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general del Servicio comprado por el Cliente.
Responsabilidades del Cliente.
No obstante lo anterior, el Cliente acepta que es responsable de asegurar las credenciales de autenticación de su Cuenta bajo su custodia o control y de proteger la seguridad de los Datos Personales cuando estén en tránsito hacia y desde el Servicio, en la medida en que dichos Datos Personales estén bajo la custodia o control del Cliente.
Personal de SparkPost.
SparkPost se asegurará de que su personal involucrado en el Procesamiento de Datos Personales sea informado de la naturaleza confidencial de los Datos Personales, haya recibido la capacitación adecuada sobre sus responsabilidades y haya ejecutado acuerdos de confidencialidad escritos con respecto a los Datos Personales que sobreviven a la terminación del compromiso del personal.
Informes de auditoría y auditorías
Informe de Auditoría.
SparkPost es auditado regularmente contra los controles SOC 2 Tipo II (o equivalentes) por auditores independientes de terceros. A solicitud, SparkPost proporcionará una copia resumida de su informe de auditoría (“Informe de Auditoría”) al Cliente, para que el Cliente pueda verificar el cumplimiento de SparkPost con los estándares de auditoría contra los cuales ha sido evaluado, y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son Información Confidencial de SparkPost.
Auditoría.
SparkPost pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento con las obligaciones de los Procesadores de Datos establecidas en el Artículo 28 del RGPD (“Requisitos del Artículo 28”). Con este fin, SparkPost proporcionará respuestas por escrito a todas las solicitudes razonables de información hechas por el Cliente, incluidas las respuestas a cuestionarios de seguridad de la información y auditoría que sean necesarias para confirmar el cumplimiento de SparkPost con los Requisitos del Artículo 28, siempre que el Cliente no ejerza este derecho más de una vez al año. Tales respuestas son Información Confidencial de SparkPost. Si SparkPost no puede proporcionar toda la información necesaria para demostrar el cumplimiento de los Requisitos del Artículo 28 a través de las respuestas escritas, entonces SparkPost permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente u otro auditor que represente al Cliente. Toda la información obtenida de SparkPost durante dicha auditoría o inspección es Información Confidencial de SparkPost.
Transferencias internacionales
Ubicaciones de Procesamiento.
SparkPost puede transferir y procesar Datos del Cliente en cualquier parte del mundo donde SparkPost, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. SparkPost proporcionará en todo momento un nivel adecuado de protección para los Datos del Cliente procesados, de acuerdo con los requisitos de las Leyes de Protección de Datos.
Cláusulas Contractuales Estándar.
En la medida en que SparkPost procese cualquier dato personal bajo el Acuerdo que requiera un mecanismo de transferencia posterior para transferir legalmente datos personales desde el EEE o el Reino Unido (el “UK”) a otro país o territorio que no haya sido determinado como que proporciona un nivel adecuado de protección para los derechos y libertades de los Sujetos de Datos por la Comisión Europea (o, específicamente con respecto al UK, según lo determine la autoridad reguladora del UK aplicable) (una “Transferencia Restringida”), las partes acuerdan lo siguiente:
Cláusulas Contractuales Estándar del EEE.
Las partes acuerdan cumplir con las Cláusulas Contractuales Estándar del EEE para cualquier Transferencia Restringida desde el EEE (una “Transferencia Restringida del EEE”). Cuando el Cliente es un Controlador y SparkPost es un Procesador como se describe más adelante en la Sección 3.1, las cláusulas estándar del Controlador/Procesador se aplicarán a cualquier Transferencia Restringida del EEE. Cuando el Cliente es un Procesador y SparkPost es un Sub-procesador como se describe más adelante en la Sección 3.1, las cláusulas estándar del Procesador/Sub-procesador se aplicarán a cualquier Transferencia Restringida del EEE. SparkPost se considerará el importador de datos y el Cliente se considerará el exportador de datos bajo las Cláusulas Contractuales Estándar del EEE. La firma de este DPA por cada parte será considerada como la firma de las Cláusulas Contractuales Estándar del EEE aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 a las Cláusulas Contractuales Estándar del EEE están disponibles en el Anexo 1 y Anexo 2 de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del EEE, las Cláusulas Contractuales Estándar del EEE prevalecerán únicamente con respecto a las Transferencias Restringidas del EEE. Cuando las Cláusulas Contractuales Estándar del EEE requieran que las partes elijan entre cláusulas opcionales e ingresen información, las partes han hecho lo siguiente:
No se adoptará la Cláusula Opcional 7 “cláusula de acoplamiento”.
