Este Adendum de Procesamiento de Datos ("APD") forma parte del Acuerdo entre Push Engage LLC d/b/a PushEngage ("PushEngage") y el Cliente ("Cliente") y entrará en vigor en la fecha en que ambas partes ejecuten este APD (la "Fecha de Entrada en Vigor"). Todos los términos en mayúsculas no definidos en este APD tendrán los significados establecidos en el Acuerdo.

1. Definiciones

"Afiliado" significa una entidad que Controla directa o indirectamente, es Controlada por o está bajo Control común con una entidad.

"Acuerdo" significa los Términos de Uso de PushEngage, que rigen la prestación de los Servicios al Cliente, y que PushEngage puede actualizar ocasionalmente.

"Control" significa una participación de propiedad, voto o similar que represente el cincuenta por ciento (50%) o más de los intereses totales pendientes de la entidad en cuestión. El término "Controlado" se interpretará en consecuencia.

"Datos del Cliente" significa cualquier Dato Personal que PushEngage procese en nombre del Cliente como Procesador de Datos en el curso de la prestación de Servicios, según se describe más detalladamente en este APD.

"Leyes de Protección de Datos" significa todas las leyes de protección de datos y privacidad aplicables al procesamiento de Datos Personales en virtud del Acuerdo, incluyendo, cuando corresponda, la Ley de Protección de Datos de la UE.

"Responsable del Tratamiento" significa una entidad que determina los fines y los medios del procesamiento de Datos Personales.

"Procesador de Datos" significa una entidad que procesa Datos Personales en nombre de un Responsable del Tratamiento.

"Ley de Protección de Datos de la UE" significa (i) antes del 25 de mayo de 2018, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos ("Directiva") y a partir del 25 de mayo de 2018, el Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos) ("RGPD"); y (ii) la Directiva 2002/58/CE relativa al tratamiento de datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas y las implementaciones nacionales aplicables de la misma (según puedan ser modificadas, sustituidas o reemplazadas).

"EEE" significa, a efectos de este APD, el Espacio Económico Europeo, el Reino Unido y Suiza.

"Grupo" significa cualquier y todas las Afiliadas que forman parte del grupo corporativo de una entidad.

"Red PushEngage" significa las instalaciones del centro de datos de PushEngage, servidores, equipos de red y sistemas de software anfitrión (por ejemplo, firewalls virtuales) que están bajo el control de PushEngage y se utilizan para proporcionar los Servicios.

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable.

“Procesamiento” tiene el significado que se le otorga en el RGPD y “procesar”, “procesa” y “procesado” se interpretarán en consecuencia.

“Incidente de Seguridad” significa cualquier incumplimiento de seguridad no autorizado o ilegal que resulte en la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente accidental o ilegal.

“Servicios” significa cualquier producto o servicio proporcionado por PushEngage al Cliente de conformidad con el Acuerdo.

“Cláusulas Contractuales Tipo” significa el Anexo C adjunto y que forma parte de este Adendum.

“Subprocesador” significa cualquier Procesador de Datos contratado por PushEngage o sus Afiliados para ayudar en el cumplimiento de sus obligaciones con respecto a la prestación de los Servicios de conformidad con el Acuerdo o este DPA. Los subprocesadores pueden incluir terceros o miembros del Grupo PushEngage.

2. Relación con el Acuerdo

2.1 Las partes acuerdan que el DPA reemplazará cualquier DPA existente que las partes puedan haber celebrado previamente en relación con los Servicios.

2.2 Excepto por los cambios realizados por este DPA, el Acuerdo permanece sin cambios y en plena vigencia y efecto. Si existe algún conflicto entre este DPA y el Acuerdo, este DPA prevalecerá en la medida de dicho conflicto.

2.3 Cualquier reclamación presentada en virtud de este DPA o en relación con él estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo.

