DPA - Email marketing software - Mailjet

Acuerdo de Procesamiento de Datos

Mailjet

Revisado y actualizado por última vez el 29 de octubre de 2020. Haz clic aquí para ver la última versión.

El 29 de octubre de 2020 actualizamos el Acuerdo de Procesamiento de Datos (DPA) de la siguiente manera:

  • Hemos aclarado nuestras salvaguardias de protección de datos para asegurar que cualquier transferencia internacional se haga con una base legal válida.
  • Hemos actualizado nuestra lista de subcontratistas para alinearla con nuestro uso en toda nuestra empresa fusionada a raíz de la adquisición de Mailjet por Mailgun en octubre de 2019.
  • Hemos integrado las cláusulas contractuales estándar en nuestra DPA por defecto.
  • Hemos actualizado nuestras medidas de seguridad técnicas y organizativas para alinearlas con nuestras normas de seguridad en toda nuestra empresa fusionada.

 

***

La versión anterior (27 de diciembre de 2019) de nuestro Acuerdo de Procesamiento de Datos puede encontrarse aquí:

El presente Acuerdo de Procesamiento de Datos («DPA») refleja el acuerdo de las partes con respecto a las condiciones que rigen el Procesamiento de Datos Personales bajo las Condiciones de Uso de Mailjet (en adelante, el «Acuerdo»). El presente DPA entrará en vigor y sustituirá a cualquier acuerdo de Procesamiento de Datos previamente aplicable a partir de su última fecha de modificación.
En el curso de la prestación de los Servicios en virtud del Acuerdo, Mailjet podrá procesar determinados Datos Personales en nombre del Cliente y, en tales casos, las Partes acuerdan cumplir con los términos y condiciones del presente DPA.
A todos los efectos del presente documento, el Cliente es el controlador de sus Datos Personales y Mailjet es el procesador de dichos Datos, excepto cuando el Cliente actúe como procesador de los Datos Personales del Cliente, en cuyo caso Mailjet será un Subprocesador.
Mailjet podrá actualizar periódicamente el presente DPA. Si tiene una cuenta Mailjet activa, le informaremos de cualquier cambio importante.

1. Objeto y duración

(1) El Procesador y otras entidades de Procesamiento de Datos enumeradas en el Apartado 7 del presente Acuerdo prestan Servicios de TI para el controlador, como parte de la prestación de servicios de conformidad con el contrato de servicios entre las Partes. Los Servicios de TI se definen como «servicios de Procesamiento de Datos distribuidos» que no se caracterizan por una cooperación bilateral convencional entre el Procesador y el Controlador, sino que son generados por múltiples Procesadores con obligaciones de procesamiento alternativas.
(2) Dado que los Datos Personales serán procesados en nombre del Controlador y de conformidad con sus instrucciones al respecto, los servicios se encargarán del Procesamiento de Datos con arreglo al Reglamento Europeo 2016/679 (Reglamento General de Protección de Datos, «RGPD») y todas las Leyes de Protección de Datos aplicables.
(3) Los términos «Datos Personales», «Procesamiento», «Consentimiento», «Recopilación», «Tercero», «Controlador» y «Procesador» deben interpretarse de conformidad con las definiciones que figuran en el Artículo 4 del RGPD.

2. Detalles del Tratamiento

(1) El Procesamiento de los Datos del Controlador dentro del ámbito de aplicación del Acuerdo se llevará a cabo de conformidad con las siguientes disposiciones:

(a) Objeto: el objeto del Procesamiento de Datos Personales por parte del Procesador es la prestación de los Servicios al Controlador, que consiste en el Procesamiento de Datos Personales, tal y como se especifica en el Acuerdo.

(b) Tipos de Datos Personales: los Datos Personales enviados, cuyo alcance es determinado y controlado por el Controlador a su sola discreción, incluyen nombre, correo electrónico, números de teléfono, cargos en la compañía y otros Datos específicos introducidos por el Controlador en la plataforma del Procesador.

(c) Categorías de Interesados: el Controlador podrá enviar Datos Personales a la plataforma del Procesador, cuyo alcance es determinado y controlado por el Controlador a su sola discreción, y que podrá incluir, entre otros, los contactos del Controlador y otros usuarios finales, incluyendo los empleados, contratistas, colaboradores, clientes, clientes potenciales, proveedores y Subprocesadores del Controlador.

