Adenda de tratamiento de datos

El presente Anexo de Procesamiento de Datos ("APD") entrará en vigor a partir de la fecha de entrada en vigor de cualquier contrato marco para la prestación de servicios (el "Contrato") entre Cakemail Inc. ("Cakemail") y el Cliente especificado en el Contrato ("Cliente"). Alternativamente, el APD entrará en vigor a partir de la fecha en que el Cliente suscriba las Condiciones de Uso online de Cakemail en https://www.cakemail.com/legal/terms-of-use, que también se considerarán el "Acuerdo" en virtud del presente APD.

En lo sucesivo, Cakemail y el Cliente serán conocidos colectivamente como las "Partes"e individualmente como una "Parte". En la medida en que cualquiera de los términos o condiciones contenidos en el presente APD pueda contradecir o entrar en conflicto con cualesquiera términos o condiciones relativos al tratamiento de Datos Personales en el Acuerdo, queda expresamente entendido y acordado que los términos del presente APD tendrán prioridad y prevalecerán sobre aquellos otros términos o condiciones en lo que se refiere a la materia.

Las Partes acuerdan lo siguiente:

1.1 A efectos del presente APD, las siguientes expresiones tienen el significado que se indica a continuación, salvo que el contexto exija lo contrario:

"Leyes de Protección de Datos Aplicables" significa, con respecto a una Parte, cualquier ley, estatuto, declaración, decreto, directiva, promulgación legislativa, orden, ordenanza, reglamento, norma u otro instrumento vinculante relacionado con la protección de Datos Personales, incluyendo:

(a) la Directiva 2002/58/CE (modificada) (la "Directiva deprivacidad electrónica"), el Reglamento de privacidad electrónica 2017/003 (COD) (el "Reglamento de privacidad electrónica"), y cualquier ley y reglamento que los implemente;

(b ) la Directiva 95/46/CE (modificada) (la "Directiva de protección de datos"), el Reglamento 2016/679 (el "GDPR"), y cualquier ley y reglamento que los implemente; y

(c) la Ley de Quebec relativa a la protección de la información personal en el sector privado (la "Ley de Privacidad de Quebec") modificada por la Ley 25;

(en cada caso modificada, consolidada, re promulgada o sustituida de vez en cuando).

"Sujeto de datos", "Datos personales", "Procesar", "Procesado" y "Tratamiento" tendrán cada uno el significado establecido en el GDPR. Procesamiento también significa "recopilar, conservar, utilizar o comunicar a terceros", tal como se establece en la Ley de Privacidad de Quebec. Por "Datos personales" también se entenderá "información personal", tal y como se recoge en la Ley de Privacidad de Quebec;

Por "Leyes de protección de datos de la UE" se entenderá cualquier ley, estatuto, declaración, decreto, directiva, promulgación legislativa, orden, ordenanza, reglamento, norma u otro instrumento vinculante relativo a la protección de datos personales en vigor en el territorio de la Unión Europea, incluyendo la Directiva de Protección de Datos, el GDPR, la Directiva e-Privacy y el Reglamento e-Privacy;

"Cláusulas Tipo": las Cláusulas Contractuales Tipo entre responsables y encargados del tratamiento con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, adoptadas por la Decisión de Ejecución de la Comisión Europea de 4 de junio de 2021; o, alternativamente, las Cláusulas Contractuales Tipo (Responsable del Tratamiento a Encargado del Tratamiento) establecidas en la Decisión de la Comisión Europea de 5 de febrero de 2010 (C (2010) 593), hasta el momento en que dejen de ser válidas el 27 de diciembre de 2022;

"Regulador" significa la autoridad supervisora de protección de datos que tiene jurisdicción sobre el Tratamiento de Datos Personales por parte de un Responsable del Tratamiento. Esto incluye pero no se limita a la Commission d'accès à l'information en Quebec;

"Terceros países" significa todos los países fuera del ámbito de aplicación de las leyes de protección de datos del Espacio Económico Europeo ("EEE") y el Reino Unido, con exclusión de los países aprobados como proporcionar una protección adecuada de los datos personales por la Comisión Europea de vez en cuando, que en la fecha de esta DPA incluyen Andorra, Argentina, Canadá (organizaciones comerciales solamente), Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.

Los términos en mayúsculas utilizados pero no definidos en el presente documento tendrán el significado que se les atribuye en el Acuerdo.

2.1 Las Partes reconocen y acuerdan que, en relación con el Tratamiento de Datos Personales, el Cliente es el "Responsable del Tratamiento", Cakemail es el "Encargado del Tratamiento" y que Cakemail contratará a "Subencargados del Tratamiento"de conformidad con los requisitos establecidos en el apartado 8 siguiente.

