Acuerdo de Procesamiento de Datos

Acuerdo de procesamiento de datos de Forward Email

Términos Clave

Término Valor
Acuerdo Este DPA complementa los Términos de Servicio
Subprocesadores Aprobados Cloudflare (EE.UU.; proveedor de DNS, redes y seguridad), DataPacket (EE.UU./Reino Unido; proveedor de hosting), Digital Ocean (EE.UU.; proveedor de hosting), GitHub (EE.UU.; alojamiento de código fuente, CI/CD y gestión de proyectos), Vultr (EE.UU.; proveedor de hosting), Stripe (EE.UU.; procesador de pagos), PayPal (EE.UU.; procesador de pagos)
Contacto de Seguridad del Proveedor security@forwardemail.net
Política de Seguridad Ver nuestra Política de Seguridad en GitHub
Estado Gobernante El Estado de Delaware, Estados Unidos

Cambios en el Acuerdo

Este documento es una derivación de los Términos Estándar del DPA de Common Paper (Versión 1.0) y se han realizado los siguientes cambios:

  1. Se ha incluido Ley Aplicable y Tribunales Elegidos como una sección a continuación con el Estado Gobernante identificado arriba.
  2. Se ha incluido Relación con el Proveedor de Servicios como una sección a continuación.

1. Relaciones entre Procesador y Subprocesador

1. Proveedor como Procesador

En situaciones donde Cliente es un Responsable de los Datos Personales del Cliente, Proveedor será considerado un Procesador que está Procesando Datos Personales en nombre del Cliente.

2. Proveedor como Subprocesador

En situaciones donde Cliente es un Procesador de los Datos Personales del Cliente, Proveedor será considerado un Subprocesador de los Datos Personales del Cliente.

2. Procesamiento

1. Detalles del Procesamiento

El Anexo I(B) en la Página de Portada describe el objeto, naturaleza, propósito y duración de este Procesamiento, así como las Categorías de Datos Personales recopilados y las Categorías de Sujetos de Datos.

2. Instrucciones de Procesamiento

Cliente instruye a Proveedor a Procesar los Datos Personales del Cliente: (a) para proporcionar y mantener el Servicio; (b) según se especifique adicionalmente mediante el uso del Servicio por parte del Cliente; (c) según lo documentado en el Acuerdo; y (d) según lo documentado en cualquier otra instrucción escrita dada por el Cliente y reconocida por el Proveedor sobre el Procesamiento de los Datos Personales del Cliente bajo este DPA. Proveedor cumplirá con estas instrucciones a menos que las Leyes Aplicables lo prohíban. Proveedor informará inmediatamente al Cliente si no puede seguir las instrucciones de Procesamiento. El Cliente ha dado y solo dará instrucciones que cumplan con las Leyes Aplicables.

3. Procesamiento por parte del Proveedor

Proveedor solo Procesará los Datos Personales del Cliente de acuerdo con este DPA, incluidos los detalles en la Página de Portada. Si Proveedor actualiza el Servicio para actualizar productos, características o funcionalidades existentes o incluir nuevos, Proveedor podrá cambiar las Categorías de Sujetos de Datos, Categorías de Datos Personales, Datos de Categoría Especial, Restricciones o Salvaguardas para Datos de Categoría Especial, Frecuencia de Transferencia, Naturaleza y Propósito del Procesamiento y Duración del Procesamiento según sea necesario para reflejar las actualizaciones notificando al Cliente sobre las actualizaciones y cambios.

4. Procesamiento por parte del Cliente

Cuando Cliente sea un Procesador y Proveedor un Subprocesador, Cliente cumplirá con todas las Leyes Aplicables que se apliquen al Procesamiento de los Datos Personales del Cliente por parte del Cliente. El acuerdo del Cliente con su Responsable requerirá de manera similar que Cliente cumpla con todas las Leyes Aplicables que se apliquen al Cliente como Procesador. Además, Cliente cumplirá con los requisitos de Subprocesador en el acuerdo del Cliente con su Responsable.

