Anexo de Protección de Datos SparkPost
Documentos
Contenidos
En el transcurso de proporcionar el servicio SparkPost a nuestros clientes, SparkPost puede procesar datos personales en nombre de nuestros clientes cuando dichos datos personales están sujetos a leyes de protección de datos de la UE como el GDPR. Con este fin, ofrecemos un anexo de protección de datos (DPA) como se proporciona a continuación. El DPA solo será legalmente vinculante y efectivo si: (1) se ejecuta aquí; y (2) usted es cliente de SparkPost en la fecha en que se ejecute completamente. Tenga en cuenta que debido a que tenemos tantos clientes, no podemos cambiar el DPA para ningún cliente en particular. Sin embargo, si tiene alguna pregunta sobre el DPA, contáctenos en privacy@sparkpost.com.
Definiciones
“Afiliado” significa cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo control común con la entidad en cuestión. “Control”, para los propósitos de esta definición, significa la propiedad o control directo o indirecto de más del 50% de los intereses de votación de la entidad en cuestión.
“Acuerdo” significa los Términos de Uso y el Pedido relacionado, que juntos rigen la provisión y uso del Servicio.
“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de esta, en cada caso, según se enmiende de vez en cuando.
“Cláusulas Contractuales Estándar de Controlador/Procesador” significa los módulos “Controlador a Procesador” (Módulo 2) de las Cláusulas Contractuales Estándar para la transferencia de datos personales a terceros países conforme al GDPR y la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 de la Comisión Europea.
“Leyes de Protección de Datos” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o Procesamiento de Datos Personales bajo el Acuerdo, incluyendo, donde sea aplicable, el GDPR, el CCPA y todas las demás leyes y regulaciones relacionadas con la privacidad, marketing directo o protección de datos. “Controlador de Datos” significa una entidad, sola o conjuntamente con otros, que determina los propósitos y medios del Procesamiento de Datos Personales.
“Procesador de Datos” significa una entidad que Procesa Datos Personales en nombre de un Controlador de Datos. “Sujeto de Datos” significa el individuo al que se refieren los Datos Personales.
“Solicitud de Sujeto de Datos” significa una solicitud del Sujeto de Datos para ejercer los derechos de esa persona bajo las Leyes de Protección de Datos con respecto a los Datos Personales de esa persona, incluyendo, sin limitación, el derecho a acceder, corregir, enmendar, transferir, obtener una copia de, oponerse al procesamiento, bloquear, eliminar, o optar por no vender dichos Datos Personales. “EEE” significa el Área Económica Europea y Suiza.
“GDPR” significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas con respecto al procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
“Datos Personales” significa cualquier información que identifique, que se relacione con, que describa, o que sea razonablemente capaz de ser asociada con una persona o hogar natural identificado o identificable.
“Procesamiento” significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
“Cláusulas Contractuales Estándar de Procesador/Sub-Processor” significa los módulos “Procesador a Procesador” (Módulo 3) de las Cláusulas Contractuales Estándar para la transferencia de datos personales a terceros países conforme al GDPR y la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 de la Comisión Europea.
“Regulador” significa la autoridad de protección de datos europea u otra autoridad reguladora, gubernamental o supervisora con autoridad sobre todo o cualquier parte de (a) la provisión o recepción del Servicio; (b) el Procesamiento de Datos Personales en conexión con el Servicio; o (c) el negocio o personal de SparkPost relacionado con el Servicio.
“Incidente de Seguridad” significa cualquier destrucción, pérdida, alteración, divulgación, acceso o encriptación de Datos Personales accidental, no autorizada o ilegal.
“Servicio” significa cualquier producto o servicio proporcionado por SparkPost al Cliente conforme al Acuerdo.
“Cláusulas Contractuales Estándar del EEE” significa (i) las Cláusulas Contractuales Estándar de Controlador/Procesador; o (ii) las Cláusulas Contractuales Estándar de Procesador/Sub-procesador, individualmente o de forma colectiva, según sea aplicable.
“Subprocesador” significa la entidad que Procesa Datos Personales en nombre de una entidad que actúa como un Procesador o un Sub-procesador.
“Cláusulas Contractuales Estándar del Reino Unido” significa las cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países en la forma establecida por la Decisión de la Comisión Europea 2010/87/UE, tal como se puedan enmendar, modificar o reemplazar por la Comisión Europea.
Relación con el acuerdo
Las partes acuerdan que este DPA reemplazará cualquier anexo de protección de datos existente o acuerdo similar que las partes puedan haber celebrado previamente en relación con los Servicios.
Este DPA se aplica donde y solo en la medida en que SparkPost procese Datos Personales sujetos a las Leyes de Protección de Datos en el transcurso de proporcionar el Servicio de acuerdo con el Acuerdo.
