Anexo sobre el tratamiento de datos

El presente Acuerdo sobre el tratamiento de datos («DPA») se celebra entre Benchmark Email («Procesador» o «Benchmark Email») y el Cliente («Responsable del tratamiento» o «Usuario») que utiliza los servicios de Benchmark Email (los «Servicios»).

El presente DPA rige el tratamiento de datos personales por parte de Benchmark Email en nombre del responsable, de conformidad con los términos descritos en las Condiciones de uso de Benchmark Email. Al utilizar los Servicios, el responsable acepta los términos del presente DPA, que forma parte de la relación contractual global entre las partes.El procesador tratará los datos personales con el único objetivo de prestar los Servicios al responsable, en conformidad con las leyes de protección de datos aplicables, incluido el Reglamento General de Protección de Datos (RGPD) y otras leyes de privacidad pertinentes.

Este DPA refleja el compromiso compartido de ambas partes de cumplir con las leyes de protección de datos aplicables y garantizar la seguridad y confidencialidad de los Datos personales. Los términos en mayúsculas que no se definan en este DPA tendrán el significado que se establece en los Términos de uso de Benchmark Email.

1. Definiciones

A los efectos de este DPA, los siguientes términos tienen el significado que se establece a continuación:

Datos del cliente: cualquier dato personal que Benchmark Email procese en nombre del cliente (responsable del tratamiento) como encargado del tratamiento en el curso de la prestación de sus servicios.

Responsable del tratamiento: la entidad que determina los objetivos y medios del tratamiento de datos personales, tal y como se define en el RGPD. En el contexto de este DPA, el responsable del tratamiento es el cliente de Benchmark Email que recopila, posee y es responsable de los datos personales que se procesan utilizando los servicios.

Encargado del tratamiento: La entidad que trata los datos personales en nombre del responsable del tratamiento, tal y como se define en el RGPD. En el contexto de este DPA, Benchmark Email actúa como encargado del tratamiento.

Leyes de protección de datos: Todas las leyes y reglamentos aplicables que rigen el tratamiento de datos personales, incluido el RGPD, la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes nacionales o regionales de protección de datos.

Interesado: Persona física identificada o identificable cuyos Datos Personales se tratan en virtud del presente DPA. Se refiere a la persona cuyos datos se recopilan, almacenan y tratan.

Europa/UE: Se refiere a la Unión Europea (UE) o al Espacio Económico Europeo (EEE), incluidos todos los Estados miembros de la UE y los países del EEE que están sujetos al RGPD.

RGPD: El Reglamento General de Protección de Datos (UE) 2016/679, con sus modificaciones periódicas, y cualquier otra ley de protección de datos aplicable que rija el tratamiento de datos personales en el Espacio Económico Europeo (EEE).

Datos personales: Cualquier información relacionada con una persona física identificada o identificable, tal y como se define en el RGPD. Esto incluye, entre otros, nombres, información de contacto y cualquier otro dato que pueda identificar directa o indirectamente a una persona.

Violación de datos personales: Una violación de la seguridad que da lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los datos personales transmitidos, almacenados o tratados de cualquier otra forma.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios de automatización o de otro tipo, incluyendo, entre otros, la recogida, el almacenamiento, la recuperación, el uso, la divulgación, la supresión o la destrucción de datos personales.

Servicios: El email marketing y los servicios relacionados prestados por Benchmark Email, tal y como se describen en las Condiciones de uso de Benchmark Email, a las que el responsable del tratamiento se suscribe y utiliza para tratar datos personales.

Subencargado del tratamiento: Cualquier tercero con el que Benchmark Email interactúe para tratar Datos Personales en nombre del Responsable del tratamiento. Un Subencargado del tratamiento puede incluir proveedores de servicios, contratistas u otras entidades que presten servicios relacionados con el Tratamiento de Datos Personales.

Cláusulas contractuales tipo (SCC): Las disposiciones legales adoptadas por la Comisión Europea que permiten la transferencia legal de Datos Personales desde el EEE a terceros países fuera del EEE, en conformidad con lo requerido por el RGPD.

Términos: se refiere a los Términos de uso y a todas las políticas relacionadas a las que se hace referencia en el presente documento, incluida nuestra Política de privacidad, Política antispam y cualquier otro documento al que se haga referencia.

Anexo del Reino Unido: disposiciones que garantizan la conformidad con las leyes de protección de datos del Reino Unido para las transferencias de datos desde el Reino Unido, de conformidad con el RGPD del Reino Unido, tras el Brexit.

Leyes de protección de datos de EE. UU.: Se refiere a las leyes de privacidad y protección de datos aplicables en los Estados Unidos, incluida la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes federales y estatales que rigen la privacidad de los datos.

2. Funciones y responsabilidades

En esta sección se describen las funciones y responsabilidades tanto del Cliente como de Benchmark Email en el tratamiento de los Datos del Cliente en virtud del presente DPA.

2.1 Función del cliente

El cliente es la entidad que determina los objetivos y los medios del tratamiento de los datos personales y, como tal, es el responsable del tratamiento de datos en virtud de las leyes de protección de datos aplicables, incluido el RGPD. El cliente tiene las siguientes responsabilidades clave:

Base legal para el tratamiento: El cliente es responsable de garantizar que el tratamiento de los datos personales sea legal en virtud de las leyes de protección de datos aplicables. Esto incluye obtener los consentimientos necesarios de los interesados y garantizar que tú tienes derecho a proporcionar datos personales a Benchmark Email para su tratamiento.Proporcionar instrucciones: Tú proporcionarás a Benchmark Email instrucciones claras y legales para el tratamiento de los datos de los clientes en el curso de la prestación de los servicios. Benchmark Email solo tratará los datos de los clientes de acuerdo con estas instrucciones, tal y como se establece en este DPA.Derechos de los interesados: El Cliente es responsable de cumplir con las solicitudes de derechos de los interesados, tales como el acceso, la rectificación, la supresión y la portabilidad de los datos, de conformidad con las leyes de protección de datos aplicables. Benchmark Email ayudará al Cliente a cumplir con estas solicitudes según sea necesario.Cumplimiento de las leyes de protección de datos: El Cliente es responsable de garantizar que los Datos personales que proporcione a Benchmark Email se recopilen, procesen y transfieran en conformidad con las Leyes de protección de datos aplicables.Notificación de violaciones de datos: El Cliente debe notificar a Benchmark Email de inmediato si adquiere reconocimiento de una violación de datos personales que afecte a tus datos personales.