Cliente ha cumplido y continuará cumpliendo con todas las Leyes de Protección de Datos Aplicables en relación con la provisión de Datos Personales del Cliente a Proveedor y/o al Servicio, incluyendo realizar todas las divulgaciones, obtener todos los consentimientos, proporcionar opciones adecuadas e implementar las salvaguardas relevantes requeridas bajo las Leyes de Protección de Datos Aplicables.

6. Subprocesadores

a. El Proveedor no proporcionará, transferirá ni entregará ningún Dato Personal del Cliente a un Subprocesador a menos que el Cliente haya aprobado al Subprocesador. La lista actual de Subprocesadores Aprobados incluye las identidades de los Subprocesadores, su país de ubicación y las tareas de Procesamiento previstas. El Proveedor informará a el Cliente al menos 10 días hábiles antes y por escrito de cualquier cambio previsto en los Subprocesadores Aprobados, ya sea por adición o reemplazo de un Subprocesador, lo que permite a el Cliente disponer de tiempo suficiente para oponerse a los cambios antes de que el Proveedor comience a utilizar el/los nuevo(s) Subprocesador(es). El Proveedor proporcionará a el Cliente la información necesaria para permitirle ejercer su derecho a oponerse al cambio en los Subprocesadores Aprobados. El Cliente dispone de 30 días tras la notificación de un cambio en los Subprocesadores Aprobados para oponerse; de lo contrario, se considerará que el Cliente acepta los cambios. Si el Cliente se opone al cambio dentro de los 30 días posteriores a la notificación, el Cliente y el Proveedor cooperarán de buena fe para resolver la objeción o preocupación de el Cliente.

b. Al contratar a un Subprocesador, el Proveedor tendrá un acuerdo por escrito con el Subprocesador que garantice que el Subprocesador solo acceda y utilice los Datos Personales del Cliente (i) en la medida necesaria para cumplir con las obligaciones subcontratadas, y (ii) de acuerdo con los términos del Acuerdo.

c. Si el RGPD se aplica al Procesamiento de los Datos Personales del Cliente, (i) las obligaciones de protección de datos descritas en este DPA (según se refiere en el Artículo 28(3) del RGPD, si procede) también se imponen al Subprocesador, y (ii) el acuerdo de el Proveedor con el Subprocesador incorporará estas obligaciones, incluyendo detalles sobre cómo el Proveedor y su Subprocesador coordinarán para responder a consultas o solicitudes sobre el Procesamiento de los Datos Personales del Cliente. Además, el Proveedor compartirá, a solicitud de el Cliente, una copia de sus acuerdos (incluidas las enmiendas) con sus Subprocesadores. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el Proveedor podrá redactar el texto de su acuerdo con el Subprocesador antes de compartir una copia.

d. El Proveedor sigue siendo plenamente responsable de todas las obligaciones subcontratadas a sus Subprocesadores, incluidos los actos y omisiones de sus Subprocesadores en el Procesamiento de los Datos Personales del Cliente. El Proveedor notificará a el Cliente cualquier incumplimiento por parte de sus Subprocesadores en el cumplimiento de una obligación material sobre los Datos Personales del Cliente bajo el acuerdo entre el Proveedor y el Subprocesador.

3. Transferencias Restringidas

1. Autorización

El Cliente acepta que el Proveedor pueda transferir Datos Personales del Cliente fuera del EEE, el Reino Unido u otro territorio geográfico relevante según sea necesario para proporcionar el Servicio. Si el Proveedor transfiere Datos Personales del Cliente a un territorio para el cual la Comisión Europea u otra autoridad supervisora relevante no ha emitido una decisión de adecuación, el Proveedor implementará las salvaguardas adecuadas para la transferencia de Datos Personales del Cliente a ese territorio de conformidad con las Leyes de Protección de Datos Aplicables.