(d) Duración del Tratamiento: los Datos Personales serán Procesados durante el periodo de duración del Acuerdo, con sujeción al Apartado 9 del presente DPA.

3. Obligaciones del Controlador

(1) Dentro del ámbito de aplicación del Contrato y en su uso de los Servicios, el Controlador es responsable de su propio cumplimiento de los requisitos relacionados con las disposiciones de protección de Datos y privacidad.
(2) El Controlador garantiza que:

(a) el Procesamiento de los Datos Personales del Controlador se basa en fundamentos jurídicos, tal y como lo exigen las Leyes de Protección de Datos de la UE, con respecto a los Servicios de Mailjet en virtud del presente DPA y el Acuerdo; y

(b) el Controlador informará a sus Interesados sobre la utilización de Procesadores en el Procesamiento de sus Datos Personales, en la medida en que lo exija la Ley de Protección de Datos aplicable.

(3) El Controlador se asegurará del cumplimiento de las medidas de seguridad implementadas por el Procesador y garantizará un nivel de seguridad adaptado al riesgo.
(4) El Controlador responderá en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los Interesados en relación con el Procesamiento de sus Datos Personales por parte del Controlador, y dará las instrucciones apropiadas al Procesador de manera oportuna.
(5) El Controlador responderá en un plazo razonable a las consultas de las Autoridades de Protección de Datos sobre el Procesamiento de los Datos Personales pertinentes por parte del Controlador de Datos.

4. Obligaciones del Procesador

(1) Cumplimiento de las instrucciones

(a) El Procesador recopilará, procesará y utilizará los Datos Personales únicamente con el fin de cumplir sus obligaciones en virtud del Acuerdo y dentro del ámbito de aplicación de las Instrucciones del Controlador. Si el Procesador considera que una Instrucción del Controlador infringe la Ley de Protección de Datos, deberá informar inmediatamente al Controlador sin demora.

(b) Estas instrucciones del Cliente serán documentadas en el pedido aplicable, en la descripción de los servicios, en el ticket de soporte, en otras comunicaciones por escrito o según lo indique el Cliente que utilice los Servicios (por ejemplo, a través de una API o un portal de servicios).

(c) Si el Procesador no puede procesar los Datos Personales de conformidad con las Instrucciones debido a un requisito legal en virtud de cualquier Ley de Protección de Datos aplicable, el Procesador notificará inmediatamente al Controlador de dicho requisito legal antes del Procesamiento correspondiente en la medida permitida por la Ley de Protección de Datos; y cesará cualquier Procesamiento hasta el momento en que el Controlador emita nuevas instrucciones con las que el Procesador sea capaz de cumplir.

(2) Seguridad

(a) Los procedimientos operativos internos del Procesador deberán cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

(b) El Procesador garantiza y se compromete a emplear y documentar medidas de seguridad técnicas y organizativas razonables y apropiadas para el Procesamiento de Datos.

(c) Los Datos Personales procesados para diferentes Controladores deberán ser procesados por el Procesador por separado. El Procesador se compromete a implementar las siguientes medidas de seguridad para asegurar un tratamiento separado. Estas medidas son, entre otras:
– la anonimización y encriptación de los Datos Personales;
– los medios para garantizar la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios de Procesamiento;
– los medios para restablecer la disponibilidad de los Datos Personales y el acceso a los mismos en los plazos apropiados en caso de que se produzca un incidente físico o técnico de seguridad;
– un procedimiento para probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas que garanticen la seguridad de la operación de Procesamiento.
Estamos comprometidos con la seguridad de nuestro sitio. Puede consultar nuestro certificado aquí.

(d) Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, está permitido que el Procesador implemente medidas alternativas adecuadas. Al hacerlo, el nivel de seguridad de las medidas definidas no debe reducirse.

(3) Confidencialidad

(a) El Procesador garantiza y se compromete a que todos los empleados involucrados en el Procesamiento de Datos estén en posesión de las calificaciones profesionales requeridas y hayan recibido formación sobre los requisitos pertinentes de seguridad y Protección de Datos.