2.2 Función de Benchmark Email

Benchmark Email, como encargado del tratamiento, trata los datos del Cliente en nombre de este de acuerdo con las instrucciones proporcionadas. El encargado del tratamiento tiene las siguientes responsabilidades clave:

• Instrucciones de tratamiento: Benchmark Email tratará los Datos del Cliente únicamente según las instrucciones de este, con el objetivo de prestar los Servicios acordados. Benchmark Email no tratará los Datos personales para ningún otro fin, salvo que se requiera por la legislación aplicable. Para obtener una descripción detallada de las actividades específicas de tratamiento de datos, incluidos los tipos de datos, los interesados y las operaciones de tratamiento, consulta el Anexo 1: Detalles del tratamiento de datos.
• Subencargados del tratamiento: Benchmark Email puede interactuar con subencargados del tratamiento para que le ayuden a tratar los Datos del Cliente. Tú das tu consentimiento para que Benchmark Email utilice subencargados del tratamiento. Benchmark Email proporciona una lista de subencargados del tratamiento aprobados en el Anexo 3: Lista de subencargados del tratamiento, y notifica a los Clientes cualquier cambio en esta lista.
• Seguridad de los Datos Personales: Benchmark Email aplicará las medidas técnicas y organizativas adecuadas para salvaguardar la seguridad y la confidencialidad de los Datos Personales.
• Asistencia con los derechos de los interesados: Benchmark Email ayudará al cliente a responder a las solicitudes de los interesados, incluidas las solicitudes de acceso, rectificación, supresión y portabilidad de los datos.
• Notificación de violaciones de datos: Benchmark Email notificará sin demora al cliente cualquier violación de datos personales que afecte a los datos del cliente. Esta notificación se realizará sin demoras indebidas y, cuando sea posible, en un plazo de 72 horas.
• Cumplir con las leyes de protección de datos: Benchmark Email cumplirá con todas las leyes de protección de datos aplicables, incluido el RGPD, en el tratamiento de los Datos personales.

2.3 Responsabilidades conjuntas

Aunque el Cliente y Benchmark Email tienen funciones propias, ambas partes comparten la responsabilidad de garantizar que los Datos personales se traten de conformidad con las leyes de protección de datos aplicables. Ambas partes acuerdan:

• Cooperar: El cliente y Benchmark Email cooperarán para abordar cualquier inquietud relacionada con el tratamiento de datos personales y garantizar el cumplimiento de las leyes aplicables.
• Auditoría y supervisión: El cliente podrá solicitar información o auditorías para verificar que el tratamiento se lleva a cabo de conformidad con este DPA. Benchmark Email proporcionará un acceso y una asistencia razonables para facilitar dichas auditorías o supervisiones.
• Cumplimiento de la transferencia de datos: Ambas partes se asegurarán de que cualquier transferencia de datos personales a través de las fronteras cumpla con las leyes de protección de datos pertinentes, incluido el uso de cláusulas contractuales tipo (SCC) u otros mecanismos legales para las transferencias de datos transfronterizas.

2.4 Instrucciones para el tratamiento de datos

Benchmark Email tratará los datos personales únicamente según las instrucciones de vos. Si Benchmark Email considera que alguna instrucción de vos es ilegal, Benchmark Email te informará sin demora.

3. Seguridad

Benchmark Email implementará y mantendrá las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo asociado al tratamiento de datos personales, incluidas las medidas descritas en el anexo 2: «Medidas de seguridad». Estas medidas están diseñadas para proteger los datos personales contra el tratamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño, y para garantizar la confidencialidad, integridad y disponibilidad de los datos.

3.1 Confidencialidad

Benchmark Email se asegurará de que cualquier persona a la que autorice a tratar Datos personales esté sujeta a la obligación de confidencialidad, ya sea en virtud de una obligación contractual o legal, para proteger la confidencialidad de los Datos personales.

3.2 Responsabilidades del Cliente

El Cliente reconoce que es responsable de garantizar que cualquier Dato personal que proporcione a Benchmark Email se recopile, procese y transfiera de acuerdo con las Leyes de protección de datos aplicables. Eres responsable de revisar la información facilitada por Benchmark Email en relación con la seguridad de tus datos y de determinar de forma independiente si los Servicios cumplen con lo requerido y las obligaciones legales en virtud de las leyes de protección de datos.

Aceptas:

• Mantener la confidencialidad de cualquier credencial de inicio de sesión u otra información de autenticación necesaria para acceder a los Servicios.
• Implementar las medidas de seguridad adecuadas en tus propios sistemas y dispositivos para proteger los Datos personales y evitar el acceso no autorizado.

3.3 Actualizaciones de seguridad

Benchmark Email implementará procedimientos para actualizar y mejorar sus medidas de seguridad. Estas actualizaciones pueden incluir mejoras en la tecnología, los sistemas o los procesos destinados a reforzar la seguridad de los Datos personales. Benchmark Email notificará al Cliente si se aplican actualizaciones o parches de seguridad críticos que puedan afectar al uso de los Servicios por parte del Cliente.

3.4 Respuesta a incidentes de seguridad

En caso de violación de los Datos personales, Benchmark Email notificará inmediatamente al Cliente y cooperará con él en la gestión de la violación, incluyendo el suministro de información relevante para ayudar con cualquier notificación requerida a los Interesados o a los reguladores, cuando sea aplicable. Benchmark Email seguirá sus procedimientos internos de respuesta a incidentes para mitigar cualquier daño causado por la violación y para prevenir incidentes futuros.

4. Subencargados del tratamiento

Benchmark Email podrá interactuar con subencargados del tratamiento para que realicen actividades de tratamiento específicas en nombre del Cliente. Los subencargados del tratamiento son terceros proveedores de servicios que ayudan a Benchmark Email a prestar los Servicios y a realizar tareas específicas relacionadas con el tratamiento de Datos personales.

4.1 Uso de subencargados del tratamiento

Benchmark Email puede interactuar con subencargados del tratamiento para que le ayuden a tratar los datos personales en relación con los Servicios prestados al Cliente, siempre que Benchmark Email se asegure de que los subencargados del tratamiento cumplan con las mismas obligaciones de protección de datos establecidas en el presente DPA.

4.2 Aprobación de los subencargados del tratamiento

El Cliente acepta que Benchmark Email pueda interactuar con subencargados del tratamiento para que le ayuden a tratar los Datos personales en relación con los Servicios. Benchmark Email mantendrá una lista actualizada de los subencargados del tratamiento, tal y como se describe en el Anexo 3: Lista de subencargados del tratamiento. Benchmark Email notificará al Cliente cualquier nuevo subencargado del tratamiento o cualquier cambio en la lista, de acuerdo con el plazo máximo permitido por el RGPD.

Tienes derecho a oponerte a la interacción de cualquier nuevo subencargado del tratamiento si existen motivos legítimos relacionados con la protección de datos. Deberás presentar cualquier objeción por escrito a Benchmark Email. Si te opones, Benchmark Email colaborará contigo para resolver tus inquietudes, lo que puede incluir la búsqueda de un subencargado del tratamiento alternativo o la adopción de otras medidas razonables para resolver el problema.

