Ir al contenido principal

Normativa

Anexo sobre tratamiento de datos

Descargar página

El presente Anexo de tratamiento de los datos ("ATD") se incorpora al presente documento y está sujeto a los términos y condiciones del acuerdo entre The Rocket Science Group LLC, que opera bajo el nombre comercial de Mailchimp (junto con sus filiales, "Mailchimp") y la entidad de cliente que forma parte del Acuerdo como miembro (el "Cliente").

Todos los términos en mayúsculas no definidos en este ATD tendrán los significados que se establecen en el acuerdo. Para evitar confusiones, todas las referencias al "acuerdo" incluirán este ATD (incluidas las CCT, cuando proceda, según se define en el presente documento).

1. Definiciones

"Leyes Adicionales de Protección de Datos" significa las Leyes de Protección de Datos de EE. UU.; la Ley Canadiense de Protección de Información Personal y Documentos Electrónicos ("PIPEDA"); la Ley General de Protección de Datos de Brasil (“LGPD”), la Ley Federal núm. 13,709/2018; y la Ley de Privacidad de 1988 (Cth) de Australia, en su versión modificada ("Ley de Privacidad de Australia").

“Filial” significa una entidad que, de forma directa o indirecta, controla, está controlada por o está bajo el control común de una entidad.

“Acuerdo” se refiere a las Condiciones de Uso Estándar de Mailchimp, u otro acuerdo escrito o electrónico, que rige la prestación del Servicio al Cliente, incluidas las actualizaciones periódicas que se produzcan en dichos términos o acuerdos.

"Control" significa una titularidad, derecho de voto o participación similar que represente un cincuenta por ciento (50%) o más de la participación total de la entidad en cuestión El término “Controlado” se interpretará en consecuencia.

"Datos del Cliente" se refiere a cualquier dato personal que Mailchimp trate en nombre del Cliente a través del Servicio, como se describe más específicamente en este ATD.

"Marco de Privacidad de Datos" significa (según corresponda) el Marco de Privacidad de Datos UE-EE. UU., el Marco de Privacidad de Datos Suiza-EE. UU. y la Extensión del Reino Unido a los programas de autocertificación del Marco de Privacidad de Datos UE-EE. UU. gestionados por el Departamento de Comercio de EE. UU., y sus respectivos sucesores ("MPD").

"Principios del Marco de Privacidad de Datos" significa los Principios y los Principios Complementarios contenidos en el Marco de Privacidad de Datos correspondiente, en su versión modificada, sustituida o reemplazada.

"Leyes de Protección de Datos" significa todas las leyes y regulaciones de protección de datos aplicables al tratamiento de Datos del Cliente realizado por una parte en virtud del Acuerdo, incluidas, cuando corresponda, las Leyes Europeas de Protección de Datos y las Leyes Adicionales de Protección de Datos No Europeas.

"Leyes Europeas de Protección de Datos" hace referencia a todas las leyes y normativas de protección de datos aplicables a Europa (con sus modificaciones o sustituciones ocasionales), incluido (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (“RGPD”); (ii) la Directiva 2002/58/CE relativa al tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; (iii) las implementaciones nacionales aplicables de (i) y (ii); (iv) el RGPD, ya que forma parte de la legislación del Reino Unido en virtud del artículo 3 de la ley (de Retirada) del Reino Unido de la Unión Europea de 2018 [UK European Union (Withdrawal) Act] y la [ley de protección de datos del Reino Unido de 2018 UK Data Protection Act 2018] (en conjunto denominadas "leyes de protección de datos del Reino Unido"); y (v) la ley federal de protección de datos de Suiza de 19 de junio de 1992 y su ordenanza ("LPD suiza").

"Europa" significa, a los efectos de este ATD, el Espacio Económico Europeo y sus estados miembros ("EEE"), Suiza y el Reino Unido ("Reino Unido").

"Mailchimp Group" significa The Rocket Science Group LLC con nombre comercial Mailchimp o cualquier otra entidad que sea una Filial.

“CCT” se refiere a (i) las cláusulas contractuales tipo entre responsables y encargados del tratamiento adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/91 del 4 de junio de 2021, y que actualmente se encuentran aquí (las “Cláusulas del Encargado del tratamiento al encargado de 2021”); o (ii) las cláusulas contractuales tipo entre encargados del tratamiento adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/91 del 4 de junio de 2021, y que actualmente se encuentran aquí (las "Cláusulas del Encargado del tratamiento a Encargado de 2021"); según corresponda de acuerdo con la Sección 6.3.

"Incidente de seguridad" significa cualquier violación no autorizada o ilícita de la seguridad de los datos personales que conduzca a la destrucción, pérdida o alteración accidental o ilícita de los Datos del Cliente, así como a la divulgación o acceso no autorizados a dichos datos, en sistemas gestionados o controlados por Mailchimp.

"Datos confidenciales" significa (a) número de la seguridad social, número de contribuyente, número de pasaporte, número de licencia de conducir, o un identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sean los últimos cuatro dígitos truncados de una tarjeta de crédito o débito); (c) información de tipo laboral, financiera, crediticia, genética, biométrica o de salud; (d) información racial, étnica, sobre afiliación política o religiosa, afiliación sindical, información sobre la vida sexual u orientación sexual, o antecedentes penales; (e) contraseñas de cuenta; u (f) otra información que entre dentro de la definición de "categorías especiales de datos personales" en virtud de las leyes de protección de datos aplicables.