Excepto por los cambios realizados por este DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si hay algún conflicto entre los términos de este DPA y los términos del Acuerdo, este DPA prevalecerá en la medida de ese conflicto. En circunstancias donde SparkPost se base en las Cláusulas Contractuales Estándar de la EEA o en las Cláusulas Contractuales Estándar del Reino Unido (colectivamente, “Cláusulas Contractuales Estándar”), según corresponda, para transferir Datos Personales, las Cláusulas Contractuales Estándar aplicables prevalecerán en caso de un conflicto con este DPA.
Cualquier reclamo presentado bajo o en relación con este DPA estará sujeto a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo. Las partes acuerdan que ninguna limitación de responsabilidad establecida en el Acuerdo se aplicará a la responsabilidad de cualquier parte hacia los Titulares de datos bajo las disposiciones de beneficiario tercer de las Cláusulas Contractuales Estándar en la medida en que la limitación de dicha responsabilidad esté prohibida por las Leyes de Protección de Datos.
Este DPA será regido e interpretado de acuerdo con las disposiciones de la ley y jurisdicción aplicable en el Acuerdo, a menos que sea requerido de otra manera por las Leyes de Protección de Datos aplicables. Este DPA permanecerá en efecto mientras SparkPost procese Datos Personales, sin perjuicio de la expiración o terminación del Acuerdo. ROLES Y ÁMBITO DEL PROCESAMIENTO.
Rol de las Partes.
Las partes reconocen y acuerdan que, entre SparkPost y el Cliente: Con respecto a los Datos Personales de cualquier individuo que acceda y/o use el Servicio a través de la Cuenta del Cliente (“Usuarios”), el Cliente es el Controlador y SparkPost es el Procesador de los Datos Personales del Usuario; y con respecto a los Datos Personales de cualquier individuo: (i) cuya dirección de correo electrónico esté incluida en la(s) lista(s) de destinatarios del Cliente; (ii) cuya información esté almacenada o recopilada a través del Servicio, o (ii) a quien los Usuarios envían correos electrónicos o de otro modo se involucran o comunican a través del Servicio (colectivamente, “Destinatarios”), el Cliente es el Procesador y SparkPost es el Subprocesador de los Datos Personales de los Destinatarios.
Procesamiento de Datos Personales por el Cliente.
El Cliente acepta que cumplirá con sus obligaciones bajo las Leyes de Protección de Datos aplicables con respecto a su Procesamiento de Datos Personales en relación con el Servicio y con respecto a cualquier instrucción de Procesamiento documentada que emita a SparkPost.
Procesamiento de Datos Personales por SparkPost. El Cliente instruye a SparkPost para que procese Datos Personales de acuerdo con el Acuerdo (incluyendo, para evitar dudas, para cumplir con sus otras obligaciones y ejercer sus derechos bajo el Acuerdo) y para cumplir con las otras instrucciones razonables del Cliente (por ejemplo, a través de correo electrónico) cuando tales instrucciones sean consistentes con el Acuerdo. SparkPost deberá: (i) Procesar Datos Personales solo en nombre del Cliente y de acuerdo con las instrucciones documentadas lícitas del Cliente y deberá tratar los Datos Personales como información confidencial sujeta a las disposiciones de confidencialidad del Acuerdo; (ii) notificar al Cliente por escrito de inmediato si, en opinión razonable de SparkPost, SparkPost cree que cualquier instrucción dada por el Cliente infringe las Leyes de Protección de Datos; (iii) realizar el Servicio y Procesar Datos Personales en cumplimiento con las Leyes de Protección de Datos y el Acuerdo; (iv) notificar de inmediato al Cliente cualquier incumplimiento de este DPA. Las partes acuerdan que este DPA y el Acuerdo establecen las instrucciones completas y finales del Cliente a SparkPost en relación con el procesamiento de Datos Personales y el procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirá un acuerdo previo por escrito entre el Cliente y SparkPost.
Detalles del Procesamiento de Datos.
Asunto: El objeto del procesamiento de datos bajo este DPA son los Datos Personales. Duración: Entre SparkPost y el Cliente, la duración del procesamiento de datos bajo este DPA es hasta la terminación del Acuerdo de acuerdo con sus términos.
Propósito: El propósito del procesamiento de datos bajo este DPA es la provisión del Servicio al Cliente y la ejecución de SparkPost conforme al Acuerdo (incluyendo este DPA) o según lo acordado de otra manera por las partes.
Naturaleza del procesamiento: SparkPost proporciona un servicio de entrega de correos electrónicos, analítica e inteligencia y otros servicios relacionados, como se describe en el Acuerdo. Categorías de sujetos de datos: Usuarios y Destinatarios.
Tipos de Datos Personales:
Cliente y Usuarios: datos de identificación y contacto (nombre, dirección, título, detalles de contacto, nombre de usuario); información financiera (detalles de cuenta, información de pago); detalles de empleo (empleador, título del trabajo, ubicación geográfica, área de responsabilidad);
Destinatarios: datos de identificación y contacto (nombre, dirección de correo electrónico y otros datos demográficos y de segmentación proporcionados por el Cliente); información de TI (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos de navegador).
California Consumer Privacy Act.