4.3 Obligaciones de los subencargados del tratamiento

Benchmark Email se asegurará de que cualquier subencargado del tratamiento en interacción esté obligado contractualmente por condiciones que proporcionen un nivel equivalente de protección de datos y obligaciones de seguridad a los establecidos en el presente DPA. Esto incluye las obligaciones relativas a la confidencialidad, la seguridad y el tratamiento adecuado de los datos personales.

4.4 Responsabilidad de los subencargados del tratamiento

Benchmark Email es responsable de las acciones y omisiones de sus subencargados del tratamiento realizadas en relación con el cumplimiento del presente DPA en la misma medida en que lo sería si prestara los Servicios directamente. En caso de que un subencargado del tratamiento no se encuentre en conformidad con las obligaciones de protección de datos, Benchmark Email tomará las medidas razonables para remediar la situación y mitigar cualquier daño potencial al Cliente.

5. Derechos de los interesados

Benchmark Email ayudará al Cliente (el Responsable del tratamiento) a cumplir con sus obligaciones en virtud del RGPD con respecto a los derechos de los interesados.

El Cliente sigue siendo responsable de responder a las solicitudes de los interesados, y Benchmark Email le ayudará de las siguientes maneras:

• Como parte del Servicio, Benchmark Email proporciona al Cliente una serie de funcionalidades que este puede utilizar para recuperar, corregir, eliminar o restringir el uso de los Datos personales, y que el Cliente puede utilizar para ayudarle en relación con sus obligaciones en virtud de las Leyes de protección de datos con respecto a la respuesta a las solicitudes de los interesados.
• Derecho de acceso: Benchmark Email ayudará al Cliente a proporcionar a los interesados acceso a sus Datos personales cuando lo soliciten.
• Derecho de rectificación: Benchmark Email ayudará al Cliente a actualizar o corregir los Datos personales inexactos o incompletos.
• Derecho de supresión: Benchmark Email ayudará al Cliente a cumplir con la solicitud de un Interesado de suprimir sus Datos personales, cuando sea aplicable en virtud del RGPD.
• Derecho a la limitación del tratamiento: Benchmark Email ayudará al Cliente si un Interesado solicita limitar el tratamiento de sus Datos personales.
• Derecho a la portabilidad de los datos: Benchmark Email proporcionará los datos personales en un formato estructurado y legible por máquina, según lo solicite el cliente, de acuerdo con el derecho del interesado a la portabilidad de los datos.
• Derecho de oposición: Benchmark Email ayudará al cliente a responder a cualquier oposición del interesado al tratamiento de sus datos personales.

Benchmark Email notificará sin demora al cliente cualquier solicitud recibida directamente de los interesados, a menos que esté legalmente prohibido hacerlo, y te ayudará a gestionar estas solicitudes según tus instrucciones.

Benchmark Email también se asegurará de que se apliquen medidas de seguridad razonables al tratar y responder a las solicitudes de derechos de los interesados.

6. Notificación de violación de datos

En caso de violación de datos personales, Benchmark Email te notificará sin demora indebida, y a más tardar 72 horas después de tener reconocimiento de la violación, tal y como se requerir por el RGPD. La notificación incluirá la siguiente información, cuando esté disponible:

• Una descripción de la naturaleza de la violación de datos personales, incluidas las categorías de datos personales afectados y el número aproximado de interesados y registros de datos personales involucrados.
• Las posibles consecuencias de la violación de datos personales.
• Una descripción de las medidas tomadas o propuestas por Benchmark Email para hacer frente a la violación de datos personales, incluidas las medidas para mitigar sus posibles efectos adversos.

Si Benchmark Email no ha proporcionado toda la información necesaria en un plazo de 72 horas, dará una explicación del retraso.

Benchmark Email cooperará con el cliente en la gestión de la violación, incluyendo la prestación de asistencia razonable con cualquier notificación necesaria a los interesados y a las autoridades de control pertinentes, de conformidad con el RGPD. Benchmark Email también ayudará al cliente a proporcionar cualquier documentación requerida relacionada con la violación.

La notificación y la asistencia se proporcionarán de manera que el cliente pueda cumplir con sus obligaciones en virtud del RGPD, incluyendo el cumplimiento de los plazos para la notificación de la violación.

7. Transferencias internacionales

Benchmark Email puede procesar datos personales en cualquier parte del mundo, incluidos países fuera del Espacio Económico Europeo (EEE), donde el nivel de protección de datos puede no ser equivalente al proporcionado en el EEE. En todos los casos, Benchmark Email se asegurará de que se apliquen las garantías adecuadas para proteger los datos personales en conformidad con el RGPD y otras leyes de protección de datos aplicables.

7.1 Decisiones de adecuación

Si Benchmark Email transfiere datos personales a un país reconocido por la Comisión Europea o las autoridades pertinentes como país que ofrece un nivel adecuado de protección de los datos personales, no se requiere que se tomen medidas adicionales. La lista de dichos países se puede consultar en la página web de la Comisión Europea.

7.2 Cláusulas contractuales tipo (SCC)

Cuando sea aplicable, Benchmark Email utilizará las cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea para facilitar las transferencias de datos personales a países fuera del EEE que cumplan con la normativa. Para más detalles, consulta el Anexo 4: Cláusulas contractuales tipo.

7.3 Transferencias de datos al Reino Unido

Con respecto a las transferencias a las que se aplican las leyes de protección de datos del Reino Unido, las SCC se aplicarán, cuando proceda, y se considerarán modificadas según lo especificado en el Anexo del Reino Unido. El Anexo del Reino Unido se considerará ejecutado por las partes e incorporado a este DPA, formando parte integrante del mismo. Además, las tablas pertinentes del Anexo del Reino Unido se considerarán completadas con la información que figura en los Anexos I y II de las SCC pertinentes.

7.4 Transferencias de datos en Suiza

Con respecto a las transferencias a las que se aplican las leyes de protección de datos de Suiza, las SCC se aplicarán, cuando proceda, con las siguientes modificaciones:

• Las referencias al «Reglamento (UE) 2016/679» se interpretarán como referencias a la Ley de Protección de Datos de Suiza.
• Las referencias a artículos específicos del «Reglamento (UE) 2016/679» se sustituirán por el artículo o sección equivalente de la DPA suiza.
• Las referencias a «UE», «Unión» y «legislación de los Estados miembros» se sustituirán por «Suiza».
• Podrán aplicarse otras modificaciones según lo requerido por la legislación suiza.

