Mailgun

Cláusula adicional al Tratamiento de Datos

La presente Cláusula Adicional al Tratamiento de Datos («Cláusula Adicional») forma parte de las Condiciones de Servicio de Mailgun (el «Acuerdo Principal») por y entre Mailgun Technologies, Inc. en su propio nombre y en nombre de sus Afiliados («Mailgun») y el «Cliente» y está sujeta al Acuerdo Principal.

1. Definiciones.

A los efectos de la presente Cláusula Adicional, los términos en mayúscula inicial tendrán los siguientes significados. Los términos en mayúscula inicial que no se definan de otro modo tendrán el significado que se les dé en el Acuerdo Principal.

(a) Por «Afiliados» se entiende cualquier entidad que sea propiedad o que posea Mailgun Technologies, Inc. o que esté bajo control común con una de las entidades de Mailgun, incluidas, entre otras, Mailgun Technologies SAS y Mailjet SAS.

(b) Por «Datos Personales del Cliente» se entiende cualquier dato personal que es procesado por Mailgun en nombre del Cliente para prestar los Servicios en virtud del Acuerdo Principal.

(c) Por «Leyes de protección de datos de la UE» se entiende la Directiva 95/46/CE de la UE, tal como ha sido incorporada a la legislación interna de cada Estado miembro y en su versión modificada, sustituida o reemplazada periódicamente, incluso (con efecto a partir del 25 de mayo de 2018) por el RGPD y las leyes que aplican, sustituyen o complementan el RGPD.

(d) Por «RGPD» se entiende el Reglamento General de Protección de Datos de la UE 2016/679.

(e) Por «EEE» se entiende el Espacio Económico Europeo.

(f) Por «Infraestructura de Mailgun» se entiende (i) las instalaciones físicas de Mailgun; (ii) la infraestructura alojada en la nube; (iii) la red corporativa de Mailgun y la red interna no pública, el software y el hardware necesario para prestar los Servicios y que está controlado por Mailgun; en cada caso en la medida en que se utilicen para prestar los Servicios.

(g) Por «Transferencia restringida» se entiende una transferencia de los Datos Personales del Cliente de Mailgun a un subencargado del tratamiento cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos de la UE (o por las condiciones de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos de la UE) en ausencia de las salvaguardias apropiadas requeridas para dichas transferencias en virtud de las Leyes de Protección de Datos de la UE.

(h) Por «Servicios» se entiende los servicios que Mailgun presta al Cliente de conformidad con el Acuerdo Principal.

(i) Por «Cláusulas contractuales tipo» se entiende la última versión de las cláusulas contractuales tipo relativas a la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo (la versión vigente a la fecha de la presente Cláusula Adicional figura se adjunta a la Decisión 2010/87/UE de la Comisión Europea).

(j) Los términos «consentimiento», «responsable del tratamiento», «interesado», «Estado miembro», «datos personales», «violación de los datos personales», «encargado del tratamiento», «subencargado del tratamiento», «tratamiento», «autoridad de supervisión» y «tercero» tendrá el significado que se les atribuye en el artículo 4 del RGPD.

2. Cumplimiento de las Leyes de Protección de Datos de la UE

(a) Mailgun y el Cliente deberán cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protección de Datos de la UE y procurarán que sus empleados, agentes y contratistas observen las disposiciones de las Leyes de Protección de Datos de la UE.

3. Detalles y Ámbito del Tratamiento

(a) El Tratamiento de los Datos Personales del Cliente dentro del ámbito de aplicación del Acuerdo se llevará a cabo de conformidad con las siguientes disposiciones y según lo dispuesto en el artículo 28 (3) del RGPD. Las partes podrán modificar esta información periódicamente, según consideren razonablemente necesario para cumplir con esos requisitos.

(i) Objeto y duración del tratamiento de los Datos Personales: El objeto y la duración del tratamiento de los Datos Personales se establecen en el Acuerdo Principal.