2. Transferencias fuera del EEE

El Cliente y el Proveedor acuerdan que si el RGPD protege la transferencia de Datos Personales del Cliente, la transferencia es de el Cliente desde dentro del EEE a el Proveedor fuera del EEE, y la transferencia no está regida por una decisión de adecuación emitida por la Comisión Europea, entonces al celebrar este DPA, el Cliente y el Proveedor se consideran que han firmado las Cláusulas Contractuales Tipo del EEE (SCCs) y sus Anexos, que se incorporan por referencia. Cualquier transferencia de este tipo se realiza conforme a las SCCs del EEE, que se completan de la siguiente manera: a. El Módulo Dos (Controlador a Procesador) de las EEA SCCs se aplica cuando Cliente es un Controlador y Proveedor está Procesando Datos Personales del Cliente para Cliente como Procesador.

b. El Módulo Tres (Procesador a Subprocesador) de las EEA SCCs se aplica cuando Cliente es un Procesador y Proveedor está Procesando Datos Personales del Cliente en nombre de Cliente como Subprocesador.

c. Para cada módulo, se aplica lo siguiente (cuando corresponda):

  1. La cláusula opcional de acoplamiento en la Cláusula 7 no se aplica;

  2. En la Cláusula 9, la Opción 2 (autorización escrita general) se aplica, y el período mínimo para el aviso previo de cambios de Subprocesador es de 10 días hábiles;

  3. En la Cláusula 11, el lenguaje opcional no se aplica;

  4. Todos los corchetes en la Cláusula 13 se eliminan;

  5. En la Cláusula 17 (Opción 1), las EEA SCCs se regirán por las leyes del Estado Miembro Gobernante;

  6. En la Cláusula 18(b), las disputas se resolverán en los tribunales del Estado Miembro Gobernante; y

  7. La Portada de este DPA contiene la información requerida en el Anexo I, Anexo II y Anexo III de las EEA SCCs.

3. Transferencias Ex-UK

Cliente y Proveedor acuerdan que si el UK GDPR protege la transferencia de Datos Personales del Cliente, la transferencia es de Cliente desde dentro del Reino Unido a Proveedor fuera del Reino Unido, y la transferencia no está gobernada por una decisión de adecuación realizada por el Secretario de Estado del Reino Unido, entonces al celebrar este DPA, Cliente y Proveedor se consideran que han firmado el Anexo del Reino Unido y sus Anexos, que se incorporan por referencia. Cualquier transferencia de este tipo se realiza conforme al Anexo del Reino Unido, que se completa de la siguiente manera:

a. La Sección 3.2 de este DPA contiene la información requerida en la Tabla 2 del Anexo del Reino Unido.

b. La Tabla 4 del Anexo del Reino Unido se modifica de la siguiente manera: Ninguna de las partes podrá terminar el Anexo del Reino Unido según lo establecido en la Sección 19 del Anexo del Reino Unido; en la medida en que la ICO emita un Anexo Aprobado revisado bajo la Sección ‎18 del Anexo del Reino Unido, las partes trabajarán de buena fe para revisar este DPA en consecuencia.

c. La Portada contiene la información requerida por el Anexo 1A, Anexo 1B, Anexo II y Anexo III del Anexo del Reino Unido.

4. Otras Transferencias Internacionales

Para las transferencias de Datos Personales donde la ley suiza (y no la ley de ningún estado miembro del EEE ni del Reino Unido) se aplica a la naturaleza internacional de la transferencia, las referencias al GDPR en la Cláusula 4 de las EEA SCCs se modifican, en la medida legalmente requerida, para referirse en su lugar a la Ley Federal Suiza de Protección de Datos o su sucesora, y el concepto de autoridad supervisora incluirá al Comisionado Federal Suizo de Protección de Datos e Información.

4. Respuesta a Incidentes de Seguridad

  1. Al tener conocimiento de cualquier Incidente de Seguridad, Proveedor deberá: (a) notificar a Cliente sin demora indebida cuando sea factible, pero no más tarde de 72 horas después de tener conocimiento del Incidente de Seguridad; (b) proporcionar información oportuna sobre el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente Cliente; y (c) tomar prontamente medidas razonables para contener e investigar el Incidente de Seguridad. La notificación o respuesta de Proveedor a un Incidente de Seguridad según lo requerido por este DPA no se interpretará como un reconocimiento por parte de Proveedor de cualquier culpa o responsabilidad por el Incidente de Seguridad.