7.5 Garantías adicionales

Cuando Benchmark Email procese datos personales en una jurisdicción no cubierta por una decisión de adecuación o las SCC, se podrán implementar garantías adicionales, como normas corporativas vinculantes (BCR), códigos de conducta aprobados o certificaciones para garantizar que los datos personales sigan estando protegidos en conformidad con el RGPD.

7.6 Transferencias de datos a subencargados del tratamiento

Si Benchmark Email interactúa con subencargados del tratamiento ubicados fuera del EEE, Benchmark Email se asegurará de que los subencargados del tratamiento estén sujetos al mismo nivel de garantías para las transferencias internacionales de datos, incluido el uso de SCC u otros mecanismos de transferencia reconocidos.

8. Conservación y eliminación de datos

Benchmark Email conservará los datos personales solo durante el tiempo necesario para cumplir los objetivos para los que fueron recopilados, de conformidad con los términos del presente DPA, las instrucciones del cliente y la legislación aplicable.

8.1 Periodo de conservación

Benchmark Email conservará los datos personales durante la vigencia del contrato con el cliente, a menos que la legislación aplicable se requerir o permita un periodo de conservación más largo. Tras el periodo de conservación, Benchmark Email eliminará o anonimizará los Datos personales de acuerdo con sus políticas internas de conservación de datos.

8.2 Eliminación o devolución tras la rescisión

Tras la rescisión o expiración de los Términos, Benchmark Email tomará las medidas razonables para proporcionar herramientas al Cliente (a elección de este) para eliminar o devolver todos los Datos del cliente que estén en posesión o bajo el control de Benchmark Email. Esta obligación no se aplica en la medida en que Benchmark Email esté obligado por la legislación aplicable o las normas del sector a conservar algunos o todos los Datos del Cliente, o a los Datos del Cliente archivados en sistemas de copia de seguridad. En tales casos, Benchmark Email aislará de forma segura los Datos del Cliente, los protegerá de cualquier tratamiento posterior y, finalmente, los eliminará de acuerdo con las políticas de eliminación de Benchmark Email, salvo que se requerir por la legislación aplicable.

8.3 Retención continua de datos por obligaciones legales

Cuando la legislación aplicable requiera a Benchmark Email conservar determinados Datos personales más allá de la vigencia del Acuerdo, Benchmark Email se asegurará de que dichos datos se conserven solo durante el tiempo necesario para cumplir con las obligaciones legales.

8.4 Proceso de eliminación

Una vez eliminados los datos personales, Benchmark Email tomará las medidas razonables para garantizar que los datos se borren de forma segura y no puedan recuperarse, salvo cuando se requiera conservarlos por motivos legales, reglamentarios o comerciales.

9. Modificaciones y actualizaciones

Benchmark Email podrá actualizar o modificar el presente DPA periódicamente para reflejar los cambios en las leyes de protección de datos, los requisitos reglamentarios o la oferta de servicios. Cualquier cambio de este tipo se comunicará al cliente.

9.1 Notificación de cambios

Benchmark Email notificará al Cliente con antelación razonable cualquier cambio sustancial en este DPA. La notificación podrá realizarse por email, a través de la cuenta del Cliente o por otros medios razonables, dependiendo de la naturaleza del cambio. Se considerará que el Cliente ha aceptado el DPA actualizado si continúa utilizando los Servicios de Benchmark Email después de la fecha de entrada en vigor de la actualización.

9.2 Modificaciones

Si se requiere un cambio por motivos legales o reglamentarios, Benchmark Email podrá actualizar este DPA sin previo aviso al Cliente, siempre que se te notifique tan pronto como sea razonablemente posible.

9.3 Ley aplicable y jurisdicción

Cualquier modificación que se realice en este DPA se regirá por los mismos términos, incluidas las disposiciones sobre la ley aplicable y la jurisdicción especificadas en las Condiciones de uso principales entre Benchmark Email y el Cliente.

10. Responsabilidad

10.1 Responsabilidad

La responsabilidad de cada una de las partes y de todas sus filiales, en conjunto, que se derive o esté relacionada con este DPA (incluidas las SCC) estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en las Condiciones de uso entre Benchmark Email y el Cliente.

10.2 Exclusividad de las reclamaciones

Cualquier reclamación presentada contra Benchmark Email o sus afiliados en virtud de este DPA (incluidas, cuando proceda, las SCC) o en relación con él, será presentada únicamente por la entidad del Cliente que sea parte del Acuerdo, salvo que la legislación aplicable se requiera lo contrario.

10.3 Derechos de protección de datos

En ningún caso ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de datos de cualquier persona en virtud del presente DPA o de cualquier otra forma, en la medida en que se requerir por el RGPD o la legislación aplicable en materia de protección de datos.

11. Relación con los Términos

Este DPA forma parte integrante de los Términos de uso entre Benchmark Email y el Cliente. En caso de conflicto entre las disposiciones de este DPA y los Términos de uso, las disposiciones de este DPA prevalecerán con respecto al tratamiento de Datos personales.

11.1 Vigencia y rescisión

Este DPA permanecerá en vigor mientras Benchmark Email procese los Datos del Cliente en nombre del Cliente, o hasta la rescisión de los Términos entre Benchmark Email y el Cliente (y todos los Datos del Cliente hayan sido devueltos o eliminados de acuerdo con la Sección 8.2 anterior).

11.2 Legislación aplicable

El presente DPA se regirá e interpretará de conformidad con las disposiciones sobre legislación aplicable y jurisdicción de los Términos, salvo que las Leyes de Protección de Datos aplicables exijan lo contrario.

11.3 Versión actual

Las partes acuerdan que el presente DPA sustituirá cualquier acuerdo de tratamiento de datos o documento similar que las partes hayan celebrado anteriormente en relación con el Servicio.

12. Varios

12.1 Fuerza mayor

Benchmark Email no será responsable de ningún incumplimiento o retraso en el cumplimiento del presente DPA debido a circunstancias que escapen a su control razonable, incluyendo, entre otras, desastres naturales, guerras, terrorismo, acciones gubernamentales, cortes de energía u otros eventos de fuerza mayor. Para más detalles, consulta la disposición sobre fuerza mayor de los Términos de uso.

12.2 Divisibilidad

Si alguna disposición de este DPA fuera suspendida, ilegal o inaplicable por un tribunal de jurisdicción competente, las disposiciones restantes seguirán siendo plenamente vigentes y efectivas.

12.3 Acuerdo completo

Este DPA, junto con las Condiciones de uso y cualquier otro acuerdo incorporado por referencia, constituye el acuerdo completo entre las partes con respecto al tratamiento de los Datos personales. Cualquier acuerdo, entendimiento o declaración anterior relacionado con el objeto del presente DPA queda sustituido y reemplazado por el presente DPA. Para más detalles, consulta la disposición sobre el acuerdo completo en las Condiciones de uso.