2.4 Cualquier reclamación contra PushEngage o sus Afiliados en virtud de este DPA se presentará únicamente contra la entidad que sea parte del Acuerdo. En ningún caso ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de datos de ningún individuo en virtud de este DPA o de otra manera. El Cliente acepta además que cualquier sanción regulatoria en que incurra PushEngage en relación con los Datos del Cliente que surjan como resultado, o en conexión con, el incumplimiento por parte del Cliente de sus obligaciones en virtud de este DPA o cualquier Ley de Protección de Datos aplicable contará y reducirá la responsabilidad de PushEngage en virtud del Acuerdo como si fuera una responsabilidad hacia el Cliente en virtud del Acuerdo.

2.5 Nadie, aparte de una parte de este DPA, sus sucesores y cesionarios permitidos, tendrá derecho a hacer cumplir ninguno de sus términos.

2.6 Este DPA se regirá e interpretará de acuerdo con las disposiciones de ley aplicable y jurisdicción del Acuerdo, a menos que las Leyes de Protección de Datos aplicables requieran lo contrario.

3. Ámbito de aplicación y aplicabilidad de este DPA

3.1 Este DPA se aplica donde y solo en la medida en que PushEngage procese Datos del Cliente que se originan en el EEE y/o que están sujetos a la Ley de Protección de Datos de la UE en nombre del Cliente como Procesador de Datos en el curso de la prestación de Servicios de conformidad con el Acuerdo.

3.2 La Parte A (que comprende las Secciones 4 a 8 (ambas inclusive) de este DPA, así como los Anexos A, B y C de este DPA) se aplicará al tratamiento de Datos del Cliente dentro del ámbito de este DPA a partir de la Fecha de Entrada en Vigor.

3.3 La Parte B (que comprende las Secciones 9-12 (ambas inclusive) de este DPA) se aplicará al tratamiento de Datos del Cliente dentro del ámbito del DPA a partir del 25 de mayo de 2018 (inclusive). Para evitar dudas, la Parte B se aplicará además de, y no en sustitución de, los términos de la Parte A.

Parte A: Obligaciones Generales de Protección de Datos

4. Roles y Ámbito del Tratamiento

4.1 Función de las Partes. Entre PushEngage y el Cliente, el Cliente es el Responsable del Tratamiento de los Datos del Cliente, y PushEngage solo tratará los Datos del Cliente como un Encargado del Tratamiento que actúa en nombre del Cliente.

4.2 Tratamiento por parte del Cliente de los Datos del Cliente. El Cliente acepta que (i) cumplirá con sus obligaciones como Responsable del Tratamiento en virtud de las Leyes de Protección de Datos con respecto a su tratamiento de los Datos del Cliente y cualquier instrucción de tratamiento que emita a PushEngage; y (ii) ha proporcionado notificación y ha obtenido (o obtendrá) todos los consentimientos y derechos necesarios en virtud de las Leyes de Protección de Datos para que PushEngage trate los Datos del Cliente y preste los Servicios de conformidad con el Acuerdo y este DPA.

4.3 Tratamiento por parte de PushEngage de los Datos del Cliente. PushEngage solo tratará los Datos del Cliente para los fines descritos en este DPA y solo de acuerdo con las instrucciones documentadas y lícitas del Cliente. Las partes acuerdan que este DPA y el Acuerdo establecen las instrucciones completas y finales del Cliente a PushEngage en relación con el tratamiento de los Datos del Cliente y que cualquier tratamiento fuera del ámbito de estas instrucciones (si lo hubiera) requerirá un acuerdo previo por escrito entre el Cliente y PushEngage.