(ii) Naturaleza y finalidad del tratamiento de los Datos Personales: en virtud del Acuerdo Principal, Mailgun proporciona determinados servicios de email y sms al Cliente que implican el tratamiento de datos personales. Estas actividades de tratamiento incluyen (a) la prestación de Servicios; (b) la detección, prevención y resolución de problemas técnicos y de seguridad; y (c) la respuesta a las solicitudes de asistencia técnica del Cliente.

(iii) Tipos de Datos Personales a tratar: los datos personales enviados, cuyo alcance es determinado y controlado por el Responsable del tratamiento a su sola discreción, incluyen nombre, email, números de teléfono, direcciones IP y otros datos personales incluido en las listas de suscriptores y el contenido de los mensajes.

(iv) Categorías de interesados a los que se refieren los Datos Personales: remitentes y destinatarios de mensajes de email y sms.

(b) Mailgun únicamente tratará los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Acuerdo Principal y (i) de conformidad con las instrucciones documentadas descritas en la presente Cláusula Adicional o según las instrucciones periódicas del Cliente. Estas instrucciones del Cliente serán documentadas en el pedido, la descripción de los servicios, el ticket de asistencia técnica, otras comunicaciones por escrito aplicables o según lo indique el Cliente que utilice los Servicios (por ejemplo, a través de una API o un panel de control).

(c) Cuando Mailgun considere razonablemente que una instrucción del Cliente es contraria a lo dispuesto en el Acuerdo Principal o en la presente Cláusula Adicional, o que infringe el RGPD u otras disposiciones de protección de datos aplicables, informará al Cliente sin demora. En ambos casos, Mailgun estará autorizado a aplazar el cumplimiento de la instrucción pertinente hasta que haya sido enmendada por el Cliente o sea acordada mutuamente por el Cliente y Mailgun.

(d) El Cliente será el único responsable de su utilización y gestión de los Datos Personales enviados o transmitidos por los Servicios, incluida: (i) la verificación de las direcciones de los destinatarios y de que están correctamente introducidas en los Servicios; (ii) la notificación razonable a cualquier destinatario de la naturaleza insegura del email como medio de transmisión de Datos Personales (según proceda); (iii) la limitación razonable de la cantidad o el tipo de información divulgada a través de los Servicios; (iv) la encriptación de cualesquiera Datos Personales transmitidos a través de los Servicios, cuando proceda o lo exija la ley aplicable (por ejemplo, mediante el uso de archivos adjuntos encriptados, herramientas PGP o S/MIME). Cuando el Cliente decide no configurar la encriptación obligatoria, el Cliente reconoce que los Servicios pueden incluir la transmisión de email no encriptado en texto plano a través de la red pública de Internet y las redes abiertas. La información transmitida a los Servicios, incluido el contenido de los mensajes, se almacena en formato encriptado cuando es procesada por la Infraestructura de Mailgun.

4. Responsable del tratamiento y Encargado del tratamiento

(a) A todos los efectos de la presente Cláusula Adicional, el Cliente es el responsable del tratamiento de sus Datos Personales y Mailgun es el encargado del tratamiento de dichos datos, excepto cuando el Cliente actúe como encargado de los Datos Personales del Cliente, en cuyo caso Mailgun será un subencargado.

(b) Mailgun contará en todo momento con un agente que será responsable de asistir al Cliente (i) para responder a las consultas relativas al Tratamiento de Datos recibidas de los Interesados; y (ii) para completar cualesquiera requisitos legales de información y divulgación que se apliquen y que estén relacionados con el Tratamiento de Datos. Puede contactar directamente con el Delegado de Protección de Datos en la siguiente dirección: privacy@mailgun.com.