SparkPost cumplirá con el CCPA y tratará todos los Datos Personales sujetos al CCPA (“Datos Personales CCPA”) de acuerdo con las disposiciones del CCPA. Con respecto a los Datos Personales CCPA, SparkPost es un proveedor de servicios bajo el CCPA. SparkPost no (a) venderá Datos Personales CCPA; (b) retendrá, usará o divulgará cualquier Dato Personal CCPA para ningún propósito distinto al propósito específico de proporcionar los Servicios, incluyendo retener, usar o divulgar Datos Personales CCPA para un propósito comercial que no sea proporcionar los Servicios; o (c) retendrá, usará o divulgará Datos Personales CCPA fuera de la relación comercial directa entre SparkPost y el Cliente. Las partes reconocen y acuerdan que el Procesamiento de Datos Personales CCPA autorizado por las instrucciones del Cliente descritas en el Acuerdo y este DPA es integral y está comprendido en la provisión de los Servicios por parte de SparkPost y la relación comercial directa entre las partes. Las partes reconocen y acuerdan que el acceso de SparkPost a los Datos del Cliente no constituye parte de la contraprestación intercambiada por las partes con respecto al Acuerdo. En la medida en que cualquier Dato de Uso se considere Datos Personales CCPA, SparkPost es el negocio con respecto a dichos datos y procesará dichos datos de acuerdo con su Política de Privacidad, que se puede encontrar en https://www.sparkpost.com/policies/privacy/. Los términos “negocio”, “propósito comercial”, “proveedor de servicios” y “vender” utilizados en esta Sección tienen los significados que se les otorgan en el CCPA. SparkPost y el Cliente certifican que entienden y cumplirán con las obligaciones y restricciones establecidas en este DPA y el Acuerdo según lo requerido bajo el CCPA.
Intereses Legítimos.
El Cliente reconoce que SparkPost tendrá derecho a usar y divulgar datos relacionados con la operación, el soporte y/o el uso del Servicio para sus propósitos comerciales legítimos, como facturación, gestión de cuentas, soporte técnico y desarrollo de productos. En la medida en que dichos datos se consideren Datos Personales bajo las Leyes de Protección de Datos, SparkPost es el Controlador de Datos de dichos datos y, por lo tanto, procesará dichos datos de acuerdo con la Política de Privacidad de SparkPost y las Leyes de Protección de Datos.
Tecnologías de Rastreo.
El Cliente reconoce que en relación con la prestación del Servicio, SparkPost emplea el uso de balizas web, píxeles de rastreo y tecnologías de rastreo similares (“Tecnologías de Rastreo”). El Cliente mantendrá una base legal apropiada de procesamiento según lo requieran las Leyes de Protección de Datos para permitir que SparkPost implemente las Tecnologías de Rastreo legalmente en, y recolecte datos de, los dispositivos de los Destinatarios de acuerdo con y como se describe en la Política de Privacidad de SparkPost.
Subprocesamiento
Subprocesadores autorizados. El cliente acepta que SparkPost puede contratar Subprocesadores para procesar los Datos del Cliente en nombre del Cliente. Los Subprocesadores contratados por SparkPost y autorizados por el Cliente a partir de la Fecha de Vigencia están listados en: https://www.sparkpost.com/policies/subprocessors. Obligaciones del Subprocesador. SparkPost: (i) firmará un acuerdo por escrito con el Subprocesador imponiendo términos de protección de datos que requieran que el Subprocesador proteja los Datos del Cliente según el estándar requerido por las Leyes de Protección de Datos; y (ii) seguirá siendo responsable por su cumplimiento con las obligaciones de este DPA y por cualquier acto u omisión del Subprocesador que haga que SparkPost incumpla cualquiera de sus obligaciones bajo este DPA.
Notificación. SparkPost (i) proporcionará una lista actualizada de los Subprocesadores que haya designado a solicitud por escrito del Cliente; y (ii) notificará al Cliente (para lo cual un correo electrónico será suficiente) si añade un Subprocesador al menos diez (10) días antes de cualquier cambio de este tipo.
Objeción. El cliente puede objetar por escrito la designación de un nuevo Subprocesador por parte de SparkPost dentro de los cinco (5) días siguientes a dicha notificación, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas preocupaciones de buena fe con el objetivo de lograr una resolución. Si no se logra una resolución dentro de un tiempo razonable, el Cliente puede terminar la(s) Orden(es) aplicable(s) solo respecto al Servicio específico que no pueda ser proporcionado por SparkPost sin el uso del nuevo Subprocesador objetado, proporcionando notificación por escrito a SparkPost.
Security
Política de Seguridad.
Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, SparkPost implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales de Incidentes de Seguridad y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos Personales y sistemas de SparkPost utilizados para el Procesamiento de Datos Personales.
Actualizaciones de Medidas de Seguridad.
El Cliente es responsable de revisar la información puesta a disposición por SparkPost relacionada con la seguridad de los datos y de hacer una determinación independiente sobre si dicha información cumple con los requisitos y obligaciones legales del Cliente bajo las Leyes de Protección de Datos. El Cliente reconoce que la Política de Seguridad está sujeta a progreso técnico y desarrollo y que SparkPost puede actualizar o modificar la Política de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general del Servicio comprado por el Cliente.