2.2 La duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados Tratados en virtud de la presente DPA se especifican con mayor detalle en el Anexo 1 "Detalles del Tratamiento" de la presente DPA.

2.3 El Procesador de Datos sólo procesará los Datos Personales en nombre y de acuerdo con las instrucciones documentadas del Controlador de Datos. Las Partes acuerdan que el presente APD constituye las instrucciones completas y definitivas del Cliente a Cakemail en relación con el tratamiento de los Datos del Cliente. El Responsable del Tratamiento se asegurará de que sus instrucciones cumplen todas las Leyes de Protección de Datos Aplicables, y de que el Tratamiento de Datos Personales de conformidad con las instrucciones del Responsable del Tratamiento no hará que el Encargado del Tratamiento incumpla las Leyes de Protección de Datos Aplicables. El Responsable del Tratamiento será el único responsable de la exactitud, calidad y licitud de los Datos Personales y de los medios por los que el Responsable del Tratamiento adquirió los Datos Personales, y establecerá la base jurídica para el Tratamiento con arreglo a las Leyes de Protección de Datos Aplicables.

2.4 Cada una de las Partes cumplirá todas las leyes, normas y reglamentos que le sean aplicables y vinculantes en la ejecución del presente APD, incluidas las Leyes de Protección de Datos Aplicables.

3.1 El Procesador de Datos se asegurará de que su personal autorizado para Procesar los Datos Personales se haya comprometido a mantener la confidencialidad o esté bajo una obligación legal apropiada de confidencialidad. El procesador de datos se asegurará de que dichas obligaciones de confidencialidad sobrevivan a la terminación del compromiso del personal.

4.1 En la medida en que la ley lo permita, el responsable del tratamiento notificará sin demora al responsable del tratamiento si recibe una solicitud de un interesado de acceso a sus propios datos personales, o de rectificación o supresión de dichos datos personales, o cualquier otra solicitud o consulta de un interesado relativa a sus propios datos personales (incluido el ejercicio por parte de los interesados de los derechos previstos en la legislación aplicable en materia de protección de datos, como los derechos de oposición, limitación del tratamiento, portabilidad de datos o el derecho a no ser objeto de decisiones automatizadas) (una "solicitud del interesado"). Teniendo en cuenta la naturaleza del tratamiento, el responsable del tratamiento asistirá al responsable del tratamiento con las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del responsable del tratamiento de responder a una solicitud del interesado con arreglo a la legislación aplicable en materia de protección de datos. Además, en la medida en que el responsable del tratamiento, en su uso de los servicios, no tenga la capacidad de responder a una solicitud del interesado, el encargado del tratamiento, a petición del responsable del tratamiento, realizará esfuerzos comercialmente razonables para ayudar al responsable del tratamiento a responder a dicha solicitud del interesado, en la medida en que el responsable del tratamiento esté legalmente autorizado a hacerlo y la respuesta a dicha solicitud del interesado sea necesaria en virtud de la legislación aplicable en materia de protección de datos. En la medida en que la ley lo permita, el responsable del tratamiento correrá con los gastos derivados de la prestación de dicha asistencia por parte del encargado del tratamiento.

5.1 El Procesador de Datos notificará sin demora al Controlador de Datos acerca de cualquier solicitud legalmente vinculante de divulgación de Datos Personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que se prohíba hacerlo de otro modo. El responsable del tratamiento tendrá derecho a defender dicha acción en lugar y/o por cuenta del encargado del tratamiento. El responsable del tratamiento cooperará razonablemente con el responsable del tratamiento en dicha defensa.

6.1 El Procesador de Datos implementará y mantendrá medidas técnicas y organizativas apropiadas para la protección de la seguridad (incluida la protección contra el Procesamiento no autorizado o ilegal y contra la destrucción accidental o ilegal, pérdida o alteración o daño, divulgación no autorizada o acceso a los Datos Personales), confidencialidad e integridad de los Datos Personales.

7.1 El Encargado del Tratamiento realizará esfuerzos razonables para poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD y en la Legislación Aplicable en materia de Protección de Datos.

7.2 A petición del Controlador de Datos, el Procesador de Datos proporcionará al Controlador de Datos la cooperación y asistencia razonables necesarias para cumplir con la obligación del Controlador de Datos en virtud del GDPR y la Ley de Privacidad de Quebec para llevar a cabo una evaluación de impacto de protección de datos relacionada con el uso de los Servicios por parte del Controlador de Datos, en la medida en que el Controlador de Datos no tenga acceso de otro modo a la información relevante, y en la medida en que dicha información esté disponible para el Procesador de Datos. El Procesador de Datos proporcionará asistencia razonable al Controlador de Datos en la cooperación o consulta previa con el Regulador en el desempeño de sus tareas relacionadas con la Sección 7 de este DPA, en la medida requerida por el GDPR y las Leyes de Protección de Datos Aplicables, incluida la Ley de Privacidad de Quebec.

