Esta Apéndice sobre el Tratamiento de Datos (“ATD”) complementa a las Condiciones de Uso (“CU”), según sus actualizaciones en cada momento entre usted (junto con la(s) subsidiaria(s) y las entidades afiliadas, conjuntamente, “Cliente”) y MailerLite (junto con la(s) subsidiaria(s), conjuntamente, “MailerLite”) (en adelante conjuntamente denominadas las “Partes” e individualmente la “Parte”), cuando se aplique el RGPD al uso del Cliente de los Servicios de MailerLite para tratar los datos del Cliente. Si el RGPD no se aplica al Cliente, los Datos Personales cedidos por el Cliente se tratarán y estarán garantizados de la misma manera que se describe en esta ATD.
Esta ATD surte efecto a partir de la fecha en la que el Cliente acuerda las condiciones de CU. Si surgiera algún conflicto entre esta ATD y las CU, prevalecerán las condiciones pertinentes de esta ATD.
Definiciones
1.1 “Datos de la Cuenta” se refiere a la información sobre el Cliente que este proporciona a MailerLite en relación con la creación o administración de sus cuentas con MailerLite, como el nombre y apellido, nombre de usuario y dirección de correo electrónico del contacto de facturación del Cliente o de un Usuario Autorizado. El Cliente se asegurará de que todos los Datos de la Cuenta sean actuales y exactos en todo momento durante la vigencia de las CU.
1.2 “Usuario Autorizado” se refiere a un empleado, agente o contratista individual del Cliente para quien las suscripciones a los Servicios han sido concedidas conforme a los términos de las CU.
1.3 “Credenciales del Cliente” se refiere a las contraseñas, claves u otras credenciales de acceso empleadas por el Cliente en relación con los Servicios.
1.4 “Datos del Cliente” se refiere a cualquier Dato Personal que trate MailerLite en nombre del Cliente como Encargado del Tratamiento de Datos en el curso de la prestación de sus Servicios.
1.5 “Responsable del Tratamiento” se refiere a una entidad que determina las finalidades y los medios del Tratamiento de los Datos Personales.
1.6 “Encargado del Tratamiento” se refiere a una entidad que trata los Datos Personales en nombre del Responsable del Tratamiento.
1.7 “Ley de Protección de Datos” se refiere a todas las leyes y reglamentos de protección de datos y de privacidad de la UE y el EEE y sus estados miembros, aplicables al Tratamiento de Datos Personales.
1.8 “Titular de los Datos” se refiere a la persona identificada o identificable a quien se refieren los Datos Personales.
1.9 “EEE” se refiere al Espacio Económico Europeo, el Reino Unido y Suiza.
1.10 “UE” se refiere a la Unión Europea.
1.11 “RGPD” se refiere (a) al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), y (b) el Reglamento General de Protección de Datos del Reino Unido.
1.12 “Datos Personales” se refiere a cualquier dato relativo a una persona física identificada o identificable según se determina en el RGPD.
1.13 “Tratamiento” se refiere a cualquier operación o conjunto de operaciones realizadas con los Datos Personales, sea o no por medios automáticos, tales como la recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación o puesta a disposición de otra forma, alineación o combinación, bloqueo, supresión o destrucción. “Tratamiento”, “Tratar” y “Tratado” se interpretarán en consecuencia.
1.14 “Encargado del Tratamiento” se refiere a una persona física o jurídica, autoridad pública, agencia u otro organismo que Trate los Datos Personales en nombre del Responsable del Tratamiento.
1.15 “CCE” se refiere a las cláusulas contractuales estándar según lo aprobado por la Comisión Europea.
1.16 “Servicios” se refiere a cualquier producto o servicio suministrado por MailerLite conforme a sus CU.
1.17 “Subencargado del Tratamiento” se refiere a un tercero Encargado del Tratamiento contratado por MailerLite.
1.18. “DPA Suiza“ significa la Ley Federal Suiza del 25 de septiembre de 2020 sobre Protección de Datos que entró en vigor el 1 de septiembre de 2023.
1.19. “Apéndica del Reino Unido” se refiere al apéndice del Tratamiento de Datos Internacional de las Cláusulas Contractuales Estándar (versión B1.0), emitida por la Oficina de la Comisión de Información según el apartado 119(A) de la Ley británica de Protección de Datos de 2018, modificada en su momento.
Ámbito y Cargos
2.1 MailerLite ha acordado formalizar esta ATD en base a la creencia del Cliente de que los Datos del Cliente pueden incluir Datos Personales que se originan en la UE/EEE y/o que o bien están sujetos al RGPD. Por tanto, esta ATD complementa a las CU y se aplica exclusivamente al Tratamiento de los Datos del Cliente por MailerLite en la prestación de sus Servicios según las CU al Cliente.
2.2 MailerLite acuerda cumplir con las disposiciones siguientes con respecto a cualquier Dato Personal Tratado para el Cliente en relación con la prestación de los Servicios.
2.3 Las Partes acuerdan que con respecto al Tratamiento de los Datos Personales, el Cliente es el Responsable de los Datos y MailerLite es el Encargado del Tratamiento de los Datos, actuando en nombre del Cliente, según se describe más adelante en el Anexo 1 (“Detalles del Tratamiento de Datos”) de esta ATD. Ambas Partes cumplirán con sus respectivas obligaciones según la Ley Comunitaria de Protección de Datos.
Tratamiento de los Datos Personales del Cliente
3.1 El Cliente es el responsable del control de los Datos Personales y debe cumplir con sus obligaciones como Responsable del Tratamiento según las Leyes de Protección de Datos, en particular para justificar cualquier cesión de los Datos del Cliente a MailerLite y sus decisiones y acciones sobre el Tratamiento y el uso de los Datos Personales.
3.2 El Cliente acuerda que se ha dado aviso y se han recibido todos los consentimientos y derechos necesarios según las Leyes de Protección de Datos para que MailerLite lleve a cabo el Tratamiento de los Datos del Cliente y la prestación de los Servicios.
Tratamiento de los Datos del Cliente por MailerLite
4.1 Formalizando esta ATD, el Cliente ordena a MailerLite el Tratamiento de los Datos del Cliente para prestar sus Servicios de conformidad con las características y funcionalidad de los Servicios.
4.2 En relación con la prestación de los Servicios de MailerLite al Cliente, MailerLite Tratará ciertas categorías y tipos de datos del Cliente, únicamente con los fines descritos en esta ATD y solo de conformidad con las instrucciones legales documentadas del Cliente, incluyendo las respectivas a las cesiones de los datos del Cliente a un país tercero o a una organización internacional, salvo que así lo exija la ley de la UE o de un País Miembro de la UE a la que esté sujeta MailerLite. En tal caso, MailerLite informará al Cliente de dicho requisito legal antes del Tratamiento, salvo que la ley prohíba dicha información debido a razones importantes de interés público.
4.3 Las Partes acuerdan que esta ATD establece las instrucciones completas y finales del Cliente a MailerLite relacionadas con el Tratamiento de los Datos del Cliente. El Tratamiento fuera del ámbito de estas instrucciones requerirá de un acuerdo previo por escrito entre el Cliente y MailerLite. Independientemente de lo anterior, MailerLite informará al Cliente enseguida si llega a su conocimiento que las instrucciones del Cliente pudieran infringir la Ley aplicable de Protección de Datos de la UE.
Responsabilidades y Limitaciones del Cliente
5.1 Sin limitar sus responsabilidades según las CU, el Cliente es el único responsable de: (a) Datos de la Cuenta, Datos de Cliente y Credenciales del Cliente (incluyendo las actividades realizadas con las Credenciales del Cliente), sujetos a las obligaciones de Tratamiento de MailerLite según las CU y esta ATD; (b) comunicar los avisos requeridos por la Ley de Protección de Datos de la UE a aquellas personas cuyos Datos Personales puedan incluirse en Datos de Cuenta, Datos del Cliente o Credenciales del Cliente, así como recibir los consentimientos y autorizaciones necesarios requeridos por la Ley de Protección de Datos de la UE por parte de dichas personas; y (c) asegurarse de que ningún Dato Personal relativo a sentencias y delitos penales (Artículo 10 RGDP) esté sometido al Tratamiento por los Servicios.
