Acuerdo de procesamiento de datos

Términos clave

Término	Valor
Acuerdo	Este DPA complementa el Terms of Service
Subprocesadores aprobados	Cloudflare (EE. UU.; proveedor de DNS, redes y seguridad), DataPacket (EE. UU./Reino Unido; proveedor de alojamiento), Digital Ocean (EE. UU.; proveedor de alojamiento), Vultr (EE. UU.; proveedor de alojamiento), Stripe (EE. UU.; procesador de pagos), PayPal (EE. UU.; procesador de pagos)
Contacto de seguridad del proveedor	security@forwardemail.net
Política de seguridad	Ver our Security Policy on GitHub
Estado gobernante	El estado de Delaware, Estados Unidos

Cambios en el Acuerdo

Este documento es un derivado de Términos estándar de la DPA en papel común (versión 1.0) y se han realizado los siguientes cambios:

1. Ley aplicable y tribunales elegidos se ha incluido como una sección a continuación, junto con Governing State, identificado anteriormente.
2. Relación con el proveedor de servicios se ha incluido como una sección a continuación.

1. Relaciones entre procesador y subprocesador

1. Proveedor como procesador

En situaciones en las que el Cliente sea el Controlador de los Datos Personales del Cliente, el Proveedor será considerado un Procesador que Procesa los Datos Personales en nombre del Cliente.

2. Proveedor como subprocesador

En situaciones en las que el Cliente sea un Procesador de los Datos Personales del Cliente, el Proveedor será considerado un Subprocesador de los Datos Personales del Cliente.

2. Procesando

1. Detalles del procesamiento

El Anexo I(B) de la Portada describe el objeto, la naturaleza, el propósito y la duración de este Procesamiento, así como las Categorías de Datos Personales recopilados y las Categorías de Titulares de Datos.

2. Instrucciones de procesamiento

El Cliente ordena al Proveedor que procese sus Datos Personales: (a) para prestar y mantener el Servicio; (b) según se especifique mediante el uso del Servicio por parte del Cliente; (c) según lo documentado en el Acuerdo; y (d) según lo documentado en cualquier otra instrucción escrita dada por el Cliente y reconocida por el Proveedor sobre el Procesamiento de los Datos Personales del Cliente en virtud de este DPA. El Proveedor cumplirá estas instrucciones a menos que la Ley Aplicable se lo prohíba. El Proveedor informará inmediatamente al Cliente si no puede seguir las instrucciones de Procesamiento. El Cliente ha dado y solo dará instrucciones que cumplan con la Ley Aplicable.

3. Procesamiento por parte del proveedor

El Proveedor solo procesará los Datos Personales del Cliente de acuerdo con este DPA, incluyendo la información detallada en la Portada. Si el Proveedor actualiza el Servicio para actualizar productos, características o funcionalidades existentes o para incluir nuevos, podrá cambiar las Categorías de Interesados, las Categorías de Datos Personales, los Datos de Categoría Especial, las Restricciones o Garantías de los Datos de Categoría Especial, la Frecuencia de Transferencia, la Naturaleza y Finalidad del Procesamiento y la Duración del Procesamiento, según sea necesario para reflejar las actualizaciones, notificándoselas al Cliente.

4. Procesamiento del cliente

Cuando el Cliente sea el Encargado del Tratamiento y el Proveedor sea el Subencargado del Tratamiento, el Cliente cumplirá con todas las Leyes Aplicables que rijan su Tratamiento de Datos Personales. El acuerdo entre el Cliente y su Responsable del Tratamiento también le exigirá que cumpla con todas las Leyes Aplicables que le sean aplicables como Encargado del Tratamiento. Además, el Cliente cumplirá con los requisitos para Subencargados del Tratamiento establecidos en el acuerdo entre el Cliente y su Responsable del Tratamiento.

5. Consentimiento para el procesamiento

El Cliente ha cumplido y continuará cumpliendo con todas las Leyes de Protección de Datos Aplicables en relación con el suministro de Datos Personales del Cliente al Proveedor y/o el Servicio, lo que incluye realizar todas las divulgaciones, obtener todos los consentimientos, brindar opciones adecuadas e implementar las salvaguardas pertinentes requeridas por las Leyes de Protección de Datos Aplicables.

