Sinch Email

Cláusula Adicional al Tratamiento de Datos

La presente Cláusula Adicional al Tratamiento de Datos ("Cláusula Adicional") forma parte de las Condiciones de Servicio de Sinch Email (el "Acuerdo Principal") por y entre Sinch Email y el Cliente y está sujeta al Acuerdo Principal. Sinch Email es la unidad de negocio de Developer & Email de Sinch e incluye las marcas Mailgun, Mailjet, Email on Acid e InboxReady.

1. Definiciones.

A los efectos de la presente Cláusula Adicional, los términos con mayúscula inicial tendrán los siguientes significados. Los términos con mayúscula inicial que no se definan de otro modo tendrán el significado que se les dé en el Acuerdo Principal.

(a) "Datos Personales del Cliente" hace referencia a cualquier dato personal que es procesado por Sinch Email en nombre del Cliente para prestar los Servicios en virtud del Acuerdo Principal.

(b) "Leyes de Protección de Datos Aplicables" hace referencia al RGPD, tal como ha sido incorporada a la legislación interna de cada Estado Miembro (y del Reino Unido), y en su versión modificada, sustituida o reemplazada periódicamente, así como las leyes que aplican, sustituyen o complementan el RGPD y todas las leyes aplicables a la recopilación, almacenamiento, procesamiento y uso de los Datos Personales del Cliente, incluida la California Consumer Privacy Act de 2018, Cal. Civ. Code § 1798.100 et seq.

(c) "RGPD" hace referencia al Reglamento General de Protección de Datos de la UE 2016/679.

(d) "Infraestructura de Sinch Email" hace referencia a (i) instalaciones físicas de Sinch Email; (ii) infraestructura alojada en la nube; iii) la red corporativa de Sinch Email y la red interna no pública, software y hardware necesarios para proporcionar los Servicios y que está controlado por Sinch Email; en cada caso en la medida en que se utilicen para prestar los Servicios.

(e) "Transferencia Restringida" hace referencia a una transferencia de los Datos Personales del Cliente de Sinch Email a un Subencargado del Tratamiento cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos Aplicables (o por las condiciones de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de protección de datos aplicables) en ausencia de las salvaguardias apropiadas requeridas para dichas transferencias en virtud de las Leyes de Protección de Datos Aplicables.

(f) "Servicios" hace referencia a los servicios que Sinch Email presta al Cliente de conformidad con el Acuerdo Principal.

(g) "Cláusulas Contractuales Tipo" hace referencia a la última versión de las cláusulas contractuales tipo relativas a la transferencia de Datos Personales a los Encargados del Tratamiento establecidos en terceros países con arreglo al RGPD (la versión vigente a la fecha de la presente Cláusula Adicional figura como se adjunta a la Decisión 2021/914 (UE) de la Comisión Europea del 4 de junio de 2021).

(h) "Apéndice del Reino Unido" hace referencia al International Data Transfer Addendum to the EU Commission Standard Contractual Clauses como se describe en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

(i) Los términos "Consentimiento", "Responsable del Tratamiento", "Interesado", "Estado Miembro", "Datos Personales", "Violación de los Datos Personales", "Encargado del Tratamiento", "Subencargado del Tratamiento", "Tratamiento", "Autoridad de Supervisión" y "Tercero" tendrán el significado que se les atribuye en el artículo 4 del RGPD.

2. Cumplimiento de las Leyes de Protección de Datos Aplicables

(a) Sinch Email y el Cliente deberán cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protección de Datos Aplicables y procurarán que sus empleados, agentes y contratistas observen las disposiciones de las Leyes de Protección de Datos Aplicables.

3. Detalles y ámbito del tratamiento

(a) El Tratamiento de los Datos Personales del Cliente dentro del ámbito de aplicación del Acuerdo se llevará a cabo de conformidad con las siguientes disposiciones y según lo dispuesto en el artículo 28 (3) del RGPD. Las partes podrán modificar esta información periódicamente, según consideren razonablemente necesario para cumplir con esos requisitos.

(i) Objeto y duración del Tratamiento de los Datos Personales: El objeto y la duración del Tratamiento de los Datos Personales se establecen en el Acuerdo Principal.