"Servicio" significa los servicios prestados en virtud del Acuerdo aplicable.

"Subencargado del tratamiento" significa cualquier encargado del tratamiento contratado por Mailchimp o sus filiales para ayudar a cumplir sus obligaciones con respecto a la prestación del Servicio de conformidad con el Acuerdo o este ATD. Los Subencargados del tratamiento pueden incluir terceros o filiales de Mailchimp, pero excluirán a los empleados, contratistas o consultores de Mailchimp.

"Anexo del Reino Unido" se refiere al Anexo de transferencia internacional de datos (versión B1.0) emitido por la Oficina del Comisario de Información en virtud de la sección S.119(A) de la Ley de Protección de Datos del Reino Unido de 2018, según sus actualizaciones y modificaciones periódicas.

"Leyes de protección de datos de EE. UU." hace referencia a cualquier ley de privacidad federal, estatal y local de EE. UU. relevante (y cualquier reglamento de implementación y enmienda a la misma), leyes de monitoreo de empleados y leyes que regulen la interceptación de comunicaciones y que se apliquen al tratamiento de datos personales conforme al Acuerdo y/o el Servicio, que puede incluir, según las circunstancias y de manera enunciativa, mas no limitativa, la Ley de Privacidad del Consumidor de California (Código Civ. Cal. §§ 1798.100 y sig.), junto con sus modificaciones por la Ley de Derechos de Privacidad de California de 2023 junto con sus regulaciones de implementación ("CCPA").

Los términos "datos personales" , "responsable del tratamiento" , "interesado" , "encargado del tratamiento" y "tratamiento" tendrán el significado que se les otorga en virtud de las leyes de protección de datos aplicables o, si no se definen en virtud de estas, según se definan en el RGPD, y "tratar" , "trata" y "tratado" , con respecto a los Datos del Cliente, se interpretarán en consecuencia.

2. Funciones y responsabilidades

2.1 Funciones de las partes. Para los Fines permitidos (definidos a continuación), las partes reconocen y acuerdan que, con respecto al tratamiento de los Datos del Cliente, Mailchimp trata los Datos del Cliente en calidad de encargado del tratamiento que actúa en nombre del Cliente (ya sea él mismo un responsable del tratamiento o un encargado del tratamiento en nombre de un tercero responsable). Para evitar cualquier duda, este ATD no se aplicará a los casos en los que Mailchimp sea el responsable del tratamiento de los Datos del Cliente, a menos que se describa lo contrario en el Anexo C (Condiciones específicas de la jurisdicción) de este ATD.

2.2 Limitación de la finalidad. Mailchimp tratará los Datos del Cliente, según se describe con más detalle en el Anexo A (detalles del Tratamiento de los datos) de este ATD, únicamente de acuerdo con las instrucciones legales documentadas del cliente de conformidad con lo establecido en este ATD, según sea necesario para cumplir con la legislación aplicable, o según se acuerde de otro modo por escrito ("Fines permitidos"). Las partes convienen en que el Acuerdo, incluido este ATD, junto con la configuración o el uso por parte del Cliente de las opciones de configuración, funciones u opciones del servicio (que el Cliente puede modificar periódicamente) constituyen las instrucciones completas y definitivas del cliente para Mailchimp en relación con el tratamiento de los datos del cliente (incluido para los fines de las CCT), y el tratamiento fuera del alcance de estas instrucciones (si procede) requerirá un acuerdo previo por escrito entre las partes.

2.3 Datos prohibidos. El cliente no proporcionará (ni hará que se proporcionen) Datos sensibles a Mailchimp para su tratamiento en virtud del Acuerdo, y Mailchimp no tendrá ninguna responsabilidad por los Datos sensibles, ya sea en relación con un incidente de seguridad o de otra índole. A fin de evitar cualquier duda, este ATD no se aplicará a los Datos sensibles.

2.4 Conformidad del cliente. El Cliente declara y garantiza que (i) ha cumplido, y seguirá cumpliendo, con todas las leyes aplicables, incluidas las Leyes en materia de protección de datos, con respecto a su tratamiento de los Datos del Cliente y cualquier instrucción de tratamiento que emita a Mailchimp; y (ii) que ha proporcionado, y seguirá proporcionando todos los avisos y ha obtenido, y seguirá obteniendo, todos los consentimientos y derechos necesarios en virtud de las leyes en materia de protección de datos para que Mailchimp trate los datos del cliente para los fines descritos en el Acuerdo. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos del Cliente y de los medios por los cuales el cliente adquirió los datos del Cliente. Sin perjuicio de la generalidad de lo anterior, el Cliente acepta que será responsable de cumplir con todas las leyes (incluidas las leyes en materia de Protección de datos) aplicables a cualquier campaña (según se define en el Acuerdo) u otro contenido creado, enviado o gestionado a través del Servicio, incluidos aquellas relacionadas con la obtención de consentimientos (cuando proceda) para enviar correos electrónicos, el contenido de los correos electrónicos y sus prácticas de distribución de correos electrónicos.