6. Subprocesadores

a. El Proveedor no proporcionará, transferirá ni entregará ningún Dato Personal del Cliente a un Subencargado del Tratamiento a menos que el Cliente lo haya aprobado. La lista actual de Subencargados del Tratamiento Aprobados incluye la identidad de los Subencargados, su país de ubicación y las tareas de Tratamiento previstas. El Proveedor informará al Cliente por escrito, con al menos 10 días hábiles de antelación, sobre cualquier cambio previsto en los Subencargados del Tratamiento Aprobados, ya sea mediante la incorporación o sustitución de un Subencargado, lo que permitirá al Cliente tener tiempo suficiente para oponerse a los cambios antes de que el Proveedor comience a utilizar el/los nuevo(s) Subencargado(s). El Proveedor proporcionará al Cliente la información necesaria para que pueda ejercer su derecho a oponerse al cambio en los Subencargados del Tratamiento Aprobados. El Cliente tiene 30 días a partir de la notificación de un cambio a los Subprocesadores Aprobados para oponerse; de lo contrario, se considerará que acepta los cambios. Si el Cliente se opone al cambio dentro de los 30 días posteriores a la notificación, el Cliente y el Proveedor cooperarán de buena fe para resolver la objeción o inquietud del Cliente.

b. Al contratar a un subencargado del tratamiento, el Proveedor deberá suscribir un acuerdo escrito con él que garantice que este solo acceda y utilice los Datos Personales del Cliente (i) en la medida necesaria para cumplir con las obligaciones que le fueron subcontratadas y (ii) de conformidad con los términos del Acuerdo.

c. Si el RGPD se aplica al Tratamiento de Datos Personales del Cliente, (i) las obligaciones de protección de datos descritas en este DPA (como se menciona en el Artículo 28(3) del RGPD, si corresponde) también se imponen al Subencargado del Tratamiento, y (ii) el acuerdo del Proveedor con el Subencargado del Tratamiento incorporará estas obligaciones, incluyendo detalles sobre cómo el Proveedor y su Subencargado del Tratamiento se coordinarán para responder a las consultas o solicitudes sobre el Tratamiento de Datos Personales del Cliente. Además, el Proveedor compartirá, a petición del Cliente, una copia de sus acuerdos (incluidas las modificaciones) con sus Subencargados del Tratamiento. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el Proveedor podrá redactar el texto de su acuerdo con su Subencargado del Tratamiento antes de compartir una copia.

d. El Proveedor es plenamente responsable de todas las obligaciones subcontratadas a sus Subencargados del Tratamiento, incluyendo las acciones y omisiones de estos en el Tratamiento de los Datos Personales del Cliente. El Proveedor notificará al Cliente cualquier incumplimiento por parte de sus Subencargados del Tratamiento de una obligación sustancial sobre los Datos Personales del Cliente en virtud del acuerdo entre el Proveedor y el Subencargado del Tratamiento.

3. Transferencias restringidas

1. Autorización

El Cliente acepta que el Proveedor pueda transferir sus Datos Personales fuera del EEE, el Reino Unido u otro territorio geográfico relevante, según sea necesario para la prestación del Servicio. Si el Proveedor transfiere sus Datos Personales a un territorio para el cual la Comisión Europea u otra autoridad supervisora pertinente no ha emitido una decisión de adecuación, implementará las medidas de seguridad adecuadas para la transferencia de sus Datos Personales a dicho territorio, de conformidad con la Ley de Protección de Datos Aplicable.