Seguridad
6.1 Considerando la última tecnología, los costes de implementación y la naturaleza, ámbito, contexto y propósito del Tratamiento, así como el riesgo de variación en la probabilidad y la gravedad de los derechos y libertades de los Titulares de los Datos, MailerLite implementará, en cuanto a los Datos del Cliente, las medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad apropiado a dicho riesgo (incluyendo aquellos descritos en el Anexo 2, “Medidas de Seguridad”). Al evaluar el nivel apropiado de seguridad, MailerLite tendrá en cuenta los riesgos que se presentan al Tratar los Datos del Cliente, incluyendo en concreto los riesgos presentados por una Violación de la Seguridad de los Datos del Cliente (según se determina en el Apartado 10). MailerLite podrá realizar aquellos cambios en las Medidas de Seguridad que considere necesarios o adecuados en su momento, entre los que se incluyen el cumplimiento con la ley aplicable, pero ninguno de estos cambios reducirá el nivel global de protección de los Datos del Cliente. MailerLite dará los pasos oportunos para garantizar el cumplimiento de las Medidas de Seguridad por sus empleados, contratistas y Subencargados del Tratamiento en la medida aplicable a su ámbito de trabajo, incluyendo la garantía de que todas las personas autorizadas para Tratar los Datos del Cliente hayan aceptado las obligaciones adecuadas de confidencialidad.
6.2 Las Partes darán los pasos para garantizar que ninguna persona física que actúe bajo la autoridad del Cliente o de MailerLite que tenga acceso a los Datos Personales, Trate estos datos, excepto siguiendo las instrucciones del Cliente, salvo que deban hacerlo por la ley de la UE o del Estado Miembro de la UE.
6.3 El Cliente es responsable de revisar la información puesta a disposición por MailerLite relativa a la seguridad de sus datos y de determinar de forma independiente si los Servicios satisfacen los requisitos del Cliente y las obligaciones legales según la Legislación de Protección de Datos. El Cliente reconoce que MailerLite puede actualizar o modificar los niveles de seguridad de este con regularidad, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad global de los Servicios adquiridos por el Cliente.
6.4 El Cliente acuerda que es responsable del uso seguro de los Servicios, incluyendo la seguridad de las Credenciales del Cliente, protegiendo la seguridad de los Datos del Cliente cuando se hallen en tránsito desde y hacia los Servicios, y dando los pasos apropiados para encriptar o reforzar de forma segura cualquier Dato del Cliente subido a los Servicios.
Subencargados
7.1 El Cliente acepta y acuerda que MailerLite puede contratar a un tercero como Subencargado en relación con la prestación de los Servicios, y consiente por el presente a que MailerLite emplee Subencargados. Como condición para permitir a un tercero Subencargado que Trate los Datos del Cliente, MailerLite formalizará un acuerdo por escrito con el Subencargado que contenga las obligaciones de protección de datos no menos protectoras que las de esta ATD con respecto a los Datos del Cliente. MailerLite limitará el acceso a sus Subencargados a solo el necesario para mantener los Servicios o para prestar los Servicios a los Clientes. Con sujeción a este Apartado 7, MailerLite se reserva el derecho a contratar y sustituir a los Subencargados que considere oportuno, pero: (a) seguirá siendo responsable ante el Cliente de la prestación de los Servicios y (b) asumirá la responsabilidad por los actos u omisiones de sus Subencargados realizados en relación con la actividad de MailerLite de esta ATD en la misma medida en que MailerLite sería responsable si prestase los Servicios directamente.
7.2 A petición del Cliente a través de este formulario de contacto, MailerLite facilitará al Cliente una lista de los terceros Subencargados actuales en ese momento y de la naturaleza de los servicios que prestan. El Cliente puede encontrar una lista actualizada de los Subencargados en el Anexo 4 de esta ATD. El Cliente puede oponerse a un Subencargado nuevo con razones legales justificadas (el “Aviso de Objeción”) relativas a la protección de los Datos del Cliente, en cuyo caso MailerLite tendrá derecho a satisfacer la objeción a través de una de las siguientes:
(a) MailerLite cancelará sus planes para emplear al Subencargado con relación a los Datos del Cliente u ofrecerá una alternativa para prestar los Servicios sin dicho Subencargado;
(b) MailerLite dará los pasos correctivos solicitados por el Cliente en su Aviso de Objeción (que elimina la objeción del Cliente) y procederá a emplear al Subencargado con relación a los Datos del Cliente; o
(c) MailerLite dejará de prestar, o el Cliente podrá acordar no hacer uso (temporalmente o permanentemente) del aspecto particular de los Servicios que implicaría el uso de dicho Subencargado con respecto a los Datos del Cliente, con sujeción al acuerdo mutuo de las Partes para ajustar la remuneración por los Servicios considerando su ámbito reducido.
7.3 Todos los Avisos de Objeción según el Apartado 7.2 deben entregarse por email a MailerLite a través de este formulario de contacto. Si ninguna de las opciones descritas en la Cláusula (a), (b) o (c) del Apartado 7.2 están razonablemente disponibles y la objeción del Cliente no se ha resuelto a la mutua satisfacción de las Partes en un plazo de 30 días desde el recibo por MailerLite del Aviso de Objeción, cualquiera de las Partes podrá concluir los Servicios afectados y MailerLite rembolsará al Cliente de forma proporcional cualquier importe abonado por adelantado por el Cliente y no usado. El rembolso se calculará en proporción a aquellos Servicios que se hayan prestado hasta el momento en que el Cliente informó a MailerLite de la terminación de los Servicios. MailerLite no realizará rembolsos si el Aviso de Objeción no se basa en motivos legales justificados.
Derechos del Titular de los Datos
8.1 Si MailerLite recibe una petición por parte del Titular de los Datos relacionada con los Datos del Cliente, entonces y en la medida que lo permita la ley, MailerLite aconsejará al Titular de los Datos que presente su solicitud al Cliente y el Cliente será el responsable de responder a cualquier petición, incluyendo cuando sea necesario el uso de la funcionalidad de los Servicios. El Cliente acuerda por el presente que MailerLite confirmará al Titular de los Datos si su solicitud se relaciona con el Cliente. En la medida en que el Cliente no pueda, por medio del uso de los Servicios, atender una solicitud concreta del Titular de los Datos, MailerLite, a petición del Cliente y considerando la naturaleza de los Datos del Cliente Tratados, proporcionará la asistencia razonable a la hora de atender la solicitud del Titular de los Datos (siempre que MailerLite tenga permiso legal para hacerlo y que la solicitud del Titular de los Datos se haya realizado de conformidad con la Ley de Protección de Datos de la UE). En la medida en que lo permita la ley aplicable, el Cliente será el responsable de los costes derivados de la prestación de dicha asistencia por MailerLite.
Supresión al Vencimiento
9.1. Tras la extinción de las CU y/o la ATD, lo que puede hacerse eliminando su cuenta de MailerLite o poniéndose en contacto con MailerLite para hacerlo, MailerLite iniciará un proceso para eliminar los Datos del Cliente en su posesión o control. Este requisito no se aplicará en la medida en que la legislación aplicable exija a MailerLite conservar algunos o todos los Datos del Cliente, o a los Datos del Cliente que haya archivado en sistemas de copia de seguridad, que MailerLite aislará y protegerá de forma segura de cualquier tratamiento posterior, salvo en la medida en que lo exija la legislación aplicable. Encontrará más información sobre las prácticas de conservación de datos de MailerLite en la Política de Privacidad de MailerLite.
