A continuación, encontrará una versión traducida de las Anexo de tratamiento de datos de Mailchimp. Si hay alguna discrepancia entre las versiones traducidas y la versión en inglés de dichos términos, prevalecerá la versión en inglés.
El presente anexo de tratamiento de los datos (“ATD”) se incorpora al presente documento y está sujeto a los términos y condiciones del acuerdo entre The Rocket Science Group LLC, que opera bajo el nombre comercial de Mailchimp (junto con sus filiales, “Mailchimp”) y la entidad de cliente que forma parte del acuerdo como miembro (“Cliente”).
Todos los términos en mayúsculas no definidos en este ATD tendrán los significados que se establecen en el acuerdo. Para evitar confusiones, todas las referencias al “acuerdo” incluirán este ATD (incluidas las CCT, cuando proceda, según se define en el presente documento).
1. Definiciones
"Filial" se refiere a una entidad que, de forma directa o indirecta, controla, está controlada por o bajo el control común de una entidad.
"Acuerdo" se refiere a las Condiciones de uso estándar de Mailchimp, u otro acuerdo escrito o electrónico, que rigen la prestación del servicio de atención al cliente, incluidas las actualizaciones periódicas que se produzcan en dichos términos o acuerdos.
"Control" se refiere a una titularidad, voto o interés similar que represente un cincuenta por ciento (50 %) o más de los intereses totales de la entidad en cuestión. El término "controlado" se interpretará en consecuencia.
"Datos del cliente" se refiere a cualquier dato personal que Mailchimp trate en nombre del cliente a través del servicio, como se describe más específicamente en este ATD.
"Leyes de protección de datos" se refiere a todas las leyes y reglamentos de protección de datos aplicables al tratamiento de los datos del cliente que realice una parte en virtud del contrato, incluidas, cuando proceda, las leyes europeas en materia de protección de datos y las leyes no europeas en materia de protección de datos.
"Leyes europeas en materia de protección de datos" hace referencia a todas las leyes y normativas de protección de datos aplicables a Europa, incluido (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) ("RGPD"); (ii) la Directiva 2002/58/CE relativa al tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; (iii) implementaciones nacionales aplicables de (i) y (ii); (iv) el RGPD, ya que forma parte de la legislación de Reino Unido en virtud del artículo 3 de la ley (de Retirada) del Reino Unido de la Unión Europea de 2018 (UK European Union [Withdrawal] Act) y la ley de protección de datos del Reino Unido de 2018 (UK Data Protection Act 2018) (en conjunto denominadas "leyes de protección de datos del Reino Unido"); y (v) la ley federal de protección de datos de Suiza de 19 de junio de 1992 y su ordenanza ("LPD suiza").
"Europa" se refiere, a los efectos de este ATD, al Espacio Económico Europeo y sus estados miembros ("EEE"), Suiza y el Reino Unido ("Reino Unido").
"Leyes no europeas en materia de protección de datos" se refiere a la ley de privacidad del consumidor de California ("CCPA", por sus siglas en inglés); la ley canadiense de protección de la información personal y documentos electrónicos ("PIPEDA", por sus siglas en inglés); la ley general de protección de datos de Brasil ("LGPD", por sus siglas en portugués), la ley federal n.º 13.709/2018; y la ley de privacidad de 1988 (Cth) de Australia, y sus eventuales modificaciones ("ley de privacidad de Australia").
"CCT" se refiere a (i) las cláusulas contractuales tipo entre responsables y encargados del tratamiento adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/91 de 4 de junio de 2021, y que actualmente se encuentran aquí (las "Cláusulas de Responsable del tratamiento a Encargado del tratamiento de 2021"); o (ii) las cláusulas contractuales tipo entre encargados del tratamiento adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/91 de 4 de junio de 2021, y que actualmente se encuentran aquí (las "Cláusulas de Encargado del tratamiento a Encargado del tratamiento de 2021"); según corresponda de acuerdo con la Sección 6.3.
"Incidente de seguridad" se refiere a cualquier violación no autorizada o ilícita de la seguridad de los datos personales que conduzca a la destrucción, pérdida o alteración accidental o ilícita de los datos del cliente, así como a la divulgación o acceso no autorizados a dichos datos, en sistemas gestionados o controlados por Mailchimp.