4.4 Detalles del Tratamiento de Datos.

1. Objeto: El objeto del tratamiento de datos en virtud de este DPA son los Datos del Cliente.
2. Duración: Entre PushEngage y el Cliente, la duración del tratamiento de datos en virtud de este DPA será hasta la terminación del Acuerdo de acuerdo con sus términos.
3. Finalidad: La finalidad del tratamiento de datos en virtud de este DPA es la prestación de los Servicios al Cliente y el cumplimiento de las obligaciones de PushEngage en virtud del Acuerdo (incluido este DPA) o según lo acordado por las partes.
4. Naturaleza del tratamiento: PushEngage proporciona un servicio de notificaciones push web y otros servicios relacionados, según se describe en el Acuerdo.
5. Categorías de interesados: Cualquier individuo que acceda y/o utilice los Servicios a través de la cuenta del Cliente ("Usuarios"); y cualquier individuo: (i) cuya dirección de correo electrónico se incluya en la Lista de Distribución del Cliente; (ii) cuya información se almacene o recopile a través de los Servicios, o (iii) a quien los Usuarios envíen correos electrónicos o con quien interactúen o se comuniquen a través de los Servicios (colectivamente, "Suscriptores").
6. Tipos de Datos del Cliente:
7. Clientes y Usuarios: datos de identificación y contacto (nombre, dirección, cargo, datos de contacto, nombre de usuario); información financiera (datos de tarjeta de crédito, datos de cuenta, información de pago); datos de empleo (empleador, cargo, ubicación geográfica, área de responsabilidad);
8. Suscriptores: datos de identificación y contacto (nombre, fecha de nacimiento, género, información general, ocupación u otra información demográfica, dirección, cargo, datos de contacto, incluida la dirección de correo electrónico), intereses o preferencias personales (incluido el historial de compras, preferencias de marketing e información de perfiles de redes sociales disponibles públicamente); información de TI (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos del navegador); información financiera (datos de tarjeta de crédito, datos de cuenta, información de pago).
9. A pesar de cualquier disposición en contrario en el Acuerdo (incluida esta DPA), el Cliente reconoce que PushEngage tendrá derecho a utilizar y divulgar datos relacionados con la operación, soporte y/o uso de los Servicios para sus fines comerciales legítimos, como facturación, gestión de cuentas, soporte técnico, desarrollo de productos y ventas y marketing. En la medida en que dichos datos se consideren Datos Personales según las Leyes de Protección de Datos, PushEngage es el Controlador de Datos de dichos datos y, en consecuencia, procesará dichos datos de acuerdo con la Política de Privacidad de PushEngage y las Leyes de Protección de Datos.
10. Tecnologías de Seguimiento. El Cliente reconoce que, en relación con la prestación de los Servicios, PushEngage emplea el uso de cookies, identificadores únicos, web beacons y tecnologías de seguimiento similares ("Tecnologías de Seguimiento"). El Cliente mantendrá los mecanismos apropiados de notificación, consentimiento, opción de inclusión y opción de exclusión según lo exijan las Leyes de Protección de Datos para permitir que PushEngage implemente Tecnologías de Seguimiento legalmente en los dispositivos de los Suscriptores (definidos a continuación) y recopile datos de ellos de acuerdo con y como se describe en la Declaración de Cookies de PushEngage.

5. Subprocesamiento

5.1 Subprocesadores Autorizados. El Cliente acepta que PushEngage puede contratar Subprocesadores para procesar los Datos del Cliente en nombre del Cliente. Los Subprocesadores actualmente contratados por PushEngage y autorizados por el Cliente se enumeran en el Anexo A.

5.2 Obligaciones del Subprocesador. PushEngage deberá: (i) celebrar un acuerdo por escrito con el Subprocesador que imponga términos de protección de datos que exijan al Subprocesador proteger los Datos del Cliente con el estándar requerido por las Leyes de Protección de Datos; y (ii) seguir siendo responsable de su cumplimiento de las obligaciones de esta DPA y de cualquier acto u omisión del Subprocesador que cause que PushEngage incumpla cualquiera de sus obligaciones bajo esta DPA.

6. Seguridad

6.1 Medidas de seguridad. PushEngage implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos del Cliente de Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos del Cliente, de acuerdo con los estándares de seguridad de PushEngage descritos en el Anexo B ("Medidas de seguridad").

6.2 Actualizaciones de las medidas de seguridad. El Cliente es responsable de revisar la información proporcionada por PushEngage en relación con la seguridad de los datos y de determinar de forma independiente si los Servicios cumplen con los requisitos y las obligaciones legales del Cliente en virtud de las Leyes de Protección de Datos. El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnico y que PushEngage puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a una degradación de la seguridad general de los Servicios adquiridos por el Cliente.