2.5 Legalidad de las instrucciones del Cliente. El Cliente se asegurará de que el tratamiento de los Datos del Cliente por parte de Mailchimp de acuerdo con las instrucciones del Cliente no provoque que Mailchimp infrinja ninguna ley, regulación o norma aplicable, incluidas, entre otras, las Leyes en materia de protección de datos. Mailchimp notificará inmediatamente al Cliente por escrito, a menos que se le prohíba hacerlo en virtud de las Leyes europeas en materia de protección de datos, si tiene conocimiento o cree que cualquier instrucción de tratamiento de los datos del Cliente infringe las Leyes europeas en materia de protección de datos. Cuando el Cliente actúa como encargado del tratamiento en nombre de un responsable del tratamiento externo (u otro intermediario del responsable del tratamiento final), el Cliente garantiza que sus instrucciones de tratamiento, según lo establecido en el Acuerdo y en este ATD, incluidas sus autorizaciones a Mailchimp para el nombramiento de subencargados del tratamiento de conformidad con este ATD, han sido autorizadas por el responsable del tratamiento pertinente. El Cliente actuará como el único punto de contacto para Mailchimp, y Mailchimp no tendrá que interactuar directamente con ningún tercero responsable del tratamiento (incluso para proporcionar notificaciones o solicitar autorización de este), de una manera distinta a la prestación regular del servicio en la medida requerida en virtud del Acuerdo. El Cliente será responsable de reenviar cualquier notificación recibida en virtud de este ATD al responsable del tratamiento pertinente, cuando proceda.

3. Subtratamiento

3.1 Subencargados del tratamiento autorizados. El Cliente autoriza a Mailchimp o a cualquier miembro de Mailchimp Group en nombre de/en beneficio de Mailchimp a contratar Subencargados para el tratamiento de los Datos del Cliente, de acuerdo con la Sección 3.2, con el fin de ayudar a Mailchimp a cumplir con sus obligaciones con respecto a la prestación del Servicio de conformidad con el Acuerdo. Los Subencargados del tratamiento actualmente contratados por Mailchimp y autorizados por el Cliente están disponibles aquí. Mailchimp notificará al Cliente si agrega o elimina Subencargados del tratamiento al menos 10 días antes de dichos cambios si el Cliente opta por recibir dichas notificaciones por correo electrónico haciendo clic aquí.

3.2 Obligaciones del Subencargado del tratamiento. Mailchimp deberá: (i) suscribir un acuerdo por escrito con cada Subencargado del tratamiento que contenga obligaciones de protección de datos que proporcionen al menos el mismo nivel de protección de los Datos del Cliente que el que proporciona este ATD, en la medida que sea aplicable a la naturaleza del servicio prestado por dicho Subencargado del tratamiento; y (ii) seguir siendo responsable del cumplimiento por parte de dicho subencargado del tratamiento de las obligaciones de este ATD y de cualquier acto u omisión de dicho Subencargado del tratamiento que provoque que Mailchimp incumpla cualquiera de sus obligaciones en virtud de este ATD. El Cliente reconoce y acepta que, cuando proceda, Mailchimp cumplirá con sus obligaciones en virtud de la Cláusula 9 de las Cláusulas entre responsables y encargados del tratamiento de 2021 y las Cláusulas entre encargados del tratamiento de 2021 (según proceda) al cumplir con esta Sección 3 y que Mailchimp puede no divulgar los acuerdos del Subencargado del tratamiento al Cliente debido a restricciones de confidencialidad, pero Mailchimp deberá hacer todo lo posible, dentro de lo razonable y a solicitud, para proporcionar al Cliente toda la información que corresponda y que pueda razonablemente en relación con los acuerdos con el Subencargado del tratamiento.

4. Seguridad

4.1 Medidas de seguridad. Mailchimp implementará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas que estén diseñadas para proteger la seguridad y la confidencialidad de los Datos del Cliente y para protegerlos frente a los Incidentes de seguridad de acuerdo con las normas de seguridad de Mailchimp que se describen en el anexo B ("Medidas de seguridad") de este ATD.

4.2 Confidencialidad del tratamiento. Mailchimp se asegurará de que cualquier persona autorizada por Mailchimp para tratar los Datos del Cliente (incluidos sus empleados, agentes y subcontratistas) tenga una obligación de confidencialidad adecuada (ya sea una obligación contractual o legal).

4.3 Actualizaciones de las Medidas de seguridad. El Cliente es responsable de revisar la información puesta a disposición por Mailchimp en relación con la seguridad de los datos y de determinar de forma independiente si el servicio cumple con los requisitos y obligaciones legales del Cliente en virtud de las Leyes en materia de protección de datos. El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnicos y que Mailchimp puede actualizar o modificar las Medidas de seguridad periódicamente, siempre que dichas actualizaciones y modificaciones no den lugar al deterioro de la Seguridad general del Servicio prestado al Cliente.

4.4 Respuesta a incidentes de seguridad. Al enterarse de un Incidente de seguridad, Mailchimp deberá: (i) notificar al Cliente sin demora indebida; (ii) proporcionar al Cliente información, sujeta a las políticas de privacidad y seguridad de datos, confidencialidad y requisitos legales de Mailchimp, según sea razonablemente necesario para ayudar al Cliente con sus responsabilidades de notificación e información; y (iii) tomar las medidas adecuadas para identificar la causa del Incidente de seguridad y minimizar y proteger los Datos del Cliente, en la medida en que la corrección esté dentro del control razonable de Mailchimp. La notificación o respuesta de Mailchimp frente a un Incidente de seguridad en virtud de este ATD no se no se interpretará como un reconocimiento por parte de Mailchimp de ningún fallo o responsabilidad con respecto al Incidente de seguridad. Mailchimp no evaluará el contenido de los Datos del Cliente para identificar reportes específicos u otras obligaciones legales que sean aplicables al Cliente. Todas y cada una de las obligaciones normativas o de información del interesado relacionadas con el Incidente de seguridad son responsabilidad del Cliente. Las notificaciones de cualquier Incidente de seguridad por parte de Mailchimp se enviarán al correo electrónico de notificación o a la dirección proporcionada en el Acuerdo. El Cliente es el único responsable de garantizar que los datos de contacto de notificación (por ejemplo, teléfono y correo electrónico) sean válidos y precisos.