"Datos sensibles" se refiere a (a) número de la seguridad social, número de contribuyente, número de pasaporte, número de carnet de conducir, o un identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sean los últimos cuatro dígitos truncados de una tarjeta de crédito o débito); (c) información de tipo laboral, financiera, crediticia, genética, biométrica o de salud; (d) información racial, étnica, sobre afiliación política o religiosa, afiliación sindical, información sobre la vida sexual u orientación sexual, o antecedentes penales; (e) contraseñas de cuenta; u (f) otra información que entre dentro de la definición de "categorías especiales de datos personales" en virtud de las leyes de protección de datos aplicables.
"Subencargado del tratamiento" se refiere a cualquier encargado del tratamiento contratado por Mailchimp o sus filiales para ayudar a cumplir sus obligaciones con respecto a la prestación del servicio de conformidad con el acuerdo o este ATD. Los subencargados del tratamiento pueden incluir terceros o filiales de Mailchimp, pero excluirán a los empleados, contratistas o consultores de Mailchimp.
"Anexo del Reino Unido" se refiere al Anexo de Transferencia Internacional de Datos (versión B1.0) emitido por la Oficina del Comisario de Información en virtud de la sección S.119(A) de la Ley de Protección de Datos del Reino Unido de 2018, según sus actualizaciones y modificaciones periódicas.
Los términos "datos personales", "responsable del tratamiento", "interesado", "encargado del tratamiento" y "tratamiento" tendrán el significado que se les otorga en virtud de las leyes de protección de datos aplicables o, si no se definen en virtud de estas, según se definan en el RGPD, y "tratar", "tratamientos"" y "tratados", con respecto a cualquier dato del cliente, se interpretarán en consecuencia.
2. Funciones y responsabilidades
2.1 Funciones de las partes. Si las leyes europeas de protección de datos o la LGPD se aplican al tratamiento de los datos del cliente por cualquiera de las partes, las partes reconocen y acuerdan que, con respecto al tratamiento de los datos del cliente, Mailchimp es un encargado del tratamiento que actúa en nombre del cliente (independientemente de si es un responsable o un encargado del tratamiento). Para evitar cualquier duda, este ATD no se aplicará a los casos en los que Mailchimp sea el responsable del tratamiento (según se define en las leyes europeas en materia de protección de datos), a menos que se describa lo contrario en el anexo C (Condiciones específicas de la jurisdicción) de este ATD.
2.2 Limitación de la finalidad. Mailchimp tratará los datos del cliente, según se describe con más detalle en el anexo A (detalles del tratamiento de los datos) de este ATD, únicamente de acuerdo con las instrucciones legales documentadas del cliente de conformidad con lo establecido en este ATD, según sea necesario para cumplir con la legislación aplicable, o según se acuerde de otro modo por escrito (“Fines permitidos”). Las partes convienen que el acuerdo, incluido este ATD, junto con la configuración o el uso por parte del cliente de las opciones de configuración, funciones u opciones del servicio (que el cliente puede modificar periódicamente) constituyen las instrucciones completas y definitivas del cliente para Mailchimp en relación con el tratamiento de los datos del cliente (incluido para los fines de las CCT), y el tratamiento fuera del alcance de estas instrucciones (si procede) requerirán un acuerdo previo por escrito entre las partes.
2.3 Datos prohibidos. El cliente no proporcionará (ni hará que se proporcionen) datos sensibles a Mailchimp para su tratamiento en virtud del acuerdo, y Mailchimp no tendrá ninguna responsabilidad por los datos sensibles, ya sea en relación con un incidente de seguridad o de otra índole. A fin de evitar cualquier duda, este ATD no se aplicará a los datos sensibles.
2.4 Cumplimiento del cliente. el cliente declara y garantiza que (i) ha cumplido, y seguirá cumpliendo, con todas las leyes aplicables, incluidas las leyes en materia de protección de datos, con respecto a su tratamiento de los datos del cliente y cualquier instrucción de tratamiento que emita a Mailchimp; y (ii) que ha proporcionado, y seguirá proporcionando todos los avisos y ha obtenido, y seguirá obteniendo, todos los consentimientos y derechos necesarios en virtud de las leyes en materia de protección de datos para que Mailchimp trate los datos del cliente para los fines descritos en el acuerdo. El cliente será el único responsable de la exactitud, calidad y legalidad de los datos del cliente y de los medios por los cuales el cliente adquirió los datos del cliente. Sin perjuicio de la generalidad de lo anterior, el cliente acepta que será responsable de cumplir con todas las leyes (incluidas las leyes en materia de protección de datos) aplicables a cualquier campaña (según se define en el acuerdo) u otro contenido creado, enviado o gestionado a través del servicio, incluidos aquellas relacionadas con la obtención de consentimientos (cuando proceda) para enviar correos electrónicos, el contenido de los correos electrónicos y sus prácticas de distribución de correos electrónicos.