Para la Cláusula 9 “Uso de sub-procesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: El importador de datos tiene la autorización general del controlador para la contratación de sub-procesadores de una lista acordada. El importador de datos deberá informar específicamente al controlador por escrito de cualquier cambio previsto en esa lista a través de la adición o sustitución de sub-procesadores al menos 30 días naturales con antelación, dando así al controlador tiempo suficiente para poder objetar dichos cambios antes de la contratación de los sub-procesadores. El importador de datos proporcionará al controlador la información necesaria para permitir que el controlador ejerza su derecho a objetar. El importador de datos informará al exportador de datos sobre la contratación de los sub-procesadores.
”Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.
Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas estarán regidas por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de beneficiario tercero. Las partes acuerdan que esta será la ley de los Países Bajos.
”Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las partes acuerdan que estos serán los tribunales de los Países Bajos.
”Cláusulas Contractuales Estándar del UK. Las partes acuerdan cumplir con las Cláusulas Contractuales Estándar del UK para cualquier Transferencia Restringida desde el UK (una “Transferencia Restringida del UK”). SparkPost se considerará el importador de datos y el Cliente se considerará el exportador de datos bajo las Cláusulas Contractuales Estándar del UK. La firma de este DPA por cada parte será considerada como la firma de las Cláusulas Contractuales Estándar del UK aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 a las Cláusulas Contractuales Estándar del UK están disponibles en el Anexo 1 y Anexo 2 de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del UK, las Cláusulas Contractuales Estándar del UK prevalecerán únicamente con respecto a las Transferencias Restringidas del UK.
Cooperación.
Si SparkPost no puede cumplir con este requisito o si las autoridades o tribunales relevantes dejan de reconocer las Cláusulas Contractuales Estándar del EEE o del UK, según corresponda, como que proporcionan un nivel adecuado de protección, SparkPost informará al Cliente y cooperará razonablemente con el Cliente para garantizar que cualquier procesamiento de datos personales cumpla con las Leyes de Protección de Datos y cualquier restricción de transferencia bajo estas, incluyendo mediante la obtención de certificaciones alternativas, según corresponda y sea necesario.
Mecanismo de Transferencia Alternativo.
Las partes acuerdan que la solución de exportación de datos identificada en la Sección 7.2 (Cláusulas Contractuales Estándar) no se aplicará si y en la medida en que SparkPost adopte, o mantenga, una solución alternativa de exportación de datos para la transferencia legal de Datos Personales (según lo reconocido bajo las Leyes de Protección de Datos) fuera del EEE y/o UK y que haya sido aprobada por el Cliente por escrito antes de cualquier transferencia u otro procesamiento de Datos Personales (“Mecanismo de Transferencia Alternativo”), en cuyo caso, el Mecanismo de Transferencia Alternativo se aplicará en su lugar (pero solo en la medida en que tal Mecanismo de Transferencia Alternativo se extienda a los territorios a los que se transfieren Datos Personales).
Seguridad adicional
Confidencialidad del Procesamiento.
SparkPost se asegurará de que cualquier persona que esté autorizada por SparkPost para procesar Datos Personales (incluyendo su personal, agentes y subcontratistas) tenga una obligación adecuada de confidencialidad (ya sea por deber contractual o legal).
Respuesta y Notificación de Incidentes de Seguridad.
Al tomar conocimiento de un Incidente de Seguridad, SparkPost notificará al Cliente sin retraso indebido y proporcionará información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente el Cliente.
Devolución o eliminación de datos
Tras la terminación o expiración del Acuerdo, SparkPost eliminará o devolverá (a elección del Cliente) al Cliente todos los Datos Personales (incluidas copias) en su posesión o control, salvo que este requisito no aplicará en la medida en que SparkPost esté obligado por la ley aplicable a retener algunos o todos los Datos Personales, o los Datos Personales que ha archivado en sistemas de respaldo, los cuales SparkPost aislará y protegerá de cualquier procesamiento posterior, excepto en la medida que lo exija la ley aplicable. COOPERACIÓN.