(ii) Naturaleza y finalidad del Tratamiento de los Datos Personales: En virtud del Acuerdo Principal, Sinch Email proporciona determinados servicios de email y SMS al Cliente que implican el Tratamiento de Datos Personales. Estas actividades de tratamiento incluyen (a) la prestación de Servicios; (b) la detección, prevención y resolución de problemas técnicos y de seguridad; y (c) la respuesta a las solicitudes de asistencia técnica del Cliente.

(iii) Tipos de Datos Personales a tratar: Los Datos Personales enviados, cuyo alcance es determinado y controlado por el Responsable del Tratamiento a su sola discreción, incluyen nombre, email, números de teléfono, direcciones IP y otros Datos Personales incluidos en las listas de suscriptores y el contenido de los mensajes.

(iv) Categorías de Interesados a los que se refieren los Datos Personales: Remitentes y destinatarios de mensajes de email y SMS.

(b) Sinch Email únicamente tratará los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Acuerdo Principal y (i) de conformidad con las instrucciones documentadas descritas en la presente Cláusula Adicional o según las instrucciones periódicas del Cliente. Estas instrucciones del Cliente serán documentadas en el pedido, la descripción de los servicios, el ticket de asistencia técnica, otras comunicaciones por escrito aplicables o según lo indique el Cliente que utilice los Servicios (por ejemplo, a través de una API o un panel de control).

(c) Cuando Sinch Email considere razonablemente que una instrucción del Cliente es contraria a lo dispuesto en el Acuerdo Principal o en la presente Cláusula Adicional, o que infringe el RGPD u otras disposiciones de protección de datos aplicables, informará al Cliente sin demora. En ambos casos, Sinch Email estará autorizado a aplazar el cumplimiento de la instrucción pertinente hasta que haya sido enmendada por el Cliente o sea acordada mutuamente por el Cliente y Sinch Email.

(d) El Cliente será el único responsable de su utilización y gestión de los Datos Personales enviados o transmitidos por los Servicios, incluida: (i) la verificación de las direcciones de los destinatarios y de que están correctamente introducidas en los Servicios; (ii) la notificación razonable a cualquier destinatario de la naturaleza insegura del email como medio de transmisión de Datos Personales (según proceda); (iii) la limitación razonable de la cantidad o el tipo de información divulgada a través de los Servicios; (iv) la encriptación de cualesquiera Datos Personales transmitidos a través de los Servicios, cuando proceda o lo exija la ley aplicable (por ejemplo, mediante el uso de archivos adjuntos encriptados, herramientas PGP o S/MIME). Cuando el Cliente decide no configurar la encriptación obligatoria, el Cliente reconoce que los Servicios pueden incluir la transmisión de email no encriptado en texto plano a través de la red pública de internet y las redes abiertas. La información transmitida a los Servicios, incluido el contenido de los mensajes, se almacena en formato encriptado cuando es procesada por la Infraestructura de Sinch Email.

4. Responsable del Tratamiento y Encargado del Tratamiento

(a) A todos los efectos de la presente Cláusula Adicional, el Cliente es el Responsable del Tratamiento de sus Datos Personales y Sinch Email es el Encargado del Tratamiento de dichos datos, excepto cuando el Cliente actúe como Encargado de los Datos Personales del Cliente, en cuyo caso Sinch Email será un Subencargado.

(b) Sinch Email contará en todo momento con un agente que será responsable de asistir al Cliente (i) para responder a las consultas relativas al Tratamiento de Datos recibidas de los Interesados; y (ii) para completar cualesquiera requisitos legales de información y divulgación que se apliquen y que estén relacionados con el Tratamiento de Datos. Puede contactar directamente con el Delegado de Protección de Datos en la siguiente dirección: privacy@mailgun.com.