8.1 El Responsable del Tratamiento acepta que el Encargado del Tratamiento pueda contratar a Subencargados del Tratamiento para el Tratamiento de Datos Personales. Los Subencargados del Tratamiento actualmente contratados por Cakemail y autorizados por el Cliente figuran en el Anexo 2 "Lista de Subencargados del Tratamiento".

8.2 El Procesador de Datos se asegurará de que dicho Sub-Procesador haya firmado un acuerdo por escrito que requiera que el Sub-Procesador se atenga a términos no menos protectores que los previstos en este APD. El Procesador de Datos será responsable de los actos y omisiones de cualquier Sub-Procesador en la misma medida que si los actos u omisiones fueran realizados por el Procesador de Datos.

8.3 El Procesador de Datos pondrá a disposición del Controlador de Datos una lista de Sub-Procesadores autorizados a Procesar Datos Personales ("Lista de Sub-Procesadores", que actualmente se encuentra en el Anexo 2) y proporcionará al Controlador de Datos un mecanismo para obtener notificación de cualquier actualización de la Lista de Sub-Procesadores. La notificación de un nuevo Subencargado del Tratamiento se emitirá antes de que dicho nuevo Subencargado esté autorizado a Tratar Datos Personales en relación con el Acuerdo.

8.4 El Responsable del tratamiento podrá oponerse a que el Procesador de datos recurra a un nuevo Subencargado del tratamiento cuando existan motivos razonables para creer que el nuevo Subencargado del tratamiento no podrá cumplir los términos del presente APD o del Acuerdo. Si el responsable del tratamiento se opone a que el encargado del tratamiento recurra a un nuevo subencargado del tratamiento, deberá notificarlo sin demora y por escrito al encargado del tratamiento en un plazo de diez (10) días a partir de la notificación relativa a dicho subencargado. El hecho de que el responsable del tratamiento no se oponga por escrito en dicho plazo constituirá la aprobación del uso del nuevo subencargado del tratamiento. El Responsable del tratamiento reconoce que la imposibilidad de utilizar un nuevo Subencargado concreto puede dar lugar a un retraso en la prestación de los Servicios, a la imposibilidad de prestar los Servicios o a un aumento de las tarifas. El Procesador de datos notificará al Controlador de datos por escrito (incluso por correo electrónico) de cualquier cambio en los Servicios o tarifas que resultaría de la incapacidad del Procesador de datos para utilizar un Nuevo Sub-Procesador al que el Controlador de datos se haya opuesto. El responsable del tratamiento podrá bien ejecutar una modificación por escrito del acuerdo por la que se aplique dicho cambio, bien ejercer su derecho a rescindir el acuerdo de conformidad con las disposiciones de rescisión del mismo. Dicha rescisión no constituirá una rescisión por incumplimiento del Acuerdo. El Encargado del tratamiento tendrá derecho a rescindir el Contrato si el Responsable del tratamiento se opone injustificadamente a un Subencargado del tratamiento, o no acepta una modificación por escrito del Contrato que implique cambios en los honorarios o en los Servicios resultantes de la imposibilidad de utilizar al Subencargado del tratamiento en cuestión.

9.1 El Procesador de Datos, a elección del Controlador de Datos, borrará o devolverá todos los Datos Personales al Controlador de Datos tras la finalización de la prestación de los Servicios relacionados con el Procesamiento, y borrará las copias existentes de los Datos Personales a menos que lo prohíba la ley o la orden de un organismo gubernamental o regulador o pueda someter al Procesador de Datos a responsabilidad. El Procesador de Datos también podrá anonimizar dichos Datos Personales y conservar copias de los Datos Personales anonimizados si lo permiten las Leyes de Protección de Datos Aplicables.

9.2 El controlador de datos reconoce y acepta que el procesador de datos no tendrá ninguna responsabilidad por las pérdidas sufridas por el controlador de datos que surjan de o en relación con la incapacidad del procesador de datos para proporcionar los servicios como resultado de que el procesador de datos cumpla con una solicitud de eliminación o devolución de datos personales realizada por el controlador de datos de conformidad con la sección 9.1.