Gestión de la Violación de la Seguridad de los Datos del Cliente
10.1 MailerLite notificará al Cliente sin retrasos indebidos, y en cualquier caso en un plazo de 48 horas, una vez que llegue a su conocimiento la Violación de la Seguridad de los Datos del Cliente con respecto a los Datos del Cliente cedidos, almacenados o bien Tratados por MailerLite o por sus Subencargados (una “Violación de la Seguridad de los Datos del Cliente”). Dicha notificación debe entregarse (1) publicando una nota en los Servicios; (2) enviando un email a la dirección de correo electrónico desde la que se creó la cuenta del Usuario Autorizado; y /o (3) conforme a las disposiciones en materia de avisos de las CU. El Cliente se asegurará de que sus datos de contacto son actuales y exactos en todo momento durante la vigencia de esta ATD. MailerLite llevará a cabo enseguida todas las acciones relativas a sus Medidas de Seguridad (y las de sus Subencargados) que considere necesarias y aconsejables para identificar y solucionar la causa de la Violación de los Datos del Cliente. Además, MailerLite proporcionará enseguida al Cliente: (i) colaboración y asistencia razonables dirigidas a la Violación de los Datos del Cliente, (ii) información razonable en posesión de MailerLite concerniente a la Violación de los Datos del Cliente, en cuanto a lo que afecte al Cliente, incluyendo los esfuerzos por solucionarlo y las notificaciones a las Autoridades Supervisoras, y (iii) en la medida en que se conozca: (a) la posible causa de la Violación de los Datos del Cliente; (b) las categorías de los Datos del Cliente implicadas; y (c) las posibles consecuencias para los Titulares de los Datos. La notificación o la respuesta de MailerLite a la Violación de la Seguridad de los Datos del Cliente según este Apartado no constituye el reconocimiento de una falta u obligación con respecto a la Violación de los Datos del Cliente, por lo que las obligaciones derivadas de esto no se aplicarán a la Violación de los Datos del Cliente que se haya originado por el Cliente, los Usuarios Autorizados o los proveedores de componentes del Cliente (tales como sistemas, plataformas, servicios, software, dispositivos, etc.). Si el Cliente decide notificar a la Autoridad Supervisora, a los Titulares de los Datos o al público una Violación de la Seguridad de los Datos del Cliente, el Cliente facilitará a MailerLite las copias anticipadas de las notificaciones propuestas y, con sujeción a la ley (incluyendo los plazos estipulados según la Ley de Protección de Datos de la UE), dará a MailerLite la oportunidad de dar explicaciones o correcciones a dichas notificaciones. Según la ley aplicable, MailerLite no hará referencia al Cliente en la presentación y archivo público de documentos requeridos por la ley, en notificaciones ni en notas de prensa relacionadas con la Violación de los Datos del Cliente sin el consentimiento previo de este.
Cumplimiento y Revisiones
11.1 MailerLite responderá por escrito de manera confidencial a todas las peticiones razonables del Cliente de información para confirmar que MailerLite cumple esta ATD.
11.2 Cuando así lo disponga la Ley de Protección de Datos de la UE, MailerLite permitirá al Cliente (directamente o por medio de un tercero auditor según las obligaciones de confidencialidad por escrito) realizar una auditoría en los procedimientos de MailerLite correspondientes a la protección de los Datos del Cliente para verificar que MailerLite cumple con las obligaciones derivadas de esta ATD. En tal caso:
(a) El Cliente: (i) comunicará a MailerLite por escrito con al menos 30 días de antelación cualquier auditoría propuesta; (ii) realizará una auditoría no más de una vez por cada periodo de 12 meses, excepto cuando lo disponga una Autoridad Supervisora competente o cuando sea obligatoria una auditoría debido a una Violación de la Seguridad de los Datos del Cliente; y (iii) realizará las auditorías de la forma designada para minimizar la interrupción de las operaciones comerciales normales de MailerLite. A este fin y antes del inicio de estas auditorías, el Cliente y MailerLite deberá acordar mutuamente un rembolso por los gastos de los que el Cliente sea responsable, así como los participantes de la auditoría, el calendario previsto y el enfoque, lo que en ningún caso permitirá al Cliente ni al tercero auditor acceder a los alojamientos web, sistemas subyacentes o infraestructuras de los Servicios.
(b) Los representantes del Cliente que realicen las auditorías deberán proteger la confidencialidad de toda la información obtenida a través de dichas auditorías de conformidad con las CU, podrá pedírseles que formalicen y mejoren el acuerdo mutuo de confidencialidad y que cumplan las políticas de seguridad de MailerLite mientras se encuentran en sus instalaciones. Al terminar una auditoría, el Cliente acuerda facilitar enseguida a MailerLite los informes escritos de auditoría o, si no se hubieran elaborado por escrito, comunicar en seguida a MailerLite cualquier incumplimiento descubierto durante el curso de la auditoría.
Valoración del Impacto e Información Adicional
12.1 MailerLite colaborará y ayudará al Cliente en lo razonablemente necesario para que este cumpla sus obligaciones conforme a la Ley de Protección de Datos de la UE, lo mejor que podamos y en la medida que lo permitan nuestros recursos, incluyendo:
(a) Realizando una valoración del impacto de la protección de datos relacionada con el uso de los Servicios por el Cliente, en la medida en que el Cliente no tenga acceso de otra forma a la información relevante, y en la medida en que dicha información esté a disposición de MailerLite.
(b) Prestando la asistencia razonable al Cliente en la colaboración o previa consulta a la Autoridad Supervisora en el desempeño de sus funciones relativas a este Apartado en la medida que lo disponga la Ley de Protección de Datos de la UE.
Cesiones Internacionales
13.1 El Cliente acepta que MailerLite pueda ceder y tratar los Datos del Cliente en cualquier parte del mundo donde MailerLite, sus afiliadas o sus Subencargados del tratamiento mantengan las operaciones de tratamiento de datos. MailerLite garantizará en todo momento que dichas cesiones se realicen observando los requisitos de la Legislación de Protección de Datos y esta ATD.
13.2 En la medida en que MailerLite sea el receptor de los Datos del Cliente protegidos por la Legislación de Protección de Datos de la UE (“Datos UE”) en un país fuera de Europa que no tenga reconocido el nivel adecuado de protección de datos personales (según se describe en la Ley de Protección de Datos de la UE aplicable), las partes acuerdan que MailerLite cumplirá y tratará los Datos UE en cumplimiento de las Cláusulas Contractuales Tipo (CCT) de la forma que se establece en el Anexo 3. A los efectos de las descripciones en las CCT, MailerLite acuerda que él es el “importador de los datos” y el Cliente es el “exportador de los datos” (independientemente de que el Cliente sea él mismo una entidad ubicada fuera de Europa).
13.3 Los Subencargados del tratamiento empleados por MailerLite para Tratar los Datos Personales protegidos por la Legislación de Protección de Datos y/o que se originen en el EEE, en un país que no haya sido designado por la Comisión Europea o la Autoridad Federal Suiza de Protección de Datos (según corresponda), tratarán con el nivel adecuado de protección los Datos Personales e integrarán las CCT en sus Acuerdos de Tratamiento de Datos.
13.4. Cesiones de Datos en el Reino Unido: las CCT se aplican a las cesiones que se acojan a las Leyes de Protección de Datos británicas, y se modificarán según las especificaciones mencionadas en el Apéndice del Reino Unido. El Apéndice del Reino Unido se considera acordada entre las partes y se incluye como parte esencial de esta ATD. La información obligatoria para completar las Tablas 1 a 3 del Apartado 1 del Apéndice del Reino Unido se obtendrá a partir de los datos suministrados en los Anexos I y II de las CCT pertinentes, y “ninguna de las partes” estará seleccionada para completar la Tabla 4 del Apartado 1 del Apéndice del Reino Unido.
13.5. Transferencias de Datos Suizas: para las transferencias que se rigen por la DPA Suiza, las SCC se deberán implementar como se describe en la Sección 13.2, con estos ajustes: (i) las referencias a "Reglamento (UE) 2016/679" se deberán implementar como referencias a la DPA Suiza; (ii) las referencias a artículos específicos de la "Regulación (UE) 2016/679" se deberán sustituir por los artículos o secciones correspondientes de la DPA Suiza; (iii) las menciones de "UE", "Unión" y “Ley de los Estados miembros" se deberán reemplazar por "Suiza"; (iv) la Cláusula 13(a) y la Parte C del Anexo l deberán eliminarse; (v) las referencias a la "autoridad de supervisión competente" y "tribunales competentes" deberán reemplazarse por "el Comisionado Federal Suizo de Protección de Datos e Información" y "los tribunales relevantes en Suiza"; (vi) la Cláusula 17 deberá revisarse para indicar "Las Cláusulas se regirán por la ley de Suiza"; y (vii) la Cláusula 18 se deberá revisar para indicar "Cualquier disputa que surja de estas Cláusulas deberá ser resuelta por los tribunales correspondientes de Suiza. Las partes acuerdan someterse a la jurisdicción de dichos tribunales".
Tratamiento como Responsable
14.1 Las Partes creen que el papel de MailerLite es el de Controlador del Tratamiento con respecto a los Datos del Cliente. En relación con el Tratamiento de los Datos de la Cuenta, y en la medida (si la hubiera) en que MailerLite fuese considerado el Responsable del Tratamiento con respecto al Tratamiento concreto de los Datos Personales del Cliente, cada una de las Partes cumplirá con sus obligaciones como Responsable y acuerda prestar la asistencia razonable que sea necesaria: (a) entre sí para posibilitar que ambas Partes cumplan con las peticiones de acceso del Titular de los Datos y respondan a cualquier consulta o queja de los Titulares de los Datos de conformidad con la Ley de Protección de Datos de la UE; y (b) entre sí para facilitar el procesamiento de la Violación de la Seguridad de los Datos Personales según dispone la Ley de Protección de Datos de la UE.