(c) El Cliente garantiza que:

(i) el Tratamiento de los Datos Personales del Cliente se basa en fundamentos legales para el Tratamiento, como puede ser requerido por las Leyes de Protección de Datos Aplicables y que ha cumplido con, y que mantendrá durante toda la vigencia del Acuerdo Principal, todos los derechos, permisos, registros y consentimientos necesarios de conformidad con y según lo requerido por las Leyes de Protección de Datos Aplicables con respecto al Tratamiento de Sinch Email de los Datos Personales del Cliente en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(ii) tiene derecho y dispone de todos los derechos, permisos y consentimientos necesarios para transferir los Datos Personales del Cliente a Sinch Email y por lo demás permitir que Sinch Email trate los Datos Personales del Cliente en su nombre, de modo que Sinch Email pueda utilizar, tratar y transferir legalmente los Datos Personales del Cliente para llevar a cabo los Servicios y cumplir con los demás derechos y obligaciones de Sinch Email en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(iii) informará a sus Interesados sobre la utilización de Encargados del Tratamiento en el Tratamiento de sus Datos Personales, en la medida en que lo exijan las Leyes de Protección de Datos Aplicables; y

(iv) responderá en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los Interesados en relación con el Tratamiento de sus Datos Personales y dará las instrucciones apropiadas al Encargado del Tratamiento de manera oportuna.

5. Confidencialidad

(a) Sinch Email se asegurará de que cada uno de sus empleados, y los de sus Subencargados del Tratamiento, estén autorizados a tratar los Datos Personales del Cliente, estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad y estén capacitados para cumplir los requisitos pertinentes de seguridad y de Protección de Datos.

6. Medidas técnicas y de organización

(a) En relación con los Datos Personales del Cliente, Sinch Email (a) tomará y documentará, según corresponda, las medidas razonables y apropiadas requeridas de conformidad con el Artículo 32 del RGPD en materia de seguridad de la Infraestructura de Sinch Email y las plataformas utilizadas para prestar los Servicios tal como se describe en el Acuerdo Principal, y (b) previa solicitud razonable y por cuenta del Cliente, asistirá al Cliente para asegurar el cumplimiento de las obligaciones del Cliente de conformidad con el Artículo 32 del RGPD.

(b) Los procedimientos operativos internos de Sinch Email deberán cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

7. Solicitudes de los Interesados

(a) Sinch Email proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes enviadas por los Interesados. Estas incluyen nuestras API e interfaces de búsqueda de datos de incidentes, de supresiones y de recuperación del contenido de los mensajes. Cuando Sinch Email reciba una queja, consulta o solicitud (incluidas las solicitudes hechas por los Interesados para ejercer sus derechos de conformidad con las Leyes de Protección de Datos Aplicables) relacionada con los Datos Personales del Cliente directamente de los Interesados, Sinch Email lo notificará al Cliente en un plazo de catorce (14) días a partir de la recepción de la queja, consulta o solicitud. Habida cuenta de la naturaleza del Tratamiento, Sinch Email asistirá al Cliente, por cuenta de este, mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de dichos derechos de los Interesados.

8. Violaciones de los Datos Personales

(a) Sinch Email notificará al Cliente sin demora injustificada tan pronto como Sinch Email tenga conocimiento de una Violación de los Datos Personales que afecte a los Datos Personales del Cliente. Habida cuenta de la naturaleza del Tratamiento y la información disponible para Sinch Email, Sinch Email hará esfuerzos comercialmente razonables para proporcionar al Cliente la información suficiente para permitir al Cliente, a su cargo, cumplir con cualquier obligación de notificar o informar a las autoridades reguladoras, los Interesados y otras entidades de dicha Violación de los Datos Personales en la medida en que se requiera en virtud de las Leyes de Protección de Datos Aplicables.

9. Evaluaciones del impacto de la Protección de Datos

(a) Habida cuenta de la naturaleza del Tratamiento y la información disponible, Sinch Email proporcionará una asistencia razonable al Cliente, a cargo de este, en relación con cualesquiera evaluaciones del impacto de la Protección de Datos y consultas previas con las Autoridades de Supervisión u otras autoridades reguladoras competentes, según sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables.

10. Auditorías

(a) Sinch Email pondrá a disposición del Cliente, previa petición razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento con la presente Cláusula Adicional.

(b) El Cliente, o un auditor externo designado, puede, previa solicitud razonable por escrito, llevar a cabo una inspección en relación con el Tratamiento que realiza Sinch Email de los Datos Personales del Cliente y, en la medida necesaria, de conformidad con las Leyes de Protección de Datos y sin interrumpir las operaciones comerciales de Sinch Email y garantizando la confidencialidad.