(c) El Cliente garantiza que:

(i) el tratamiento de los Datos Personales del Cliente se basa en fundamentos legales para el tratamiento, como puede ser requerido por las Leyes de Protección de Datos de la UE y que ha cumplido con, y que mantendrá durante toda la vigencia del Acuerdo Principal, todos los derechos, permisos, registros y consentimientos necesarios de conformidad con y según lo requerido por las Leyes de Protección de Datos de la UE con respecto al tratamiento de Mailgun de los Datos Personales del Cliente en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(ii) tiene derecho y dispone de todos los derechos, permisos y consentimientos necesarios para transferir los Datos Personales del Cliente a Mailgun y por lo demás permitir que Mailgun trate los Datos Personales del Cliente en su nombre, de modo que Mailgun pueda utilizar, tratar y transferir legalmente los Datos Personales del Cliente para llevar a cabo los Servicios y cumplir con los demás derechos y obligaciones de Mailgun en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(iii) informará a sus Interesados sobre la utilización de Encargados del tratamiento en el Tratamiento de sus Datos Personales, en la medida en que lo exijan las Leyes de Protección de Datos de la UE aplicables; y

(iv) responderá en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los Interesados en relación con el Tratamiento de sus Datos Personales y dará las instrucciones apropiadas al Encargado del tratamiento de manera oportuna.

5. Confidencialidad

(a) Mailgun se asegurará de que cada uno de sus empleados, y los de sus subencargados del tratamiento, estén autorizados a tratar los Datos Personales del Cliente, estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad y estén capacitados para cumplir los requisitos pertinentes de seguridad y de Protección de Datos.

6. Medidas técnicas y de organización

(a) En relación con los Datos Personales del Cliente, Mailgun (a) tomará y documentará, según corresponda, las medidas razonables y apropiadas requeridas de conformidad con el Artículo 32 del RGPD en materia de seguridad de la Infraestructura de Mailgun y las plataformas utilizadas para prestar los Servicios tal como se describe en el Acuerdo Principal, y (b) previa solicitud razonable y por cuenta del Cliente, asistirá al Cliente para asegurar el cumplimiento de las obligaciones del Cliente de conformidad con el Artículo 32 del RGPD.

(b) Los procedimientos operativos internos de Mailgun deberán cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

7. Solicitudes de los Interesados

(a) Mailgun proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes enviadas por los interesados. Estas incluyen nuestras API e interfaces de búsqueda de datos de incidentes, de supresiones y de recuperación del contenido de los mensajes. Cuando Mailgun reciba una queja, consulta o solicitud (incluidas las solicitudes hechas por los interesados para ejercer sus derechos de conformidad con las Leyes de Protección de Datos de la UE) relacionada con los Datos Personales del Cliente directamente de los interesados, Mailgun lo notificará al Cliente en un plazo de 14 días a partir de la recepción de la queja, consulta o solicitud. Habida cuenta de la naturaleza del tratamiento, Mailgun asistirá al Cliente, por cuenta de este, mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de dichos derechos de los interesados.

8. Violaciones de Datos Personales

(a) Mailgun notificará al Cliente sin demora injustificada tan pronto como Mailgun tenga conocimiento de una violación de datos personales que afecte a los Datos Personales del Cliente. Habida cuenta de la naturaleza del tratamiento y la información disponible para Mailgun, Mailgun hará esfuerzos comercialmente razonables para proporcionar al cliente la información suficiente para permitir al Cliente, a su cargo, cumplir con cualquier obligación de notificar o informar a las autoridades reguladoras, los interesados y otras entidades de dicha violación de datos personales en la medida en que se requiera en virtud de las Leyes de Protección de Datos de la UE.

9. Evaluaciones del impacto de la Protección de Datos

(a) Habida cuenta de la naturaleza del tratamiento y la información disponible, Mailgun proporcionará una asistencia razonable al Cliente, a cargo de este, en relación con cualesquiera evaluaciones del impacto de la protección de datos y consultas previas con las autoridades de supervisión u otras autoridades reguladoras competentes, según sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos de la UE.

10. Auditorías

(a) Mailgun pondrá a disposición del Cliente, previa petición razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento con la presente Cláusula Adicional.