Responsabilidades del Cliente.
No obstante lo anterior, el Cliente acepta que es responsable de asegurar las credenciales de autenticación de su Cuenta bajo su custodia o control y de proteger la seguridad de los Datos Personales cuando estén en tránsito hacia y desde el Servicio, en la medida en que dichos Datos Personales estén bajo la custodia o control del Cliente.
Personal de SparkPost.
SparkPost se asegurará de que su personal involucrado en el Procesamiento de Datos Personales sea informado de la naturaleza confidencial de los Datos Personales, haya recibido la capacitación adecuada sobre sus responsabilidades y haya ejecutado acuerdos de confidencialidad escritos con respecto a los Datos Personales que sobreviven a la terminación del compromiso del personal.
Informes de auditoría y auditorías
Informe de Auditoría.
SparkPost es auditado regularmente contra los controles SOC 2 Tipo II (o equivalentes) por auditores independientes de terceros. A solicitud, SparkPost proporcionará una copia resumida de su informe de auditoría (“Informe de Auditoría”) al Cliente, para que el Cliente pueda verificar el cumplimiento de SparkPost con los estándares de auditoría contra los cuales ha sido evaluado, y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son Información Confidencial de SparkPost.
Auditoría.
SparkPost pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento con las obligaciones de los Procesadores de Datos establecidas en el Artículo 28 del RGPD (“Requisitos del Artículo 28”). Con este fin, SparkPost proporcionará respuestas por escrito a todas las solicitudes razonables de información hechas por el Cliente, incluidas las respuestas a cuestionarios de seguridad de la información y auditoría que sean necesarias para confirmar el cumplimiento de SparkPost con los Requisitos del Artículo 28, siempre que el Cliente no ejerza este derecho más de una vez al año. Tales respuestas son Información Confidencial de SparkPost. Si SparkPost no puede proporcionar toda la información necesaria para demostrar el cumplimiento de los Requisitos del Artículo 28 a través de las respuestas escritas, entonces SparkPost permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente u otro auditor que represente al Cliente. Toda la información obtenida de SparkPost durante dicha auditoría o inspección es Información Confidencial de SparkPost.
Transferencias internacionales
Ubicaciones de Procesamiento.
SparkPost puede transferir y procesar Datos del Cliente en cualquier parte del mundo donde SparkPost, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. SparkPost proporcionará en todo momento un nivel adecuado de protección para los Datos del Cliente procesados, de acuerdo con los requisitos de las Leyes de Protección de Datos.
Cláusulas Contractuales Estándar.
En la medida en que SparkPost procese cualquier dato personal bajo el Acuerdo que requiera un mecanismo de transferencia posterior para transferir legalmente datos personales desde el EEE o el Reino Unido (el “UK”) a otro país o territorio que no haya sido determinado como que proporciona un nivel adecuado de protección para los derechos y libertades de los Sujetos de Datos por la Comisión Europea (o, específicamente con respecto al UK, según lo determine la autoridad reguladora del UK aplicable) (una “Transferencia Restringida”), las partes acuerdan lo siguiente:
Cláusulas Contractuales Estándar del EEE.
Las partes acuerdan cumplir con las Cláusulas Contractuales Estándar del EEE para cualquier Transferencia Restringida desde el EEE (una “Transferencia Restringida del EEE”). Cuando el Cliente es un Controlador y SparkPost es un Procesador como se describe más adelante en la Sección 3.1, las cláusulas estándar del Controlador/Procesador se aplicarán a cualquier Transferencia Restringida del EEE. Cuando el Cliente es un Procesador y SparkPost es un Sub-procesador como se describe más adelante en la Sección 3.1, las cláusulas estándar del Procesador/Sub-procesador se aplicarán a cualquier Transferencia Restringida del EEE. SparkPost se considerará el importador de datos y el Cliente se considerará el exportador de datos bajo las Cláusulas Contractuales Estándar del EEE. La firma de este DPA por cada parte será considerada como la firma de las Cláusulas Contractuales Estándar del EEE aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 a las Cláusulas Contractuales Estándar del EEE están disponibles en el Anexo 1 y Anexo 2 de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del EEE, las Cláusulas Contractuales Estándar del EEE prevalecerán únicamente con respecto a las Transferencias Restringidas del EEE. Cuando las Cláusulas Contractuales Estándar del EEE requieran que las partes elijan entre cláusulas opcionales e ingresen información, las partes han hecho lo siguiente:
No se adoptará la Cláusula Opcional 7 “cláusula de acoplamiento”.
Para la Cláusula 9 “Uso de sub-procesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: El importador de datos tiene la autorización general del controlador para la contratación de sub-procesadores de una lista acordada. El importador de datos deberá informar específicamente al controlador por escrito de cualquier cambio previsto en esa lista a través de la adición o sustitución de sub-procesadores al menos 30 días naturales con antelación, dando así al controlador tiempo suficiente para poder objetar dichos cambios antes de la contratación de los sub-procesadores. El importador de datos proporcionará al controlador la información necesaria para permitir que el controlador ejerza su derecho a objetar. El importador de datos informará al exportador de datos sobre la contratación de los sub-procesadores.
”Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.
Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas estarán regidas por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de beneficiario tercero. Las partes acuerdan que esta será la ley de los Países Bajos.
”Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las partes acuerdan que estos serán los tribunales de los Países Bajos.
”Cláusulas Contractuales Estándar del UK. Las partes acuerdan cumplir con las Cláusulas Contractuales Estándar del UK para cualquier Transferencia Restringida desde el UK (una “Transferencia Restringida del UK”). SparkPost se considerará el importador de datos y el Cliente se considerará el exportador de datos bajo las Cláusulas Contractuales Estándar del UK. La firma de este DPA por cada parte será considerada como la firma de las Cláusulas Contractuales Estándar del UK aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 a las Cláusulas Contractuales Estándar del UK están disponibles en el Anexo 1 y Anexo 2 de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del UK, las Cláusulas Contractuales Estándar del UK prevalecerán únicamente con respecto a las Transferencias Restringidas del UK.
Cooperación.
Si SparkPost no puede cumplir con este requisito o si las autoridades o tribunales relevantes dejan de reconocer las Cláusulas Contractuales Estándar del EEE o del UK, según corresponda, como que proporcionan un nivel adecuado de protección, SparkPost informará al Cliente y cooperará razonablemente con el Cliente para garantizar que cualquier procesamiento de datos personales cumpla con las Leyes de Protección de Datos y cualquier restricción de transferencia bajo estas, incluyendo mediante la obtención de certificaciones alternativas, según corresponda y sea necesario.
Mecanismo de Transferencia Alternativo.
Las partes acuerdan que la solución de exportación de datos identificada en la Sección 7.2 (Cláusulas Contractuales Estándar) no se aplicará si y en la medida en que SparkPost adopte, o mantenga, una solución alternativa de exportación de datos para la transferencia legal de Datos Personales (según lo reconocido bajo las Leyes de Protección de Datos) fuera del EEE y/o UK y que haya sido aprobada por el Cliente por escrito antes de cualquier transferencia u otro procesamiento de Datos Personales (“Mecanismo de Transferencia Alternativo”), en cuyo caso, el Mecanismo de Transferencia Alternativo se aplicará en su lugar (pero solo en la medida en que tal Mecanismo de Transferencia Alternativo se extienda a los territorios a los que se transfieren Datos Personales).
Seguridad adicional
Confidencialidad del Procesamiento.
SparkPost se asegurará de que cualquier persona que esté autorizada por SparkPost para procesar Datos Personales (incluyendo su personal, agentes y subcontratistas) tenga una obligación adecuada de confidencialidad (ya sea por deber contractual o legal).
Respuesta y Notificación de Incidentes de Seguridad.
Al tomar conocimiento de un Incidente de Seguridad, SparkPost notificará al Cliente sin retraso indebido y proporcionará información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente el Cliente.
Devolución o eliminación de datos
Tras la terminación o expiración del Acuerdo, SparkPost eliminará o devolverá (a elección del Cliente) al Cliente todos los Datos Personales (incluidas copias) en su posesión o control, salvo que este requisito no aplicará en la medida en que SparkPost esté obligado por la ley aplicable a retener algunos o todos los Datos Personales, o los Datos Personales que ha archivado en sistemas de respaldo, los cuales SparkPost aislará y protegerá de cualquier procesamiento posterior, excepto en la medida que lo exija la ley aplicable. COOPERACIÓN.
Indemnización.
Ambas partes aceptan defender e indemnizar a la otra (incluyendo a sus directores, funcionarios, empleados y agentes) de y contra cualquier reclamación de terceros (incluyendo de autoridades gubernamentales y destinatarios) y los honorarios y gastos relacionados (incluyendo honorarios razonables de abogados) que surjan de su incumplimiento real o presunto de este DPA.
Solicitudes de los Sujetos de Datos.
El Servicio proporciona al Cliente una serie de controles que puede utilizar para recuperar, corregir, eliminar o restringir los Datos del Cliente, los cuales puede utilizar para ayudarlo en relación con sus obligaciones bajo las Leyes de Protección de Datos, incluyendo, por ejemplo, sus obligaciones relacionadas con responder a las Solicitudes de los Sujetos de Datos. En la medida en que el Cliente no pueda acceder independientemente a los Datos del Cliente relevantes dentro del Servicio, SparkPost proporcionará cooperación razonable para ayudar al Cliente a responder oportunamente a cualquier Solicitud de Sujeto de Datos relacionada con el procesamiento de Datos Personales bajo el Acuerdo dentro de cualquier plazo impuesto por las Leyes de Protección de Datos. En caso de que dicha solicitud se realice directamente a SparkPost, SparkPost notificará al Cliente por escrito de dicha solicitud inmediatamente al recibirla.