2.5 Legalidad de las instrucciones del cliente. El cliente se asegurará de que el tratamiento de los datos del cliente por parte de Mailchimp de acuerdo con las instrucciones del cliente no provoque que Mailchimp infrinja ninguna ley, regulación o norma aplicable, incluidas, entre otras, las leyes en materia de protección de datos. Mailchimp notificará inmediatamente al cliente por escrito, a menos que se le prohíba hacerlo en virtud de las leyes europeas en materia de protección de datos, si tiene conocimiento o cree que cualquier instrucción de tratamiento de los datos del cliente infringe las leyes europeas en materia de protección de datos. Cuando el cliente actúa como encargado del tratamiento en nombre de un responsable del tratamiento externo (u otro intermediario del responsable del tratamiento final), el cliente garantiza que sus instrucciones de tratamiento, según lo establecido en el acuerdo y en este ATD, incluidas sus autorizaciones a Mailchimp para el nombramiento de subencargados del tratamiento de conformidad con este ATD, han sido autorizadas por el responsable del tratamiento pertinente. El cliente actuará como único punto de contacto para Mailchimp, y Mailchimp no necesita interactuar directamente con (lo que incluye para proporcionar notificaciones o solicitar autorización de) ningún tercero responsable del tratamiento de los datos que no sea a través de la prestación regular del servicio en la medida requerida en virtud del acuerdo. El cliente será responsable de reenviar cualquier notificación recibida en virtud de este ATD al responsable del tratamiento pertinente, cuando proceda.
3. Subtratamiento
3.1 Subencargados del tratamiento autorizados. El cliente acepta que Mailchimp pueda contratar subencargados del tratamiento de los datos para tratar los datos del cliente en nombre del cliente. Los subencargados del tratamiento actualmente contratados por Mailchimp y autorizados por el cliente están disponibles aquí. Mailchimp notificará al cliente si añade o elimina subencargados al menos 10 días antes de que se produzca cualquier cambio si el cliente opta por recibir dichas notificaciones haciendo clic aquí.
3.2 Obligaciones del subencargado del tratamiento. Mailchimp deberá: (i) suscribir un acuerdo por escrito con cada subencargado del tratamiento que contenga obligaciones de protección de datos que proporcionen al menos el mismo nivel de protección de los datos del cliente que el que proporciona este ATD, en la medida que sea aplicable a la naturaleza del servicio prestado por dicho subencargado del tratamiento; y (ii) seguir siendo responsable del cumplimiento por parte de dicho subencargado del tratamiento de las obligaciones de este ATD y de cualquier acto u omisión de dicho subencargado del tratamiento que provoque que Mailchimp incumpla cualquiera de sus obligaciones en virtud de este ATD. El cliente reconoce y acepta que, cuando proceda, Mailchimp cumplirá con sus obligaciones en virtud de la cláusula 9 de las cláusulas entre responsables y encargados del tratamiento de 2021 y las cláusulas entre encargados del tratamiento de 2021 (según proceda) al cumplir con esta cláusula 3 y que Mailchimp puede no divulgar los acuerdos del subencargado del tratamiento al cliente debido a restricciones, pero Mailchimp deberá hacer todo lo posible, dentro de lo razonable y bajo petición, para proporcionar al cliente toda la información pertinente que pueda razonablemente en relación con los acuerdos con el subencargado del tratamiento.
4. Seguridad
4.1 Medidas de seguridad. Mailchimp implementará y mantendrá las medidas de seguridad técnicas y organizativas apropiadas que estén diseñadas para proteger los datos del cliente frente a los incidentes de seguridad y para preservar la seguridad y confidencialidad de los datos del cliente de acuerdo con las normas de seguridad de Mailchimp descritas en el anexo B ("Medidas de seguridad") de este ATD.
4.2 Confidencialidad del tratamiento. Mailchimp se asegurará de que cualquier persona autorizada por Mailchimp para tratar los datos del cliente (incluidos sus empleados, agentes y subcontratistas) tenga una obligación de confidencialidad adecuada (ya sea una obligación contractual o legal).
4.3 Actualizaciones de las medidas de seguridad. El Cliente es responsable de revisar la información puesta a disposición por Mailchimp en relación con la seguridad de los datos y de determinar de forma independiente si el servicio cumple los requisitos y obligaciones legales del cliente en virtud de las leyes en materia de protección de datos. El cliente reconoce que las medidas de seguridad están sujetas al progreso y desarrollo técnicos y que Mailchimp puede actualizar o modificar las medidas de seguridad periódicamente, siempre que dichas actualizaciones y modificaciones no den lugar al deterioro de la seguridad general del servicio prestado al cliente.