Limitación de Responsabilidad y Ley Aplicable
15.1 La responsabilidad de cada una de las Partes tomadas en su conjunto, que surge de esta ATD o se deriva de la misma, ya sea en contrato, lesión jurídica o por cualquier otro principio de responsabilidad, está sujeta a la limitación de las disposiciones de responsabilidad de las CU.
Disposiciones Varias
16.1 Las reclamaciones que se interpongan o se relacionen con esta ATD están sujetas a los términos y condiciones, entre los que se incluyen las exclusiones y limitaciones establecidas en las CU.
16.2 Solo las Partes de esta ATD, sus sucesores y cesionarios permitidos tendrán derecho a ejecutar sus condiciones.
16.3 Las reclamaciones en contra de MailerLite según esta ATD se interpondrán solo contra la entidad que sea Parte de la ATD. En ningún caso las Partes podrán limitar su responsabilidad con respecto a los derechos individuales de protección de datos según esta ATD u otro. El Cliente asimismo acuerda que las sanciones reguladoras en las que incurra MailerLite en relación con los Datos del Cliente, que surjan como resultado del incumplimiento por el Cliente de sus obligaciones según esta ATD o de la Legislación de Protección de Datos aplicable, o se relacionen con el mismo, contarán como responsabilidad de MailerLite, y la reducirán, según esta ATD.
16.4 Esta ATD se regirá e interpretará de conformidad con la ley y las disposiciones jurídicas aplicables en las CU, salvo que la Legislación aplicable de Protección de Datos disponga lo contrario.
16.5 El Cliente asegura que la decisión de acordar los términos y condiciones de esta ATD fue tomada legalmente por el Cliente, en caso de que el Cliente sea una persona física, o, por el administrador o representante autorizado del Cliente u otra persona con poderes para firmar en su nombre, en caso de que el Cliente sea una persona jurídica.
16.6 Esta ATD sustituye a cualquier ATD previa formalizada entre MailerLite y el Cliente.
16.7 Esta ATD surte efecto:
16.7.1 a partir del día en que usted acordó nuestras Condiciones de Uso y se prolonga durante un periodo de tiempo indefinido; o
16.7.2 el 1 de julio de 2021, si se hizo cliente nuestro antes del 17 de junio de 2021 y sigue siéndolo durante un periodo de tiempo indefinido.
Anexo 1
Detalles de Tratamiento de Datos
1. Objeto del contrato: El objeto del contrato de Tratamiento de Datos según esta ATD son los Datos del Cliente.
2. Duración del Tratamiento: MailerLite tratará los Datos del Cliente durante la vigencia de los Servicios, según se describe en las CU.
3. Naturaleza del Tratamiento: MailerLite proporciona marketing por email y software para la automatización como servicio y otros servicios relacionados, según se describe en las CU.
4. Objeto del Tratamiento: El objeto del Tratamiento de los datos según esta ATD es la prestación de Servicios.
5. Categorías de los titulares de los datos:
5.1. “Usuarios”: cualquier individuo que acceda y/o haga uso de los Servicios a través de la cuenta del Cliente;
5.2. “Suscriptores”: cualquier individuo cuya dirección de email esté incluida en la lista de distribución del Cliente / cuya información esté almacenada en los Servicios o haya sido recopilada por estos / a quienes los Usuarios envíen emails o bien contraten los Servicios o se comuniquen a través de ellos.
6. Tipos de Datos de Cliente:
6.1. Usuarios: datos de identificación y de contacto (nombre, datos de contacto, incluyendo dirección de email, nombre de usuario); datos de facturación (dirección de facturación, información de pago); información de la organización (nombre, dirección, ubicación geográfica, área de responsabilidad, código IVA), información IT (dirección IP, datos de uso, datos de cookies, datos de navegación online, datos de ubicación, datos del navegador, información del dispositivo de acceso);
6.2. Suscriptores: dirección de email y cualquier otra información adicional que el Cliente facilite a MailerLite.
7. El Cliente acepta que MailerLite tenga derecho a utilizar y divulgar los datos relativos a la operación, soporte y/o uso de los Servicios para sus fines comerciales legítimos, tales como gestión de cuenta, soporte técnico, desarrollo de producto u otros. En la medida en que dichos datos sean considerados Datos Personales según la Legislación de Protección de Datos, MailerLite será el Responsable del Tratamiento de dichos datos y, por tanto, tratará dichos datos de conformidad con la Política de Privacidad de MailerLite y la Legislación de Protección de Datos.
8. El Cliente acepta que, en relación con la prestación de los Servicios, MailerLite emplee el uso de las cookies, identificadores únicos, web beacons y tecnologías de seguimiento similares. El Cliente mantendrá los mecanismos adecuados de aviso, consentimiento, opciones de participación/no participación según lo dispuesto por la Legislación de Protección de Datos para que MailerLite pueda utilizar las tecnologías de seguimiento anteriormente mencionadas conforme a la ley y recopilar datos a partir de los dispositivos de los Suscriptores. El Cliente puede utilizar esta declaración sobre MailerLite en la Política de Privacidad del Cliente:
“Utilizamos MailerLite para gestionar nuestra lista de marketing por email a suscriptores y enviarles emails a nuestros suscriptores. MailerLite es un tercer proveedor, que puede recopilar y tratar sus datos empleando tecnologías estándares del sector para ayudarnos a supervisar y mejorar nuestra newsletter. La Política de Privacidad de MailerLite está disponible en https://www.mailerlite.com/es/legal/privacy-policy
Puede darse de baja de nuestra newsletter pinchando en el enlace de darse de baja que figura al final de cada newsletter.”.
Anexo 2
Medidas de Seguridad
Algunas Medidas de Seguridad de MailerLite a la fecha de esta ATD:
1. Minimización de Datos, Control de Acceso y Formación de Empleados
1.1 MailerLite recopila y trata solo los datos personales que sean necesarios para la prestación de los servicios. Sin embargo, los clientes deciden por sí mismos qué datos personales deben cederse a MailerLite para los fines operativos de los emails.
1.2 MailerLite limita el acceso a los Datos del Cliente a los empleados que necesitan conocerlos por un motivo determinado o a un puesto que necesite dicho acceso.
1.3 Los empleados de MailerLite están formados en las mejores prácticas de seguridad, lo que les permite identificar la Violación de la Seguridad de los Datos del Cliente y tomar las medidas necesarias.
2. Continuidad de la Actividad
2.1 MailerLite mantiene la continuidad de la actividad y refuerza los planes para minimizar la pérdida del servicio y cumplir con las leyes aplicables.
2.2 El plan de refuerzo atiende a las amenazas de los Servicios y de cualquier instalación, y cuenta con un procedimiento establecido para reanudar el acceso a los Servicios o para utilizarlos.
2.3 El plan de refuerzo se comprueba en intervalos regulares.
2.4 Las juntas de dirección encaminadas a determinar los riesgos en la seguridad de la información que surjan en MailerLite se celebran anualmente. El comité de dirección determina los riesgos, los analiza y busca la forma de impedirlos.
3. Control de Cambios
3.1 MailerLite mantiene políticas y procedimientos para aplicar cambios en los Servicios, incluyendo las infraestructuras subyacentes y los componentes del sistema, para garantizar que se cumplen los niveles de calidad.
3.2 MailerLite se somete a pruebas de penetración de su red y sus Servicios anualmente. Las vulnerabilidades que se encuentren durante esta prueba se solucionarán de conformidad con los procedimientos de MailerLite.
4. Seguridad de Datos
4.1 MailerLite mantiene salvaguardias técnicas y demás medidas de seguridad para garantizar la seguridad y la confidencialidad de los Datos del Cliente.
4.2 El sistema de MailerLite es usado por varios clientes, por tanto, los datos están separados en usuarios/cuentas. Los usuarios no tienen acceso a las bases de datos, por lo que MailerLite las gestiona a su propio modo mediante la fragmentación.