5. Auditoría y Reportes

1. Derechos de Auditoría

Proveedor proporcionará a Cliente toda la información razonablemente necesaria para demostrar su cumplimiento con este DPA y Proveedor permitirá y contribuirá a auditorías, incluidas inspecciones por parte de Cliente, para evaluar el cumplimiento de Proveedor con este DPA. Sin embargo, Proveedor podrá restringir el acceso a datos o información si el acceso de Cliente a la información impactaría negativamente los derechos de propiedad intelectual de Proveedor, obligaciones de confidencialidad u otras obligaciones bajo las Leyes Aplicables. Cliente reconoce y acepta que solo ejercerá sus derechos de auditoría bajo este DPA y cualquier derecho de auditoría otorgado por las Leyes de Protección de Datos Aplicables instruyendo a Proveedor para que cumpla con los requisitos de reporte y diligencia debida a continuación. Proveedor mantendrá registros de su cumplimiento con este DPA durante 3 años después de que finalice el DPA.

2. Informes de Seguridad

Cliente reconoce que Proveedor es auditado regularmente conforme a los estándares definidos en la Política de Seguridad por auditores independientes externos. A solicitud por escrito, Proveedor proporcionará a Cliente, de manera confidencial, una copia resumida de su Informe vigente para que Cliente pueda verificar el cumplimiento de Proveedor con los estándares definidos en la Política de Seguridad.

3. Diligencia Debida en Seguridad

Además del Informe, Proveedor responderá a solicitudes razonables de información realizadas por Cliente para confirmar el cumplimiento de Proveedor con este DPA, incluyendo respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría, o proporcionando información adicional sobre su programa de seguridad de la información. Todas estas solicitudes deben ser por escrito y dirigidas al Contacto de Seguridad del Proveedor y solo podrán realizarse una vez al año.

6. Coordinación y Cooperación

1. Respuesta a Consultas

Si Proveedor recibe alguna consulta o solicitud de cualquier otra persona sobre el Procesamiento de Datos Personales del Cliente, Proveedor notificará a Cliente sobre la solicitud y Proveedor no responderá a la solicitud sin el consentimiento previo de Cliente. Ejemplos de este tipo de consultas y solicitudes incluyen una orden judicial, administrativa o de una agencia reguladora sobre Datos Personales del Cliente donde notificar a Cliente no esté prohibido por la Ley Aplicable, o una solicitud de un titular de datos. Si la Ley Aplicable lo permite, Proveedor seguirá las instrucciones razonables de Cliente sobre estas solicitudes, incluyendo proporcionar actualizaciones de estado y otra información razonablemente solicitada por Cliente. Si un titular de datos realiza una solicitud válida bajo las Leyes de Protección de Datos Aplicables para eliminar u optar por no proporcionar los Datos Personales del Cliente a Proveedor, Proveedor asistirá a Cliente en cumplir con la solicitud conforme a la Ley de Protección de Datos Aplicable. Proveedor cooperará y proporcionará asistencia razonable a Cliente, a expensas de Cliente, en cualquier respuesta legal u otra acción procesal tomada por Cliente en respuesta a una solicitud de terceros sobre el Procesamiento de Datos Personales del Cliente por parte de Proveedor bajo este DPA.

2. DPIAs y DTIAs

Si lo requieren las Leyes de Protección de Datos Aplicables, Proveedor asistirá razonablemente a Cliente en la realización de cualquier evaluación de impacto en la protección de datos o evaluación de impacto en la transferencia de datos mandatada y en las consultas con las autoridades de protección de datos relevantes, tomando en consideración la naturaleza del Procesamiento y los Datos Personales del Cliente.

7. Eliminación de Datos Personales del Cliente

1. Eliminación por parte del Cliente

Proveedor permitirá a Cliente eliminar los Datos Personales del Cliente de manera consistente con la funcionalidad de los Servicios. Proveedor cumplirá con esta instrucción tan pronto como sea razonablemente posible, excepto cuando la Ley Aplicable requiera un almacenamiento adicional de los Datos Personales del Cliente.