4.4 Respuesta a incidentes de seguridad. Cuando tenga conocimiento de un incidente de seguridad, Mailchimp deberá: (i) notificárselo al cliente sin demora injustificada, y cuando sea factible, en cualquier caso, en un plazo de 48 horas desde que tenga conocimiento; (ii) proporcionar información oportuna relacionada con el incidente de seguridad a medida que el cliente tenga conocimiento de ello o así lo solicite; y (iii) adoptar con prontitud las medidas razonables oportunas para contener e investigar cualquier incidente de seguridad. La notificación o respuesta de Mailchimp a un incidente de seguridad en virtud de esta sección 4.4 no se interpretará como un reconocimiento por parte de Mailchimp de ningún fallo o responsabilidad con respecto al incidente de seguridad.
4.5 Responsabilidades del cliente. Sin perjuicio de lo anterior, el cliente acepta que, excepto según lo dispuesto por este ATD, el cliente es responsable de su uso seguro del servicio, lo que incluye asegurar sus credenciales de autenticación de cuenta, proteger la seguridad de los datos del cliente cuando se encuentran en tránsito hacia y desde el servicio, y tomar las medidas adecuadas para cifrar o hacer copias de seguridad de forma segura de los datos del cliente cargados en el servicio.
5. Auditorías e informes de seguridad
5.1 Derechos de auditoría. Mailchimp pondrá a disposición del cliente toda la información que sea razonablemente necesaria para demostrar el cumplimiento de este ATD y permitir y contribuir a las auditorías, incluidas las inspecciones por parte del cliente para evaluar el cumplimiento de este ATD. El cliente reconoce y acepta que ejercerá sus derechos de auditoría en virtud de este ATD (incluida esta sección 5.1 y, cuando proceda, las CCT) y cualesquiera derechos de auditoría otorgados por las leyes en materia de protección de datos, al ordenar a Mailchimp que cumpla con las medidas de auditoría descritas en las secciones 5.2 y 5.3 a continuación.
5.2 Informes de seguridad. El Cliente reconoce que Mailchimp se somete regularmente a auditorías según los estándares líderes del sector por auditores externos independientes y auditores internos respectivamente. Mediante una solicitud por escrito aquí, Mailchimp facilitará (de forma confidencial) una copia resumida de su/s informe(s) ("Informe") de auditoría más reciente(s) al cliente para que este pueda verificar el cumplimiento de Mailchimp con los estándares de auditoría con los que ha sido evaluado y este ATD.
5.3 Diligencia debida en materia de seguridad. Además del informe, Mailchimp responderá a todas las solicitudes razonables de información realizadas por el cliente para confirmar el cumplimiento de Mailchimp con este ATD poniendo a disposición información adicional sobre su programa de seguridad de la información mediante solicitud por escrito del cliente, siempre que el cliente no ejerza este derecho más de una vez por año natural. Los clientes pueden enviar sus solicitudes aquí.
6. Transferencias internacionales
6.1 Ubicaciones de los centros de datos. De conformidad con la sección 6.2, el cliente reconoce que Mailchimp puede transferir y tratar datos del cliente a Estados Unidos y dentro de este país, así como en cualquier otro lugar del mundo donde Mailchimp, sus filiales o subencargados del tratamiento lleven a cabo operaciones de tratamiento de datos. Mailchimp se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las leyes en materia de protección de datos y este ATD.
6.2 Datos australianos. En la medida en que Mailchimp sea un destinatario de los datos del cliente protegidos por la ley de privacidad australiana, las partes reconocen y aceptan que Mailchimp puede transferir dichos datos del cliente fuera de Australia según lo permitido por los términos acordados por las partes y sujetos al cumplimiento de Mailchimp con este ATD y la ley de privacidad australiana.
6.3 Transferencias de datos del EEE. En la medida en que Mailchimp sea un destinatario de los datos del cliente protegidos por el RGPD en un país fuera del EEE que no se reconozca que proporciona un nivel adecuado de protección de datos personales (como se describe en las leyes europeas en materia de protección de datos aplicables), las partes acuerdan cumplir y tratar los datos de dicho cliente de conformidad con las CCT, que se incorporarán y formarán parte integral de este ATD.