(b) El Procesador garantiza que dichos empleados están sujetos a obligaciones de confidencialidad con respecto a los Datos Personales proporcionados por el Controlador.

(c) En la medida en que el Procesador esté obligado por ley a proporcionar a Terceros información sobre los Datos del cliente, el Procesador informará al Controlador por escrito sobre el destinatario, la hora y el contenido de la información a proporcionar y su base legal en un plazo razonable antes de proporcionar dicha información.

(4) Violaciones de Datos Personales

(a) El Procesador notificará al Controlador sin demora cualquier violación de los Datos Personales, incluyendo cualquier Procesamiento no autorizado o ilegal de Datos Personales, así como cualquier pérdida accidental, alteración, mal uso, revelación o destrucción de, o daño a, los Datos Personales cometido por sus empleados, Subprocesadores u otros Terceros que afecten a los Datos Personales proporcionados por el Controlador.

(b) Habida cuenta de la naturaleza del Procesamiento y la información disponible, el Procesador hará todos los esfuerzos comercialmente razonables para proporcionar al Cliente la información sobre el incidente de seguridad de los Datos Personales. Incluirá detalles sobre el momento y la naturaleza del incidente, el sistema informático en cuestión, las personas afectadas, el momento del descubrimiento, cualesquiera consecuencias adversas imaginables relativas al incidente de seguridad de los Datos y las medidas adoptadas por el Procesador como consecuencia del mismo.

(5) Devolución o eliminación de Datos Personales

(a) Tras la rescisión del Acuerdo, el Procesador devolverá o eliminará cualesquiera Datos Personales (incluidas las copias de los mismos) procesados de conformidad con el presente DPA. Esta disposición no afectará las posibles obligaciones legales de las Partes de conservar los registros durante los periodos de retención establecidos por ley, estatuto o contrato.

(a) El Procesador estará obligado, a petición del Controlador, a entregar los Datos del Controlador en una forma que pueda ser leída y procesada posteriormente.

(a) Cualquier coste adicional que surja en relación con la devolución o eliminación de Datos Personales tras la rescisión o expiración del Acuerdo será asumido por el Controlador.

(6) Asistencia al Controlador

(a) En la medida en que la información requerida esté disponible para el Procesador y, de lo contrario, cuando el Controlador no tenga acceso a la información requerida, el Procesador proporcionará asistencia razonable al Controlador con cualquier Evaluación de Impacto de la Protección de Datos, así como con consultas previas con las autoridades de supervisión u otras autoridades competentes en materia de privacidad de Datos.

(b) El Procesador contará en todo momento con un agente que será responsable de asistir al Controlador (i) para responder a las consultas relativas al Procesamiento de Datos encomendado enviadas por los Interesados; y, (ii) para completar cualesquiera requisitos legales de información y divulgación que se apliquen al Controlador y que estén relacionados con el Procesamiento de Datos encomendado. Se puede contactar directamente con el Responsable de Protección de Datos en la siguiente dirección privacy@mailjet.com. El Procesador se asegurará de que esta información esté actualizada en todo momento.

5. Solicitudes de los Interesados

(1) El Procesador prestará asistencia razonable al Controlador, mediante las medidas técnicas y organizativas adecuadas, para el cumplimiento de la obligación del Controlador de responder a las solicitudes de ejercicio de los derechos de los Interesados.
(2) Mailjet proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes enviadas por los Interesados. Estas incluyen nuestras API e interfaces de búsqueda de Datos de incidentes, de supresiones y de recuperación del contenido de los mensajes.
(3) En el caso de que un Interesado se ponga en contacto directamente con el Controlador para ejercer sus derechos de conformidad con las Leyes de Protección de Datos, el Procesador lo notificará al Cliente en un plazo de 7 días a partir de la recepción de la solicitud. Mailjet asistirá al Cliente, por cuenta de este, mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de dichos derechos de los Interesados.