4.5 Responsabilidades del Cliente. Sin perjuicio de lo anterior, el Cliente acepta que, excepto según lo dispuesto por este ATD, el Cliente es responsable de su uso seguro del servicio, incluida la protección de sus credenciales de autenticación de cuenta, proteger la seguridad de los Datos del Cliente cuando se encuentran en tránsito hacia y desde el servicio, y tomar las medidas adecuadas para cifrar o hacer copias de seguridad de forma segura de los Datos del Cliente cargados en el Servicio.

5. Auditorías e informes de seguridad

5.1 Derechos de auditoría. Mailchimp pondrá a disposición del Cliente toda la información que sea razonablemente necesaria para demostrar el cumplimiento de este ATD y permitir y contribuir a las auditorías, incluidas las inspecciones por parte del Cliente para evaluar el cumplimiento de este ATD. El Cliente reconoce y acepta que ejercerá sus derechos de auditoría en virtud de este ATD (incluida esta sección 5.1 y, cuando proceda, las CCT) y cualesquiera derechos de auditoría otorgados por las leyes en materia de protección de datos, al ordenar a Mailchimp que cumpla con las medidas de auditoría descritas en las secciones 5.2 y 5.3 a continuación.

5.2 Informes de seguridad. El Cliente reconoce que Mailchimp se somete regularmente a auditorías según los estándares líderes del sector realizadas por auditores independientes y auditores internos respectivamente. Mediante una solicitud por escrito aquí, Mailchimp proporcionará (de forma confidencial) una copia resumida de su/s informe(s) (" Informe ") de auditoría más reciente(s) al Cliente para que este pueda verificar el cumplimiento de Mailchimp con los estándares de auditoría con los que ha sido evaluado y este ATD.

5.3 Diligencia debida en materia de seguridad. Además del informe, Mailchimp responderá a todas las solicitudes razonables de información realizadas por el Cliente para confirmar el cumplimiento de Mailchimp con este ATD poniendo a disposición información adicional sobre su programa de seguridad de la información mediante solicitud por escrito del Cliente, siempre que el Cliente no ejerza este derecho más de una vez por año natural Los Clientes pueden enviar sus solicitudes aquí.

6. Transferencias internacionales

6.1 Ubicaciones de los centros de datos. De conformidad con la Sección 6.2, el Cliente reconoce que Mailchimp puede transferir y tratar datos del Cliente a Estados Unidos y dentro de este país, así como en cualquier otro lugar del mundo donde Mailchimp, sus Filiales o Subencargados del tratamiento lleven a cabo operaciones de tratamiento de los datos. Mailchimp se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las Leyes en materia de protección de datos y este ATD.

6.2 Datos australianos. En la medida en que Mailchimp sea un destinatario de los Datos del Cliente protegidos por la Ley de privacidad australiana, las partes reconocen y aceptan que Mailchimp puede transferir dichos Datos del Cliente fuera de Australia según lo permitido por los términos acordados por las partes y sujetos al cumplimiento de Mailchimp con este ATD y la Ley de privacidad australiana.

6.3 Transferencias de datos de Europa. En la medida en que Mailchimp sea un destinatario de Datos del Cliente protegidos por las Leyes europeas de protección de datos en un país fuera del EEE que no esté reconocido como proveedor de un nivel adecuado de protección de datos personales (como se describe en las Leyes europeas de protección de datos aplicables), las partes aceptan cumplir y tratar dichos Datos del Cliente de conformidad con lo siguiente:

  • (a) Marco de privacidad de datos. Mailchimp usará el Marco de privacidad de datos para recibir legalmente Datos del Cliente en los Estados Unidos y garantizar que proporciona al menos el mismo nivel de protección a dichos Datos del Cliente que exigen los Principios del Marco de privacidad de datos e informará al Cliente si no puede cumplir con esta solicitud.
  • (b) Cláusulas contractuales tipo. Si las Leyes europeas de protección de datos exigen que se establezcan las garantías adecuadas (por ejemplo, si el Marco de privacidad de datos no cubre la transferencia a Mailchimp o si se invalida el Marco de privacidad de datos), las CCT se incorporarán y formarán parte integrante de este ATD.
  • (c) Transferencias de datos del Reino Unido. Con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, se aplicarán las CCT, cuando corresponda de acuerdo con el inciso (b) anterior, y se considerarán modificadas según se especifica en el Anexo del Reino Unido. El Anexo del Reino Unido se considerará firmado por las partes y se incorporará y formará parte integral de este ATD. Además: las Tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se considerarán completadas con la información establecida en los Anexos I y II de las CCT pertinentes; y la Tabla 4 de la Parte 1 del Anexo del Reino Unido se considerará completada seleccionando "ninguna de las partes".
  • (d) Transferencias de datos de Suiza. Con respecto a las transferencias a las que se aplica el ATD suizo, las CCT se aplicarán, cuando proceda de conformidad con el inciso (b) anterior, con las siguientes modificaciones: (i) las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias al ATD suizo; (ii) las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituirán por el artículo o sección equivalente del ATD suizo; (iii) las referencias a "UE", "Unión" y "Derecho de los Estados miembros" se sustituyen por "Suiza"; (iv) se eliminan la Cláusula 13(a) y la parte C del Anexo II; (v) las referencias a la "autoridad de control competente" y los "tribunales competentes" se sustituirán por "el Comisionado Federal de Protección de Datos e Información de Suiza" y "los tribunales competentes de Suiza"; (vi) La Cláusula 17 se sustituirá por "Las Cláusulas se rigen por la legislación de Suiza"; y (vii) la Cláusula 18 se sustituye por "cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales aplicables de Suiza. Las partes acuerdan someterse a la jurisdicción de dichos tribunales".