6.4 Transferencias de datos del Reino Unido. Con respecto a las transferencias a las que se aplican las leyes de protección de datos del Reino Unido, se aplicarán las CCT y se considerarán modificadas según lo especificado en el Anexo del Reino Unido. El Anexo del Reino Unido se considerará ejecutado por las partes y se incorporará y formará parte integral de este ATD. Asimismo: Las Tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se considerarán completadas con la información estipulada en los Anexos I y II de las CCT pertinentes; y la Tabla 4 de la Parte 1 del Anexo del Reino Unido se considerará completada mediante la selección de "ninguna de las partes".
6.5 Transferencias de datos de Suiza. Con respecto a las transferencias a las que se aplica el ATD de Suiza, las CCT se aplicarán de conformidad con la Sección 6.3 con las siguientes modificaciones: (i) las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias al ATD de Suiza; (ii) las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituirán por el artículo o la sección equivalentes del ATD de Suiza; (iii) las referencias a las leyes de la "UE", "la Unión" y los "Estados miembros" se sustituirá por "Suiza"; (iv) se eliminarán la Cláusula 13(a) y la Parte C del Anexo II; (v) las referencias a la "autoridad de control competente" y a los "tribunales competentes" se sustituirán por el "Comisionado Federal de Protección de Datos e Información de Suiza" y los "tribunales pertinentes de Suiza"; (vi) la Cláusula 17 se sustituirá por la siguiente: ""Las Cláusulas se rigen por las leyes de Suiza""; y (vii) la Cláusula 18 se sustituirá por la siguiente: ""Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales aplicables de Suiza". Las partes acuerdan someterse a la jurisdicción de dichos tribunales".
6.6 Cumplimiento de las CCT. Las partes acuerdan que, en caso de que Mailchimp no pueda garantizar el cumplimiento de las CCT, informará inmediatamente al cliente de su incapacidad de cumplimiento. Si el cliente tiene la intención de suspender la transferencia de datos europeos o rescindir a las partes afectadas del servicio, primero notificará a Mailchimp y proporcionará a Mailchimp un periodo razonable de tiempo para subsanar dicho incumplimiento, durante el cual Mailchimp y el cliente cooperarán razonablemente para acordar qué salvaguardas o medidas adicionales, si proceden, pueden ser razonablemente necesarias. El cliente solo tendrá derecho a suspender la transferencia de datos o a rescindir a las partes afectadas del servicio por incumplimiento de las CCT si Mailchimp no ha subsanado o no puede subsanar el incumplimiento en un periodo razonable.
6.7 Mecanismo de transferencia alternativo. En la medida en que Mailchimp adopte un mecanismo alternativo de transferencia de datos legal para la transferencia de datos europeos no descritos en este ATD ("Mecanismo alternativo de transferencia"), se aplicará el mecanismo alternativo de transferencia en lugar de los mecanismos de transferencia descritos en este ATD (pero solo en la medida en que dicho mecanismo alternativo de transferencia cumpla con las leyes europeas en materia de protección de datos aplicables y se extienda a los países a los que se transfieran los datos europeos). Además, en la medida en que un tribunal de jurisdicción competente o autoridad de control ordene (por cualquier motivo) que las medidas descritas en este ATD no puedan basarse en la transferencia lícita de los datos europeos (dentro del significado de las leyes europeas en materia de protección de datos aplicables), Mailchimp podrá implementar cualquier medida o salvaguardia adicional que pueda ser razonablemente necesaria para permitir la transferencia lícita de los datos europeos.
7. Devolución o eliminación de datos
Eliminación o devolución tras la rescisión. Tras la rescisión o vencimiento del Contrato, Mailchimp (a elección del Cliente) eliminará o devolverá al Cliente todos los Datos del Cliente (incluidas las copias) en su posesión o control, excepto que este requisito no se aplicará en la medida en que la legislación aplicable exija a Mailchimp conservar parte o la totalidad de los Datos del cliente, o a los Datos del Cliente que ha archivado en sistemas de copia de seguridad, qué datos del Cliente debe aislar Mailchimp de forma segura, proteger de cualquier tratamiento posterior y, en última instancia, eliminar de acuerdo con las políticas de eliminación de Mailchimp, excepto en la medida exigida por la legislación aplicable. Las partes acuerdan que la certificación de eliminación de los Datos del Cliente descrita en las Cláusulas 8.5 y 16(d) de las Cláusulas de Responsable del tratamiento a Encargado del tratamiento de 2021 y las Cláusulas de Encargado del tratamiento a Encargado del tratamiento de 2021 (según corresponda) serán proporcionadas por Mailchimp al Cliente únicamente previa solicitud por escrito del Cliente.