2. Eliminación al Vencimiento del DPA

a. Después de que el DPA expire, Proveedor devolverá o eliminará los Datos Personales del Cliente según las instrucciones de Cliente, a menos que la Ley Aplicable requiera o autorice un almacenamiento adicional de los Datos Personales del Cliente. Si la devolución o destrucción es impracticable o está prohibida por las Leyes Aplicables, Proveedor hará esfuerzos razonables para prevenir un Procesamiento adicional de los Datos Personales del Cliente y continuará protegiendo los Datos Personales del Cliente que permanezcan en su posesión, custodia o control. Por ejemplo, las Leyes Aplicables pueden requerir que Proveedor continúe alojando o procesando los Datos Personales del Cliente. b. Si Cliente y Proveedor han incorporado las EEA SCCs o el Anexo del Reino Unido como parte de este DPA, Proveedor solo entregará a Cliente la certificación de eliminación de Datos Personales descrita en la Cláusula 8.1(d) y la Cláusula 8.5 de las EEA SCCs si Cliente la solicita.

8. Limitación de Responsabilidad

1. Límites de Responsabilidad y Renuncia a Daños

En la máxima medida permitida por las Leyes de Protección de Datos Aplicables, la responsabilidad total acumulada de cada parte frente a la otra derivada de o relacionada con este DPA estará sujeta a las renuncias, exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

Cualquier reclamación contra Proveedor o sus Afiliados derivada de o relacionada con este DPA solo podrá ser presentada por la entidad Cliente que sea parte del Acuerdo.

3. Excepciones

  1. Este DPA no limita ninguna responsabilidad hacia un individuo respecto a los derechos de protección de datos de dicho individuo bajo las Leyes de Protección de Datos Aplicables. Además, este DPA no limita ninguna responsabilidad entre las partes por violaciones de las EEA SCCs o el Anexo del Reino Unido.

9. Conflictos Entre Documentos

  1. Este DPA forma parte y complementa el Acuerdo. Si existe alguna inconsistencia entre este DPA, el Acuerdo o cualquiera de sus partes, la parte listada primero prevalecerá sobre la parte listada después para esa inconsistencia: (1) las EEA SCCs o el Anexo del Reino Unido, (2) este DPA, y luego (3) el Acuerdo.

10. Duración del Acuerdo

Este DPA comenzará cuando Proveedor y Cliente acuerden una Portada para el DPA y firmen o acepten electrónicamente el Acuerdo y continuará hasta que el Acuerdo expire o sea terminado. Sin embargo, Proveedor y Cliente permanecerán sujetos a las obligaciones de este DPA y las Leyes de Protección de Datos Aplicables hasta que Cliente deje de transferir Datos Personales del Cliente a Proveedor y Proveedor deje de Procesar Datos Personales del Cliente.

11. Ley Aplicable y Tribunales Elegidos

Sin perjuicio de la ley aplicable o cláusulas similares del Acuerdo, todas las interpretaciones y disputas sobre este DPA se regirán por las leyes del Estado Gobernante sin considerar sus disposiciones sobre conflicto de leyes. Además, y sin perjuicio de la selección de foro, jurisdicción o cláusulas similares del Acuerdo, las partes acuerdan presentar cualquier demanda, acción o procedimiento legal sobre este DPA en, y cada parte se somete irrevocablemente a la jurisdicción exclusiva de, los tribunales del Estado Gobernante.

12. Relación de Proveedor de Servicios

En la medida en que la Ley de Privacidad del Consumidor de California, Cal. Civ. Code § 1798.100 et seq ("CCPA") sea aplicable, las partes reconocen y acuerdan que Proveedor es un proveedor de servicios y está recibiendo Datos Personales de Cliente para proporcionar el Servicio según lo acordado en el Acuerdo, lo cual constituye un propósito comercial. Proveedor no venderá ningún Dato Personal proporcionado por Cliente bajo el Acuerdo. Además, Proveedor no retendrá, usará ni divulgará ningún Dato Personal proporcionado por Cliente bajo el Acuerdo excepto según sea necesario para proporcionar el Servicio para Cliente, como se indica en el Acuerdo, o según lo permitan las Leyes de Protección de Datos Aplicables. Proveedor certifica que entiende las restricciones de este párrafo.