(c) El derecho a auditoría, como aparece descrito en el párrafo 10 (b), inmediatamente superior, será aplicable para el Cliente, en el caso en el que Sinch Email no haya proporcionado suficientes pruebas de su cumplimiento con las medidas técnicas y organizativas. Entre las pruebas suficientes se incluye proporcionar o bien: (i) una certificación de cumplimiento con ISO 27001, ISO 27701 u otros estándares implementados por Sinch Email (alcance definido en el certificado); o (ii) un informe o atestado de auditoría de un tercero independiente. El Cliente será responsable de cualesquiera costes y gastos derivados de la realización de una auditoría, tal cual aparece descrita en este párrafo 10.

11. Devolución o eliminación de los Datos Personales del Cliente

(a) El Cliente puede, mediante notificación escrita a Sinch Email, solicitar la devolución y/o el certificado de eliminación de todas las copias de los Datos Personales del Cliente que estén bajo control o en posesión de Sinch Email y de los Subencargados del Tratamiento. Sinch Email proporcionará una copia de los Datos del Responsable del Tratamiento en un formato que pueda ser leído y procesado posteriormente.

(b) Dentro de los noventa (90) días siguientes a la cancelación de la cuenta, el Encargado del Tratamiento eliminará y/o devolverá todos los Datos Personales tratados de conformidad con la presente Cláusula Adicional. Esta disposición no afectará las posibles obligaciones legales de las Partes de conservar los registros durante los periodos de retención establecidos por ley, estatuto o contrato. Sinch Email puede conservar copias electrónicas de los archivos que contienen los Datos Personales del Cliente creados en virtud de procedimientos automáticos de archivado o de copia de seguridad que no pueden eliminarse razonablemente. En estos casos, Sinch Email se asegurará de que los Datos Personales del Cliente no se sigan tratando activamente en el futuro.

(c) Cualquier coste adicional que surja en relación con la devolución o eliminación de los Datos Personales tras la rescisión o expiración del Acuerdo será asumido por el Cliente.

12. Transferencias de datos

(a) Las Cláusulas Contractuales Tipo y, si es necesario, del Apéndice del Reino Unido, que recogen a Sinch Email actuando como importador de datos y al Cliente actuando como exportador de datos se incorporan como parte de esta Cláusula Adicional. Si el acuerdo de Sinch Email con un Subencargado del Tratamiento implica una Transferencia Restringida, Sinch Email se asegurará de que las disposiciones sobre transferencias ulteriores de las Cláusulas Contractuales Tipo y/o el Apéndice del Reino Unido se incorporen al Acuerdo Principal, o se celebren de otro modo, entre Sinch Email y el Subencargado del Tratamiento. El Cliente acepta ejercer su derecho de auditoría en las Cláusulas Contractuales Tipo dando instrucciones a Sinch Email para llevar a cabo la auditoría establecida en el párrafo 10.

(b) El Responsable del Tratamiento reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Acuerdo, el Encargado del Tratamiento podrá transferir Datos Personales en el ámbito de su grupo de empresas. Estas transferencias son necesarias para proporcionar los Servicios de forma global y se justifican a efectos de administración interna.

(c) Para las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios mencionados anteriormente, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos con el fin de aplicar las salvaguardias adecuadas, se tomarán las siguientes medidas de salvaguardia: (i) Cláusulas Contractuales Tipo según la Decisión 2021/914/UE del 4 de junio de 2021 de la Comisión Europea, (2) el Apéndice del Reino Unido y (3) salvaguardias adicionales con respecto a las medidas de seguridad, incluidos el encriptado de datos y los principios de minimización de datos.

13. Subtratamiento

(a) Por la presente el Cliente autoriza a Sinch Email a nombrar Subencargados del Tratamiento de conformidad con el presente párrafo 13 y el anexo 1, con sujeción a cualesquiera restricciones en el Acuerdo Principal. Sinch Email se asegurará de que los Subencargados del Tratamiento estén vinculados por acuerdos escritos que les obliguen a proporcionar al menos el nivel de protección de datos que se exige a Sinch Email en la presente Cláusula Adicional. Sinch Email podrá seguir utilizando los Subencargados del Tratamiento que ya estaban contratados a la fecha de la presente Cláusula Adicional.