6.3 Responsabilidades del Cliente. Sin perjuicio de lo anterior, el Cliente acepta que, salvo lo dispuesto en este DPA, el Cliente es responsable del uso seguro de los Servicios, incluida la protección de sus credenciales de autenticación de cuenta, la protección de la seguridad de los Datos del Cliente durante el tránsito hacia y desde los Servicios y la adopción de las medidas apropiadas para cifrar o respaldar de forma segura cualquier Dato del Cliente cargado en los Servicios.

7. Informes y auditorías de seguridad

7.1 El Cliente reconoce que PushEngage es auditado regularmente según los estándares SSAE 16 y PCI por auditores externos independientes y auditores internos, respectivamente.

7.2 PushEngage también proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el Cliente, incluidas las respuestas a cuestionarios de seguridad de la información y auditoría que sean necesarios para confirmar el cumplimiento de PushEngage con este DPA, siempre que el Cliente no ejerza este derecho más de una vez al año.

8. Transferencias internacionales

8.1 Ubicaciones de los centros de datos. PushEngage puede transferir y procesar Datos del Cliente en cualquier lugar del mundo donde PushEngage, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. PushEngage proporcionará en todo momento un nivel de protección adecuado para los Datos del Cliente procesados, de acuerdo con los requisitos de las Leyes de Protección de Datos.

8.2 Mecanismo de transferencia alternativo. Las partes acuerdan que la solución de exportación de datos identificada en la Sección 8.2 no se aplicará si y en la medida en que PushEngage adopte una solución de exportación de datos alternativa para la transferencia legal de Datos Personales (según se reconoce en las Leyes de Protección de Datos de la UE) fuera del EEE ("Mecanismo de transferencia alternativo"), en cuyo caso, se aplicará el Mecanismo de transferencia alternativo en su lugar (pero solo en la medida en que dicho Mecanismo de transferencia alternativo se extienda a los territorios a los que se transfieren los Datos Personales).

Parte B: Obligaciones del RGPD a partir del 25 de mayo de 2018

9. Seguridad adicional

9.1 Confidencialidad del tratamiento. PushEngage se asegurará de que toda persona autorizada por PushEngage para tratar Datos del Cliente (incluido su personal, agentes y subcontratistas) esté sujeta a una obligación de confidencialidad adecuada (ya sea una obligación contractual o legal).

9.2 Respuesta a incidentes de seguridad. Al tener conocimiento de un Incidente de Seguridad, PushEngage notificará al Cliente sin demora indebida y proporcionará información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o que sea razonablemente solicitada por el Cliente.

10. Cambios en los subprocesadores

10.1 PushEngage (i) proporcionará una lista actualizada de los subprocesadores que haya designado previa solicitud por escrito del Cliente; y (ii) notificará al Cliente (a tal efecto bastará con un correo electrónico) si añade o elimina subprocesadores con al menos 10 días de antelación a cualquier cambio de este tipo.

10.2 El Cliente podrá oponerse por escrito al nombramiento por parte de PushEngage de un nuevo subprocesador en un plazo de treinta (30) días naturales a partir de dicha notificación, siempre que dicha oposición se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas preocupaciones de buena fe con el fin de lograr una resolución. Si esto no es posible, el Cliente podrá suspender o rescindir el Acuerdo (sin perjuicio de las tarifas incurridas por el Cliente antes de la suspensión o rescisión).

11. Devolución o eliminación de datos

11.1 Tras la rescisión o expiración del Acuerdo, PushEngage (a elección del Cliente) eliminará o devolverá al Cliente todos los Datos del Cliente (incluidas las copias) que obren en su poder o control, si bien este requisito no se aplicará en la medida en que PushEngage esté obligada por la legislación aplicable a conservar parte o la totalidad de los Datos del Cliente, ni a los Datos del Cliente que haya archivado en sistemas de copia de seguridad, los cuales PushEngage aislará de forma segura y protegerá de cualquier tratamiento posterior, excepto en la medida requerida por la legislación aplicable.

