Acuerdo de Tratamiento de Datos
Fecha de revisión: 30 de junio de 2026
ATENCIÓN: POR EL PRESENTE DOCUMENTO, USTED (EL «CLIENTE») ACEPTA LAS CONDICIONES DE ESTE ACUERDO DE TRATAMIENTO DE DATOS (EL «ACUERDO»), QUE RIGE EL TRATAMIENTO DE SUS DATOS PERSONALES POR PARTE DE ISPRING Y SUS FILIALES, DEFINIDOS EN EL PRESENTE COMO «ISPRING».
AL HACER CLIC EN EL BOTÓN AL REGISTRAR SU CUENTA DE ISPRING, USTED ACEPTA ESTAR SUJETO A LAS CONDICIONES DE ESTE ACUERDO, SE CONVIERTE EN PARTE DEL MISMO Y ACEPTA QUE ESTE ACUERDO ES EXIGIBLE COMO CUALQUIER ACUERDO ESCRITO Y FIRMADO POR USTED. SI CELEBRA ESTE ACUERDO EN NOMBRE DE UNA EMPRESA U OTRA ENTIDAD JURÍDICA, USTED AFIRMA QUE TIENE LA AUTORIDAD PARA VINCULAR A LA ENTIDAD MENCIONADA Y SUS FILIALES A ESTAS CONDICIONES, EN CUYO CASO, EL TÉRMINO «CLIENTE» SE REFERIRÁ A LA ENTIDAD MENCIONADA Y A SUS AFILIADOS. SI NO TIENE DICHA AUTORIDAD, O SI NO ACEPTA LOS TÉRMINOS, NO TIENE DERECHO A UTILIZAR LOS PRODUCTOS DE ISPRING.
El presente Acuerdo de Tratamiento de Datos, incluidos los Anexos (el «DPA») forma parte del Acuerdo Marco de Servicios (el «MSA») u otro acuerdo escrito o electrónico entre iSpring y el Cliente para la compra de productos y servicios de software de iSpring (incluido cualquier programa de software, servicio web o servicios puestos a disposición por iSpring para su compra, identificados como «Productos» o de otro modo en el acuerdo aplicable, y en adelante definidos como «Productos») (el «Acuerdo Principal») refleja el acuerdo de las Partes con respecto al Tratamiento de Datos Personales.
El Cliente celebra este DPA en su propio nombre y, en la medida en que lo exija la Legislación y Normativa aplicables en materia de Protección de Datos, en nombre y representación de sus Filiales autorizadas. Solo a los efectos del presente DPA, y salvo indicación contraria, el término «Cliente» incluirá al Cliente y a sus Filiales autorizados. Todos los términos en mayúsculas no definidos en el presente documento tendrán el significado establecido en el Acuerdo Principal. Al proporcionar los Productos al Cliente en virtud del Acuerdo Principal, iSpring podrá procesar Datos Personales en nombre del Cliente, y las Partes se comprometen a cumplir las siguientes disposiciones respecto a cualquier Dato Personal, actuando de forma razonable y de buena fe.
El presente DPA consta de dos partes: el texto principal del DPA y los Anexos 1 y 2.
Si la entidad del Cliente que celebra este DPA es parte del Acuerdo Principal, este DPA constituye un anexo y forma parte del Acuerdo Principal. En tal caso, el Cliente de iSpring que sea parte del Acuerdo Principal será parte de este DPA.
Si la entidad del Cliente que celebra este DPA no es parte del Acuerdo Principal directamente con iSpring, sino que es un cliente de iSpring indirectamente a través de un distribuidor autorizado de Productos de iSpring sujeto al Acuerdo de Distribuidores y Licencias, este DPA es válido y legalmente vinculante.