6.4 Cumplimiento de las CCT. Las partes acuerdan que, si Mailchimp no puede garantizar el cumplimiento de las CCT (cuando corresponda), informará inmediatamente al Cliente de su incapacidad de cumplimiento. Si el Cliente tiene la intención de suspender la transferencia de datos europeos o rescindir a las partes afectadas del Servicio, primero notificará a Mailchimp y proporcionará a Mailchimp un periodo razonable de tiempo para subsanar dicho incumplimiento, durante el cual Mailchimp y el Cliente cooperarán razonablemente para acordar qué salvaguardas o medidas adicionales, si proceden, pueden ser razonablemente necesarias. El Cliente solo tendrá derecho a suspender la transferencia de datos o a rescindir a las partes afectadas del Servicio por incumplimiento de las CCT si Mailchimp no ha subsanado o no puede subsanar el incumplimiento en un periodo razonable.

6.5 Mecanismo de transferencia alternativo. En la medida en que Mailchimp adopte un mecanismo alternativo de transferencia de datos legal para la transferencia de Datos europeos no descritos en este ATD ("Mecanismo alternativo de transferencia"), se aplicará el Mecanismo alternativo de transferencia en lugar de los mecanismos de transferencia descritos en este ATD (pero solo en la medida en que dicho Mecanismo alternativo de transferencia cumpla con las Leyes europeas en materia de protección de datos aplicables y se extienda a los países a los que se transfieran los Datos europeos). Además, en la medida en que un tribunal de jurisdicción competente o autoridad de control ordene (por cualquier motivo) que las medidas descritas en este ATD no puedan basarse en la transferencia lícita de los Datos europeos (dentro del significado de las Leyes europeas en materia de protección de datos aplicables), Mailchimp podrá implementar cualquier medida o salvaguardia adicional que pueda ser razonablemente necesaria para permitir la transferencia lícita de los Datos europeos.

7. Devolución o eliminación de datos

Eliminación o devolución tras la rescisión. Tras la rescisión o el vencimiento del Acuerdo, Mailchimp tomará medidas razonables para proporcionar herramientas para el Cliente (a elección del Cliente) a fin de que se elimine o devuelva al Cliente todos los Datos del Cliente (incluidas las copias) que estén en su posesión o control, salvo que este requisito no se aplique en la medida en que la ley aplicable o las normas del sector exijan a Mailchimp conservar algunos o todos los Datos del Cliente, o los Datos del Cliente que archivó en sistemas de respaldo, cuyos Datos del Cliente Mailchimp aislará de forma segura, protegerá de cualquier tratamiento posterior y, eventualmente, eliminará de acuerdo con las políticas de eliminación de Mailchimp, salvo en la medida en que lo exija la ley aplicable. Las partes acuerdan que la certificación de eliminación de los Datos del Cliente descrita en las Cláusulas 8.5 y 16(d) de las Cláusulas de Responsable del tratamiento a Encargado del tratamiento de 2021 y las Cláusulas de Encargado del tratamiento a Encargado del tratamiento de 2021 (según corresponda) serán proporcionadas por Mailchimp al Cliente únicamente previa solicitud por escrito del Cliente.

8. Derechos y cooperación del interesado

8.1 Solicitudes de los interesados. Como parte del Servicio, Mailchimp proporciona al Cliente varias funciones de autoservicio, que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir el uso de los Datos del Cliente, con el fin de que el Cliente pueda utilizarlas en relación con sus obligaciones (o las de su tercero responsable del tratamiento) de conformidad con las Leyes de protección de datos respecto de responder a las solicitudes de los interesados a través de la cuenta del Cliente sin costo adicional. Además, Mailchimp, teniendo en cuenta la naturaleza del tratamiento, proporcionará asistencia adicional razonable al Cliente en la medida de lo posible para permitir que el Cliente (o su tercero responsable) cumpla con sus obligaciones de protección de datos con respecto a los derechos de los interesados en virtud de las Leyes de protección de datos. En caso de que dicha solicitud se realice directamente a Mailchimp, Mailchimp no responderá a dicha comunicación directamente, excepto según corresponda (por ejemplo, para indicar al interesado que se ponga en contacto con el Cliente) o sea legalmente necesario, sin la autorización previa del Cliente. Si se requiere que Mailchimp responda a dicha solicitud, Mailchimp deberá, cuando el Cliente sea identificado o identificable a partir de la solicitud, notificar inmediatamente al Cliente y proporcionar al Cliente una copia de la solicitud a menos que se prohíba legalmente hacerlo. A fin de evitar cualquier duda, ninguna de las disposiciones contenidas en el acuerdo (incluido este ATD) restringirá o impedirá que Mailchimp responda a cualquier interesado o solicitud de autoridad de protección de datos en relación con los datos personales para los que Mailchimp es responsable del tratamiento de los datos.