13. Definiciones

  1. "Leyes Aplicables" significa las leyes, normas, reglamentos, órdenes judiciales y otros requisitos vinculantes de una autoridad gubernamental relevante que se aplican o rigen a una parte.

  2. "Leyes Aplicables de Protección de Datos" significa las Leyes Aplicables que regulan cómo el Servicio puede procesar o usar la información personal, datos personales, información de identificación personal u otro término similar de un individuo.

  3. "Controlador" tendrá el significado(s) dado en las Leyes Aplicables de Protección de Datos para la empresa que determina el propósito y alcance del Procesamiento de Datos Personales.

  4. "Portada" significa un documento que es firmado o aceptado electrónicamente por las partes que incorpora estos Términos Estándar del DPA e identifica a Proveedor, Cliente, y el objeto y detalles del procesamiento de datos.

  5. "Datos Personales del Cliente" significa Datos Personales que Cliente carga o proporciona a Proveedor como parte del Servicio y que están regidos por este DPA.

  6. "DPA" significa estos Términos Estándar del DPA, la Portada entre Proveedor y Cliente, y las políticas y documentos referenciados o adjuntos a la Portada.

  7. "CEE SCCs" significa las cláusulas contractuales estándar anexadas a la Decisión de Ejecución 2021/914 de la Comisión Europea del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo.

  8. "Espacio Económico Europeo" o "EEE" significa los estados miembros de la Unión Europea, Noruega, Islandia y Liechtenstein.

  9. "GDPR" significa el Reglamento de la Unión Europea 2016/679 implementado por la ley local en la nación miembro relevante del EEE.

  10. "Datos Personales" tendrá el significado(s) dado en las Leyes Aplicables de Protección de Datos para información personal, datos personales u otro término similar.

  11. "Procesamiento" o "Procesar" tendrá el significado(s) dado en las Leyes Aplicables de Protección de Datos para cualquier uso de, o realización de una operación informática sobre, Datos Personales, incluyendo por métodos automáticos.

  12. "Procesador" tendrá el significado(s) dado en las Leyes Aplicables de Protección de Datos para la empresa que Procesa Datos Personales en nombre del Controlador.

  13. "Informe" significa informes de auditoría preparados por otra empresa según los estándares definidos en la Política de Seguridad en nombre del Proveedor.

  14. "Transferencia Restringida" significa (a) cuando aplica el GDPR, una transferencia de datos personales desde el EEE a un país fuera del EEE que no está sujeto a una decisión de adecuación por parte de la Comisión Europea; y (b) cuando aplica el UK GDPR, una transferencia de datos personales desde el Reino Unido a cualquier otro país que no esté sujeto a regulaciones de adecuación adoptadas conforme a la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.

  15. "Incidente de Seguridad" significa una Violación de Datos Personales según se define en el Artículo 4 del GDPR.

  16. "Servicio" significa el producto y/o servicios descritos en el Acuerdo.

  17. "Datos de Categoría Especial" tendrá el significado dado en el Artículo 9 del GDPR.

  18. "Subprocesador" tendrá el significado(s) dado en las Leyes Aplicables de Protección de Datos para una empresa que, con la aprobación y aceptación del Controlador, asiste al Procesador en el Procesamiento de Datos Personales en nombre del Controlador.

  19. "UK GDPR" significa el Reglamento de la Unión Europea 2016/679 implementado por la sección 3 de la Ley de Retirada de la Unión Europea (Withdrawal) del Reino Unido de 2018 en el Reino Unido.

  20. "Anexo del Reino Unido" significa el anexo de transferencia internacional de datos a las CEE SCCs emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas bajo S119A(1) de la Ley de Protección de Datos de 2018.

Créditos

Este documento es un derivado de los Términos Estándar del DPA de Common Paper (Versión 1.0) y está licenciado bajo CC BY 4.0.