2. Transferencias fuera del EEE

El Cliente y el Proveedor acuerdan que, si el RGPD protege la transferencia de Datos Personales del Cliente, esta se realiza desde el Cliente dentro del EEE al Proveedor fuera del EEE y no se rige por una decisión de adecuación de la Comisión Europea, al suscribir este APD, se considera que el Cliente y el Proveedor han firmado las Condiciones Generales de Contratación del EEE y sus Anexos, que se incorporan por referencia. Dicha transferencia se realiza de conformidad con las Condiciones Generales de Contratación del EEE, que se completan de la siguiente manera:

a. El Módulo Dos (Del Responsable al Encargado) de las Condiciones Generales de Contratación del EEE se aplica cuando el Cliente es el Responsable y el Proveedor procesa sus Datos Personales como Encargado.

b. El Módulo Tres (De Encargado del Tratamiento a Subencargado del Tratamiento) de las Condiciones Generales de Contratación del EEE se aplica cuando el Cliente es el Encargado del Tratamiento y el Proveedor procesa los Datos Personales del Cliente en nombre del Cliente como Subencargado del Tratamiento.

c. Para cada módulo, se aplica lo siguiente (cuando corresponda):

1. La cláusula de atraque opcional de la cláusula 7 no se aplica;

2. En la Cláusula 9, se aplica la Opción 2 (autorización general por escrito) y el período mínimo para la notificación previa de cambios del Subprocesador es de 10 días hábiles;

3. En la cláusula 11, el lenguaje opcional no se aplica;

4. Se eliminan todos los corchetes de la cláusula 13;

5. En la Cláusula 17 (Opción 1), las CCE del EEE se regirán por las leyes del Estado miembro de gobierno;

6. En la cláusula 18(b), las disputas se resolverán en los tribunales del Estado miembro rector; y

7. La portada de este DPA contiene la información requerida en los Anexos I, II y III de las CCT del EEE.

3. Transferencias fuera del Reino Unido

El Cliente y el Proveedor acuerdan que, si el RGPD del Reino Unido protege la transferencia de Datos Personales del Cliente, esta se realiza desde el Cliente desde el Reino Unido al Proveedor fuera del Reino Unido y no se rige por una decisión de adecuación del Secretario de Estado del Reino Unido, al suscribir este Acuerdo de Protección de Datos (APD), se considera que el Cliente y el Proveedor han firmado el Anexo del Reino Unido y sus Anexos, que se incorporan por referencia. Dicha transferencia se realiza de conformidad con el Anexo del Reino Unido, que se completa de la siguiente manera:

a. La Sección 3.2 de este DPA contiene la información requerida en la Tabla 2 del Anexo del Reino Unido.

b. La Tabla 4 del Anexo del Reino Unido se modifica de la siguiente manera: Ninguna de las partes podrá rescindir el Anexo del Reino Unido según lo establecido en la Sección 19 del Anexo del Reino Unido; en la medida en que la ICO emita un Anexo Aprobado revisado según la Sección 18 del Anexo del Reino Unido, las partes trabajarán de buena fe para revisar este DPA en consecuencia.

c. La portada contiene la información requerida por los Anexos 1A, 1B, II y III del Anexo del Reino Unido.

4. Otras transferencias internacionales

Para las transferencias de datos personales en las que se aplica la ley suiza (y no la ley de ningún estado miembro del EEE o del Reino Unido) a la naturaleza internacional de la transferencia, las referencias al RGPD en la Cláusula 4 de las SCC del EEE se modifican, en la medida legalmente requerida, para hacer referencia a la Ley Federal de Protección de Datos de Suiza o su sucesora, y el concepto de autoridad supervisora incluirá al Comisionado Federal de Protección de Datos e Información de Suiza.

4. Respuesta a incidentes de seguridad

1. Al tener conocimiento de cualquier Incidente de Seguridad, el Proveedor deberá: (a) notificar al Cliente sin demora indebida, siempre que sea posible, pero a más tardar 72 horas después de tener conocimiento del Incidente de Seguridad; (b) proporcionar información oportuna sobre el Incidente de Seguridad tan pronto como se conozca o cuando el Cliente lo solicite razonablemente; y (c) tomar con prontitud las medidas razonables para contener e investigar el Incidente de Seguridad. La notificación o respuesta del Proveedor a un Incidente de Seguridad, según lo exige este DPA, no se interpretará como un reconocimiento por parte del Proveedor de cualquier culpa o responsabilidad por el Incidente de Seguridad.