12. Cooperación

12.1 Los Servicios proporcionan al Cliente una serie de controles que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir los Datos del Cliente, que el Cliente puede utilizar para ayudarle en relación con sus obligaciones en virtud del RGPD, incluidas sus obligaciones relativas a la respuesta a solicitudes de los interesados o de las autoridades de protección de datos aplicables. En la medida en que el Cliente no pueda acceder de forma independiente a los Datos del Cliente pertinentes dentro de los Servicios, PushEngage (a expensas del Cliente) cooperará razonablemente para ayudar al Cliente a responder a cualquier solicitud de particulares o autoridades de protección de datos aplicables relativa al tratamiento de Datos Personales en virtud del Acuerdo. En caso de que dicha solicitud se realice directamente a PushEngage, PushEngage no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. Si PushEngage se ve obligado a responder a dicha solicitud, PushEngage notificará rápidamente al Cliente y le proporcionará una copia de la solicitud, a menos que esté legalmente prohibido hacerlo.

12.2 Si un organismo de las fuerzas del orden envía a PushEngage una solicitud de Datos del Cliente (por ejemplo, mediante una citación o una orden judicial), PushEngage intentará redirigir al organismo de las fuerzas del orden para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, PushEngage puede proporcionar la información de contacto básica del Cliente al organismo de las fuerzas del orden. Si se ve obligado a divulgar los Datos del Cliente a un organismo de las fuerzas del orden, PushEngage notificará razonablemente al Cliente la demanda para permitir que el Cliente busque una orden de protección u otro remedio apropiado, a menos que PushEngage esté legalmente prohibido hacerlo.

12.3 En la medida en que PushEngage esté obligado en virtud de la Ley de Protección de Datos de la UE, PushEngage (a expensas del Cliente) proporcionará la información razonablemente solicitada sobre los Servicios para permitir al Cliente llevar a cabo evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos según lo exija la ley.

ANEXO A – Lista de Subprocesadores de PushEngage

PushEngage utiliza sus Afiliados y una serie de Subprocesadores externos para ayudarle a prestar los Servicios (como se describe en el Acuerdo). Estos Subprocesadores que se enumeran a continuación proporcionan servicios de alojamiento y almacenamiento en la nube; servicios de entrega y revisión de contenido; ayudan en la prestación de soporte al cliente; así como servicios de seguimiento, respuesta, diagnóstico y resolución de incidentes.
Subprocesadores utilizados por nosotros cuando trabajamos como procesador

Subprocesador	Propósito	Ubicación	Más comentarios
Amazon Web Services	Servicio seguro en la nube para infraestructura de alojamiento y bases de datos	EE. UU.	https://aws.amazon.com/compliance/gdpr-center/

Anexo B – Medidas de Seguridad

Las Medidas de Seguridad aplicables a los Servicios se describen a continuación y aquí https://PushEngage.com/security/ (según se actualicen de vez en cuando de conformidad con la Sección 6.2 de este DPA).

1. Programa de seguridad de la información. PushEngage mantendrá un programa de seguridad de la información (incluida la adopción y aplicación de políticas y procedimientos internos) diseñado para (a) ayudar al Cliente a proteger los Datos del Cliente contra la pérdida, el acceso o la divulgación accidental o ilícita, (b) identificar los riesgos previsibles y internos para la seguridad y el acceso no autorizado a la Red de PushEngage, y (c) minimizar los riesgos de seguridad, incluso mediante la evaluación de riesgos y pruebas periódicas. PushEngage designará a uno o más empleados para coordinar y ser responsable del programa de seguridad de la información. El programa de seguridad de la información incluirá las siguientes medidas:

1.1 Seguridad de la red. La Red de PushEngage será accesible electrónicamente para empleados, contratistas y cualquier otra persona según sea necesario para prestar los Servicios. PushEngage mantendrá controles de acceso y políticas para gestionar qué acceso se permite a la Red de PushEngage desde cada conexión de red y usuario, incluido el uso de cortafuegos o tecnología funcionalmente equivalente y controles de autenticación. PushEngage mantendrá planes de acción correctiva y de respuesta a incidentes para responder a posibles amenazas de seguridad.