-
Definiciones
- En el presente DPA, los siguientes términos tendrán los significados establecidos a continuación y los términos cognados se interpretarán en consecuencia:
- «Filial» significa cualquier persona o entidad que, directa o indirectamente, controla, está controlada o bajo el control común de la entidad en cuestión; «control» (que incluye, con sus significados correlativos, «controlado por» y «bajo el control común con») significa posesión, directa o indirecta, del poder de dirigir o causar la dirección de la administración o políticas (ya sea a través de la propiedad de valores o de sociedades u otros intereses de propiedad, por contrato o de otra forma);
- «CCPA» hace referencia a la Ley de Privacidad del Consumidor de California, Código Civil de California, artículo 1798.100 siguientes, y sus reglamentos de aplicación;
- «Responsable» significa la entidad que determina los fines y medios del Tratamiento de Datos Personales;
- «Cliente» se refiere a un consumidor individual o una entidad legal que activa el Producto proporcionado por iSpring y asume la responsabilidad de pago de iSpring;
- «Datos del cliente» hace referencia a datos electrónicos e información (incluidos los Datos Personales) enviados por el Cliente o en nombre de este con respecto a los Productos, de conformidad con el acuerdo relacionado con la provisión de los Productos por parte de iSpring al Cliente según los términos del Acuerdo Principal;
- «Legislación y Normativa en materia de Protección de Datos» significa todas las leyes y normativas, incluidas las leyes y normativas de la Unión Europea (UE), del Espacio Económico Europeo (EEE) y sus estados miembros, Suiza, del Reino Unido (colectivamente «Europa»), de los Emiratos Árabes Unidos y los Estados Unidos y sus estados, aplicables al tratamiento de datos personales en virtud del Acuerdo principal y sus enmiendas ocasionales.
- «Interesado» se refiere a la persona identificada o identificable a la que se refieren los Datos Personales;
- «RGPD» significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), incluida la versión implementada o adoptada por las leyes del Reino Unido;
- «iSpring» hace referencia a la entidad de iSpring que Le presta los Servicios, es decir, iSpring Group FZCO, empresa registrada en virtud de las leyes de los Emiratos Árabes Unidos, u otra compañía, según corresponda;
- «Datos Personales» significa cualquier información relacionada con (i) una persona física identificada o identificable y, (ii) una entidad jurídica identificada o identificable (cuando dicha información esté protegida de manera similar a los Datos Personales o información de identificación personal según la Legislación y Normativa en materia de Protección de Datos aplicables), donde para cada (i) o (ii), dichos datos son Datos del Cliente;
- «Tratamiento» o «Tratar» significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales, ya sea por medios automáticos o no, como la recopilación, el registro, la organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, restricción, borrado o destrucción;
- «Encargado» se refiere a la entidad que trata Datos Personales en nombre del Responsable, incluido, según corresponda, cualquier «proveedor de servicios», tal como se define dicho término en la CCPA;
- «Autoridad pública» significa una agencia gubernamental o autoridad policial, incluidas las autoridades judiciales;
- «Servicios» hace referencia a los servicios y otras actividades que se prestarán a iSpring o que se realizarán por su parte o en su nombre, o de sus Filiales autorizados, para el Cliente;
- «Cláusulas Contractuales Tipo» se refiere a las Cláusulas Contractuales Tipo para la transferencia de Datos Personales a terceros países, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, aprobado por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32021D0914. El Módulo Dos y el Módulo Tres son aplicables al tratamiento de Datos Personales en virtud de este DPA;
- «Subencargado» significa cualquier Encargado (incluido cualquier tercero y cualquier Filial de iSpring, pero con exclusión de un empleado de iSpring o de cualquiera de sus subcontratistas) contratado por iSpring o en su nombre o por cualquier Filial de iSpring para Tratar Datos Personales en nombre del Cliente; y
- El término «incluir» se interpretará en el sentido de incluir sin limitación, y los términos cognados se interpretarán en consecuencia.
- Autoridad iSpring garantiza y declara que, antes de que cualquier Filial trate cualquier Dato del Cliente en nombre del Cliente, la entrada de iSpring en este DPA como agente de esa Filial y en su nombre habrá sido debida y efectivamente autorizada (o posteriormente ratificada) por dicha Filial de iSpring.
-
Tratamiento de los Datos del Cliente
-
Las Partes se comprometen a cumplir con la Legislación y Normativa Aplicable en materia de Protección de Datos.
- El Cliente, como Responsable, designa a iSpring como Encargado para tratar los Datos del Cliente en nombre del Cliente.
- El Cliente sigue siendo responsable de todas las declaraciones, notificaciones y autorizaciones que puedan ser necesarias para el Tratamiento de los Datos del Cliente.
- Como Encargado, iSpring solo tratará los Datos del Cliente en nombre del Cliente y de conformidad con las instrucciones de este.