5. Auditoría e informes

1. Derechos de auditoría

El Proveedor proporcionará al Cliente toda la información razonablemente necesaria para demostrar su cumplimiento con este DPA y permitirá y contribuirá a las auditorías, incluidas las inspecciones realizadas por el Cliente, para evaluar dicho cumplimiento. Sin embargo, el Proveedor podrá restringir el acceso a los datos o la información si dicho acceso afectara negativamente sus derechos de propiedad intelectual, sus obligaciones de confidencialidad u otras obligaciones en virtud de la Legislación Aplicable. El Cliente reconoce y acepta que solo ejercerá sus derechos de auditoría en virtud de este DPA y cualquier derecho de auditoría otorgado por la Legislación Aplicable de Protección de Datos, instruyendo al Proveedor para que cumpla con los requisitos de presentación de informes y diligencia debida que se indican a continuación. El Proveedor mantendrá registros de su cumplimiento con este DPA durante 3 años tras su finalización.

2. Informes de seguridad

El Cliente reconoce que el Proveedor es auditado periódicamente por auditores externos independientes según los estándares definidos en la Política de Seguridad. Previa solicitud por escrito, el Proveedor entregará al Cliente, de forma confidencial, una copia resumida de su Informe vigente para que este pueda verificar el cumplimiento del Proveedor con los estándares definidos en la Política de Seguridad.

3. Debida diligencia de seguridad

Además del Informe, el Proveedor responderá a las solicitudes de información razonables del Cliente para confirmar su cumplimiento con este DPA, incluyendo respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría, o proporcionando información adicional sobre su programa de seguridad de la información. Todas estas solicitudes deben presentarse por escrito al Contacto de Seguridad del Proveedor y solo pueden realizarse una vez al año.

6. Coordinación y cooperación

1. Respuesta a consultas

Si el Proveedor recibe alguna consulta o solicitud de cualquier otra persona sobre el Tratamiento de Datos Personales del Cliente, notificará al Cliente sobre la solicitud y no responderá a ella sin su consentimiento previo. Ejemplos de este tipo de consultas y solicitudes incluyen una orden judicial, administrativa o de un organismo regulador sobre Datos Personales del Cliente, cuando la notificación al Cliente no esté prohibida por la Ley Aplicable, o una solicitud de un titular de los datos. Si la Ley Aplicable lo permite, el Proveedor seguirá las instrucciones razonables del Cliente sobre estas solicitudes, incluyendo proporcionar actualizaciones de estado y otra información que el Cliente solicite razonablemente. Si un titular de datos realiza una solicitud válida bajo las Leyes de Protección de Datos Aplicables para eliminar o excluirse de la entrega de Datos Personales del Cliente al Proveedor, el Proveedor ayudará al Cliente a cumplir con la solicitud de acuerdo con la Ley de Protección de Datos Aplicable. El Proveedor cooperará con el Cliente y le brindará asistencia razonable, a expensas del Cliente, en cualquier respuesta legal u otra acción procesal tomada por el Cliente en respuesta a una solicitud de un tercero sobre el Procesamiento de Datos Personales del Cliente por parte del Proveedor bajo este DPA.

2. DPIA y DTIA

Si lo exigen las leyes de protección de datos aplicables, el Proveedor ayudará razonablemente al Cliente a realizar cualquier evaluación de impacto de protección de datos obligatoria o evaluaciones de impacto de transferencia de datos y consultas con las autoridades de protección de datos pertinentes, teniendo en cuenta la naturaleza del procesamiento y los datos personales del cliente.

7. Eliminación de datos personales del cliente

1. Eliminación por parte del cliente

El Proveedor permitirá al Cliente eliminar sus Datos Personales de forma compatible con la funcionalidad de los Servicios. El Proveedor cumplirá con esta instrucción tan pronto como sea razonablemente posible, excepto cuando la legislación aplicable exija un mayor almacenamiento de los Datos Personales del Cliente.