8. Derechos y cooperación del interesado
8.1 Solicitudes de los interesados. Como parte del Servicio, Mailchimp proporciona al Cliente un número de funciones de autoservicio, que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir el uso de los Datos del Cliente, que el Cliente puede utilizar para ayudarle en relación con sus obligaciones (o las de su tercero responsable del tratamiento) en virtud de las Leyes de protección de datos con respecto a responder a las solicitudes de los interesados a través de la cuenta del Cliente sin coste adicional. Además, Mailchimp, teniendo en cuenta la naturaleza del tratamiento, proporcionará asistencia adicional razonable al Cliente en la medida de lo posible para permitir que el Cliente (o su tercero responsable) cumpla con sus obligaciones de protección de datos con respecto a los derechos de los interesados en virtud de las Leyes de protección de datos. En caso de que dicha solicitud se realice directamente a Mailchimp, Mailchimp no responderá a dicha comunicación directamente, excepto según corresponda (por ejemplo, para indicar al interesado que se ponga en contacto con el Cliente) o sea legalmente necesario, sin la autorización previa del Cliente. Si se requiere que Mailchimp responda a dicha solicitud, Mailchimp deberá, cuando el Cliente sea identificado o identificable a partir de la solicitud, notificar inmediatamente al Cliente y proporcionar al Cliente una copia de la solicitud a menos que se prohíba legalmente hacerlo. A fin de evitar cualquier duda, ninguna de las disposiciones contenidas en el acuerdo (incluido este ATD) restringirá o impedirá que Mailchimp responda a cualquier interesado o solicitud de autoridad de protección de datos en relación con los datos personales para los que Mailchimp es responsable del tratamiento de los datos.
8.2 Evaluación del impacto de la protección de datos. En la medida en que lo exijan las Leyes de protección de datos aplicables, Mailchimp (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Mailchimp) proporcionará toda la información razonablemente solicitada sobre el Servicio para permitir al Cliente llevar a cabo evaluaciones de impacto de la protección de datos o consultas previas con las autoridades de protección de datos según lo exigido por las Leyes de protección de datos. Mailchimp cumplirá con lo mencionado anteriormente: (i) cumpliendo con la sección 5 (informes de seguridad y auditorías); (ii) proporcionando la información contenida en el acuerdo, incluido este ATD; y (iii) si las subsecciones anteriores (i) y (ii) no son suficientes para que el cliente cumpla con dichas obligaciones, previa solicitud, proporcionando asistencia adicional razonable (a expensas del cliente).
9. Términos específicos de jurisdicción
En la medida en que Mailchimp trate los datos del cliente procedentes de las leyes en materia de protección de datos y protegidos por estas, en una de las jurisdicciones enumeradas en el anexo C, se aplicarán las condiciones especificadas en el anexo C con respecto a la jurisdicción aplicable (“condiciones específicas de la jurisdicción”) además de los términos de este ATD. En caso de cualquier conflicto o ambigüedad entre las condiciones específicas de jurisdicción y cualquier otro término de este ATD, tendrán prioridad las condiciones específicas de jurisdicción aplicables, pero solo en la medida de la aplicabilidad de las condiciones específicas de jurisdicción a Mailchimp.
10. Limitación de responsabilidad
10.1 La responsabilidad total que asuman en conjunto cada una de las partes y todas sus filiales, ya sea que surja de este ATD o esté relacionada con este (incluidas las CCT) estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el acuerdo.
10.2 Cualquier reclamación realizada contra Mailchimp o sus filiales en virtud del ATD o en relación con este (incluidas, cuando proceda, las CCT) será interpuesta únicamente por la entidad del cliente que sea parte del acuerdo.
10.3 En ninguna circunstancia, ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de los datos de ninguna persona en virtud de este ATD u otro documento.
11. Relación con el Acuerdo
11.1 Este ATD permanecerá en vigor durante el tiempo que Mailchimp lleve a cabo las operaciones de tratamiento de datos del cliente en nombre del cliente o hasta la rescisión del acuerdo (y todos los datos del cliente se hayan devuelto o eliminado de acuerdo con la sección 7.1 anterior).
11.2 Las partes acuerdan que este ATD sustituirá cualquier acuerdo de tratamiento de datos existente o documento similar que las partes puedan haber suscrito previamente en relación con el servicio.
11.3 En caso de conflicto o incoherencia entre este ATD y las condiciones de uso estándar, prevalecerán las disposiciones de los siguientes documentos (en orden de prioridad): (i) las CCT; después (ii) este ATD; y, por último, (iii) las condiciones de uso estándar.