Indemnización.
Ambas partes aceptan defender e indemnizar a la otra (incluyendo a sus directores, funcionarios, empleados y agentes) de y contra cualquier reclamación de terceros (incluyendo de autoridades gubernamentales y destinatarios) y los honorarios y gastos relacionados (incluyendo honorarios razonables de abogados) que surjan de su incumplimiento real o presunto de este DPA.
Solicitudes de los Sujetos de Datos.
El Servicio proporciona al Cliente una serie de controles que puede utilizar para recuperar, corregir, eliminar o restringir los Datos del Cliente, los cuales puede utilizar para ayudarlo en relación con sus obligaciones bajo las Leyes de Protección de Datos, incluyendo, por ejemplo, sus obligaciones relacionadas con responder a las Solicitudes de los Sujetos de Datos. En la medida en que el Cliente no pueda acceder independientemente a los Datos del Cliente relevantes dentro del Servicio, SparkPost proporcionará cooperación razonable para ayudar al Cliente a responder oportunamente a cualquier Solicitud de Sujeto de Datos relacionada con el procesamiento de Datos Personales bajo el Acuerdo dentro de cualquier plazo impuesto por las Leyes de Protección de Datos. En caso de que dicha solicitud se realice directamente a SparkPost, SparkPost notificará al Cliente por escrito de dicha solicitud inmediatamente al recibirla.
Registros de Procesamiento.
A petición del Cliente, SparkPost pondrá a disposición en tiempo oportuno la información requerida por el Cliente para demostrar el cumplimiento de SparkPost con sus obligaciones bajo las Leyes de Protección de Datos y bajo este DPA.
Solicitudes del Gobierno.
Si una agencia de aplicación de la ley envía a SparkPost una demanda de Datos Personales (por ejemplo, a través de una citación o una orden judicial), SparkPost intentará redirigir a la agencia de aplicación de la ley para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, SparkPost puede proporcionar la información de contacto básica del Cliente a la agencia de aplicación de la ley. Si es obligado a divulgar los Datos del Cliente a una agencia de aplicación de la ley, entonces SparkPost dará notificación razonable al Cliente de la demanda para permitir al Cliente buscar una orden de protección u otro remedio apropiado, a menos que SparkPost esté legalmente prohibido de hacerlo.
Evaluaciones de Impacto de Protección de Datos.
En la medida en que SparkPost esté obligado por las leyes de Protección de Datos aplicables, SparkPost proporcionará la información razonablemente solicitada sobre el Servicio para permitir al Cliente realizar evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos según lo requiera la ley o de acuerdo con los Artículos 35 y 36 del RGPD, respectivamente.
***
ANEXO 1
ANEXO I A LAS CLÁUSULAS CONTRACTUALES TIPO DEL EEE
Cuando sea aplicable, este Anexo 1 servirá como Anexo I a las Cláusulas Contractuales Tipo del EEE.
ANEXO 1, PARTE A: LISTA DE PARTES
Exportador de Datos: Cliente
Detalles de Contacto del Exportador de Datos: La dirección listada en el bloque de firma del Cliente arriba, o el correo electrónico del propietario de la cuenta del Cliente, o a la dirección(es) de correo electrónico donde el Cliente elija recibir notificaciones bajo el Acuerdo.
Rol del Exportador de Datos: El rol del Exportador de Datos está descrito en la Sección 3 del DPA.
Firma y Fecha: Se considera que el Exportador de Datos ha firmado las Cláusulas Contractuales Tipo del EEE incorporadas aquí a partir de la Fecha Efectiva del DPA.
Importador de Datos: Message Systems, Inc. (dba SparkPost)
Detalles de Contacto del Importador de Datos: Oficial de Protección de Datos de SparkPost – privacy@sparkpost.com
Rol del Importador de Datos: El rol del Importador de Datos está descrito en la Sección 3 del DPA.