2. Eliminación al vencimiento del DPA

a. Tras la expiración del DPA, el Proveedor devolverá o eliminará los Datos Personales del Cliente según sus instrucciones, a menos que la Legislación Aplicable exija o autorice su almacenamiento. Si la devolución o destrucción resulta impracticable o está prohibida por la Legislación Aplicable, el Proveedor hará todos los esfuerzos razonables para evitar el Tratamiento adicional de los Datos Personales del Cliente y continuará protegiendo los Datos Personales del Cliente que permanezcan en su posesión, custodia o control. Por ejemplo, la Legislación Aplicable puede exigir al Proveedor que continúe alojando o Tratamiento de los Datos Personales del Cliente.

b. Si el Cliente y el Proveedor han suscrito las Condiciones Generales de Contratación del EEE o el Anexo del Reino Unido como parte de este Acuerdo de Protección de Datos (APD), el Proveedor solo entregará al Cliente la certificación de eliminación de Datos Personales descrita en las Cláusulas 8.1(d) y 8.5 de las Condiciones Generales de Contratación del EEE si el Cliente la solicita.

8. Limitación de responsabilidad

1. Límites de responsabilidad y exención de daños

En la medida máxima permitida por las Leyes de Protección de Datos Aplicables, la responsabilidad acumulada total de cada parte hacia la otra parte que surja de o esté relacionada con este DPA estará sujeta a las exenciones, exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

2. Reclamaciones de partes relacionadas

Cualquier reclamo realizado contra el Proveedor o sus Afiliados que surja de o esté relacionado con este DPA solo puede ser presentado por la entidad Cliente que sea parte del Acuerdo.

3. Excepciones

1. El presente DPA no limita la responsabilidad de ninguna persona respecto de sus derechos de protección de datos conforme a la legislación aplicable en materia de protección de datos. Asimismo, el presente DPA no limita la responsabilidad entre las partes por infracciones de las Cláusulas Contractuales del EEE ni del Anexo del Reino Unido.

9. Conflictos entre documentos

1. El presente DPA forma parte del Acuerdo y lo complementa. En caso de inconsistencia entre el presente DPA, el Acuerdo o cualquiera de sus partes, la parte mencionada anteriormente prevalecerá sobre la parte mencionada posteriormente para dicha inconsistencia: (1) las Cláusulas Contractuales del EEE o el Anexo del Reino Unido, (2) el presente DPA y, finalmente, (3) el Acuerdo.

10. Plazo del acuerdo

Este DPA comenzará cuando el Proveedor y el Cliente acuerden una Portada del DPA y firmen o acepten electrónicamente el Acuerdo, y continuará hasta su vencimiento o rescisión. Sin embargo, tanto el Proveedor como el Cliente permanecerán sujetos a las obligaciones establecidas en este DPA y en la Ley de Protección de Datos Aplicable hasta que el Cliente deje de transferir sus Datos Personales al Proveedor y este deje de procesarlos.

11. Ley aplicable y tribunales elegidos

Sin perjuicio de la legislación aplicable o cláusulas similares del Acuerdo, todas las interpretaciones y controversias relativas a este DPA se regirán por las leyes del Estado aplicable, sin perjuicio de sus disposiciones sobre conflicto de leyes. Asimismo, y sin perjuicio de la elección de foro, jurisdicción o cláusulas similares del Acuerdo, las partes acuerdan interponer cualquier demanda, acción o procedimiento legal relacionado con este DPA en los tribunales del Estado aplicable, sometiéndose irrevocablemente a su jurisdicción exclusiva.

12. Relación con el proveedor de servicios

En la medida en que sea aplicable la Ley de Privacidad del Consumidor de California, Código Civil de California, § 1798.100 y siguientes ("CCPA"), las partes reconocen y acuerdan que el Proveedor es un proveedor de servicios y recibe Datos Personales del Cliente para prestar el Servicio según lo acordado en el Acuerdo, lo cual constituye un fin comercial. El Proveedor no venderá ningún Dato Personal proporcionado por el Cliente en virtud del Acuerdo. Además, el Proveedor no conservará, utilizará ni divulgará ningún Dato Personal proporcionado por el Cliente en virtud del Acuerdo, salvo que sea necesario para prestar el Servicio al Cliente, según lo establecido en el Acuerdo, o según lo permitan las Leyes de Protección de Datos Aplicables. El Proveedor certifica que comprende las restricciones de este párrafo.