4.3 MailerLite utiliza el centro de almacenamiento de datos de Google con su ubicación en la Unión Europea. Google posee el certificado de seguridad de almacenamiento de información (ISO 27001) que garantiza la seguridad de los Datos del Cliente. Los centros de datos de Google están protegidos con leyes estrictas de seguridad para impedir el acceso no autorizado a sus datos. Google utiliza sistemas seguros de defensa perimetral, cobertura completa por medio de cámaras, autenticación biométrica y personal de seguridad las 24 horas, todos los días.
5. Encriptado y Gestión de Claves
5.1 MailerLite mantiene políticas y procedimientos para la gestión de los mecanismos de encriptado y las claves criptográficas en su sistema de encriptado. MailerLite garantiza la seguridad del encriptado con SSL/TLS y AES256.
5.2 MailerLite incorpora la encriptación en reposo y en tránsito entre las redes públicas, según proceda, según la práctica estándar del sector.
6. Cesión de Datos a los Subencargados del Tratamiento
6.1 Cuando los subencargados tratan los Datos Personales de los Suscriptores, MailerLite toma medidas para garantizar que estos subencargados sean proveedores de servicios con los que ha formalizado un contrato que incluya condiciones sustancialmente similares a esta ATD. MailerLite lleva a cabo la debida diligencia en cuanto a sus subencargados.
Anexo 3
Cláusulas Contractuales Estándar (Responsable de la Cesión al Encargado)
APARTADO I
Cláusula 1 – Objeto y Ámbito
(a) El objeto de estas cláusulas contractuales estándar es el de garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), para la cesión de datos personales a un país tercero.
(b) Las Partes: (i) la persona(s) física o jurídica, autoridad/es pública/s, agencia/s u otro/s organismo/s (en adelante, “entidad/es”) que cede los datos personales, según se recoge en el Anexo I.A (en adelante, cada “exportador de datos”), y (ii) la entidad/es en un país tercero que recibe los datos personales por el exportador de datos, directa o indirectamente a través de otra entidad también Parte en estas Cláusulas, según se recoge en el Anexo I.A. (en adelante, cada “importador de datos”), han acordado estas cláusulas contractuales estándar (en adelante, “Cláusulas”).
(c) Estas Cláusulas se aplican con respecto a la cesión de datos personales según se especifica en el Anexo I.B.
(d) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en el mismo forma parte integral de estas Cláusulas.
Cláusula 2 – Efecto e invariabilidad de las Cláusulas
(a) Estas Cláusulas establecen salvaguardias apropiadas, incluyendo derechos exigibles de los titulares de datos y soluciones legales efectivas conforme al Artículo 46(1) y Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las cesiones de datos por los responsables a los encargados y/o encargados a encargados, las cláusulas contractuales estándar conforme al Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el Módulo(s) apropiado o para añadir o actualizar información en el Apéndice. Esto no impide a las Partes que incluyan las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o añadan otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas o perjudiquen los derechos o libertades fundamentales de los titulares de los datos.
(b) Estas Cláusulas no van en perjuicio de las obligaciones a las que está sujeto el exportador de los datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3 – Terceros Beneficiarios
(a) Los titulares de los datos pueden invocar y ejecutar estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
(iii) Cláusula 9 –Cláusula 9(a), (c), (d) y (e);
(iv) Cláusula 12 – Cláusula 12(a), (d) y (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) y (e);
(vii) Cláusula 16(e):
(viii) Cláusula 18 – Cláusula 18(a) y (b):
(b) El Párrafo (a) es sin perjuicio de los derechos de los titulares de los datos según el Reglamento (UE) 2916/679.
Cláusula 4 – Interpretación
(a) Cuando estas Cláusulas utilicen los términos que se definen en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Estas Cláusulas se leerán e interpretarán a tenor de las disposiciones del Reglamento (UE) 2916/679.
(c) Estas Cláusulas no se interpretarán de tal forma que causen un conflicto con los derechos y obligaciones dispuestos en el Reglamento (UE) 2016/679.
Cláusula 5 – Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, que existan en el momento en que se acordaron o formalizaron estas Cláusulas, o con posterioridad a ellas, prevalecerán estas.
Cláusula 6 – Descripción de la cesión(es)
Los datos de la cesión(es), y en particular las categorías de los datos personales que son cedidos y el objeto(s) para el que se ceden, se especifican en el Anexo I.B.
Cláusula 7 – Cláusula de Muelle
(a) Una entidad que no sea Parte de estas Cláusulas puede acceder, con el acuerdo de las Partes, a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
(b) Una vez completado el Apéndice y firmado el Anexo I.A., la entidad adherente pasará a ser Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.
(c) La entidad adherente no tendrá derechos ni obligaciones derivadas del periodo anterior a convertirse en Parte, según estas Cláusulas.
APARTADO II – OBLIGACIONES DE LAS PARTES
Cláusula 8 – Salvaguardias de protección de datos
El exportador de datos garantiza que se ha esforzado razonablemente para determinar que el importador de los datos es capaz, a través de la implementación de las medidas técnicas y organizativas adecuadas, de satisfacer sus obligaciones según estas Cláusulas.
8.1 Instrucciones
(a) El importador de datos tratará los datos personales solo según las instrucciones documentadas por parte del exportador de datos. El exportador de datos dará dichas instrucciones a lo largo de la duración del contrato.
(b) El importador de datos informará inmediatamente al exportador si no le fuera posible seguir las instrucciones.
8.2 Límite del objeto
El importador de datos tratará los datos personales solo con el fin(es) específico de la cesión, según se establece en el Anexo I.B., salvo que el exportador de datos indique otras instrucciones.
8.3 Transparencia
Si así se le solicita, el exportador de datos hará una copia de las Cláusulas, incluyendo el Apéndice según lo completen las Partes, disponible gratuitamente para el titular de los datos. En la medida que sea necesario proteger los secretos comerciales u otros datos confidenciales, incluyendo las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede redactar parte del texto del Apéndice de estas Cláusulas antes de facilitar una copia, pero proporcionará un resumen significativo en caso de que el titular de los datos no pudiera entender su contenido o ejercer sus derechos. Si así se le solicita, las Partes darán al titular de los datos los motivos para la redacción, en la medida posible sin revelar la información redactada. Esta Cláusula es sin perjuicio de las obligaciones del exportador de datos según los Artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Exactitud
Si llegase al conocimiento del importador de datos que los datos personales que ha recibido son inexactos o están obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos colaborará con el exportador de datos para eliminar o rectificar los datos.
8.5 Duración del tratamiento y eliminación o devolución de los datos
El tratamiento por el importador de datos solo tendrá lugar durante el tiempo especificado en el Anexo I.B. Al final de la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados en nombre del exportador y certificará a este que así lo ha hecho, o le devolverá todos los datos personales tratados en su nombre y eliminará las copias existentes. Hasta que se eliminen o devuelvan los datos, el importador seguirá cumpliendo estas Cláusulas. En caso de que la legislación local aplicable al importador prohíba la devolución o eliminación de los datos personales, el importador garantiza que seguirá cumpliendo estas Cláusulas y solo los tratará en la medida y durante el tiempo que disponga la ley local. Esto es sin perjuicio de la Cláusula 14, en particular de los requisitos para el importador según la Cláusula 14(e) para informar al exportador durante la vigencia del contrato, si tuviera motivos para creer que está o va a estar sujeto a leyes y prácticas que no se ajusten a los requisitos de la Cláusula 14(a).
8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la cesión, también el exportador, implementará las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluyendo la protección frente a incumplimientos de la seguridad conducentes a la destrucción, pérdida, alteración, acceso o divulgación no autorizados, accidentales o ilegales de dichos datos (en adelante, la “violación de la seguridad de los datos personales”). A la hora de evaluar el nivel apropiado de seguridad, las Partes tomarán debida cuenta de la vanguardia, los costes de implementación, la naturaleza, ámbito, contexto y objeto(s) del tratamiento y de los riesgos implicados en el tratamiento para los titulares de los datos. Las Partes considerarán particularmente el contar con el recurso de la encriptación o pseudoanimación, incluso durante la cesión, en caso de que el objeto del tratamiento pueda cumplirse de dicha manera. En caso de pseudoanimación, la información adicional para atribuir los datos personales a un titular de datos específico seguirá en la medida de lo posible bajo el control exclusivo del exportador de datos. Al cumplir estas obligaciones según este párrafo, el importador implementará al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos realizará comprobaciones regulares para garantizar que estas medidas siguen ofreciendo el nivel adecuado de seguridad.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la implementación, gestión y monitorización del contrato. Garantizará que las personas autorizadas para tratar los datos personales estén comprometidas con la confidencialidad o se encuentren bajo la obligación legal apropiada de confidencialidad.