(b) El Cliente, o un auditor externo designado, puede, previa solicitud razonable por escrito, llevar a cabo una inspección en relación con el Tratamiento que realiza Mailgun de los Datos Personales del Cliente y, en la medida necesaria, de conformidad con las Leyes de Protección de Datos y sin interrumpir las operaciones comerciales de Mailgun y garantizando la confidencialidad. El Cliente será responsable de cualesquiera costes y gastos del Encargado del tratamiento derivados del suministro de dichos derechos de auditoría.

11. Devolución o eliminación de los Datos Personales del Cliente

(a) El Cliente puede, mediante notificación escrita a Mailgun, solicitar la devolución y/o el certificado de eliminación de todas las copias de los Datos Personales del Cliente que estén bajo control o en posesión de Mailgun y de los subencargados del tratamiento. Mailgun proporcionará una copia de los Datos del Responsable del tratamiento en un formato que pueda ser leído y procesado posteriormente.

(b) Dentro de los noventa (90) días siguientes a la cancelación de la cuenta, el Encargado del tratamiento eliminará y/o devolverá todos los Datos Personales tratados de conformidad con la presente Cláusula Adicional. Esta disposición no afectará las posibles obligaciones legales de las Partes de conservar los registros durante los periodos de retención establecidos por ley, estatuto o contrato. Mailgun puede conservar copias electrónicas de los archivos que contienen los Datos Personales del Cliente creados en virtud de procedimientos automáticos de archivado o de copia de seguridad que no pueden eliminarse razonablemente. En estos casos, Mailgun se asegurará de que los Datos Personales del Cliente no se sigan tratando activamente en el futuro.

(c) Cualquier coste adicional que surja en relación con la devolución o eliminación de los Datos Personales tras la rescisión o expiración del Acuerdo será asumido por el Cliente.

12. Transferencias de datos

(a) Tras la ejecución de la presente Cláusula Adicional, si el Cliente lo solicita y si así lo exigen las Leyes de Protección de Datos de la UE, Mailgun suscribirá las Cláusulas Contractuales Tipo como importador de datos, mientras que el Cliente actuará como exportador de datos. Si el acuerdo de Mailgun con un subencargado del tratamiento implica una Transferencia Restringida, Mailgun se asegurará de que las disposiciones sobre transferencias ulteriores de las Cláusulas Contractuales Tipo se incorporen al Acuerdo Principal, o se celebren de otro modo, entre Mailgun y el subencargado del tratamiento. El Cliente acepta ejercer su derecho de auditoría en las Cláusulas Contractuales Tipo dando instrucciones a Mailgun para llevar a cabo la auditoría establecida en el párrafo 10.

(b) El Responsable del tratamiento reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Acuerdo, el Encargado del tratamiento podrá transferir Datos Personales en el ámbito de sus grupos de empresa. Estas transferencias son necesarias para proporcionar los Servicios de forma global y se justifican a efectos de administración interna.

(c) Para las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios mencionados anteriormente, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos con el fin de aplicar las salvaguardias adecuadas, se tomarán las siguientes medidas de salvaguardia: (i) Cláusulas Contractuales Tipo según la Decisión 2010/87/UE de la Comisión Europea y (2) salvaguardias adicionales con respecto a las medidas de seguridad, incluidos el encriptado de datos y los principios de minimización de datos.

13. Subtratamiento

(a) Por la presente el Cliente autoriza a Mailgun a nombrar subencargados del tratamiento de conformidad con el presente párrafo 13 y el anexo 2, con sujeción a cualesquiera restricciones en el Acuerdo Principal. Mailgun se asegurará de que los subencargados del tratamiento estén vinculados por acuerdos escritos que les obliguen a proporcionar al menos el nivel de protección de datos que se exige a Mailgun en la presente Cláusula Adicional. Mailgun podrá seguir utilizando los subencargados del tratamiento que ya estaban contratados a la fecha de la presente Cláusula Adicional.