(b) Sinch Email notificará previamente por escrito al Cliente el nombramiento de cualquier nuevo Subencargado del Tratamiento. Si, en el plazo de diez (10) días hábiles a partir de la recepción de dicha notificación, el Cliente notifica a Sinch Email por escrito cualquier objeción por motivos razonables al nombramiento propuesto, Sinch Email no nombrará a dicho Subencargado del Tratamiento propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y el Cliente haya proporcionado una explicación razonable por escrito de las medidas adoptadas. Si Sinch Email y el Cliente no pueden resolver el nombramiento de un Subencargado del Tratamiento en un plazo razonable, cualquiera de las partes tendrá derecho a rescindir el Acuerdo Principal por causa justificada.

(c) Este párrafo no incluye los siguientes servicios complementarios: servicios de telecomunicaciones, servicios postales o de transporte, mantenimiento y herramientas de asistencia técnica al usuario. Sin embargo, Sinch Email estará obligado a tomar las disposiciones contractuales apropiadas y legalmente vinculantes y a tomar las medidas de inspección apropiadas para garantizar la protección y seguridad de los Datos del Cliente, incluso para estos servicios complementarios subcontratados.

(d) Sinch Email será responsable de los actos y omisiones de cualquier Subencargado del Tratamiento como lo es ante el Cliente por sus propios actos y omisiones en relación con los asuntos contemplados en la presente Cláusula Adicional.

14. Ley aplicable y jurisdicción

(a) Las partes en la presente Cláusula Adicional se someten a la elección de jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier litigio o reclamación que surja en virtud del mismo, incluidos los litigios relativos a su existencia, validez o rescisión o a las consecuencias de su nulidad.

(b) La presente Cláusula Adicional y todas las obligaciones extracontractuales o de otro tipo que se deriven de ella o estén relacionadas con ella se rigen por las leyes del país o territorio estipuladas a tal efecto en el Acuerdo Principal.

15. Orden de precedencia

(a) En lo que respecta al objeto de la presente Cláusula Adicional, en caso de incoherencias entre las disposiciones de la presente Cláusula Adicional y cualesquiera otros acuerdos entre las partes, incluido el Acuerdo Principal e incluidos (salvo que se acuerde explícitamente por escrito lo contrario, firmado en nombre de las partes) los acuerdos celebrados o que se pretendan celebrar después de la fecha de la presente Cláusula Adicional, prevalecerán las disposiciones de la presente Cláusula Adicional.

16. Cesantía

(a) Si alguna disposición de la presente Cláusula Adicional es inválida o inaplicable, el resto de la presente Cláusula Adicional seguirá siendo válida y vigente. La disposición inválida o inaplicable deberá ser (i) enmendada según sea necesario para asegurar su validez y aplicabilidad, a la vez que se preservan las intenciones de las partes lo más fielmente posible o, si esto no es posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado incluida en ella.

17. Rescisión

(a) La presente Cláusula Adicional y las Cláusulas Contractuales Tipo finalizarán simultánea y automáticamente con la rescisión del Acuerdo Principal.

(b) Cualquier modificación o variación de la presente Cláusula Adicional no será vinculante para las Partes a menos que se establezca por escrito y sea firmada por representantes autorizados de cada una de las Partes.


EN FE DE LO CUAL, la presente Cláusula Adicional y los Anexos se celebran y se convierten en parte vinculante del Acuerdo Principal con efecto a partir de la fecha indicada anteriormente.

Sinch Email

Firma:

Nombre:

Título:

The Customer

Firma:

Nombre:

Título:

Fecha de firma:

ANEXO 1

CLÁUSULAS CONTRACTUALES TIPO

Con respecto a las Cláusulas Contractuales Tipo, las Partes acuerdan que:

(a) El Módulo 2 (Responsable-a-Encargado) aplicará donde Sinch Email actúe como el Responsable del Tratamiento de Datos Personales del Cliente; el Módulo 3 (Responsable-a-Responsable) aplicará donde Sinch Email actúe como un Subencargado del Tratamiento para el Cliente. Para cada Módulo, cuando corresponda;

(b) Se incorpora la Cláusula 7 (Cláusula de incorporación);