1.2 Seguridad física

1.2.1 Controles de acceso físico. Los componentes físicos de la Red de PushEngage se alojan en instalaciones discretas (las "Instalaciones"). Se utilizan controles de barrera física para evitar la entrada no autorizada a las Instalaciones tanto en el perímetro como en los puntos de acceso al edificio. El paso a través de las barreras físicas en las Instalaciones requiere la validación de control de acceso electrónico (por ejemplo, sistemas de control de acceso por tarjeta, etc.) o la validación por personal de seguridad humano (por ejemplo, servicio de guardias de seguridad contratado o interno, recepcionista, etc.). A los empleados y contratistas se les asignan credenciales con foto que deben llevar mientras se encuentren en cualquiera de las Instalaciones. Los visitantes deben registrarse con el personal designado, deben mostrar una identificación adecuada, se les asigna una credencial de visitante que deben llevar mientras se encuentren en cualquiera de las Instalaciones, y son acompañados continuamente por empleados o contratistas autorizados mientras visitan las Instalaciones.

1.2.2 Acceso limitado para empleados y contratistas. PushEngage proporciona acceso a las Instalaciones a aquellos empleados y contratistas que tengan una necesidad comercial legítima para dichos privilegios de acceso. Cuando un empleado o contratista ya no tenga una necesidad comercial para los privilegios de acceso que se le asignaron, estos se revocarán de inmediato, incluso si el empleado o contratista continúa siendo empleado de PushEngage o sus afiliados.

1.2.3 Protecciones de seguridad física. Todos los puntos de acceso (que no sean las puertas de entrada principales) se mantienen en un estado seguro (cerrado con llave). Los puntos de acceso a las Instalaciones son monitoreados por cámaras de videovigilancia diseñadas para grabar a todas las personas que acceden a las Instalaciones. PushEngage también mantiene sistemas electrónicos de detección de intrusos diseñados para detectar el acceso no autorizado a las Instalaciones, incluido el monitoreo de puntos de vulnerabilidad (por ejemplo, puertas de entrada principales, puertas de salida de emergencia, escotillas del techo, puertas de muelle de carga, etc.) con contactos de puerta, dispositivos de detección de rotura de cristales, detección de movimiento interior u otros dispositivos diseñados para detectar personas que intentan acceder a las Instalaciones. Todo el acceso físico a las Instalaciones por parte de empleados y contratistas se registra y se audita de forma rutinaria.

2. Evaluación Continua. PushEngage llevará a cabo revisiones periódicas de la seguridad de su Red PushEngage y la idoneidad de su programa de seguridad de la información según los estándares de seguridad de la industria y sus políticas y procedimientos. PushEngage evaluará continuamente la seguridad de su Red PushEngage y los Servicios asociados para determinar si se requieren medidas de seguridad adicionales o diferentes para responder a nuevos riesgos de seguridad o hallazgos generados por las revisiones periódicas.

Anexo C – Cláusulas Contractuales Tipo

A los efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a encargados establecidos en terceros países que no garantizan un nivel adecuado de protección de datos

La entidad identificada como «Cliente» en el Adendum (el «exportador de datos») y PushEngage (el «importador de datos»), cada una de ellas una «parte»; conjuntamente «las partes»,

HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) a fin de ofrecer garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

Cláusula 1

Definiciones

A efectos de las Cláusulas:

• «datos personales», «categorías especiales de datos», «tratar/tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por cuenta del responsable del tratamiento y a la libre circulación de dichos datos;
• «exportador de datos» significa el responsable del tratamiento que transfiere los datos personales;
• «importador de datos» significa el encargado del tratamiento que acepta recibir del exportador de datos datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y los términos de las Cláusulas, y que no está sujeto a un sistema de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
• «el subprocesador» significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador del importador de datos datos personales destinados exclusivamente a actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
• «la legislación aplicable en materia de protección de datos» significa la legislación que protege los derechos fundamentales y las libertades de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que esté establecido el exportador de datos;
• «medidas técnicas y organizativas de seguridad» significa aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Cláusula 3