(b) Mailgun notificará previamente por escrito al Cliente el nombramiento de cualquier nuevo subencargado del tratamiento. Si, en el plazo de diez (10) días hábiles a partir de la recepción de dicha notificación, el Cliente notifica a Mailgun por escrito cualquier objeción por motivos razonables al nombramiento propuesto, Mailgun no nombrará a dicho subencargado del tratamiento propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y el Cliente haya proporcionado una explicación razonable por escrito de las medidas adoptadas. Si Mailgun y el Cliente no pueden resolver el nombramiento de un subencargado del tratamiento en un plazo razonable, cualquiera de las partes tendrá derecho a rescindir el Acuerdo Principal por causa justificada.

(c) Asimismo, en caso de subcontratación autorizada fuera de la Unión Europea, el Cliente ordena a Mailgun que suscriba en su nombre y por su cuenta Cláusulas Modelo de la UE para los fines específicos de la prestación de los servicios en virtud del Acuerdo Principal.

(d) Este párrafo no incluye los siguientes servicios complementarios: servicios de telecomunicaciones, servicios postales o de transporte, mantenimiento y herramientas de asistencia técnica al usuario. Sin embargo, Mailgun estará obligado a tomar las disposiciones contractuales apropiadas y legalmente vinculantes y a tomar las medidas de inspección apropiadas para garantizar la protección y seguridad de los Datos del Cliente, incluso para estos servicios complementarios subcontratados.

(e) Mailgun será responsable de los actos y omisiones de cualquier subencargado del tratamiento como lo es ante el Cliente por sus propios actos y omisiones en relación con los asuntos contemplados en la presente Cláusula Adicional.

14. Ley aplicable y jurisdicción

(a) Las partes en la presente Cláusula Adicional se someten a la elección de jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier litigio o reclamación que surja en virtud del mismo, incluidos los litigios relativos a su existencia, validez o rescisión o a las consecuencias de su nulidad.

(b) La presente Cláusula Adicional y todas las obligaciones extracontractuales o de otro tipo que se deriven de ella o estén relacionadas con ella se rigen por las leyes del país o territorio estipuladas a tal efecto en el Acuerdo Principal.

15. Orden de precedencia

(a) En lo que respecta al objeto de la presente Cláusula Adicional, en caso de incoherencias entre las disposiciones de la presente Cláusula Adicional y cualesquiera otros acuerdos entre las partes, incluido el Acuerdo Principal e incluidos (salvo que se acuerde explícitamente por escrito lo contrario, firmado en nombre de las partes) los acuerdos celebrados o que se pretenda celebrar después de la fecha de la presente Cláusula Adicional, prevalecerán las disposiciones de la presente Cláusula Adicional.

16. Cambios en las Leyes de Protección de Datos, etc.

(a) Mailgun podrá modificar o complementar la presente Cláusula Adicional, con un preaviso razonable al Cliente:

(i) si así lo exige una autoridad de supervisión u otra entidad gubernamental o reguladora;

(ii) si es necesario para cumplir con la ley aplicable;

(iii) para aplicar las Cláusulas Contractuales Tipo nuevas o actualizadas aprobadas por la Comisión Europea; o

(iv) para someterse a un código de conducta o mecanismo de certificación aprobado o certificado de conformidad con los artículos 40, 42 y 43 del RGPD.

17. Cesantía

(a) Si alguna disposición de la presente Cláusula Adicional es inválida o inaplicable, el resto de la presente Cláusula Adicional seguirá siendo válida y vigente. La disposición inválida o inaplicable deberá ser (i) enmendada según sea necesario para asegurar su validez y aplicabilidad, a la vez que se preservan las intenciones de las partes lo más fielmente posible o, si esto no es posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado incluida en ella.

18. Rescisión

(a) La presente Cláusula Adicional y las Cláusulas Contractuales Tipo finalizarán simultánea y automáticamente con la rescisión del Acuerdo Principal.