12.4 Renuncia

El hecho de que no hagamos valer cualquier derecho o disposición del presente DPA no constituye una renuncia a dicho derecho o disposición. Cualquier renuncia deberá hacerse por escrito para que sea efectiva.

12.5 Resolución de disputas

Cualquier disputa que surja de o en relación con este DPA se resolverá de acuerdo con las disposiciones de resolución de disputas especificadas en los Términos de uso.

12.6 Cesión

No puedes ceder ni transferir estos Términos ni tus derechos en virtud de los mismos sin el consentimiento previo por escrito de Benchmark Email. Podemos ceder o transferir estos Términos sin restricciones, incluso en caso de fusión, adquisición o venta de archivos.

12.7 Idioma

Este DPA está redactado en inglés, y cualquier traducción proporcionada es para mayor comodidad. En caso de discrepancia entre la versión en inglés y una versión traducida, prevalecerá la versión en inglés.

12.8 Ausencia de terceros beneficiarios

Este DPA está destinado al beneficio de las partes del acuerdo y no tiene por objeto conferir ningún derecho o beneficio a terceros, salvo que se indique lo contrario en el presente documento.

Anexo 1: Detalles del tratamiento de datos

1. Objetivo del tratamiento de datos

El objetivo del tratamiento de los datos personales es prestar los servicios descritos en las Condiciones de uso.

2. Naturaleza del tratamiento

Benchmark Email proporciona software de email marketing y automatización como servicio y otros servicios relacionados, tal y como se describe en las Condiciones de uso. El objeto del tratamiento de datos en virtud del presente DPA son los Datos del Cliente. Los Datos del Cliente se tratarán de conformidad con las Condiciones de uso (incluido el presente DPA).

3. Categorías de datos

Se podrán tratar las siguientes categorías de Datos personales:

• Información de contacto: nombre, dirección de email, número de teléfono y cualquier otra información que el Cliente proporcione a Benchmark Email.
• Información de facturación del Cliente: dirección de facturación, datos de la tarjeta de crédito y otra información de pago.
• Preferencias del cliente: estado de la suscripción al email, preferencias de email marketing, etc.
• Datos de comportamiento: dirección IP, datos de navegación, datos del navegador, datos de cookies, interacción con los emails, tasas de clics, etc.

4. Interesados

Los interesados cuyos datos personales se tratan incluyen:

• Clientes que utilizan los Servicios.
• Suscriptores, clientes y clientes potenciales del Cliente.Las personas que interactúan con las campañas de email del cliente, incluidos los visitantes de su página web o los destinatarios de emails de marketing.

5. Actividades de tratamiento

Se realizarán las siguientes actividades de tratamiento de los datos personales:

• Recopilación de datos a través de formularios, campañas de email y integraciones.
• Almacenamiento de datos, incluida la conservación de la información de contacto e interacción.
• Análisis de datos para la elaboración de informes y la optimización de campañas.
• Transmisión de datos del cliente con fines de marketing (por ejemplo, envío de emails).

6. Conservación de datos

Benchmark Email tratará los datos del cliente durante la vigencia de los servicios, tal y como se describe en las condiciones de uso. La conservación de los datos personales se gestionará de acuerdo con la política de conservación de datos de Benchmark Email, tal y como se describe en la sección 8 del presente DPA.

7. Transferencias de datos

Cualquier transferencia de datos, en particular las transferencias transfronterizas, estará cubierta por las disposiciones de la sección 7. Transferencias internacionales o Anexo 4: Cláusulas contractuales tipo (SCC).

8. Subencargados del tratamiento

La lista de subencargados del tratamiento con los que Benchmark Email ha establecido una interacción para las actividades de tratamiento de datos se detalla en el Anexo 3: Lista de subencargados del tratamiento.

Anexo 2: Medidas de seguridad

Las medidas de seguridad aplicables al Servicio se describen en el presente documento.

1. Medidas de seguridad organizativas

• Delegado de protección de datos (DPO): Benchmark Email ha designado a un delegado de protección de datos para supervisar la conformidad con el RGPD y otras normativas de protección de datos.
• Formación de los empleados: Todos los empleados que participan en el tratamiento de datos personales reciben formación periódica sobre los principios de protección de datos, incluyendo la confidencialidad, la integridad y la seguridad.
• Control de acceso: El acceso a los datos personales está restringido al personal autorizado en función de sus funciones. Todos los accesos se registran y supervisan para garantizar la responsabilidad.

2. Medidas de seguridad técnicas

• Cifrado: Los datos personales se cifran tanto en tránsito como en reposo utilizando protocolos de cifrado estándar del sector (por ejemplo, SSL/TLS para los datos en tránsito y AES para los datos en reposo).
• Integridad de los datos: Implementamos medidas para garantizar la integridad de los datos personales, incluyendo sumas de comprobación y funciones hash para verificar la exactitud de los datos durante su transmisión y almacenamiento.
• Control de cambios: Benchmark Email mantiene políticas y procedimientos para aplicar cambios a los Servicios, incluyendo la infraestructura subyacente y los componentes del sistema, con el fin de garantizar el cumplimiento de los estándares de calidad.
• Anonimización de datos: Cuando procede, Benchmark Email utiliza técnicas de anonimización para garantizar que los datos personales sensibles no se expongan innecesariamente.

3. Respuesta a incidentes

• Gestión de violaciones de seguridad: Benchmark Email ha establecido procedimientos para detectar, notificar y gestionar las violaciones de seguridad. En caso de violación de datos, te notificaremos de inmediato de acuerdo con la sección de notificación de violación de datos del DPA.
• Registros de incidentes: Todos los incidentes de seguridad se registran y los registros se revisan periódicamente para garantizar que se identifiquen y aborden las posibles amenazas.

4. Disponibilidad del sistema

• Redundancia y copias de seguridad: Benchmark Email emplea medidas de redundancia, incluidos centros de datos distribuidos geográficamente y sistemas de copia de seguridad, para garantizar que los datos de los clientes sigan estando disponibles en caso de fallo.
• Recuperación ante desastres: Mantenemos un plan de recuperación ante desastres que se prueba periódicamente para garantizar una interrupción mínima de los servicios y el procesamiento de datos en caso de una interrupción significativa o un desastre.

5. Supervisión y mejora continuas

• Gestión de vulnerabilidades: Benchmark Email realiza evaluaciones periódicas de vulnerabilidad y pruebas de penetración para identificar y resolver posibles debilidades de seguridad.
• Auditorías de seguridad: Se realizan auditorías independientes de nuestras medidas de seguridad de forma periódica para garantizar la conformidad con las mejores prácticas del sector y del RGPD.