Registros de Procesamiento.
A petición del Cliente, SparkPost pondrá a disposición en tiempo oportuno la información requerida por el Cliente para demostrar el cumplimiento de SparkPost con sus obligaciones bajo las Leyes de Protección de Datos y bajo este DPA.
Solicitudes del Gobierno.
Si una agencia de aplicación de la ley envía a SparkPost una demanda de Datos Personales (por ejemplo, a través de una citación o una orden judicial), SparkPost intentará redirigir a la agencia de aplicación de la ley para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, SparkPost puede proporcionar la información de contacto básica del Cliente a la agencia de aplicación de la ley. Si es obligado a divulgar los Datos del Cliente a una agencia de aplicación de la ley, entonces SparkPost dará notificación razonable al Cliente de la demanda para permitir al Cliente buscar una orden de protección u otro remedio apropiado, a menos que SparkPost esté legalmente prohibido de hacerlo.
Evaluaciones de Impacto de Protección de Datos.
En la medida en que SparkPost esté obligado por las leyes de Protección de Datos aplicables, SparkPost proporcionará la información razonablemente solicitada sobre el Servicio para permitir al Cliente realizar evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos según lo requiera la ley o de acuerdo con los Artículos 35 y 36 del RGPD, respectivamente.
***
ANEXO 1
ANEXO I A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DEL EEE
Cuando sea aplicable, este Anexo 1 servirá como Anexo I a las Cláusulas Contractuales Estándar del EEE.
ANEXO 1, PARTE A: LISTA DE PARTES
Exportador de Datos: Customer
Detalles de Contacto del Exportador de Datos: La dirección que figura en el bloque de firma de Customer arriba, o el correo electrónico del propietario de la cuenta de Customer, o a la dirección(es) de correo electrónico que Customer elige para recibir notificaciones bajo el Acuerdo.
Rol del Exportador de Datos: El rol del Exportador de Datos se describe en la Sección 3 del DPA.
Firma y Fecha: Se considera que el Exportador de Datos ha firmado las Cláusulas Contractuales Estándar del EEE incorporadas en el presente a partir de la Fecha Efectiva del DPA.
Importador de Datos: Message Systems, Inc. (dba SparkPost)
Detalles de Contacto del Importador de Datos: Oficial de Protección de Datos de SparkPost – privacy@sparkpost.com
Rol del Importador de Datos: El rol del Importador de Datos se describe en la Sección 3 del DPA.
Firma y Fecha: Se considera que el Importador de Datos ha firmado las Cláusulas Contractuales Estándar del EEE incorporadas en el presente a partir de la Fecha Efectiva del DPA.
ANEXO 1, PARTE B: DESCRIPCIÓN DE LA TRANSFERENCIA
Las categorías de interesados cuyos datos personales se transfieren se describen en la Sección 3.4 del DPA. Las categorías de datos personales transferidos se describen en la Sección 3.4 del DPA. Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que consideran completamente la naturaleza de los datos y los riesgos involucrados, tales como limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para personal que haya seguido una capacitación especializada), manteniendo un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:
Ninguno. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de manera única o continua): Los datos se transfieren de manera continua durante la duración del Acuerdo.
La naturaleza del procesamiento se describe en la Sección 3.4 del DPA. Los propósitos de la transferencia de datos y procesamiento adicional se describen en la Sección 3.4 del DPA.
El período durante el cual se retendrán los datos personales o, si no es posible, los criterios utilizados para determinar ese período:
Durante la duración del Acuerdo o más tiempo según lo requiera la ley aplicable y lo permita el Acuerdo.
Para las transferencias a subprocesadores, especifique también el asunto, la naturaleza y la duración del procesamiento:
Para las transferencias a subprocesadores, el asunto y naturaleza del procesamiento se describen en https://www.sparkpost.com/policies/subprocessors/ y la duración es durante la duración del Acuerdo.
ANEXO 1, PARTE C: AUTORIDAD DE SUPERVISIÓN COMPETENTE
La Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens) será la autoridad de supervisión competente.
***
ANEXO 2 ANEXO II A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DEL EEE
Cuando sea aplicable, este Apéndice 2 servirá como Anexo II a las Cláusulas Contractuales Estándar. A continuación, se proporciona más información respecto a las medidas de seguridad técnicas y organizativas de SparkPost establecidas a continuación.
Más información sobre las medidas de seguridad técnicas y organizativas de SparkPost para proteger los Datos del Cliente, un resumen de las cuales está disponible en: https://www.sparkpost.com/policies/security/ (“Política de Seguridad”).
Medidas de Seguridad Técnicas y Organizativas:
Medidas para la seudonimización y cifrado de datos personales: SparkPost mantiene los Datos de Cliente en un formato cifrado en reposo y en tránsito utilizando SSL, HTTPS y TLS oportunista según corresponda.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento: SparkPost acepta las obligaciones de confidencialidad en sus acuerdos con sus clientes. SparkPost también entra en acuerdos que contienen disposiciones de confidencialidad sustancialmente similares con los empleados, contratistas, proveedores y subprocesadores de SparkPost. SparkPost mantiene alta disponibilidad y resiliencia de los sistemas y servicios a través de múltiples zonas de disponibilidad independientes de fallas en centros de datos. Además, SparkPost ha implementado y mantiene un Plan de Continuidad de Negocio y Recuperación ante Desastres para garantizar que los Datos de Cliente se conserven y los Servicios puedan seguir siendo proporcionados.