(c) En caso de violación de la seguridad de los datos personales relativa a los datos personales tratados por el importador según estas Cláusulas, el importador tomará las medidas adecuadas para gestionar la violación, incluyendo medidas para mitigar sus efectos adversos. El importador también informará al exportador sin demora indebida una vez descubra la violación de la seguridad. Dicha notificación contendrá los datos del punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluyendo cuando sea posible las categorías y el número aproximado de los titulares de datos y de los registros de datos personales en cuestión), sus posibles consecuencias y las medidas tomadas o propuestas para gestionar la violación de la seguridad, incluyendo, si procede, medidas para mitigar sus posibles efectos adversos. Cuando, y en la media en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se facilitará posteriormente información adicional cuando esté disponible sin demora indebida.
(d) El importador de datos colaborará y ayudará al exportador a posibilitar que este cumpla con sus obligaciones según el Reglamento (UE) 2916/679, en particular informará a la autoridad supervisora competente y a los titulares de datos afectados, atendiendo a la naturaleza del tratamiento y a la información a disposición del importador.
8.7 Datos sensibles
Cuando la cesión implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o pertenencia a sindicatos, datos genéticos o biométricos con el propósito de identificar unívocamente a una persona física, datos relativos a la salud o a la vida u orientación sexual de un individuo, o datos relativos a sentencias judiciales y delitos penales (en adelante, “datos sensibles”), el importador aplicará las restricciones específicas y/o salvaguardias adicionales descritas en el Anexo I.B.
8.8 Transferencias ulteriores
El importador de datos solo divulgará los datos personales a un tercero según las instrucciones documentadas del exportador de datos. Además, los datos solo pueden divulgarse a un tercero que esté ubicado fuera de la Unión Europea (en el mismo país que el importador de datos u otro país tercero, en adelante, la “transferencia ulterior”), si el tercero se encuentra obligado por estas Cláusulas o acuerda obligarse por las mismas, según el Módulo apropiado, o si; (i) la transferencia ulterior se realiza a un país que se beneficie de una resolución de idoneidad conforme al Artículo 45 del Reglamento (UE) de 2016/679 que recoge la transferencia ulterior; (ii) o bien si el tercero garantiza las salvaguardias apropiadas conforme a los Artículos 46 o 47 del Reglamento de (UE) de 2016/679 con respecto al tratamiento en cuestión; (iii) si la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos específicos administrativos, reguladores o judiciales; o (iv) si la transferencia ulterior es necesaria para proteger los intereses vitales del titular de los datos o de otra persona física. Las transferencias ulteriores están sujetas al cumplimiento por el importador de los datos de todas las demás salvaguardias según estas Cláusulas, en particular el límite del objeto.
8.9 Documentación y cumplimiento
(a) El importador de datos deberá gestionar enseguida y de forma adecuada las consultas del exportador de datos que se relacionen con el tratamiento según estas Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador conservará la documentación apropiada sobre las actividades del tratamiento realizadas en nombre del exportador.
(c) El importador pondrá a disposición del exportador toda la información necesaria para demostrar su cumplimiento con las obligaciones establecidas en estas Cláusulas y, a petición del exportador, permitir y contribuir en las auditorías de las actividades del tratamiento recogidas por estas Cláusulas, en intervalos razonables, o si hubiera indicaciones de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones relevantes que posea el importador.
(d) El exportador de datos puede optar por realizar la auditoría por sí mismo o encargárselo a un auditor independiente. Las auditorías pueden incluir inspecciones en las instalaciones virtuales o físicas del importador y, si procede, realizarse con un preaviso razonable.
(e) Las Partes pondrán la información a la que se hace referencia en los párrafos (b) y (c), incluyendo los resultados de las auditorías, a disposición de la autoridad supervisora competente si así se le solicita.
Cláusula 9 – Uso de subencargados del tratamiento
(a) El importador de datos cuenta con la autorización general del exportador para contratar a subencargados a partir de una lista acordada. El importador informará específicamente al exportador por escrito de cualquier cambio pretendido en dicha lista a través de la adición o remplazo de subencargados al menos 10 días antes, proporcionando al exportador de esta manera tiempo suficiente para poderse oponer a estos cambios antes de la contratación del subencargado(s). El importador facilitará al exportador la información necesaria para que este pueda ejercer su derecho de objeción.
(b) Cuando el importador contrate a un subencargado para que realice las actividades concretas de tratamiento (en nombre del exportador), lo hará por medio de un contrato escrito que proporcione en sustancia las mismas obligaciones de protección de datos por las que está obligado el importador según estas Cláusulas, incluyendo los términos de los derechos del tercero beneficiario para los titulares de los datos. Las Partes acuerdan que, por medio del cumplimiento de esta Cláusula, el importador cumple sus obligaciones según la Cláusula 8.8. El importador garantizará que el subencargado cumpla con las obligaciones a las que está sujeto el importador conforme a estas Cláusulas.
(c) El importador facilitará, a petición del exportador, una copia del contrato con el subencargado y las posteriores modificaciones al exportador. En la medida en que sea necesario proteger los secretos comerciales u otra información confidencial, incluyendo los datos personales, el importador redactará el texto del contrato antes de ceder una copia.
(d) El importador seguirá siendo el responsable total ante el exportador para el desempeño de las obligaciones del subencargado según su contrato con el importador. El importador comunicará al exportador cualquier incumplimiento de las obligaciones por el subencargado según dicho contrato.
(e) El importador acordará una cláusula de un tercero beneficiario con el subencargado por medio de la cual, en caso de que el importador de forma efectiva desaparezca, deje de existir legalmente o sea insolvente, el exportador tendrá derecho a resolver el contrato del subencargado y ordenarle que elimine o devuelva los datos personales.
Cláusula 10 – Derechos del titular de los datos
(a) El importador comunicará en seguida al exportador cualquier petición que reciba por parte de un titular de los datos. No responderá a dicha petición por sí mismo, salvo que el exportador le autorice para ello.
(b) El importador ayudará al exportador a cumplir sus obligaciones para responder a las peticiones de los titulares de los datos para el ejercicio de sus derechos según el Reglamento (UE) 2016/679. Con respecto a esto, las partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, atendiendo a la naturaleza del tratamiento, por el que se proporciona la ayuda, así como el enfoque y la medida de la ayuda requerida.
(c) Al cumplir sus obligaciones según los párrafos (a) y (b), el importador cumplirá las instrucciones del exportador.
Cláusula 11 – Rectificación
(a) El importador informará a los titulares de los datos en un formato transparente y fácilmente accesible, a través de una notificación individual o en su página web, de un punto de contacto autorizado para gestionar las reclamaciones. Cualquier reclamación que se reciba del titular de los datos se tramitará en seguida.
(b) En caso de conflicto entre un titular de datos y una de las partes en relación con el cumplimiento de estas Cláusulas, dicha Parte se esforzará al máximo en resolver el asunto amistosamente de manera oportuna. Las Partes se mantendrán informadas entre sí sobre dichos conflictos y, si procede, colaborarán para resolverlos.
(c) Cuando un titular de los datos recurra al derecho de un tercero beneficiario conforme a la Cláusula 3, el importador aceptará la decisión del titular de los datos de:
(i) interponer una reclamación ante la autoridad supervisora en el Estado Miembro de su residencia habitual o lugar de trabajo, o ante la autoridad supervisora competente conforme a la Cláusula 13;
(ii) derivar el conflicto a los tribunales competentes en el sentido de la Cláusula 18.
(d) Las Partes aceptan que el titular de los datos pueda estar representado por un organismo, organización o asociación sin ánimo de lucro, según las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
(e) El importador estará sujeto a una decisión que sea vinculante según la ley aplicable de la UE o del Estado Miembro.
(f) El importador acuerda que la elección hecha por el titular de los datos no irá en perjuicio de sus derechos sustantivos procesales para encontrar soluciones de conformidad con las leyes aplicables.
Cláusula 12 – Responsabilidad
(a) Cada una de las Partes será responsable frente a la otra por cualquier daño que ocasione la otra Parte derivada del incumplimiento de estas Cláusulas.
(b) El importador de los datos será responsable ante el titular, y este tendrá derecho a recibir una compensación, por daños materiales o no materiales que el titular de los datos o su subencargado ocasione al titular de los datos por incumplir los derechos del tercero beneficiario según estas Cláusulas.