Anexo 3: Lista de subencargados del tratamiento

1. Lista de subencargados del tratamiento

Benchmark Email utiliza los siguientes subencargados del tratamiento para ayudar a prestar sus servicios:

 

Subprocesador	Localización	Uso
Amazon AWS	EE. UU., Japón	Alojamiento, almacenamiento de datos, análisis
Auth0	EE. UU.	Autenticación y autorización de clientes
BenchmarkONE	EE. UU.	CRM y comunicación con los clientes por email
CD Networks	EE. UU.	Conectividad de red
Cloudflare	Global	Distribución de contenido, seguridad, prevención de abusos y servicios DNS
Command	EE. UU.	Comunicación con los clientes dentro de la aplicación
DNS Made Easy	EE. UU.	Servicios DNS
FullStory	EE. UU.	Análisis del uso de productos
Google	EE. UU.	Almacenamiento de datos, análisis de páginas web
HelpScout	EE. UU.	Tickets de atención al cliente y comunicación con los clientes a través de chat y email
Intercom	EE. UU.	Comunicación con los clientes a través de la aplicación y el email
Kickbox	EE. UU.	Verificación de email
LiveChat	EE. UU.	Comunicación con los clientes a través de chat
OpenAI	EE. UU.	Funcionalidades habilitadas por IA
Slack	EE. UU.	Comunicación interna y colaboración
Zendesk	EE. UU.	Tickets de atención al cliente y comunicación por email

 

2. Actualizaciones de los subencargados del tratamiento

Benchmark Email actualizará esta lista según sea necesario. Se notificará a los clientes cualquier nuevo subencargado del tratamiento o cambio en esta lista de acuerdo con los términos especificados en la sección 4: Subencargados del tratamiento del DPA.

Anexo 4: Cláusulas contractuales tipo (SCC)

SECCIÓN I

Cláusula 1: Objetivo y ámbito de aplicación

El objetivo de estas cláusulas contractuales tipo es garantizar la conformidad con lo requerido por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la versión libre de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.

(b) Las Partes: (i) la persona o personas físicas o jurídicas, autoridad o autoridades públicas, agencia o agencias u otros organismos (en adelante, «entidad o entidades») que transfieren los datos personales, tal y como se enumeran en el anexo I.A (en adelante, cada uno de ellos «exportador de datos»), y (ii) la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también es parte en las presentes cláusulas, tal como se enumeran en el anexo I.A (en lo sucesivo, cada uno de ellos, «importador de datos») han aceptado las presentes cláusulas contractuales tipo (en lo sucesivo, «cláusulas»).

(c) Las presentes Cláusulas se aplican con respecto a la transferencia de datos personales tal y como se especifica en el anexo I.B.

(d) El apéndice de las presentes Cláusulas, que contiene los anexos a los que se hace referencia en ellas, forma parte integrante de las mismas.

Cláusula 2 - Efecto e invariabilidad de las Cláusulas

(a) Las presentes Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en lo que respecta a las transferencias de datos de los responsables del tratamiento a los encargados del tratamiento y/o de los encargados del tratamiento a otros encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información en el apéndice. Esto no impide a las partes incluir las cláusulas contractuales tipo establecidas en las presentes cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) Las presentes cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 - Terceros beneficiarios

(a) Los interesados podrán invocar y hacer valer las presentes cláusulas, en calidad de terceros beneficiarios, frente al exportador de datos y/o al importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 - Cláusula 8.1(b), 8.9(a), (c), (d) y (e);

(iii) Cláusula 9: Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12: Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18: Cláusula 18(a) y (b).

(b) El párrafo (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4 - Interpretación

(a) Cuando en estas cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

(c) Las presentes cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5 - Jerarquía

En caso de contradicción entre las presentes cláusulas y las disposiciones de los acuerdos relacionados entre las partes, existentes en el momento en que se acuerden o celebren las presentes cláusulas, prevalecerán estas últimas.

Cláusula 6 - Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y el objetivo para la(s) que se transfieren, se especifican en el anexo I.B.

Cláusula 7 - Cláusula de acoplamiento

(a) Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a ellas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.

(b) Una vez que haya completado el apéndice y firmado el anexo I.A, la entidad adherida se convertirá en parte de estas cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el anexo I.A.

(c) La entidad adherida no tendrá derechos ni obligaciones derivados de estas cláusulas desde el período anterior a su adhesión.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8 - Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir sus obligaciones en virtud de las presentes Cláusulas.

8.1 Instrucciones

1. a) El importador de datos tratará los datos personales únicamente siguiendo las instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.
2. b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación del objetivo

El importador de datos tratará los datos personales únicamente para los objetivos específicos de la transferencia, tal y como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá a disposición del interesado, de forma gratuita, una copy de las presentes cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copy, pero deberá proporcionar un resumen significativo cuando, de otro modo, el interesado no pudiera entender su contenido o ejercer sus derechos. Previa solicitud, las partes proporcionarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos tiene reconocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En tal caso, el importador de datos cooperará con el exportador de datos para suprimir o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y eliminará las copy existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando la conformidad con las presentes cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando la conformidad con las presentes cláusulas y solo los tratará en la medida y durante el tiempo que se requiera en la legislación local. Esto se entiende sin perjuicio de la cláusula 14, en particular, se requerir que el importador de datos, en virtud de la cláusula 14, letra e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6 Seguridad del tratamiento

(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra violaciones de la seguridad que puedan dar lugar a la destrucción, pérdida, alteración, divulgación o acceso no autorizados de dichos datos (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los objetivos del tratamiento, así como los riesgos que este entraña para los interesados. Las Partes tendrán en cuenta, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el objetivo del tratamiento pueda alcanzarse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico seguirá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Cumpliendo con sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.

(b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, gestión y supervisión del contrato. Te asegurarás de que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

1. c) En caso de violación de la seguridad de los datos personales tratados por el importador de datos en virtud de las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada después de haber tenido reconocimiento de la violación. Dicha notificación contendrá los datos de contacto donde se puede obtener más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, cuando proceda, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial incluirá la información disponible en ese momento y, posteriormente, se proporcionará sin demora injustificada la información adicional a medida que esté disponible.
2. d) El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir con las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el importador de datos.

8.7 Datos sensibles

Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el objetivo de identificar de manera única a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas y delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8. Transferencias posteriores

El importador de datos solo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán revelarse a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en adelante «transferencia posterior») si el tercero está o acepta estar sujeto a las presentes cláusulas, en virtud del módulo adecuado, o si: i) la transferencia posterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubra la transferencia posterior; (ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión; (iii) la transferencia posterior sea necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o(iv) la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física. Cualquier transferencia posterior está sujeta a la conformidad por parte del importador de datos de todas las demás garantías previstas en las presentes cláusulas, en particular la limitación del objetivo.

8.9 Documentación y conformidad

(a) El importador de datos responderá de forma rápida y adecuada a las consultas del exportador de datos relacionadas con el tratamiento en virtud de las presentes cláusulas.