(c) A efectos de la Cláusula 9.a) (Uso de Subencargados), se aplicará la Opción 2: autorización general por escrito. El importador de datos cuenta con una autorización general del exportador de datos para contratar a Subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de Subencargados previstas en dicha lista con al menos diez (10) días hábiles de antelación;

(d) No se incorpora la redacción opcional sobre organismos independientes de resolución en la Cláusula 11 (Reparación);

(e) A efectos de la Cláusula 13 (Supervisión), la CNIL, la Agencia de Protección de Datos Francesa (Commission Nationale de l'Informatique et des Libertés) actuará como autoridad de supervisión competente;

(f) Se aplicará la Opción 1 de la Cláusula 17 (Derecho aplicable) y las leyes de Francia regirán las Cláusulas Contractuales Tipo;

(g) A efectos de la Cláusula 18 (Elección del foro y jurisdicción), serán los tribunales de Francia los que resolverán cualquier litigio derivado de las Cláusulas Contractuales Tipo;

(h) Se completarán el Anexo IA (Lista de Partes) y el Anexo IB (Descripción de la transferencia) utilizando la información y datos especificados en el Acuerdo Principal y que se enumeran en el párrafo 3 de la Cláusula Adicional;

(i) Se completará el Anexo IB (Descripción de la transferencia) en mayor detallle especificando que no se transferirán datos sensibles. La frecuencia de la transferencia será continua. Para transferencias a Subencargados, el objeto, la naturaleza y la duración del Tratamiento serán las mismas que para el importador de datos;

(j) A efectos del Anexo IC, la autoridad supervisora competente de acuerdo con la Cláusula 13 es la CNIL, la Agencia de Protección de Datos Francesa, (Commission Nationale de l'Informatique et des Libertés);

(k) A efectos del Anexo II, las medidas técnicas y organizativas descritas se describen en el Anexo 2 de esta Cláusula Adicional;

(l) A efectos del Anexo III, la lista de Subencargados se incluye en el Anexo 3 de esta Cláusula Adicional;

(m) Donde la Transferencia Restringida esté sujeta a Regulación que forme parte de la legislación de Inglaterra, Gales, Escocia e Irlanda del Norte (el RGPD de Reino Unido), las Cláusulas Contractuales Tipo incorporarán el Apéndice del Reino Unido completado de la siguiente manera:

(i) A efectos de la Tabla 1, la fecha de inicio es la fecha de la firma de esta Cláusula Adicional y los detalles de las Partes se completarán utilizando la información y detalles especificados en el Acuerdo Principal;

(ii) A efectos de la Tabla 2, la versión de las Cláusulas Contractuales Tipo de la UE a las que se adjunta el Apéndice del Reino Unido son las Cláusulas Contractuales Tipo completadas de acuerdo con este Anexo 1, siendo la fecha la fecha de entrada en vigor de este Apéndice;

(iii) A efectos de la Tabla 3, la Información del Apéndice es como se describe en los párrafos (h) - (l) de este Anexo 1; y

(iv) A efectos de la Tabla 4, Sinch Email como Importador puede finalizar el Apéndice del Reino Unido cuando el Apéndice Aprobado cambie.

ANEXO 2

SEGURIDAD DE LA INFORMACIÓN - MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Cuando los datos personales se procesan o utilizan de forma automática, la organización interna de Sinch Email se asegura de que cumple los requisitos específicos de protección de datos utilizando las mejores prácticas de seguridad. En particular, Sinch Email aplica las siguientes medidas para proteger los datos personales u otras categorías de datos sensibles.

Control de acceso físico

Para impedir que personas no autorizadas accedan a los sistemas de tratamiento de datos con los que se procesan o utilizan datos personales:

  • Sinch Email hace uso de los proveedores de centros de datos e infraestructura en nube líderes en la industria. El acceso a todos los centros de datos está estrictamente controlado. Todos los centros de datos están equipados con vigilancia y sistemas biométricos de control de acceso las 24 horas del día, los 365 días del año. Además, todos los proveedores tienen las certificaciones estándares de la industria.

  • Los centros de datos están equipados con al menos una redundancia N+1 para la infraestructura de energía, redes y refrigeración.

  • Dentro de una región, el tratamiento de datos se produce en al menos tres zonas de disponibilidad distintas. Los servicios están diseñados para soportar el fallo de una zona de disponibilidad sin que el cliente se vea afectado.