(c) Independientemente del párrafo (b), el exportador será responsable ante el titular de los datos, y este tendrá derecho a recibir una compensación, por daños materiales o no materiales que el exportador o el importador (o su subencargado) ocasione al titular de los datos por incumplir los derechos del tercero beneficiario según estas Cláusulas. Esto es sin perjuicio de la responsabilidad del exportador y, cuando este sea un encargado que actúe en nombre del responsable, de la responsabilidad del responsable según el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes acuerdan que si el exportador es responsable según el párrafo (c) por daños ocasionados por el importador (o su subencargado), tendrá derecho a reclamar al importador la parte de la compensación que corresponda a la responsabilidad del importador por el daño.
(e) Cuando más de una Parte sea responsable por daños ocasionados al titular de los datos como resultado del incumplimiento de estas Cláusulas, todas las Partes responsables serán responsables solidarias y el titular de los datos tendrá derecho a iniciar acciones en un tribunal contra alguna de ellas.
(f) Las Partes acuerdan que si una Parte es responsable según el párrafo (e), tendrá derecho a reclamar a la otra Parte dicha parte de la compensación correspondiente a su responsabilidad por el daño.
(g) El importador no puede apelar al desempeño de un subencargado para evitar su propia responsabilidad.
Cláusula 13 – Supervisión
(a) La autoridad supervisora con responsabilidad para garantizar el cumplimiento por el exportador del Reglamento (UE) 2016/679 con respecto a la cesión de datos, según se indica en el Anexo I.C, actuará como autoridad supervisora competente.
(b) El importador de datos acuerda someterse a la jurisdicción y colaborar con la autoridad supervisora competente en cualquier procedimiento dirigido a garantizar el cumplimiento de estas Cláusulas. En particular, el importador acuerda responder a las consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad supervisora, incluyendo medidas correctivas y compensatorias. Confirmará por escrito a la autoridad supervisora cuando se hayan tomado las acciones necesarias.
APARTADO III – LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR AUTORIDADES PÚBLICAS
Cláusula 14 – Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
(a) Las Partes garantizan que no tienen ningún motivo para creer que las leyes y prácticas en el país tercero de destino aplicables al tratamiento de los datos personales por el importador de datos, incluyendo los requisitos para divulgar datos personales o medidas que autoricen el acceso por las autoridades públicas, impidan que el importador cumpla con sus obligaciones según estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respectan a la esencia de los derechos y libertades fundamentales y que no exceden de lo que es necesario y proporcional en una sociedad democrática para salvaguardar uno de los objetivos de la lista del Artículo 23(1) del Reglamento (UE) 2016/679, no van en oposición a estas Cláusulas.
(b) Las Partes declaran que al ofrecer la garantía del párrafo (a), han tomado debida cuenta en concreto de los siguientes elementos:
(i) las circunstancias específicas de la cesión, incluyendo la duración de la cadena de tratamiento, el número de actores implicados y los canales de cesión empleados; cesiones sucesivas pretendidas; el tipo de receptor; el objeto del tratamiento; las categorías y formato de los datos personales cedidos; el sector económico en el que sucede la cesión; la ubicación del almacén de los datos transferidos;
(ii) las leyes y prácticas del país tercero de destino, incluyendo los que requieren de la divulgación de datos a las autoridades públicas o que autorizan el acceso por dichas autoridades, relevantes a la vista de las circunstancias específicas de la cesión, y las limitaciones y salvaguardias aplicables;
(iii) las salvaguardias relevantes contractuales, técnicas u organizativas fijadas para complementar las salvaguardias según estas Cláusulas, incluyendo las medidas aplicadas durante la cesión y el tratamiento de los datos personales en el país de destino.
(c) El importador de datos garantiza que, al realizar la valoración según el párrafo (b), se ha esforzado al máximo en facilitar al exportador la información pertinente y acuerda que seguirá colaborando con el exportador en garantizar el cumplimiento de estas Cláusulas.
(d) Las Partes acuerdan documentar la valoración según el párrafo (b) y ponerla a disposición de la autoridad supervisora competente si se les solicita.
(e) El importador acuerda comunicarle al exportador enseguida si, una vez acordadas estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o va a estar sujeto a las leyes y prácticas que sean conformes con los requisitos según el párrafo (a), incluso después de un cambio en las leyes del país tercero o una medida (tal como el requisito de divulgación) que indique una aplicación de dichas leyes en la práctica que no sea conforme con los requisitos del párrafo (a).
(f) Una vez comunicado conforme al párrafo (e), si el exportador tiene de otra forma motivos para creer que el importador ya no puede cumplir sus obligaciones según estas Cláusulas, el exportador identificará enseguida las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que debe adoptar el exportador y/o el importador para gestionar la situación. El exportador suspenderá la cesión de datos si considera que no puede garantizar las salvaguardias apropiadas para dicha cesión, o si la autoridad supervisora competente le indica hacerlo. En este caso, el exportador tendrá derecho a resolver el contrato, en la medida en que respecta al tratamiento de los datos personales según estas Cláusulas. Si el contrato implica a más de dos Partes, el exportador puede ejercer este derecho de terminación solo con respecto a la Parte relevante, salvo que las Partes han acordado lo contrario. Cuando el contrato quede resuelto conforme a esta Cláusula, se aplicará la Cláusula 16(d) y (e).
Cláusula 15 – Obligaciones del importador de datos en caso de acceso por las autoridades públicas
15.1 Notificación
(a) El importador de datos acuerda comunicar al exportador y, cuando sea posible, al titular de los datos enseguida (si fuera necesario con la ayuda del exportador), si:
(i) Recibe una petición legalmente vinculante de una autoridad pública, incluyendo las autoridades judiciales, según las leyes del país de destino para la divulgación de los datos personales cedidos conforme a estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base legal para la solicitud y la respuesta proporcionada; o
(ii) llega a su conocimiento el acceso directo por las autoridades públicas a los datos personales cedidos conforme a estas Cláusulas de conformidad con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.
(b) Si el importador tiene prohibido informar al exportador y/o al titular de los datos según las leyes del país de destino, el importador acuerda esforzarse al máximo en obtener el levantamiento de la prohibición, en vistas a comunicar cuanta información sea posible, tan pronto como sea posible. El importador acuerda documentar sus esfuerzos para poder demostrarlos si el exportador se lo pide.
(c) Cuando lo permitan las leyes del país de destino, el importador acuerda facilitar al exportador en intervalos regulares durante la vigencia del contrato, cuanta información relevante sea posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitado, las autoridades solicitantes, si las solicitudes se han impugnado y el resultado de dichas impugnaciones, etc.).
(d) El importador acuerda conservar la información conforme a los párrafos (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad supervisora competente si lo solicita.
(e) Los párrafos (a) a (c) no van en detrimento de la obligación del importador conforme a la Cláusulas 14(e) y la Cláusula 16 de informar al exportador enseguida cuando no sea capaz de cumplir estas Cláusulas.
15.2 Revisión de la legalidad y la minimización de datos
(a) El importador acuerda revisar la legalidad de la solicitud de divulgación, en particular si permanece dentro de las facultades otorgadas a la autoridad pública solicitante, e impugnar la solicitud si, después de una evaluación cuidadosa, concluye que se dan motivos fundados para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables según el derecho internacional y los principios de la cortesía internacional. El importador, bajo las mismas condiciones, debe buscar posibilidades de apelación. A la hora de impugnar una solicitud, el importador buscará medidas temporales en vistas a la suspensión de los efectos de la solicitud hasta que la autoridad judicial competente decida sobre el fondo del asunto. No divulgará los datos personales solicitados hasta que se le pida hacerlo según las normas procesales aplicables. Estos requisitos no van en detrimento de las obligaciones del importador según la Cláusula 14(e).
(b) El importador de datos acuerda documentar su evaluación legal y cualquier impugnación de la que se solicite su divulgación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador. También la pondrá a disposición de la autoridad supervisora competente si así se lo solicita.
(c) El importador acuerda facilitar la cantidad mínima permitida de información a la hora de responder a una petición de divulgación, en base a la interpretación razonable de la solicitud.
APARTADO IV – DISPOSICIONES FINALES
Cláusula 16 – Incumplimiento de las Cláusulas y rescisión
(a) El importador comunicará enseguida al exportador si no puede cumplir con estas Cláusulas, por cualquier motivo.