(b) Mailgun podrá rescindir la presente Cláusula Adicional y las Cláusulas Contractuales Tipo si Mailgun ofrece al Cliente mecanismos alternativos que cumplan con las obligaciones de las leyes de privacidad de la Unión Europea para la transferencia de Datos Personales fuera del EEE.


EN FE DE LO CUAL, la presente Cláusula Adicional se celebra y se convierte en parte vinculante del Acuerdo Principal con efecto a partir de la fecha indicada anteriormente.

ANNEXO 1

CLÁUSULAS CONTRACTUALES TIPO

De responsable a encargado

SECCIÓN I

Cláusula 1

Finalidad y ámbito de aplicación

(a) La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

(b) Las partes: (i) Mailgun Technologies, Inc. 112 E Pecan St #1135 San Antonio, TX 78205, EE. UU. legal@mailgun.com el «importador de datos» (la(s) entidad(es) de un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas)

(ii) la entidad cliente que es parte en el Acuerdo de Procesamiento de Datos («DPA») al que se adjuntan las presentes cláusulas contractuales tipo (en lo sucesivo, el «exportador de datos») han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

(c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el párrafo 3 del DPA.

(d) El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forma parte del pliego.

Cláusula 2

Efecto e invariabilidad de las cláusulas

(a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra (c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

(a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

(i) Cláusulas 1, 2, 3, 6 y 7.

(ii) Cláusula 8.1, letra (b), y cláusula 8.9, letras (a), (c), (d) y (e).

(iii) Cláusula 9, letras (a), (c), (d) y (e).

(iv) Cláusula 12, letras (a), (d) y (f).

(v) Cláusula 13.

(vi) Cláusula 15.1, letras (c), (d) y (e).

(vii) Cláusula 16, letra (e).

(viii) Cláusula 18, letras (a) y (b).

(b) Lo dispuesto en la letra (a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4

Interpretación

(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

(c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

(a) En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6

Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7

Cláusula de incorporación

(a) Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.

(b) Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.

(c) La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

8.1. Instrucciones

(a) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

(b) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.

8.2. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3. Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4. Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5. Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra (a).

8.6. Seguridad del tratamiento

(a) El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

(b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

(c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

(d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8. Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

(i) la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

(ii) el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

(iii) si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9. Documentación y cumplimiento

(a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

(b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

(e) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras (b) y (c) y, en particular, los resultados de las auditorías.

Cláusula 9

Recurso a subencargados

(a) El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos diez (10) días hábiles de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.

(b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. Las partes convienen que, al cumplir la presente cláusula, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

(c) El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

(e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

Cláusula 10

Derechos del interesado

(a) El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.

(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

(c) En el cumplimiento de las obligaciones que le atribuyen las letras (a) y (b), el importador de datos seguirá las instrucciones del exportador de datos.

Cláusula 11

Reparación

(a) El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.

(b) En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.

(c) El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;

(ii) ejercitar una acción judicial en el sentido de la cláusula 18.

(d) Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.

(f) El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.

Cláusula 12

Responsabilidad

(a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

(b) El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.

(c) A pesar de lo dispuesto en la letra (b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.

(d) Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra (c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.

(e) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

(f) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra (e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

(g) El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13

Supervisión

(a) La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, la CNIL (Commission Nationale de l’Informatique et des Libertés, «Comisión Nacional de Informática y Libertades») de Francia, actuará como autoridad de control competente.

(b) El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III: DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

(a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

(b) Las partes declaran que, al aportar la garantía a que se refiere la letra (a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

(i) las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) el Derecho y las prácticas del tercer país de destino—especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables¹;

(iii) las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

(d) Las partes acuerdan documentar la evaluación a que se refiere la letra (b) y ponerla a disposición de la autoridad de control competente previa solicitud.

(e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra (a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra (a).

(f) De realizarse la notificación a que se refiere la letra (e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras (d) y (e).


¹Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1. Notificación

(a) El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:

(i) recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o

(ii) tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

(b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información posible y cuanto antes. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.