10.1 En caso de que se produzca, o de que el Procesador de datos crea razonablemente que se ha producido, un acceso indebido, no autorizado o ilícito, un uso o una divulgación, o cualquier otro riesgo que afecte a la disponibilidad, integridad o confidencialidad de los Datos personales tratados por el Procesador de datos en virtud o en relación con el presente APD y/o el Contrato ("Incumplimiento delos datos"), en cuanto tenga conocimiento de dicho Incumplimiento de los datos, el Procesador de datos lo notificará de inmediato al Responsable del tratamiento y le facilitará la siguiente información en cuanto esté disponible:

(i) una descripción de la naturaleza de la Violación de Datos, incluidas, cuando sea posible, las categorías y el número aproximado de Sujetos de Datos afectados;

(ii) el nombre y los datos de contacto del contacto del Procesador de Datos de quien se puede obtener más información; y

(iii) una descripción de las medidas adoptadas o propuestas para abordar la Violación de Datos, incluidas, cuando corresponda, medidas para mitigar sus posibles efectos adversos.

10.2 Las Partes acuerdan coordinarse de buena fe para desarrollar el contenido de cualquier declaración pública relacionada y cualquier notificación requerida a los Interesados afectados y/o a los Reguladores pertinentes en relación con una Violación de Datos, siempre que nada en esta Sección 10.2 impida a ninguna de las partes cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables. Asimismo, las Partes reconocen y acuerdan utilizar las normas establecidas en virtud de la legislación aplicable en materia de protección de datos para determinar si procede notificar a los interesados afectados y/o a los organismos reguladores pertinentes, incluido, a título meramente enunciativo y no limitativo, el "riesgo de perjuicio grave" de la Ley de Privacidad de Quebec.

11.1 El Procesador de Datos sólo procesará datos en, o transferirá Datos Personales a, un Tercer País cuando dicho procesamiento o transferencia tenga lugar basándose y cumpliendo las Cláusulas Modelo, con los detalles de procesamiento que comprenden el Apéndice 1 de las Cláusulas Modelo, y las medidas de seguridad técnicas y organizativas que comprenden el Apéndice 2 de las Cláusulas Modelo. El Procesador de Datos cumplirá con las obligaciones del importador de datos y el Controlador de Datos cumplirá con las obligaciones del exportador de datos según lo establecido en las Cláusulas Modelo.

11.2 Cuando el Procesador de Datos designe a un afiliado o subcontratista tercero para procesar Datos Personales en un Tercer País, el Procesador de Datos deberá asegurarse de que dicho procesamiento tenga lugar de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables. Las partes acuerdan que los Datos Personales podrán ser transferidos a una filial o subcontratista tercero en los Estados Unidos que acepte tratar los Datos Personales de conformidad con las Cláusulas Tipo.

11.3 El Procesador de Datos sólo procesará datos en, o transferirá Datos Personales a, Sub-Procesadores en una provincia que no sea Quebec después de realizar una "Evaluación de los factores relacionados con la privacidad" según la Ley de Privacidad de Quebec antes de que los Datos Personales salgan de Quebec. Si la PIA no cumple nuestras normas y las normas exigidas por la Ley de Privacidad de Quebec, el Procesador de Datos no transferirá Datos Personales a dicho Subencargado del Tratamiento.

12.1 El presente APD finalizará a la terminación del Acuerdo o cuando el Procesador de Datos deje de Procesar Datos Personales, lo que ocurra más tarde, a menos que las Partes acuerden otra cosa por escrito.

12.2 Por la presente, las Partes reconocen y acuerdan que una persona con derechos en virtud del presente APD puede verse irreparablemente perjudicada por cualquier incumplimiento de sus términos y que los daños y perjuicios por sí solos pueden no ser una solución adecuada. En consecuencia, la persona que presente una reclamación en virtud del presente APD tendrá derecho a las medidas cautelares, al cumplimiento específico o a cualquier otra reparación equitativa por cualquier incumplimiento, real o inminente, de los términos del presente APD.

12.3 Si una de las Partes solicita cambios en el APD para cumplir con un cambio en las Leyes de Protección de Datos Aplicables o una decisión vinculante y definitiva de un Regulador con jurisdicción sobre el Tratamiento de Datos Personales de la Parte, las Partes discutirán de buena fe cómo abordar cualquier cambio necesario.

12.4 Los títulos de las secciones contenidas en esta DPA son sólo para fines de referencia y no afectarán en modo alguno el significado o la interpretación de esta DPA.

Los Datos Personales Tratados por el Procesador de Datos estarán sujetos a las siguientes actividades básicas de Tratamiento:

‍Prestaciónde los Servicios, tal y como se describe en el Acuerdo y según lo acordado de otro modo por las Partes.

Los Datos Personales Tratados por el Procesador de Datos se refieren a las siguientes categorías de Sujetos de Datos:

Clientes y sus Suscriptores, según se definen dichos términos en el Acuerdo o en la Política de Privacidad de Cakemail en https://www.cakemail.com/legal/privacy-policy, y visitantes del sitio web de Cakemail.

Los datos personales tratados por el procesador de datos se refieren a las siguientes categorías especiales de datos:

‍Ningunapor defecto.