8.2 Evaluación del impacto de la protección de datos. En la medida en que lo exijan las Leyes de Protección de Datos aplicables, Mailchimp proporcionará toda la información razonablemente solicitada sobre el Servicio (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Mailchimp) para permitir al Cliente llevar a cabo evaluaciones de impacto de la protección de datos o consultas previas con las autoridades de protección de datos según lo exigido por las Leyes de Protección de Datos. Mailchimp cumplirá con lo mencionado anteriormente: (i) cumpliendo con la sección 5 (informes de seguridad y auditorías); (ii) proporcionando la información contenida en el Acuerdo, incluido este ATD; y (iii) si las subsecciones anteriores (i) y (ii) no son suficientes para que el cliente cumpla con dichas obligaciones, previa solicitud, proporcionando asistencia adicional razonable (a expensas del cliente).

9. Términos específicos de jurisdicción

En la medida en que Mailchimp trate los Datos del Cliente procedentes de las leyes en materia de protección de datos y protegidos por estas, en una de las jurisdicciones enumeradas en el Anexo C, se aplicarán las condiciones especificadas en el Anexo C con respecto a la jurisdicción aplicable ("Condiciones específicas de la jurisdicción") además de los términos de este ATD. En caso de cualquier conflicto o ambigüedad entre las Condiciones específicas de la jurisdicción y cualquier otro término de este ATD, tendrán prioridad las Condiciones específicas de jurisdicción aplicables, pero solo en la medida de la aplicabilidad de las Condiciones específicas de jurisdicción a Mailchimp.

10. Limitación de responsabilidad

10.1 La responsabilidad total que asuman en conjunto cada una de las partes y todas sus filiales, ya sea que surja de este ATD o esté relacionada con este (incluidas las CCT) estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

10.2 Cualquier reclamación realizada contra Mailchimp o sus filiales en virtud del ATD o en relación con este (incluidas, cuando proceda, las CCT) será interpuesta únicamente por la entidad del cliente que sea parte del Acuerdo.

10.3 En ninguna circunstancia, ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de los datos de ninguna persona en virtud de este ATD u otro documento.

11. Relación con el Acuerdo

11.1 Este ATD permanecerá en vigor durante el tiempo que Mailchimp lleve a cabo las operaciones de tratamiento de datos del cliente en nombre del cliente o hasta la rescisión del Acuerdo (y todos los datos del cliente se hayan devuelto o eliminado de acuerdo con la sección 7.1 anterior).

11.2 Las partes acuerdan que este ATD sustituirá cualquier acuerdo de tratamiento de datos existente o documento similar que las partes puedan haber suscrito previamente en relación con el servicio.

11.3 En caso de conflicto o incoherencia entre este ATD y las condiciones de uso estándar, prevalecerán las disposiciones de los siguientes documentos (en orden de prioridad): (i) las CCT; después (ii) este ATD; y, por último, (iii) las Condiciones de uso estándar.

11.4 Salvo que se realice cualquier cambio en virtud de este ATD, el Acuerdo permanece sin cambios y en pleno vigor y efecto.

11.5 Únicamente las partes de este ATD, sus sucesores y cesionarios autorizados tendrán derecho a aplicar cualquiera de sus términos.

11.6 El presente ATD se regirá e interpretará de acuerdo con las disposiciones sobre la legislación y jurisdicción aplicables que se establezcan en el Acuerdo, a menos que las leyes en materia de protección de datos aplicables exijan lo contrario.

Anexo A: Detalles del tratamiento de los datos

(a) Categorías de interesados :

Las categorías de interesados cuyos datos personales se tratan incluyen (i) los Miembros (es decir, los usuarios finales individuales con acceso a una cuenta de Mailchimp) y (ii) los Contactos (es decir, los suscriptores del Miembro y otras personas sobre las que un Miembro nos ha proporcionado información o ha interactuado de otro modo con un Miembro a través del Servicio).

(b) Categorías de datos personales :

El cliente puede cargar, enviar o proporcionar de otro modo ciertos datos personales al servicio, cuyo alcance normalmente es determinado y controlado por el cliente a su entera discreción, y puede incluir los siguientes tipos de datos personales:

  • Miembros: datos de identificación y de contacto (nombre, dirección, cargo, datos de contacto, nombre de usuario); información financiera (datos de la tarjeta de crédito, datos de la cuenta, información de pago); detalles del empleo (empleador, cargo, ubicación geográfica, área de responsabilidad).
  • Contactos: datos de identificación y contacto (nombre, fecha de nacimiento, género, ocupación general u otra información demográfica, dirección, título, datos de contacto, incluida la dirección de correo electrónico); intereses o preferencias personales (incluido el historial de compras, preferencias de marketing e información de perfil de redes sociales de dominio público); información de TI (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos de navegación); información financiera (datos de la tarjeta de crédito, detalles de la cuenta, información de pago).

(c) Datos sensibles tratados (si procede) :

Mailchimp no desea recopilar ni procesar de forma intencionada datos sensibles en relación con la prestación del servicio, ni tampoco lo hace.

(d) Frecuencia del tratamiento :

Continuo y según lo determinen el Cliente y el Servicio aplicable.

(e) Objeto y naturaleza del tratamiento :

Mailchimp proporciona un servicio de correo electrónico, una plataforma de automatización y marketing y otros servicios relacionados, como se describe más detalladamente en el Acuerdo. El objeto del tratamiento de los datos en virtud de este ATD son los Datos del Cliente. Los Datos del Cliente se tratarán de conformidad con el Acuerdo (incluido este ATD) y podrán estar sujetos a las siguientes actividades de tratamiento:

  • Conservación y otro tratamiento necesario para proporcionar, mantener y mejorar el servicio prestado al cliente de conformidad con el acuerdo; o
  • Divulgaciones de conformidad con el acuerdo o según lo exija la legislación aplicable.