(c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información a que se refieren las letras (a) a (c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.

(e) Las letras (a) a (c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra (e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2. Control de la legalidad y minimización de datos

(a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra (e), atribuye al importador de datos.

(b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

(c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV: DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y resolución del contrato

(a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.

(b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra (f).

(c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra (b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;

(ii) el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o

(iii) el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

En estos supuestos, informará a la autoridad de control competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

(d) Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra (c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.

(e) Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: (i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o (ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Derecho aplicable

El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de Francia.

Cláusula 18

Elección del foro y jurisdicción

(a) Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.

(b) Las partes acuerdan que sean los órganos jurisdiccionales de Francia.

(c) Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.

(d) Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

ANEXO 2

SEGURIDAD DE LA INFORMACIÓN – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Cuando los datos personales se procesan o utilizan de forma automática, la organización interna de Mailgun se asegura de que cumple los requisitos específicos de protección de datos utilizando las mejores prácticas de seguridad. En particular, Mailgun aplica las siguientes medidas para proteger los datos personales u otras categorías de datos sensibles.

Control de acceso físico

Para impedir que personas no autorizadas accedan a los sistemas de tratamiento de datos con los que se procesan o utilizan datos personales:

  • Mailgun hace uso de los proveedores de centros de datos e infraestructura de nube líderes en la industria. El acceso a todos los centros de datos está estrictamente controlado. Todos los centros de datos están equipados con vigilancia y sistemas biométricos de control de acceso las 24 horas del día, los 365 días del año. Además, todos los proveedores tienen certificación SOC Tipo II e ISO 27001.

  • Los centros de datos están equipados con al menos una redundancia N+1 para la infraestructura de energía, redes y refrigeración.

  • Dentro de una región, el tratamiento de datos se produce en al menos tres zonas de disponibilidad distintas. Los servicios están diseñados para soportar el fallo de una zona de disponibilidad sin que el cliente se vea afectado.

Control de acceso al sistema

Para evitar que los sistemas de tratamiento de datos se utilicen sin autorización:

  • El acceso administrativo a los sistemas y servicios de Mailgun sigue el principio de menor privilegio. El acceso a los sistemas se basa en la función y las responsabilidades del trabajo. Mailgun utiliza nombres de usuario/identificadores únicos que no se permite compartir o reasignar a otra persona.

  • La autenticación VPN y multifactorial se utiliza para acceder a las herramientas de apoyo internas y a la infraestructura del producto.

  • Las listas de control de acceso a la red (ACL) y los grupos de seguridad se utilizan para limitar el tráfico de entrada y salida de la infraestructura de producción.

  • Los sistemas de detección de intrusos (IDS) se utilizan para detectar posibles accesos no autorizados.

  • Se han implementado protecciones de red para mitigar el impacto de los ataques de denegación de servicio distribuidos (DDoS).

  • Los procesos de entrada y salida se documentan y se controlan sistemáticamente para asegurar que el acceso a los instrumentos y sistemas internos y externos alojados se gestione adecuadamente. Cuando es posible, los servicios de terceros hacen uso de la funcionalidad de inicio de sesión único (SSO) que permite una gestión centralizada y aplica la autenticación multifactor.

Control de acceso a los datos

Para garantizar que los usuarios autorizados con derecho a utilizar sistemas de tratamiento de datos tengan acceso únicamente a los datos para los que se les ha otorgado un derecho de acceso, y para que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización en el curso de su tratamiento o utilización y después de su almacenamiento:

  • Mailgun utiliza un sistema de gestión de contraseñas que impone una longitud mínima de la contraseña, una complejidad y un tiempo de expiración determinados y una duración mínima de la última utilización.

  • Las estaciones de trabajo de los empleados se bloquean automáticamente después de un periodo prolongado de inactividad. Los sistemas cierran la sesión de los usuarios después de un periodo prolongado de inactividad.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año.