Firma y Fecha: Se considera que el Importador de Datos ha firmado las Cláusulas Contractuales Tipo del EEE incorporadas aquí a partir de la Fecha Efectiva del DPA.
ANEXO 1, PARTE B: DESCRIPCIÓN DE LA TRANSFERENCIA
Las categorías de sujetos de datos cuyos datos personales se transfieren están descritas en la Sección 3.4 del DPA.Las categorías de datos personales transferidos están descritas en la Sección 3.4 del DPA.Datos sensibles transferidos (cuando sea aplicable) y restricciones o salvaguardas aplicadas que consideren completamente la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, una estricta limitación de propósito, restricciones de acceso (incluyendo acceso solo para personal con entrenamiento especializado), manteniendo un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:
NingunoLa frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua):Los datos se transfieren de forma continua durante la duración del Acuerdo.
La naturaleza del procesamiento está descrita en la Sección 3.4 del DPA.Propósito(s) de la transferencia de datos y procesamiento ulterior está descrito en la Sección 3.4 del DPA.
El período por el cual los datos personales serán retenidos, o, si no es posible, los criterios utilizados para determinar ese período:
Por la duración del Acuerdo o más tiempo según lo requerido por la ley aplicable y permitido por el Acuerdo.
Para transferencias a subprocesadores, también especifique el asunto, la naturaleza y la duración del procesamiento:
Para transferencias a subprocesadores, el asunto y la naturaleza del procesamiento están descritos en https://www.sparkpost.com/policies/subprocessors/ y la duración es por la duración del Acuerdo.
ANEXO 1, PARTE C: AUTORIDAD SUPERVISORA COMPETENTE
La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.
***
ANEXO 2 ANEXO II A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DEL EEE
Cuando sea aplicable, este Anexo 2 servirá como Anexo II a las Cláusulas Contractuales Estándar. A continuación se proporciona más información sobre las medidas de seguridad técnicas y organizativas de SparkPost establecidas a continuación.
Más información sobre las medidas de seguridad técnicas y organizativas de SparkPost para proteger los Datos del Cliente, un resumen de las cuales está disponible en: https://www.sparkpost.com/policies/security/ (“Política de Seguridad”).
Medidas de Seguridad Técnicas y Organizativas:
Medidas de seudonimización y cifrado de datos personales: SparkPost mantiene los datos de los clientes en un formato cifrado en reposo y en tránsito utilizando SSL, HTTPS y TLS oportunista según sea aplicable.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento: SparkPost acepta obligaciones de confidencialidad en sus acuerdos con sus clientes. SparkPost también celebra acuerdos que contienen disposiciones de confidencialidad sustancialmente similares con los empleados, contratistas, proveedores y subprocesadores de SparkPost. SparkPost mantiene alta disponibilidad y resiliencia de los sistemas y servicios a través de múltiples zonas de disponibilidad de centros de datos independientes de fallos. Además, SparkPost ha implementado y mantiene un Plan de Continuidad de Negocios y Recuperación de Desastres para asegurar que los datos de los clientes se conserven y los servicios puedan continuar siendo provistos.
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico: Los datos de los clientes son alojados por Amazon Web Services (“AWS”), que proporciona redundancia a través de múltiples zonas de disponibilidad. Como se indicó anteriormente, SparkPost también ha implementado y mantiene un Plan de Continuidad de Negocios y Recuperación de Desastres.
Procesos para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: SparkPost mantiene un programa de seguridad de la información escrito y completo, que incluye controles físicos, técnicos y administrativos apropiados para proteger la seguridad, integridad, confidencialidad y disponibilidad de los datos de los clientes, incluyendo, sin limitación, proteger los datos de los clientes contra cualquier adquisición, acceso, uso, divulgación o destrucción no autorizados o ilegales. Este programa de seguridad fue diseñado teniendo en cuenta el tipo de servicios que SparkPost proporciona y el tamaño y complejidad del negocio de SparkPost. Además de nuestro equipo de seguridad interno que monitorea consistentemente nuestra seguridad internamente, SparkPost utiliza un tercero para realizar pruebas de vulnerabilidad y penetración internas y externas para validar la postura defensiva del perímetro e interna con regularidad.