6. Transferencias de datos

(1) El Controlador reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Acuerdo, el Procesador podrá transferir Datos Personales en el ámbito de sus grupos de empresa. Estas transferencias son necesarias para proporcionar los Servicios de forma global, tal y como se establece en las Condiciones de Uso de Mailjet, y se justifican a efectos de administración interna.
(2) Para las transferencias de Datos Personales en virtud del presente DPA desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios mencionados anteriormente, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos con el fin de aplicar las salvaguardias adecuadas, se tomarán las siguientes medidas de salvaguardia: (i) Marco del Escudo de Privacidad (Privacy Shield) UE-EE.UU. administrado por el Departamento de Comercio de EE.UU.; y/o (ii) Cláusulas Contractuales Tipo según la Decisión 2010/87/EU de la Comisión Europea.

7. Subprocesamiento

(1) A efectos del presente DPA, se entenderá por subcontratación los servicios directamente relacionados con la ejecución del Acuerdo. Esto no incluye los siguientes servicios complementarios: servicios de telecomunicaciones, servicios postales o de transporte, mantenimiento y herramientas de apoyo al usuario. Sin embargo, el Procesador estará obligado a tomar las disposiciones contractuales apropiadas y legalmente vinculantes y a tomar las medidas de inspección apropiadas para garantizar la protección y seguridad de los Datos del Cliente, incluso en el caso de servicios complementarios subcontratados.
(2) La lista de empresas que prestan servicios fundamentales e importantes que se relacionan directamente con la prestación del Acuerdo se detalla en la lista actualizada de Subprocesadores del Anexo 1 disponible aquí. El Controlador acepta expresamente su asignación.
(3) Se permiten cambios en la lista de Subprocesadores cuando el Procesador notifica al Controlador la contratación de otros Subprocesadores y si el Controlador no ha objetado por motivos razonables la contratación externa prevista por escrito (incluso por correo electrónico) en un plazo de 30 días. El Procesador no nombrará a tal Subprocesador propuesto hasta que se hayan tomado medidas razonables para resolver las objeciones planteadas por el Cliente y se le haya proporcionado al Cliente una explicación razonable por escrito de las medidas tomadas. Si el Procesador y el Controlador no pueden resolver dicha objeción, cualquiera de las partes podrá rescindir el Acuerdo mediante notificación por escrito a la otra parte.
(4) El Procesador se asegura de que el Procesamiento del Subprocesador se lleve a cabo en virtud de acuerdos escritos que impongan al Subprocesador como mínimo las mismas obligaciones impuestas al Procesador en virtud del presente Acuerdo. El Procesador controlará periódicamente el cumplimiento del Subprocesador.

8. Auditoría

(1) Previa solicitud razonable por escrito del Controlador, el Procesador pondrá a disposición la información que sea razonablemente necesaria para demostrar el cumplimiento del Cliente con el presente APD.
(2) El Controlador, o un auditor tercero autorizado, previa solicitud por escrito y con al menos 30 días de preaviso al Procesador, durante las horas hábiles normales y sin interrumpir las operaciones comerciales del Procesador, podrá llevar a cabo una inspección de las operaciones comerciales del Procesador en la medida en que sea necesario de conformidad con las Leyes de Protección de Datos. El Controlador garantizará la más estricta confidencialidad.
(3) El Cliente será responsable de cualesquiera costes y gastos del Procesador derivados del suministro de dicha información y de los derechos de auditoría.

9. Rescisión del contrato

(1) El presente DPA será rescindido simultánea y automáticamente con la rescisión del Acuerdo.
(2) El Controlador puede rescindir la relación contractual sin previo aviso si el Procesador viola sustancialmente el presente DPA o las disposiciones de las Leyes de Protección de Datos.

10. Disposiciones finales

(1) En la medida en que el presente DPA no contenga disposiciones especiales, se aplicarán las disposiciones del Acuerdo. En caso de contradicciones entre el presente DPA y el Contrato de Servicios, prevalecerán las disposiciones del presente Acuerdo.
(2) En caso de que alguna de las disposiciones del presente DPA sea declarada nula, ello no afectará a la validez del resto del DPA.
(3) El presente DPA ha sido redactado en varios idiomas, incluido el español. La versión que tiene prioridad para interpretar el presente DPA será la versión en inglés.

11. Ley aplicable y jurisdicción

(1) Las partes en el presente DPA se someten a la elección de jurisdicción estipulada en el Acuerdo con respecto a cualquier litigio o reclamación que surja en virtud del mismo, incluidos los litigios relativos a su existencia, validez o rescisión o a las consecuencias de su nulidad.