Control de acceso al sistema

Para evitar que los sistemas de tratamiento de datos se utilicen sin autorización:

  • El acceso administrativo a los sistemas y servicios de Sinch Email sigue el principio de menor privilegio. El acceso a los sistemas se basa en la función y las responsabilidades del trabajo. Sinch Email utiliza nombres de usuario/identificadores únicos que no se permite compartir o reasignar a otra persona.

  • La autenticación VPN y multifactorial se utiliza para acceder a las herramientas de apoyo internas y a la infraestructura del producto.

  • Las listas de control de acceso a la red (ACL) y los grupos de seguridad se utilizan para limitar el tráfico de entrada y salida de la infraestructura de producción.

  • Los sistemas de detección de intrusos (IDS) se utilizan para detectar posibles accesos no autorizados.

  • Se han implementado protecciones de red para mitigar el impacto de los ataques de denegación de servicio distribuidos (DDoS).

  • Los procesos de entrada y salida se documentan y se controlan sistemáticamente para asegurar que el acceso a los instrumentos y sistemas internos y externos alojados se gestione adecuadamente. Cuando es posible, los servicios de terceros hacen uso de la funcionalidad de inicio de sesión único (SSO) que permite una gestión centralizada y aplica la autenticación multifactor.

Control de acceso a los datos

Para garantizar que los usuarios autorizados con derecho a utilizar sistemas de tratamiento de datos tengan acceso únicamente a los datos para los que se les ha otorgado un derecho de acceso, y para que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización en el curso de su tratamiento o utilización y después de su almacenamiento:

  • Sinch Email utiliza un sistema de gestión de contraseñas que impone una longitud mínima de la contraseña, una complejidad y un tiempo de expiración determinados y una duración mínima de la última utilización.

  • Las estaciones de trabajo de los empleados se bloquean automáticamente después de un periodo prolongado de inactividad. Los sistemas cierran la sesión de los usuarios después de un periodo prolongado de inactividad.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año.

  • El proceso de gestión de parches de Sinch Email asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • El software antivirus estándar de la industria se utiliza para garantizar que los activos internos que acceden a los datos personales estén protegidos contra los virus conocidos. El software antivirus se actualiza regularmente.

  • Mailgun utiliza cortafuegos para evitar que el tráfico no deseado entre en la red. Se utiliza una DMZ empleando cortafuegos para proteger aún más los sistemas internos que protegen los datos sensibles.

Control de la transmisión de datos

Para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica o el transporte:

  • Los datos de los clientes se almacenan cifrados en reposo mediante el uso del cifrado AES-256 en dispositivos de bloque.

  • Las copias de seguridad de los clientes están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • Sinch Email soporta TLS 1.2 para cifrar el tráfico de red entre la aplicación del cliente y la infraestructura de Sinch Email.

  • Sinch Email recibe alertas sobre los problemas de cifrado mediante evaluaciones periódicas de los riesgos y pruebas de penetración de terceros. Sinch Email lleva a cabo pruebas de penetración de terceros anualmente, o cuando es necesario debido a cambios en el negocio.

  • Sinch Email opera un programa de tipo bug bounty, con el que fomenta la divulgación responsable de las vulnerabilidades por parte de los investigadores de la comunidad.

Control de entrada

Para garantizar que sea posible comprobar y establecer si los datos personales han sido introducidos, y por quién, en los sistemas de tratamiento de datos, modificados o eliminados:

  • Los sistemas son supervisados en busca de eventos relacionados con la seguridad para garantizar una rápida resolución.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año. Los registros pueden ser rastreados hasta los nombres de usuario individuales y únicos con marcas de tiempo para investigar incumplimientos o eventos relacionados con la seguridad.

Control de disponibilidad

Para asegurar que los datos personales estén protegidos contra la destrucción o la pérdida accidental:

  • Se hace una copia de seguridad de los datos de la cuenta como mínimo una vez al día. La recuperación incremental/puntual está disponible para todas las bases de datos primarias. Las copias de seguridad están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • El proceso de gestión de parches de Sinch Email asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • Cuando es necesario, Sinch Email parchea la infraestructura de manera acelerada en respuesta a la divulgación de vulnerabilidades críticas para asegurar que el tiempo de funcionamiento del sistema se mantenga.