13. Definiciones

1. "Leyes aplicables" significa las leyes, normas, reglamentos, órdenes judiciales y otros requisitos vinculantes de una autoridad gubernamental pertinente que se aplican o rigen a una parte.

2. "Leyes de protección de datos aplicables" significa las leyes aplicables que rigen cómo el Servicio puede procesar o utilizar la información personal, los datos personales, la información de identificación personal u otro término similar de un individuo.

3. "Controlador" tendrá el significado que se le da en las Leyes de Protección de Datos Aplicables para la empresa que determina el propósito y el alcance del Procesamiento de Datos Personales.

4. "Portada" significa un documento firmado o aceptado electrónicamente por las partes que incorpora estos Términos Estándar de DPA e identifica al Proveedor, al Cliente y el objeto y los detalles del procesamiento de datos.

5. "Datos personales del cliente" significa los datos personales que el Cliente carga o proporciona al Proveedor como parte del Servicio y que se rigen por este DPA.

6. "DPA" significa estos Términos Estándar del DPA, la Portada entre el Proveedor y el Cliente, y las políticas y documentos referenciados en la Portada o adjuntos a ella.

7. "Cláusulas contractuales estándar del EEE" significa las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo.

8. "Espacio Económico Europeo" o "EEE" significa los estados miembros de la Unión Europea, Noruega, Islandia y Liechtenstein.

9. "RGPD" significa el Reglamento de la Unión Europea 2016/679 según lo implementado por la legislación local en el país miembro del EEE correspondiente.

10. "Datos Personales" tendrá el significado que se le da en las Leyes de Protección de Datos Aplicables para información personal, datos personales u otro término similar.

11. "Procesamiento" o "Proceso" tendrán el significado que se les da en las Leyes de Protección de Datos Aplicables para cualquier uso o realización de una operación informática sobre Datos Personales, incluidos los métodos automáticos.

12. "Procesador" tendrá el significado que se le da en las Leyes de Protección de Datos Aplicables para la empresa que Procesa Datos Personales en nombre del Controlador.

13. "Informe" significa informes de auditoría preparados por otra empresa de acuerdo con los estándares definidos en la Política de Seguridad en nombre del Proveedor.

14. "Transferencia Restringida" significa (a) cuando se aplica el RGPD, una transferencia de datos personales desde el EEE a un país fuera del EEE que no esté sujeto a una determinación de adecuación por parte de la Comisión Europea; y (b) cuando se aplica el RGPD del Reino Unido, una transferencia de datos personales desde el Reino Unido a cualquier otro país que no esté sujeto a las regulaciones de adecuación adoptadas de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.

15. "Incidente de seguridad" significa una violación de datos personales según se define en el Artículo 4 del RGPD.

16. "Servicio" significa el producto y/o servicios descritos en el Acuerdo.

17. “Datos de categoría especial” tendrá el significado que se le da en el Artículo 9 del RGPD.

18. "Subprocesador" tendrá el significado que se le da en las Leyes de Protección de Datos Aplicables para una empresa que, con la aprobación y aceptación del Controlador, ayuda al Procesador a procesar Datos Personales en nombre del Controlador.

19. "RGPD del Reino Unido" significa el Reglamento de la Unión Europea 2016/679, tal como se implementa en el Reino Unido mediante la sección 3 de la Ley de Retirada de la Unión Europea de 2018.

20. "Anexo del Reino Unido" significa el anexo de transferencia internacional de datos a las Condiciones Generales de Contratación del EEE emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas según el Artículo 119A(1) de la Ley de Protección de Datos de 2018.

Créditos

Este documento es un derivado de Términos estándar de la DPA en papel común (versión 1.0) y está licenciado bajo CC BY 4.0.