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en el evento de un incidente físico o técnico: Los Datos de Cliente son alojados por Amazon Web Services (“AWS”), que proporciona redundancia a través de múltiples zonas de disponibilidad. Como se indicó anteriormente, SparkPost también ha implementado y mantiene un Plan de Continuidad de Negocio y Recuperación ante Desastres.
Procesos para pruebas, evaluaciones y evaluaciones regulares de la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: SparkPost mantiene un programa de seguridad de la información escrito y completo, que incluye controles físicos, técnicos y administrativos apropiados para proteger la seguridad, integridad, confidencialidad y disponibilidad de los Datos de Cliente, incluyendo, sin limitación, proteger los Datos de Cliente contra cualquier adquisición no autorizada o ilegal, acceso, uso, divulgación o destrucción. Este programa de seguridad fue diseñado teniendo en cuenta el tipo de servicios que proporciona SparkPost y el tamaño y complejidad del negocio de SparkPost. Además de nuestro equipo de seguridad interno que monitoriza consistentemente nuestra seguridad internamente, SparkPost utiliza un tercero para realizar pruebas internas y externas de vulnerabilidad y penetración para validar el perímetro y la postura defensiva interna de forma regular.
Medidas para la identificación y autorización de usuarios: Los empleados de SparkPost deben utilizar credenciales de acceso de usuario únicas y contraseñas para la autorización. SparkPost utiliza los principios de acceso de menor privilegio al aprovisionar el acceso al sistema, lo que tiene en cuenta la función laboral de cada empleado, el rol y las responsabilidades al determinar el nivel y duración apropiados de acceso. El acceso requiere aprobación antes del aprovisionamiento y el acceso se elimina rápidamente al cambiar de rol o terminar.
Medidas para la protección de los datos durante la transmisión: Los Datos de Cliente están cifrados cuando están en tránsito entre el Cliente y los Servicios de SparkPost utilizando HTTPS. Los Datos de Cliente están cifrados cuando están en tránsito entre SparkPost y el destinatario utilizando TLS oportunista. Medidas para la protección de datos durante el almacenamiento: Los Datos de Cliente se almacenan cifrados utilizando el Estándar de Cifrado Avanzado.
Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales: Las oficinas y espacios centrales de SparkPost tienen (i) monitoreo y vigilancia de seguridad física; (ii) controles de entrada para limitar el acceso físico; y (iii) registros de visitantes. Todos los contratistas y visitantes deben registrar su entrada y salida en las oficinas. Los Servicios operan en AWS y están protegidos por los controles físicos, técnicos, organizacionales y administrativos de Amazon. Información detallada sobre la seguridad de AWS está disponible en https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, y https://aws.amazon.com/compliance/iso-27001-faqs/. Para los informes SOC de AWS, consulte https://aws.amazon.com/compliance/soc-faqs/.
Medidas para garantizar el registro de eventos: Las actividades de registro de la infraestructura de producción de SparkPost se recopilan centralmente y están aseguradas en un esfuerzo por evitar alteraciones y son monitoreadas para detectar anomalías por un equipo de seguridad capacitado.
Medidas para garantizar la configuración de los sistemas, incluida la configuración predeterminada: SparkPost evalúa los cambios en su plataforma, aplicaciones e infraestructura de producción de manera que minimice el riesgo y esos cambios se implementan solo de acuerdo con la Política de Seguridad. SparkPost realiza numerosas actividades relacionadas con la seguridad para los Servicios en diferentes fases del ciclo de vida de creación de productos desde la creación de documentación de requisitos y diseño de productos hasta la fase de puesta en marcha. Estas actividades incluyen la realización de (i) revisiones de seguridad internas antes de que se desplieguen nuevos Servicios; (ii) pruebas de penetración anuales por terceros independientes; y (iii) análisis de amenazas para nuevos Servicios para detectar cualquier amenaza de seguridad potencial y vulnerabilidades. SparkPost se adhiere a un proceso de gestión de cambios para administrar cambios al entorno de producción de los Servicios, incluidos cambios en su software, aplicaciones y sistemas subyacentes. La monitorización está en su lugar para notificar al equipo de seguridad sobre los cambios realizados en la infraestructura crítica y los servicios que no adhiere a los procesos de gestión de cambios.