(b) Las partes deberán poder demostrar la conformidad con las presentes cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar la conformidad con las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si hay indicios de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que el importador de datos suspenda.

(d) Tú podrás seleccionar realizar la auditoría por ti mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando proceda, se llevarán a cabo con un preaviso razonable.

(e) Las partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información a que se refieren los apartados (b) y (c), incluidos los resultados de cualquier auditoría.

Cláusula 9 - Utilización de subencargados del tratamiento

El importador de datos cuenta con la autorización general del exportador de datos para la interacción con subencargados del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos 10 días de con antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la interacción con los subencargados del tratamiento. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho de oposición.

(b) Cuando el importador de datos interactúe con un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios de los interesados. Las partes acuerdan que, al cumplir con la presente cláusula, el importador de datos cumple con sus obligaciones en virtud de la cláusula 8.8. El importador de datos se asegurará de que el subencargado del tratamiento cumpla con las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.

(c) El importador de datos proporcionará, a petición del exportador de datos, una copy de dicho acuerdo con el subencargado del tratamiento y de cualquier modificación posterior al exportador de datos. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá censurar el texto del acuerdo antes de compartir una copy.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.

(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario por la que, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato con el subencargado del tratamiento y a ordenarle que borre o devuelva los datos personales.

Cláusula 10 - Derechos de los interesados

(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo, a menos que haya sido autorizado para ello por el exportador de datos.

(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.

(c) En el cumplimiento de tus obligaciones en virtud de los apartados (a) y (b), el importador de datos cumplirás con las instrucciones del exportador de datos.

Cláusula 11 - Recurso

(a) El importador de datos informará a los interesados, de forma transparente y fácilmente accesible, mediante notificación individual o en su página web, de un punto de contacto autorizado para tramitar las quejas. Tratarás con prontitud cualquier queja que recibas de un interesado.

(b) En caso de controversia entre un interesado y una de las Partes en relación con la conformidad de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán mutuamente informadas sobre dichas controversias y, cuando proceda, cooperarán para resolverlas.

1. c) Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la cláusula 3, el importador de datos aceptará la decisión del interesado de:
2. i) presentar una queja ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la cláusula 13;

(ii) someter la controversia a los tribunales competentes en el sentido de la cláusula 18.

(d) Las partes aceptan que el interesado pueda estar representado por un organismo, empresa o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos acatará cualquier decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará tus derechos sustantivos y procesales a solicitar recursos de conformidad con la legislación aplicable.

Cláusula 12 - Responsabilidad

(a) Cada una de las partes será responsable ante la otra u otras partes por los daños y perjuicios que cause a la otra u otras partes por cualquier incumplimiento de las presentes cláusulas.

(b) El importador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización por los daños materiales o inmateriales que el importador de datos o su subencargado del tratamiento le causen al incumplir los derechos de terceros beneficiarios en virtud de las presentes cláusulas.

(c) Sin perjuicio de lo dispuesto en el apartado (b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado al infringir los derechos de terceros beneficiarios en virtud de las presentes cláusulas.. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.

(d) Las Partes acuerdan que, si el exportador de datos es suspendido en virtud del apartado (c) por los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización de comunicación a la responsabilidad de este último por los daños.

(e) Cuando más de una de las Partes sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes cláusulas, todas las Partes responsables serán responsables solidariamente y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.

(f) Las partes acuerdan que, si una de ellas es suspendida en virtud del apartado (e), tendrá derecho a reclamar a la otra u otras partes la parte de la indemnización correspondiente a su responsabilidad por el daño.

(g) El importador de datos no podrá invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13 - Supervisión

(a) La autoridad de control responsable de garantizar la conformidad por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal y como se indica en el anexo I.C, actuará como autoridad de control competente.

(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar la conformidad con las presentes cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III - LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14 - Leyes y prácticas locales que afectan a la conformidad con las Cláusulas

(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autorizan el acceso de las autoridades públicas, impiden al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en entender que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no contradicen las presentes cláusulas.

1. b) Las partes declaran que, al proporcionar la garantía del apartado a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
2. i) las circunstancias específicas de la transferencia, incluida la duración de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; el objetivo del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino —incluidas aquellas en las que se requerir la divulgación de datos a las autoridades públicas o se autorizar el acceso de dichas autoridades— pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;

(iii) cualquier garantía contractual, técnica u organizativa pertinente establecida para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.

(c) El importador de datos garantiza que, al realizar la evaluación prevista en el apartado (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir cooperando con el exportador de datos para garantizar la conformidad de las presentes Cláusulas.

(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente que lo solicite.

(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan al requerido del apartado (a), incluso tras un cambio en la legislación del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajusta al requerido del apartado (a).

(f) Tras una notificación de conformidad con el apartado (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de las presentes cláusulas, el exportador de datos identificará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deben adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si tiene en cuenta que no se pueden garantizar las salvaguardias adecuadas para dicha transferencia, o si así lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas. Si el contrato involucra a más de dos partes, el exportador de datos solo podrá ejercer este derecho de rescisión con respecto a la parte pertinente, a menos que las partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con la presente cláusula, se aplicarán las cláusulas 16(d) y e).

Cláusula 15: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

1. a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario, con la ayuda del exportador de datos) si:

(i) reciba una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de la legislación del país de destino, para la divulgación de datos personales transferidos de conformidad con las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o

(ii) reconoce cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con las presentes Cláusulas, de acuerdo con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

(c) Cuando lo permita la legislación del país de destino, tú te comprometes a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información relevante posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información contemplada en los apartados (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente cuando esta lo solicite.

(e) Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la cláusula 14(e) y la cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir con estas cláusulas.

15.2 Revisión de la legalidad y minimización de datos

(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las competencias otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para tener en cuenta que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, estudiará las posibilidades de recurso. Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre su fondo. No divulgará los datos personales solicitados hasta que se le requerir hacerlo en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14, letra e).

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente que lo solicite.

(c) El importador de datos se compromete a proporcionar el número mínimo de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16 - Incumplimiento de las cláusulas y rescisión

(a) El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas cláusulas, por cualquier motivo.

(b) En caso de que tú incumplas estas Cláusulas o no puedas cumplir con ellas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo la conformidad o se rescinda el contrato. Esto se entiende sin perjuicio de la Cláusula 14(f).

(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes Cláusulas, cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y la conformidad de las presentes Cláusulas no se restablezca en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

(ii) el importador de datos incumpla de manera sustancial o persistente las presentes cláusulas; o

(iii) el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad de control en relación con sus obligaciones en virtud de las presentes cláusulas. En estos casos, informará a la autoridad de control competente de dicha no conformidad. Cuando el contrato implique a más de dos partes, el exportador de datos solo podrá ejercer este derecho de rescisión con respecto a la parte pertinente, salvo que las partes hayan acordado otra cosa.