(f) Finalidad del tratamiento :

Mailchimp solo tratará los Datos del Cliente para los Fines permitidos, los cuales incluirán los siguientes: (i) el tratamiento según sea necesario para prestar el Servicio de conformidad con el Acuerdo; (ii) el tratamiento iniciado por el Cliente en su uso del Servicio; y (iii) el tratamiento para cumplir con cualquier otra instrucción razonable proporcionada por el Cliente (p. ej., por correo electrónico o tickets de soporte) que sean coherentes con las condiciones del Acuerdo.

(g) Duración del tratamiento y periodo durante el cual se conservarán los datos personales :

Mailchimp tratará los datos del cliente tal y como se describe en la sección 7 (Devolución o eliminación de los datos) de este ATD.

Anexo B: Medidas de seguridad

Las Medidas de seguridad aplicables al Servicio se describen aquí (junto con sus actualizaciones que se realicen periódicamente de acuerdo con la Sección 4.3 de este ATD). Para obtener más información sobre nuestras medidas técnicas y organizacionales para proteger los Datos del Cliente ante un Incidente de seguridad, visite el Centro de seguridad de Intuit.

Anexo C: términos específicos de la jurisdicción

Europa:

  1. Objeción a los subencargados del tratamiento. El Cliente puede oponerse por escrito al nombramiento de un nuevo subencargado por parte de Mailchimp en un plazo de cinco (5) días naturales desde la recepción de la notificación de conformidad con la sección 3.1 del ATD, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas inquietudes de buena fe con el fin de lograr una resolución comercialmente razonable. Si no se puede alcanzar dicha resolución, Mailchimp, a su entera discreción, no nombrará a dicho subencargado del tratamiento, ni permitirá al cliente suspender o rescindir el servicio afectado de acuerdo con las disposiciones de rescisión del acuerdo sin responsabilidad alguna para ninguna de las partes (pero sin perjuicio de las tarifas en que incurra el cliente antes de la suspensión o rescisión).

  2. Solicitudes de acceso a datos gubernamentales. Como práctica general, Mailchimp no proporciona voluntariamente a las autoridades o agencias gubernamentales (incluidas las fuerzas del orden público) acceso a información sobre cuentas de Mailchimp (incluidos los datos del cliente). Si Mailchimp recibe una solicitud obligatoria (ya sea a través de una citación, orden judicial, orden de registro u otro proceso legal válido) de cualquier organismo o autoridad gubernamental (incluidas las fuerzas del orden público) para acceder a una cuenta de Mailchimp o información sobre dicha cuenta (incluidos los datos del cliente) que pertenezca a un cliente cuya información de contacto principal indique que el cliente se encuentra en Europa, Mailchimp deberá: (i) revisar la legalidad de la solicitud; (ii) informar a la agencia gubernamental de que Mailchimp es un encargado del tratamiento de los datos; (iii) intentar canalizar al organismo para que solicite los datos directamente al cliente; (iv) notificar al cliente mediante un correo electrónico enviado a la dirección de correo electrónico de contacto principal del cliente acerca de la solicitud para permitir que el cliente solicite una orden de protección u otro recurso adecuado; y (v) proporcionar la cantidad mínima de información permitida al responder al organismo o autoridad basada en una interpretación razonable de la solicitud. Como parte de este esfuerzo, Mailchimp puede proporcionar la información de contacto principal y de facturación del cliente al organismo. Mailchimp no estará obligado a cumplir con este párrafo 2 si está legalmente prohibido hacerlo, o si tiene una creencia razonable y de buena fe de que el acceso urgente es necesario para evitar un riesgo inminente de daño grave a cualquier persona, seguridad pública, o la propiedad de Mailchimp, el Sitio de Mailchimp o el Servicio, pero cuando a Mailchimp le esté legalmente prohibido notificar al cliente acerca de las solicitudes, se deberá hacer todo lo posible para obtener una exención de dicha prohibición.

California:

Los siguientes términos se aplican donde Mailchimp realice el tratamiento de datos personales sujetos a las Leyes de Protección de Datos de los Estados Unidos:

  1. Salvo que se especifique lo contrario, las definiciones de "responsable del tratamiento" incluye el "negocio"; "encargado del tratamiento" incluye el "proveedor de servicios"; "interesado" incluye el "consumidor"; "datos personales" incluyen "información personal"; en cada uno de estos casos, según se define en la CCPA. Los términos, “vender”; “compartir”; "Objetivo empresarial" y "Objetivo comercial" tendrán el significado definido en la CCPA.
  2. Si Mailchimp actúa como encargado o responsable del tratamiento, y en la medida en que lo haga, al realizar el tratamiento de los Datos del Cliente según lo establecido en la Sección 2 anterior, Mailchimp asumirá la misma función en el tratamiento, según corresponda, en virtud de todas las leyes de protección de datos de EE. UU. distintas a la CCPA.
  3. Con respecto a los datos personales sujetos a la CCPA, las partes acuerdan y reconocen que (i) Mailchimp puede actuar como "Proveedor de servicios" de conformidad con la CCPA en los casos en que Mailchimp actúe como Responsable del tratamiento de conformidad con otras Leyes de protección de datos aplicables y (ii) Mailchimp tendrá derecho a realizar el tratamiento de los Datos del cliente para todos los fines permitidos a los Proveedores de servicios de conformidad con la CCPA. Mailchimp cumplirá con todos los requisitos establecido en la CCPA y la sección 7051 del Reglamento de la CCPA, o cualquier Reglamento posterior, y dichas disposiciones se tienen por aquí reproducidas cual si se insertasen a la letra.
  4. Las obligaciones de Mailchimp con respecto a las solicitudes de los interesados, tal como se describe en la Sección 8 (Derechos de los interesados y cooperación) de este ATD, se extienden a las solicitudes de derechos en virtud de las Leyes de protección de datos de EE. UU. Mailchimp proporcionará el mismo nivel de protección de los Datos del Cliente que exige la CCPA y: (i) ayudará al Cliente a responder a cualquier solicitud de un consumidor (según se define en las Leyes de protección de datos de EE. UU.) para ejercer los derechos en virtud de las Leyes de protección de datos de EE. UU.; y (ii) notificará inmediatamente al Cliente si no puede cumplir con los requisitos en virtud de las Leyes de Protección de Datos de EE. UU. En los casos en que Mailchimp sea un Proveedor de servicios de conformidad con la CCPA, pero sea un responsable del tratamiento en virtud de las Leyes de protección de datos, y un consumidor realice una solicitud para ejercer los derechos en virtud de la CCPA directamente a Mailchimp, el Cliente instruye a Mailchimp para que responda a dicha solicitud directamente al consumidor. El Cliente es responsable de verificar que cumplió y seguirá cumpliendo con los requisitos de las Leyes de Protección de Datos de EE. UU. en su uso de los Servicios y su propio procesamiento de datos personales.
  5. Las partes reconocen que los Datos del Cliente que el Cliente revela a Mailchimp se proporcionan solo para los fines limitados y específicos establecidos como Fines Permitidos. Las partes acuerdan que todos los Datos del Cliente que el Cliente revela a Mailchimp son para los Fines Permitidos y que su uso o divulgación por parte del Cliente a Mailchimp es necesario para llevar a cabo dichos Fines Permitidos.
  6. Sin perjuicio de cualquier restricción de uso contenida en este ATD, Mailchimp tratará los datos del cliente para prestar el servicio, para los fines permitidos o de acuerdo con las instrucciones legales documentadas del cliente, o según lo permita o exija la legislación aplicable.
  7. Sin perjuicio de cualquier restricción de uso contenida en este anexo C, Mailchimp puede anonimizar o agregar Datos del Cliente como parte de la prestación del servicio especificado en este ATD y en el Acuerdo.
  8. Cuando los Subencargados del tratamiento traten Datos del Cliente, Mailchimp toma medidas para garantizar que dichos Subencargados del tratamiento sean Proveedores de servicios en virtud de la CCPA con los que Mailchimp celebró un contrato por escrito que incluya términos sustancialmente similares a los de esta sección del Anexo C o que estén exentos de la CCPA. Mailchimp lleva a cabo la debida diligencia apropiada sobre sus Subencargados.
  9. Sin limitar los derechos de uso de datos establecido en el presente documento, como Proveedor de servicios, Mailchimp no: (a.) venderá ni compartirá ningún dato del cliente; (b.) ni podrá retener, usar o divulgar cualquier Dato del Cliente (i) para cualquier fin que no sea para los fines permitidos, incluso para cualquier fin comercial, o (ii) fuera de la relación comercial directa entre las partes, excepto cuando sea necesario para realizar los Propósitos permitidos o según lo permitan las Leyes de protección de datos de EE. UU.; o (c.) combinar los Datos del Cliente recibidos de o en nombre del Cliente con datos personales recibidos de o en nombre de un tercero o recopilados a partir de la propia interacción de Mailchimp con personas o interesados, excepto para realizar un Propósito permitido de acuerdo con la CCPA (incluidas las regulaciones de implementación del mismo), el Acuerdo y este ATD.
  10. El Cliente puede tomar las medidas razonables y apropiadas que sean necesarias (a) para garantizar que los Datos del Cliente recopilados se empleen de manera coherente con las obligaciones de la empresa en virtud de la CCPA; y (b) para detener y remediar cualquier uso no autorizado de los Datos del Cliente, y (c) para garantizar que cualquier dato personal relevante se emplee de manera coherente con la CCPA.

Canadá:

  1. Mailchimp toma medidas para garantizar que los Subencargados del tratamiento de datos de Mailchimp, tal como se describe en la sección 3 (Subtratamiento) del ATD, sean terceros en virtud de la PIPEDA, con los que Mailchimp ha suscrito un contrato por escrito que incluye condiciones sustancialmente similares a las de este ATD. Mailchimp lleva a cabo la debida diligencia apropiada sobre sus Subencargados.
  2. Mailchimp implementará medidas técnicas y organizativas según se establece en la sección 4 (Seguridad) del ATD.
  3. Mailchimp puede transferir los Datos del Cliente fuera de la jurisdicción desde la que se originan los Datos del Cliente (i) de conformidad con las Leyes de protección de datos aplicables y (ii) siempre que Mailchimp tome todas las medidas necesarias para garantizar que los Datos del Cliente sigan siendo tratados de acuerdo con la Protección de datos aplicable luego de dicha transferencia. El Cliente realizará todas las evaluaciones necesarias para facilitar dicha transferencia.

En vigor a partir del 26 de septiembre de 2024