Cláusula de beneficiario tercero

• El interesado podrá exigir al exportador de datos el cumplimiento de la presente Cláusula, de las Cláusulas 4(b) a (i), de las Cláusulas 5(a) a (e) y (g) a (j), de las Cláusulas 6(1) y (2), de la Cláusula 7, de la Cláusula 8(2) y de las Cláusulas 9 a 12 como beneficiario tercero.
• El interesado podrá exigir al importador de datos el cumplimiento de la presente Cláusula, de las Cláusulas 5(a) a (e) y (g), de la Cláusula 6, de la Cláusula 7, de la Cláusula 8(2) y de las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá exigírselos a dicha entidad.
• El interesado podrá exigir al subprocesador el cumplimiento de la presente Cláusula, de las Cláusulas 5(a) a (e) y (g), de la Cláusula 6, de la Cláusula 7, de la Cláusula 8(2) y de las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir legalmente o hayan entrado en quiebra, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá exigírselos a dicha entidad. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
• Las partes no se oponen a que un interesado sea representado por una asociación u otro organismo si el interesado así lo desea expresamente y si así lo permite la legislación nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza:

• que el tratamiento, incluida la propia transferencia, de los datos personales se ha llevado y se seguirá llevando a cabo de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, cuando proceda, se ha notificado a las autoridades competentes del Estado miembro en el que esté establecido el exportador de datos) y no viola las disposiciones pertinentes de dicho Estado;
•  que ha instruido y, durante toda la duración de los servicios de tratamiento de datos personales, instruirá al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y las Cláusulas;
• que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 del presente contrato;
• que, tras la evaluación de los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son apropiadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento, y que estas medidas garantizan un nivel de seguridad apropiado a los riesgos presentados por el tratamiento y a la naturaleza de los datos que deben protegerse, teniendo en cuenta el estado de la técnica y el coste de su aplicación;
• que garantizará el cumplimiento de las medidas de seguridad;
• que, si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado antes, o lo antes posible después, de la transferencia de que sus datos podrían ser transmitidos a un país tercero que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
• transmitir a la autoridad supervisora de la protección de datos cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) si el exportador de datos decide continuar la transferencia o levantar la suspensión;
• poner a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba celebrarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;
• que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de conformidad con la Cláusula 11 por un subprocesador que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las Cláusulas; y
• que garantizará el cumplimiento de la Cláusula 4(a) a (i).

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza:

• procesar los datos personales únicamente por cuenta del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede cumplir por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
• que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones contractuales y que, en caso de un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora dicho cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
• que ha implementado las medidas técnicas y organizativas de seguridad especificadas en el Anexo 2 antes de procesar los datos personales transferidos;
• que notificará sin demora al exportador de datos sobre:
• cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que se le prohíba lo contrario, como una prohibición en virtud del derecho penal de preservar la confidencialidad de una investigación de cumplimiento de la ley,
• cualquier acceso accidental o no autorizado, y
• cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, a menos que se le haya autorizado de otra manera para hacerlo;
• atender sin demora y adecuadamente todas las consultas del exportador de datos relativas al tratamiento de los datos personales objeto de la transferencia y acatar el asesoramiento de la autoridad supervisora con respecto al tratamiento de los datos transferidos;
• a petición del exportador de datos, someter sus instalaciones de procesamiento de datos a una auditoría de las actividades de procesamiento cubiertas por las Cláusulas, que será llevada a cabo por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, obligados por un deber de confidencialidad, seleccionado por el exportador de datos, cuando proceda, de acuerdo con la autoridad supervisora;
• poner a disposición del interesado, previa solicitud, una copia de las Cláusulas, o de cualquier contrato de subprocesamiento existente, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Anexo 2, que será sustituido por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
• que, en caso de subprocesamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;
• que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Cláusula 11;
• enviar sin demora una copia de cualquier acuerdo de subprocesamiento que concluya en virtud de las Cláusulas al exportador de datos.