(d) Los datos personales que hayan sido transferidos antes de la rescisión del contrato de conformidad con el apartado (c) se devolverán inmediatamente al exportador de datos o se suprimirán en su totalidad, a elección del exportador de datos. Lo mismo se aplicará a cualquier copy de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando la conformidad con las presentes cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá garantizando la conformidad con las presentes cláusulas y solo tratará los datos en la medida y durante el tiempo que se requiera en dicha ley local.

(e) Cualquiera de las partes podrá revocar su acuerdo de quedar vinculada por las presentes cláusulas cuando: i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes cláusulas; o ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 - Legislación aplicable

Las presentes Cláusulas se regirán por la legislación de la jurisdicción especificada en la sección 11.2 del DPA y en las Condiciones de uso de Benchmark Email, salvo que las Leyes de protección de datos aplicables requieran lo contrario.

Cláusula 18 - Elección del foro y la jurisdicción

(a) Cualquier controversia que surja de estas Cláusulas será resuelta por los tribunales de la jurisdicción especificada en la sección 11.2 del DPA y en las Condiciones de uso de Benchmark Email. (b) Las Partes acuerdan que serán los tribunales de la jurisdicción especificada en la sección 11.2 del DPA y en las Condiciones de uso de Benchmark Email. (c) El interesado también podrá interponer acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

APÉNDICE a las Cláusulas Contractuales Tipo

ANEXO I

1. LISTA DE PARTES

Exportador(es) de datos:

1. Cliente, tal y como se define en las Condiciones de uso de Benchmark Email, a las que se adjunta el Anexo de tratamiento de datos.

Importador(es) de datos:

1. Nombre: Polaris Software, Inc.

Dirección: 3636 S. Geyer Road, Suite 100, St Louis, mes 63127 EE. UU.

Nombre, cargo y datos de contacto de la persona de contacto: support@benchmarkemail.com

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: email marketing

Firma y fecha: Las Cláusulas Contractuales Tipo entrarán en vigor en la fecha en que el cliente acepte las Condiciones de uso de Benchmark Email y el Anexo de tratamiento de datos (DPA). Si el cliente se convierte en cliente de Benchmark Email después de la ejecución de este DPA, las SCC se considerarán efectivas el día en que el cliente acepte las Condiciones de uso y el DPA.

Función (responsable del tratamiento/encargado del tratamiento): encargado del tratamiento

1. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren: tú determinas y controlas el alcance de los Datos personales de los clientes enviados para su Tratamiento por los Servicios, que pueden incluir Datos personales relacionados con: (1) Usuarios: cualquier persona que acceda y/o utilice los Servicios a través de la cuenta de tú; (2) Suscriptores: cualquier persona cuya dirección de email esté incluida en la lista de distribución de tú / cuya información esté almacenada o se recopile a través de los Servicios / a quien los Usuarios envíen emails o con quien interactúen o se comuniquen a través de los Servicios.

Categorías de datos personales transferidos: Los datos personales transferidos se refieren a las siguientes categorías de datos: (1) Usuarios: datos de identificación y contacto (nombre, datos de contacto, incluida la dirección de email, nombre de usuario); información de facturación (dirección de facturación, información de pago); información de la empresa (nombre, dirección, ubicación geográfica, área de responsabilidad, código de IVA), información informática (dirección IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos del navegador, información del dispositivo de acceso); (2) Suscriptores: email y cualquier otra información adicional que el Cliente proporcione a Benchmark Email.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos que conllevan, como, por ejemplo, la limitación estricta del objetivo, las restricciones de acceso (incluido el acceso exclusivo para el personal que haya recibido formación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales: No se transferirán datos sensibles a Benchmark Email.

Frecuencia de la transferencia: Los datos se transfieren de forma continua durante la vigencia de los Servicios, tal y como se describe en las Condiciones de uso.

Naturaleza del tratamiento: Benchmark Email es un servicio que proporciona a los clientes un medio para recopilar direcciones de correo electrónico y crear, enviar y realizar un seguimiento de promociones por email («Servicios») y otros servicios de conformidad con cualquier confirmación de pedido, documento de pedido o registro en línea, tal y como se describe en las Condiciones de uso.

Objetivo de la transferencia de datos y su posterior tratamiento: El objetivo del tratamiento de datos en virtud del presente DPA es la prestación de los Servicios.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período: Los datos se conservarán durante la vigencia de los Servicios. No se aplicará en la medida en que Benchmark Email esté obligado por la legislación aplicable a conservar algunos o todos los Datos del Cliente, o a los Datos del Cliente que haya archivado en sistemas de copia de seguridad en los que los Datos del Cliente estén aislados de forma segura y protegidos de cualquier tratamiento posterior, salvo en la medida en que se requiera por la legislación aplicable.

Para las transferencias a (sub)encargados del tratamiento, especifica también el objeto, la naturaleza y la duración del tratamiento: Los Datos personales pueden ser transferidos a los subencargados del tratamiento de Benchmark Email con el fin de proporcionar los Servicios a sus clientes. El subencargado del tratamiento deberá actuar durante la vigencia de la prestación de los Servicios o durante un periodo más largo, si así se requerir por la ley.

1. AUTORIDAD DE CONTROL COMPETENTE

Identifica la autoridad o autoridades de control competentes de conformidad con la cláusula 13:

La autoridad de control competente para garantizar la conformidad del Reglamento (UE) 2016/679 (RGPD) con respecto a la transferencia de datos de los clientes es la autoridad de protección de datos (DPA) de la jurisdicción del cliente. La autoridad competente se determinará en función de la ubicación del Cliente (el Exportador de Datos), tal y como figura en el directorio de autoridades de control del EDPB (disponible en: Autoridades de control del EDPB).

Para los clientes ubicados en la Unión Europea (UE) o en el Espacio Económico Europeo (EEE), la autoridad competente será la autoridad de protección de datos del país del cliente. Para los clientes ubicados en el Reino Unido (RU), la autoridad competente es la Oficina del Comisionado de Información (ICO). Para los clientes ubicados en Suiza, la autoridad competente es el Comisionado Federal de Protección de Datos e Información (FDPIC).

En caso de tratamiento transfronterizo de datos, el Comité Europeo de Protección de Datos (CEPD) podrá intervenir en la resolución de litigios, en particular en el marco del mecanismo de ventanilla única definido en el RGPD.

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Ver el anexo 2 del DPA: Medidas de seguridad.

ANEXO III

LISTA DE SUBCONTRATISTAS

Ver el anexo 3 del DPA: Lista de subcontratistas.

Última actualización: 15 de octubre de 2025