11.4 Salvo que se realice cualquier cambio en virtud de este ATD, el acuerdo permanece sin cambios y en pleno vigor y efecto.
11.5 Únicamente las partes de este ATD, sus sucesores y cesionarios autorizados tendrán derecho a aplicar cualquiera de sus términos.
11.6 El presente ATD se regirá e interpretará de acuerdo con las disposiciones de la legislación y jurisdicción aplicables en el acuerdo, a menos que las leyes en materia de protección de datos aplicables exijan lo contrario.
Anexo A: Detalles del tratamiento de los datos
(a) Categorías de interesados:
Las categorías de interesados cuyos datos personales se tratan incluyen (i) los miembros (es decir, los usuarios finales individuales con acceso a una cuenta de Mailchimp) y (ii) los contactos (es decir, los suscriptores del miembro y otras personas sobre las que un miembro nos ha proporcionado información o ha interactuado de otro modo con un miembro a través del servicio).
(b) Categorías de datos personales:
El cliente puede cargar, enviar o proporcionar de otro modo ciertos datos personales al servicio, cuyo alcance normalmente es determinado y controlado por el cliente a su entera discreción, y puede incluir los siguientes tipos de datos personales:
- Miembros: datos de identificación y de contacto (nombre, dirección, cargo, datos de contacto, nombre de usuario); información financiera (datos de la tarjeta de crédito, datos de la cuenta, información de pago); detalles de empleo (empleador, cargo, ubicación geográfica, área de responsabilidad).
- Contactos: Datos de identificación y contacto (nombre, fecha de nacimiento, género, ocupación general u otra información demográfica, dirección, título datos de contacto, incluida la dirección de correo electrónico); intereses o preferencias personales (incluido el historial de compras, preferencias de marketing e información de perfil de redes sociales de dominio público); información de TI (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos de navegación); información financiera (datos de la tarjeta de crédito, detalles de la cuenta, información de pago).
(c) Datos sensibles tratados (si procede):
Mailchimp no desea, recopila ni procesa de forma intencionada datos sensibles en relación con la prestación del servicio.
(d) Frecuencia del tratamiento:
De forma continua y según determine el cliente.
(e) Objeto y naturaleza del tratamiento:
Mailchimp proporciona un servicio de correo electrónico, una plataforma de automatización y marketing y otros servicios relacionados, como se describe más detalladamente en el acuerdo. El objeto del tratamiento de los datos en virtud de este ATD son los datos del cliente. Los datos del cliente se tratarán de conformidad con el acuerdo (incluido este ATD) y podrán estar sujetos a las siguientes actividades de tratamiento:
- Conservación y otro tratamiento necesario para proporcionar, mantener y mejorar el servicio prestado al cliente de conformidad con el acuerdo; o
- Divulgaciones de conformidad con el acuerdo o según lo exija la legislación aplicable.
(f) Finalidad del tratamiento:
Mailchimp solo tratará los datos del cliente para los fines permitidos, los cuales incluirán los siguientes: (i) el tratamiento según sea necesario para prestar el servicio de conformidad con el acuerdo; (ii) el tratamiento iniciado por el cliente en su uso del servicio; y (iii) el tratamiento para cumplir con cualquier otra instrucción razonable proporcionada por el cliente (p. ej., por correo electrónico o tiques de soporte) que sean coherentes con las condiciones del acuerdo.
(g) Duración del tratamiento y periodo durante el cual se conservarán los datos personales:
Mailchimp tratará los datos del cliente tal y como se describe en la sección 7 (Devolución o eliminación de los datos) de este ATD.
Anexo B: Medidas de seguridad
Las Medidas de seguridad aplicables al servicio se describen aquí (según se actualicen periódicamente de acuerdo con la sección 4.3 de este ATD).
Anexo C: términos específicos de la jurisdicción
Europa:
Objeción a los subencargados del tratamiento. El Cliente puede oponerse por escrito al nombramiento de un nuevo subencargado por parte de Mailchimp en un plazo de cinco (5) días naturales desde la recepción de la notificación de conformidad con la sección 3.1 del ATD, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas inquietudes de buena fe con el fin de lograr una resolución comercialmente razonable. Si no se puede alcanzar dicha resolución, Mailchimp, a su entera discreción, no nombrará a dicho subencargado del tratamiento, ni permitirá al cliente suspender o rescindir el servicio afectado de acuerdo con las disposiciones de rescisión del acuerdo sin responsabilidad alguna para ninguna de las partes (pero sin perjuicio de las tarifas en que incurra el cliente antes de la suspensión o rescisión).