  • El proceso de gestión de parches de Mailgun asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • El software antivirus estándar de la industria se utiliza para garantizar que los activos internos que acceden a los datos personales estén protegidos contra los virus conocidos. El software antivirus se actualiza regularmente.

  • Mailgun utiliza cortafuegos para evitar que el tráfico no deseado entre en la red. La DMZ se utiliza empleando cortafuegos para proteger aún más los sistemas internos que protegen los datos sensibles.

Control de la transmisión de datos

Para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica o el transporte:

  • Los datos de los clientes se almacenan cifrados en reposo mediante el uso del cifrado AES-256 en dispositivos de bloque.

  • Las copias de seguridad de los clientes están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • Mailgun soporta TLS 1.2 para cifrar el tráfico de red entre la aplicación del cliente y la infraestructura de Mailgun. Los clientes pueden controlar y gestionar la configuración del cifrado de los mensajes procesados por Mailgun y enviados a los proveedores de buzones de recepción para satisfacer las necesidades de cumplimiento más allá del ámbito de las certificaciones externas de Mailgun.

  • Mailgun recibe alertas sobre los problemas de cifrado mediante evaluaciones periódicas de los riesgos y pruebas de penetración de terceros. Mailgun lleva a cabo pruebas de penetración de terceros anualmente, o cuando es necesario debido a cambios en el negocio.

  • Mailgun opera un programa de recompensa de errores, con el que fomenta la divulgación responsable de las vulnerabilidades de los investigadores de la comunidad.

Control de entrada

Para garantizar que sea posible comprobar y establecer si los datos personales han sido introducidos, y por quién, en los sistemas de tratamiento de datos, modificados o eliminados:

  • Los sistemas son supervisados en busca de eventos relacionados con la seguridad para garantizar una rápida resolución.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año. Los registros pueden ser rastreados hasta los nombres de usuario individuales y únicos con marcas de tiempo para investigar incumplimientos o eventos relacionados con la seguridad.

Control de disponibilidad

Para asegurar que los datos personales estén protegidos contra la destrucción o la pérdida accidental:

  • Se hace una copia de seguridad de los datos de la cuenta como mínimo una vez al día. La recuperación incremental/puntual está disponible para todas las bases de datos primarias. Las copias de seguridad están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • El proceso de gestión de parches de Mailgun asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • Cuando es necesario, Mailgun parchea la infraestructura de manera acelerada en respuesta a la divulgación de vulnerabilidades críticas para asegurar que el tiempo de funcionamiento del sistema se mantenga.

  • Los entornos de los clientes están lógicamente separados en todo momento. Los clientes no pueden acceder a otras cuentas que no sean aquellas para las que han recibido credenciales de autorización.

ANEXO 3

LISTA DE SUBPROCESADORES

Subprocesadores de infraestructura

Sociedad

Ubicación del servidor

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Google Platform

Alemania, Bélgica (clientes de la UE)
EEUU (clientes de EEUU)

Centro de datos

Legislación de la UE
Cláusulas tipo de la UE
Encriptación de datos

Todos los servicios

Rackspace (AWS)

Alemania (clientes de la UE)
Estados Unidos (clientes de EEUU)

Centro de datos

Legislación de la UE
Cláusulas tipo de la UE
Encriptación de datos

Todos los servicios

Subprocesadores de asistencia

Sociedad

Ubicación

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Proxiad Bulgaria

Bulgaria

Funciones de asistencia
Funciones de Technical Account Management

Legislación de la UE
Minimización de datos

Todos los servicios

Sitel India

India

Funciones de asistencia

Legislación de la UE
Encriptación de datos
Minimización de datos

Todos los servicios

Subprocesadores Grupo Empresa

Sociedad

Sede

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Mailgun Technologies

Estados Unidos

Empresa del grupo

Cláusulas tipo de la UE

Todos los servicios

Mailjet

Francia

Empresa del grupo

Cláusulas tipo de la UE
Legislación de la UE

Todos los servicios