Medidas para la identificación y autorización de usuarios: Se requiere que los empleados de SparkPost utilicen credenciales de acceso de usuario únicas y contraseñas para la autorización. SparkPost utiliza los principios de acceso de menor privilegio cuando se proporciona acceso al sistema, lo que tiene en cuenta la función laboral, el rol y las responsabilidades de cada empleado al determinar el nivel y la duración apropiados de acceso. El acceso requiere aprobación previa a la provisión y el acceso se elimina rápidamente al cambiar de rol o terminar la relación laboral.
Medidas para la protección de datos durante la transmisión: Los datos del cliente se cifran durante el tránsito entre el cliente y los servicios de SparkPost utilizando HTTPS. Los datos del cliente se cifran durante el tránsito entre SparkPost y el destinatario utilizando TLS oportunista. Medidas para la protección de datos durante el almacenamiento: Los datos del cliente se almacenan cifrados utilizando el Estándar de Cifrado Avanzado.
Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan los datos personales: Las oficinas y la sede de SparkPost tienen (i) monitoreo y vigilancia de seguridad física; (ii) controles de entrada para limitar el acceso físico; y (iii) registros de visitantes. Todos los contratistas y visitantes deben registrar su entrada y salida en las oficinas. Los servicios operan en AWS y están protegidos por los controles físicos, técnicos, organizativos y administrativos de Amazon. Información detallada sobre la seguridad en AWS está disponible en https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, y https://aws.amazon.com/compliance/iso-27001-faqs/. Para los informes SOC de AWS, consulte https://aws.amazon.com/compliance/soc-faqs/.
Medidas para garantizar el registro de eventos: Las actividades de registro de la infraestructura de producción de SparkPost se recogen centralmente y están aseguradas en un esfuerzo por evitar manipulaciones y son monitoreadas por un equipo de seguridad capacitado en busca de anomalías.
Medidas para asegurar la configuración de sistemas, incluida la configuración predeterminada: SparkPost evalúa los cambios en su plataforma, aplicaciones e infraestructura de producción de manera que minimiza el riesgo y dichos cambios se implementan solo de acuerdo con la política de seguridad. SparkPost realiza numerosas actividades relacionadas con la seguridad para los servicios en diferentes fases del ciclo de vida de creación de productos, desde la creación del documento de requisitos y el diseño del producto hasta la etapa de puesta en marcha. Estas actividades incluyen la realización de (i) revisiones de seguridad internas antes de que se desplieguen nuevos servicios; (ii) pruebas de penetración anuales por terceros independientes; y (iii) análisis de amenazas para nuevos servicios para detectar cualquier posible amenaza y vulnerabilidad de seguridad. SparkPost se adhiere a un proceso de gestión de cambios para administrar cambios en el entorno de producción de los servicios, incluidos los cambios en su software básico, aplicaciones y sistemas. El monitoreo está en su lugar para notificar al equipo de seguridad sobre los cambios realizados en la infraestructura y servicios críticos que no se adhieren a los procesos de gestión de cambios.
Medidas para gobernanza y gestión de TI y seguridad de TI internas: SparkPost mantiene un programa de seguridad basado en la evaluación de riesgos, que incluye salvaguardas administrativas, organizacionales, técnicas y físicas diseñadas razonablemente para proteger los servicios y la confidencialidad, integridad y disponibilidad de los datos de los clientes. El programa de seguridad de SparkPost fue diseñado teniendo en cuenta la naturaleza de los servicios y el tamaño y complejidad del negocio de SparkPost. SparkPost tiene un equipo de seguridad dedicado que gestiona el programa de seguridad de la información de SparkPost y facilita y apoya auditorías y evaluaciones independientes realizadas por terceros. El marco de seguridad de SparkPost se basa en la certificación de atestación SOC2 Tipo II e incluye los siguientes criterios de confianza: seguridad, disponibilidad, confidencialidad y privacidad. La seguridad se gestiona en los niveles más altos de la empresa, con el vicepresidente de Cumplimiento y Seguridad de TI reuniéndose regularmente con la gestión ejecutiva para discutir problemas y coordinar iniciativas de seguridad y TI de toda la empresa. Las políticas y estándares de seguridad de la información son revisados y aprobados por la gestión al menos anualmente y están disponibles para todos los empleados relevantes de SparkPost para su referencia.