  • Los entornos de los clientes están lógicamente separados en todo momento. Los clientes no pueden acceder a otras cuentas que no sean aquellas para las que han recibido credenciales de autorización.

Certificación/garantía de procesos y productos

Para garantizar la gobernanza y gestión de la TI interna y de la seguridad de TI, así como la garantía de procesos y productos:

  • Certificación ISO 27001

  • Certificación ISO 27701

  • Informe SOC 2 Tipo 2

  • Informe SOC 2 Tipo 1 (solo para la marca Email on Acid)

ANEXO 3

SUBENCARGADOS AUTORIZADOS A FECHA DE ENTRADA EN VIGOR DE LA CLÁUSULA ADICIONAL

Sube­ncargados de infr­aestructura

Sube­ncargados de infr­aestructura

Emp­re­sa

Ubic­ación del serv­idor

Desc­ripción de acti­vidades

Salv­aguardas apro­piadas para­ tran­sferencias

Goog­le Clou­d Plat­form
70 Sir John­ Roge­rson's Quay­,
Dub­lin 2, Irla­nda

Alem­ania y Bélg­ica (cli­entes de la UE)
EE.­ UU. (cli­entes de EE. ­UU.)

Cent­ros de dato­s
(Pr­oductos: Mail­gun, Mail­jet e Inbo­xReady)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s

Rack­space (AWS­)
One­ Fana­tical Plac­e
San­ Anto­nio, TX 7821­8 EE. ­UU.

EE. ­UU. (cli­entes de EE. ­UU.)
Ale­mania (cli­entes de la UE)

Cent­ros de dato­s
(To­dos los prod­uctos)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s

MacS­tadium
352­5 Pied­mont Road­, Bldg­ 7
Atl­anta, GA 3030­5

EE. UU.

Cent­ros de dato­s
(Em­ail on Acid­)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s

Cyxt­era
918­0 Comm­erce Cent­er Cir
Hig­hlands Ranc­h, CO 8012­9

EE. UU.

Cent­ros de dato­s
(Em­ail on Acid­)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s

Sube­ncargados de asis­tencia

Sube­ncargados de asis­tencia

Emp­re­sa

Ubic­ación geog­ráfica

Desc­ripción de acti­vidades

Salv­aguardas apro­piadas para­ tran­sferencias

Prox­iad Bulg­aria
Tin­tyava 13b St.,­ Fl. 4
Sof­ia 1113­ - Bulg­aria

Bul­ga­ria

Func­iones de asis­tencia
Fun­ciones de gest­ión de cuen­tas

Legi­slación de la UE
Min­imización de dato­s

Site­l Indi­a
Cha­ndivali – Farm­ Road­,
And­heri East­ Mumb­ai 4000­72 Indi­a

Ind­ia

Func­iones de asis­tencia
(p­roporcionar resp­uesta inic­ial a trav­és del sist­ema de inci­dencias; sin acce­so a los dato­s pers­onales de los clie­ntes)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s
Min­imización de dato­s

Sube­ncargados del grup­o de empr­esas

Sube­ncargados del grup­o de empr­esas

Emp­re­sa

Sede

Desc­ripción de acti­vidades

Salv­aguardas apro­piadas para­ tran­sferencias

Mail­gun Tech­nologies
112­ E. Peca­n Stre­et #113­5,
San­ Anto­nio, Texa­s, 7820­5 EE. ­UU.

EE. UU.

Empr­esa del grup­o
(A­dministración, fact­uración, asis­tencia y serv­icios de mant­enimiento)

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s
Min­imización de dato­s

Mail­jet
4, rue Jule­s Lefe­bvre
750­09 Pari­s, Fran­cia

Fra­nc­ia

Empr­esa del grup­o

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s
Agr­egación de dato­s

Sinc­h AB
Lin­dhagensgatan 74 Stoc­kholm,
112­ 18 Suec­ia

Sue­ci­a

Empr­esa del grup­o

Cláu­sulas Cont­ractuales Tipo­
Enc­riptación de dato­s
Agr­egación de dato­s

Última revisión el 16/01/2023. Para ver las condiciones anteriores, haz clic aquí.