Solicitudes de acceso a datos gubernamentales. Como práctica general, Mailchimp no proporciona voluntariamente a las autoridades o agencias gubernamentales (incluidas las fuerzas del orden público) acceso a información sobre cuentas de Mailchimp (incluidos los datos del cliente). Si Mailchimp recibe una solicitud obligatoria (ya sea a través de una citación, orden judicial, orden de registro u otro proceso legal válido) de cualquier organismo o autoridad gubernamental (incluidas las fuerzas del orden público) para acceder a una cuenta de Mailchimp o información sobre dicha cuenta (incluidos los datos del cliente) que pertenezca a un cliente cuya información de contacto principal indique que el cliente se encuentra en Europa, Mailchimp deberá: (i) revisar la legalidad de la solicitud; (ii) informar a la agencia gubernamental de que Mailchimp es un encargado del tratamiento de los datos; (iii) intentar redirigirse al organismo para solicitar los datos directamente al cliente; (iv) notificar al cliente mediante un correo electrónico enviado a la dirección de correo electrónico de contacto principal del cliente acerca de la solicitud para permitir que el cliente solicite una orden de protección u otro recurso adecuado, y (v) proporcionar la cantidad mínima de información permitida al responder al organismo o autoridad basada en una interpretación razonable de la solicitud. Como parte de este esfuerzo, Mailchimp puede proporcionar la información de contacto principal y de facturación del cliente al organismo. No se exigirá a Mailchimp que cumpla con este párrafo 2 si le está legalmente prohibido hacerlo, o si se tiene una creencia razonable y de buena fe de que es necesario un acceso urgente para evitar un riesgo inminente de daño grave a cualquier persona, para la seguridad pública o para la propiedad, el sitio o el servicio de Mailchimp, pero cuando a Mailchimp le esté legalmente prohibido notificar al cliente acerca de las solicitudes, se deberá hacer todo lo posible para obtener una exención de dicha prohibición.
California:
Salvo que se especifique lo contrario, las definiciones de: "responsable del tratamiento" incluye el "negocio"; "encargado del tratamiento" incluye el "proveedor de servicios"; "interesado" incluye el "consumidor"; "datos personales" incluyen "información personal"; en cada uno de estos casos, según se define en la CCPA.
Únicamente para esta sección de "California" del anexo C, "fines permitidos" incluirá el tratamiento de los datos del cliente solo para los fines descritos en este ATD y de acuerdo con las instrucciones legales documentadas del cliente tal como se establece en este ATD, según sea necesario para cumplir con la legislación aplicable, según lo acordado por escrito, incluido, entre otros, en el acuerdo, o según se permita de otro modo para los "proveedores de servicios" en virtud de la CCPA.
Las obligaciones de Mailchimp con respecto a las solicitudes de los interesados, tal como se describe en la sección 8 (Derechos y cooperación del interesado) de este ATD, se extienden a las solicitudes de derechos en virtud de la CCPA.
Sin perjuicio de cualquier restricción de uso contenida en este ATD, Mailchimp tratará los datos del cliente para prestar el servicio, para los fines permitidos o de acuerdo con las instrucciones legales documentadas del cliente, o según lo permita o exija la legislación aplicable.
Sin perjuicio de cualquier restricción de uso contenida en este anexo C, Mailchimp puede anonimizar o agregar datos del cliente como parte de la prestación del servicio especificado en este ATD y en el acuerdo.
Cuando los subencargados del tratamiento traten la información personal de los contactos del cliente, Mailchimp tomará medidas para garantizar que dichos subencargados del tratamiento sean proveedores de servicios en virtud de la CCPA con los que Mailchimp haya suscrito un contrato por escrito que incluya unas condiciones sustancialmente similares a las de esta sección "California" del anexo C o estén exentos de la definición de "venta" de la CCPA. Mailchimp lleva a cabo la debida diligencia apropiada sobre sus subencargados.
Canadá:
Mailchimp toma medidas para garantizar que los subencargados del tratamiento de datos de Mailchimp, tal como se describe en la sección 3 (Subtratamiento) del ATD, sean terceros en virtud de la PIPEDA, con los que Mailchimp ha suscrito un contrato por escrito que incluye condiciones sustancialmente similares a las de este ATD. Mailchimp lleva a cabo la debida diligencia apropiada sobre sus subencargados.
Mailchimp implementará medidas técnicas y organizativas según se establece en la sección 4 (Seguridad) del ATD.
Efectivo desde el 1 de agosto de 2023