Medidas para la certificación/seguridad de procesos y productos: SparkPost realiza varias auditorías de terceros para atestiguar varios marcos, incluidos SOC 2 Tipo II y pruebas regulares de vulnerabilidad de aplicaciones y penetración. Medidas para asegurar la minimización de datos: SparkPost no almacena el cuerpo del mensaje de un correo electrónico después de que haya sido entregado al destinatario o haya sido rechazado o rechazado por el proveedor de buzones, lo que generalmente ocurre en segundos. En caso de un rechazo o fallo, SparkPost retendrá el cuerpo del mensaje durante un período de tiempo limitado para permitir que se reintente la transmisión del correo electrónico. Si la transmisión sigue siendo infructuosa, el cuerpo del mensaje se elimina permanentemente. SparkPost solo almacena los datos personales del destinatario en forma bruta durante un período de tiempo limitado después de la transmisión de un correo electrónico a un destinatario. Después del período de retención inicial, los datos personales se seudonimizan mediante un hash unidireccional y solo se almacenan en su forma seudonimizada. Para más información sobre este proceso, por favor vea nuestras Preguntas frecuentes sobre datos disponibles en: https://www.sparkpost.com/policies/data-faq/. Además, SparkPost ha incorporado funcionalidad de autoservicio en los servicios que permite a los clientes eliminar ciertos datos del cliente, como direcciones de correo electrónico de los destinatarios y eventos de mensajes asociados, a demanda, la documentación de dicha funcionalidad está disponible en: https://developers.sparkpost.com/api/data-privacy/.
Medidas para garantizar la rendición de cuentas: SparkPost ha adoptado medidas para garantizar la rendición de cuentas, incluidas auditorías de terceros regulares para garantizar el cumplimiento de nuestros estándares de privacidad y seguridad. SparkPost también implementa políticas de protección de datos de acuerdo con la ley aplicable y publica una visión general de la Política de Seguridad (enlazada arriba). SparkPost ha designado un oficial de protección de datos y mantiene documentación de sus actividades de procesamiento, incluida la grabación y el reporte de incidentes de seguridad que involucren datos personales cuando sea aplicable.
Medidas para permitir la portabilidad de datos y garantizar el borrado: Los clientes tienen relaciones directas con sus destinatarios y son responsables de responder a las solicitudes de sus usuarios finales que deseen ejercer sus derechos bajo las leyes de protección de datos. SparkPost ha incorporado funcionalidad de autoservicio en los servicios que permite a los clientes eliminar ciertos datos del cliente, como direcciones de correo electrónico de los destinatarios y eventos de mensajes asociados a demanda, la documentación de dicha funcionalidad está disponible en: https://developers.sparkpost.com/api/data-privacy/. Además, SparkPost ha incorporado funcionalidad de autoservicio para suprimir futuros correos electrónicos a los destinatarios (es decir, cancelar la suscripción), cuya documentación está disponible en https://developers.sparkpost.com/api/suppression-list/. En la medida en que el cliente no pueda acceder de forma independiente a los datos del cliente relevantes dentro del servicio, SparkPost proporcionará cooperación razonable para ayudar al cliente a responder oportunamente a cualquier solicitud de sujeto de datos relacionada con el procesamiento de datos personales bajo el Acuerdo dentro de cualquier plazo impuesto por las leyes de protección de datos. En el caso de que dicha solicitud se realice directamente a SparkPost, SparkPost aconsejará al sujeto de datos que envíe su solicitud al cliente, y el cliente será responsable de responder a dicha solicitud.
Para transferencias a [sub]procesadores, también describe las medidas técnicas y organizativas específicas que deben tomar los subprocesadores para poder proporcionar asistencia al controlador y, para transferencias de un procesador a un [sub]procesador, al exportador de datos: Cuando SparkPost involucra a un sub-procesador bajo esta DPA, SparkPost y el sub-procesador celebran un acuerdo con términos de protección de datos sustancialmente similares a los contenidos en este documento.
V2.0 2 de noviembre de 2021