Medidas para la gobernanza y gestión de TI y seguridad de TI interna: SparkPost mantiene un programa de seguridad basado en evaluaciones de riesgos, que incluye salvaguardas administrativas, organizativas, técnicas y físicas razonablemente diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos de Cliente. El programa de seguridad de SparkPost fue diseñado teniendo en cuenta la naturaleza de los Servicios y el tamaño y complejidad del negocio de SparkPost. SparkPost tiene un equipo de seguridad dedicado que gestiona el programa de seguridad de la información de SparkPost y facilita y apoya auditorías y evaluaciones independientes realizadas por terceros. El marco de seguridad de SparkPost se basa en la certificación SOC2 Type II e incluye los siguientes criterios de servicios de confianza: Seguridad, Disponibilidad, Confidencialidad y Privacidad. La seguridad se gestiona en los niveles más altos de la empresa, con el VP de Cumplimiento y Seguridad de TI reuniéndose regularmente con la gerencia ejecutiva para discutir problemas y coordinar iniciativas de seguridad e IT en toda la empresa. Las políticas y estándares de seguridad de la información son revisados y aprobados por la gerencia al menos anualmente y están a disposición de todos los empleados relevantes de SparkPost para su consulta.
Medidas para certificaciones/garantía de procesos y productos: SparkPost realiza diversas auditorías de terceros para atestiguar varios marcos, incluida la SOC 2 Type II y pruebas regulares de vulnerabilidad y penetración de aplicaciones. Medidas para garantizar la minimización de datos: SparkPost no almacena el cuerpo del mensaje de un Correo Electrónico después de que ya ha sido entregado al Destinatario o ha sido rechazado por el proveedor de buzón, lo que típicamente ocurre en segundos. En el caso de un rechazo o rebote, SparkPost retendrá el cuerpo del mensaje por un período limitado de tiempo para permitir que se reintente la transmisión del Correo Electrónico. Si la transmisión sigue siendo infructuosa, el cuerpo del mensaje se elimina permanentemente. SparkPost solo almacena los Datos Personales del Destinatario en su forma original por un período limitado después de la transmisión de un Correo Electrónico a un Destinatario. Después del período inicial de retención, los Datos Personales se seudonimizan a través de un hash unidireccional y solo se almacenan en su forma seudonimizada. Para obtener más información sobre este proceso, consulte nuestras preguntas frecuentes sobre datos disponibles en: https://www.sparkpost.com/policies/data-faq/. Además, SparkPost ha incorporado en los Servicios una funcionalidad de autoservicio que permite a los Clientes eliminar ciertos Datos de Cliente, como direcciones de correo electrónico del Destinatario y eventos de mensaje asociados, a demanda. La documentación para dicha funcionalidad está disponible en: https://developers.sparkpost.com/api/data-privacy/.
Medidas para garantizar la responsabilidad: SparkPost ha adoptado medidas para garantizar la responsabilidad, incluyendo la realización de auditorías regulares de terceros para garantizar el cumplimiento de nuestros estándares de privacidad y seguridad. SparkPost también implementa políticas de protección de datos de acuerdo con la ley aplicable y publica un resumen de la Política de Seguridad (enlazado arriba). SparkPost ha designado un Oficial de Protección de Datos y mantiene documentación de sus actividades de procesamiento, incluida la grabación y reporte de Incidentes de Seguridad que involucren Datos Personales cuando corresponda.
Medidas para permitir la portabilidad de datos y garantizar el borrado: Los clientes tienen relaciones directas con sus Destinatarios y son responsables de responder a las solicitudes de sus usuarios finales que deseen ejercer sus derechos en virtud de las Leyes de Protección de Datos. SparkPost ha incorporado en los Servicios una funcionalidad de autoservicio que permite a los Clientes eliminar ciertos Datos de Cliente, como direcciones de correo electrónico del Destinatario y eventos de mensaje asociados a demanda, cuya documentación para dicha funcionalidad está disponible en: https://developers.sparkpost.com/api/data-privacy/. Además, SparkPost ha incorporado en los Servicios una funcionalidad de autoservicio para suprimir futuros Correos Electrónicos a Destinatarios (es decir, darse de baja), cuya documentación para dicha funcionalidad está disponible en https://developers.sparkpost.com/api/suppression-list/. En la medida en que el Cliente no pueda acceder independientemente a los Datos de Cliente relevantes dentro del Servicio, SparkPost proporcionará cooperación razonable para ayudar al Cliente a responder a tiempo a cualquier Solicitud de Titular de Datos relacionada con el procesamiento de Datos Personales según el Acuerdo dentro de cualquier plazo impuesto por las Leyes de Protección de Datos. En el caso de que se realice dicha solicitud directamente a SparkPost, SparkPost aconsejará al Titular de Datos que envíe su solicitud al Cliente, y el Cliente será responsable de responder a cualquier solicitud de este tipo.
Para transferencias a [sub]-procesadores, también describa las medidas técnicas y organizativas específicas que deberá tomar el [sub]-procesador para poder brindar asistencia al controlador y, para transferencias de un procesador a un [sub]-procesador, al exportador de datos: Cuando SparkPost involucra a un sub-procesador bajo este DPA, SparkPost y el sub-procesador entran en un acuerdo con términos de protección de datos sustancialmente similares a los aquí contenidos.
V2.0 2 de noviembre de 2021