(b) En caso de que el importador haya incumplido estas Cláusulas o no pueda cumplirlas, el exportador suspenderá la cesión de los datos personales al importador hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto va sin perjuicio de la Cláusula 14(f).
(c) El exportador tendrá derecho a rescindir el contrato, en la medida en que concierna al tratamiento de datos personales según estas Cláusulas, cuando:
(i) el exportador haya suspendido la cesión de datos personales al importador conforme al párrafo (b) y el cumplimiento con estas Cláusulas no se restablezca en un plazo razonable de tiempo y, en cualquier caso, en un plazo de un mes desde la suspensión;
(ii) el importador haya incumplido sustancial o persistentemente estas Cláusulas; o
(iii) el importador incumpla la decisión vinculante de un tribunal competente o autoridad supervisora en relación con sus obligaciones según estas Cláusulas. En estos casos, deberá informar a la autoridad supervisora competente de dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador puede ejercer su derecho de rescisión solo con respecto a la Parte relevante, salvo que las Partes hayan acordado lo contrario.
(d) Los datos personales que hayan sido cedidos antes de la rescisión del contrato conforme al párrafo (c) deberán, a elección del exportador, devolverse inmediatamente a este o eliminarse en su totalidad. Lo mismo se aplicará a cualquier copia que se haga de los datos. El importador certificará la eliminación de los datos para el exportador. Hasta que se devuelvan o se eliminen los datos, el importador seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que hubiera leyes locales aplicables al importador por las que se prohibiera la devolución o eliminación de los datos personales cedidos, el importador garantiza que seguirá cumpliendo las Cláusulas y que solo tratará los datos en la medida y durante el tiempo que requiera la ley local.
(e) Ambas Partes pueden revocar el acuerdo por el que han quedado vinculadas a estas Cláusulas, cuando (i) la Comisión Europea adopte una resolución conforme al Artículo 45(3) del Reglamento (UE) 2016/679 que cubre la cesión de los datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se cedieron los datos personales. Esto es sin perjuicio de otras obligaciones que se apliquen al tratamiento en cuestión según el Reglamento (UE) 2016/679.
Cláusula 17 – Ley aplicable
Estas Cláusulas se regirán por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley reconozca los derechos del tercero beneficiario. Las Partes acuerdan que esta será la ley de la República de Lituania.
Cláusula 18 – Elección de foro y jurisdicción
(a) Los conflictos que surjan de estas Cláusulas se resolverán ante los tribunales de un Estado Miembro de la UE. (b) Las Partes acuerdan que estos serán los tribunales de la República de Lituania. (c) Un titular de datos también puede iniciar acciones legales contra el exportador y/o el importador ante los tribunales del Estado Miembro en donde tenga su residencia habitual.
A. LISTA DE PARTES
Exportador(es) de datos:
1. Cliente, según se definen estos términos en las Condiciones de Uso de MailerLite a las que se adjunta al Apéndice de Tratamiento de Datos.
Importador(es) de datos:
1. Nombre: MailerLite, Inc.
Dirección: 548 Market St, PMB 98174, San Francisco, California 94104-5401 EE.UU.
Nombre, puesto y datos de contacto de la persona de contacto:
Actividades concernientes a los datos cedidos según estas Cláusulas: servicios de marketing por email
Firma y fecha: entra en vigor el 24 de septiembre de 2021; en caso de que el Cliente se haga cliente nuestro para dicha fecha o posteriormente, entra en vigor el día en que el Cliente de su conformidad a nuestras Condiciones de Uso.
Puesto (responsable/encargado del tratamiento): encargado
B. DESCRIPCIÓN DE LA CESIÓN
Categorías de los titulares de datos cuyos datos personales han sido cedidos: El Cliente determina y controla el alcance de los Datos Personales del Cliente presentados para su Tratamiento por los Servicios, lo que puede incluir Datos Personales relativos a: (1) Usuarios: cualquier individuo que acceda y/o utilice los Servicios a través de la cuenta del Cliente; (2) Suscriptores: cualquier individuo cuya dirección de correo electrónico esté incluida en la lista de distribución del Cliente / cuya información esté almacenada o recopilada por medio de los Servicios / a quienes los Usuarios envíen emails o los empleen de otra forma o se comuniquen con ellos por medio de los Servicios.
Categorías de datos personales cedidos: Los datos personales cedidos están relacionados con las siguientes categorías de datos: (1)
Usuarios: datos de identificación y de contacto (nombre, datos de contacto incluyendo la dirección de email y el nombre de usuario); información de facturación (dirección de facturación, información de pago); información de organización (nombre, dirección, ubicación geográfica, área de responsabilidad, código IVA), información IT (dirección IP, datos de uso, datos de cookies, datos de la navegación online, datos de ubicación, datos del navegador, información del dispositivo de acceso); (2) Suscriptores: direcciones de email y cualquier otra información adicional que el Cliente facilite a MailerLite.
Datos sensibles cedidos (si procede) y limitaciones aplicadas o salvaguardias que tengan completamente en cuenta la naturaleza de los datos y los riesgos que implican, tales como por ejemplo limitación estricta del objeto, limitaciones de acceso (incluyendo el acceso solo para aquel personal que haya seguido la formación especializada), conservando un registro del acceso a los datos, limitaciones para cesiones sucesivas o medidas adicionales de seguridad: No se cederán datos sensibles a MailerLite.
La frecuencia de la cesión (por ejemplo, si los datos han sido cedidos de forma excepcional o continua): Los datos se ceden de forma continua durante la vigencia de los Servicios, según se describe en las CU.
Naturaleza del tratamiento: MailerLite es un servicio que proporciona a los clientes un medio para recopilar direcciones de email y crear, enviar y monitorizar promociones por email (“Servicios”) y otros servicios conforme a las confirmaciones de pedido, documentos de pedidos o registro online, según se describe en las CU.
Objeto(s) de la cesión de datos y tratamiento posterior: El objeto del tratamiento de los datos según esta ATD es la prestación de los Servicios.
El periodo por el que los datos personales se conservan, o, si esto no fuera posible, los criterios empleados para determinar dicho periodo: Los datos se conservarán durante la vigencia de los Servicios. No se aplicarán en la medida en que MailerLite esté obligado por ley a conservar algunos o todos los Datos de Cliente, ni a los Datos de Cliente que haya archivado en sistemas de seguridad cuando los Datos de Cliente estén aislados de forma segura y protegidos de cualquier tratamiento adicional, excepto en la medida en que lo requiera la ley aplicable.
Para cesiones a (sub) encargados, también especifica el objeto, naturaleza y duración del tratamiento: Los datos Personales podrían ser cedidos a los subencargados de MailerLite para prestar los Servicios a sus clientes. El subtratamiento debe tener lugar durante la duración de la prestación de los Servicios o durante más tiempo, si lo requiere la ley.
C. AUTORIDAD SUPERVISORA COMPETENTE
Identificar a la autoridad/es supervisora competente de conformidad con la Cláusula 13: Inspección Estatal de Protección de Datos de la República de Lituania.
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUYENDO LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Véase Anexo 2 de la ATD – Medidas de Seguridad.
ANEXO III
LISTA DE SUBENCARGADOS DEL TRATAMIENTO
Véase Anexo 4 de la ATD – Lista de los Subencargados de MailerLite.
ANEXO IV
Lista de los Subencargados de MailerLite
MailerLite se sirve de una variedad de terceros Subencargados para que le ayuden en la prestación de Servicios (según se describe en la ATD).
El responsable ha autorizado el uso de los siguientes subencargados:
1. Nombre: Google Ireland Limited
Dirección: Gordon House, Barrow Street, Dublín 4, Dublín, D04e5w5, Irlanda
Nombre, puesto y datos de contacto de la persona de contacto: puede ponerse en contacto utilizando su web.
Descripción del tratamiento (incluyendo una clara delimitación de las responsabilidades en caso de que estén autorizados varios subencargados): El centro de datos de MailerLite Classic con su ubicación en Alemania, y el centro de datos de New MailerLite con su ubicación en Países Bajos
2. Nombre: Vercom S.A.
Dirección: Roosevelta 22, 60-829 Poznan, Polonia
Nombre, puesto y datos de contacto de la persona de contacto: Directora de Protección de Datos, Marika Rybarczyk, en: iod@vercom.pl
Descripción del tratamiento: Gestión y mejora de los servicios de MailerLite como accionista
Última actualización el 20 de noviembre de 2024