Los requisitos obligatorios de la legislación nacional aplicable al importador de datos que no excedan de lo necesario en una sociedad democrática sobre la base de uno de los intereses enumerados en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la seguridad pública, la prevención, investigación, detección y enjuiciamiento de delitos penales o de infracciones de la ética para las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de terceros, no son contrarios a las cláusulas contractuales tipo. Algunos ejemplos de tales requisitos obligatorios que no exceden de lo necesario en una sociedad democrática son, entre otros, las sanciones reconocidas internacionalmente, los requisitos de declaración fiscal o los requisitos de declaración contra el blanqueo de capitales.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier interesado que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones a que se refieren la Cláusula 3 o la Cláusula 11 por parte de cualquier parte o subprocesador tiene derecho a recibir una indemnización del exportador de datos por los daños sufridos.
2. Si un interesado no puede interponer una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada de un incumplimiento por parte del importador de datos o de su subprocesador de cualquiera de sus obligaciones a que se refieren la Cláusula 3 o la Cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir legalmente o ha entrado en quiebra, el importador de datos acepta que el interesado pueda interponer una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. El importador de datos no podrá alegar un incumplimiento por parte de un subprocesador de sus obligaciones para eludir sus propias responsabilidades.
3. Si un interesado no puede interponer una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada de un incumplimiento por parte del subprocesador de cualquiera de sus obligaciones a que se refieren la Cláusula 3 o la Cláusula 11, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir legalmente o han entrado en quiebra, el subprocesador acepta que el interesado pueda interponer una reclamación contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acepta que si el interesado invoca contra él derechos de beneficiario de terceros y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

• someter la controversia a mediación, por una persona independiente o, cuando proceda, por la autoridad de control;
• someter la controversia a los tribunales del Estado miembro en el que esté establecido el exportador de datos.

Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales para buscar recursos de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos se compromete a depositar una copia de este contrato en la autoridad de control si esta lo solicita o si dicho depósito es exigido por la legislación aplicable en materia de protección de datos.
2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, con el mismo alcance y sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación que le sea aplicable a él o a cualquier subprocesador y que impida la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Ley aplicable

Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

Cláusula 10

Modificación del contrato

Las partes se comprometen a no modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

Cláusula 11

Subprocesamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo por escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subprocesador incumpla sus obligaciones de protección de datos en virtud de dicho acuerdo por escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subprocesador también preverá una cláusula de beneficiario de terceros según lo establecido en la Cláusula 3 para los casos en que el interesado no pueda interponer la reclamación de indemnización a que se refiere el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir legalmente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subprocesamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad supervisora de la protección de datos del exportador de datos.

Cláusula 12

Obligación tras la rescisión de los servicios de tratamiento de datos personales

1. Las partes acuerdan que, tras la rescisión de la prestación de servicios de tratamiento de datos, el importador de datos y el subprocesador, a elección del exportador de datos, devolverán al exportador de datos todos los datos personales transferidos y las copias de los mismos, o destruirán todos los datos personales y certificarán al exportador de datos que lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En tal caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos personales transferidos.
2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos y/o de la autoridad supervisora, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas a que se refiere el apartado 1.

APÉNDICE 1 A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

Exportador de datos

El exportador de datos es la entidad identificada como "Cliente" en el Anexo.

Importador de datos

El importador de datos es PushEngage, un proveedor de servicios web.

Interesados

Los interesados incluyen a los clientes y usuarios finales del exportador de datos.

Categorías de datos

Los datos personales relativos a personas que son cargados en los Servicios de PushEngage por el exportador de datos.

Operaciones de procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de procesamiento (según corresponda):

Procesamiento, Almacenamiento y Entrega de Contenido en la Red PushEngage

APÉNDICE 2 A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

Este Apéndice forma parte de las Cláusulas y debe ser completado y firmado por las partes. Al firmar la página de firmas en la página 1 de este Anexo, se considerará que las partes han firmado este Apéndice 2.

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las Cláusulas 4(d) y 5(c) (o documento/legislación adjunta):

Las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos son las descritas en el Addendum.

Última actualización: 24 de diciembre de 2025