-
iSpring y cada Filial de iSpring:
- deberán cumplir con toda la Legislación y Normativa en materia de Protección de Datos aplicable en el Tratamiento de los Datos del Cliente; y
- no deberán tratar los Datos del Cliente sin las instrucciones documentadas del Cliente, a menos que el Tratamiento se exija por la Legislación y Normativa en materia de Protección de Datos aplicable a la que esté sujeto el Encargado correspondiente, en cuyo caso iSpring o la Filial de iSpring pertinente, en la medida permitida por la Legislación y Normativa en materia de Protección de Datos, informará al Normativa sobre ese requisito legal antes del Tratamiento correspondiente de dichos Datos Personales.
-
El Cliente deberá:
-
instruir a iSpring y a cada una de sus Filiales (y autoriza a iSpring y a cada una de sus Filiales a instruir a cada
Subencargado del Tratamiento indicado en el Anexo 2 «Lista de Subencargados del Tratamiento» y a cualquier otro
Subencargado del Tratamiento que sea encargado por iSpring según el requisito establecido en la Sección 6.4 de este
DPA) a:
- Tratar los Datos del Cliente; y
- en particular, transferir los Datos del Cliente a cualquier país o territorio, según sea razonablemente necesario para el suministro de los Productos. La transferencia de datos personales a terceros países solo podrá realizarse si se cumplen los requisitos de la Legislación y Normativa en materia de Protección de Datos aplicable; y
- garantizar y declarar que está y seguirá estando en todo momento debidamente y efectivamente autorizado para dar la instrucción establecida en la sección 3.3.1.
-
instruir a iSpring y a cada una de sus Filiales (y autoriza a iSpring y a cada una de sus Filiales a instruir a cada
Subencargado del Tratamiento indicado en el Anexo 2 «Lista de Subencargados del Tratamiento» y a cualquier otro
Subencargado del Tratamiento que sea encargado por iSpring según el requisito establecido en la Sección 6.4 de este
DPA) a:
- Detalles del Tratamiento. El objeto del Tratamiento de Datos Personales por parte de iSpring es la provisión de los Productos de conformidad con el Acuerdo Principal. La duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de los Interesados Tratados en virtud de este DPA se especifican con más detalle en el Anexo 1 del presente DPA. El Cliente podrá realizar modificaciones razonables al Anexo 1 mediante notificación por escrito a iSpring cuando lo considere razonablemente necesario para cumplir con dichos requisitos. Nada de lo dispuesto en el Anexo 1 (incluidas las enmiendas de conformidad con esta Sección 4) confiere derecho alguno ni impone obligación alguna a ninguna de las partes de este Acuerdo.
-
Las Partes se comprometen a cumplir con la Legislación y Normativa Aplicable en materia de Protección de Datos.
-
Personal de iSpring y de las Filiales de iSpring
iSpring y cada Filial de iSpring adoptarán medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista de cualquier Encargado que pueda tener acceso a los Datos del Cliente, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer/acceder a los Datos del Cliente relevantes, según sea estrictamente necesario para los fines de proporcionar los Productos, y para cumplir con la Legislación y Normativa en materia de Protección de Datos aplicable, en el contexto de las responsabilidades de esa persona hacia el Encargado, garantizando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.
-
Seguridad
Teniendo en cuenta las prácticas actuales, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de diversa probabilidad y rigurosidad para los derechos y libertades de las personas físicas, iSpring y cada Filial de iSpring implementarán y mantendrán, en relación con los Datos del Cliente, las medidas técnicas y organizativas adecuadas para proteger la seguridad (incluida la protección contra el Tratamiento no autorizado o ilícito y contra la destrucción, pérdida, alteración o daño accidental o ilícito, la divulgación o el acceso no autorizados a los Datos del Cliente), la confidencialidad e integridad de los Datos del Cliente, como se establece en los servicios web de iSpring: Resumen de los Procesos de Seguridad. iSpring supervisa periódicamente el cumplimiento de estas medidas. iSpring no reducirá materialmente la seguridad general de los Productos durante un período de suscripción.
-
Subtratamiento
- El Cliente autoriza a iSpring y a cada una de sus Filiales a designar (y permite que cada Subencargado designado de conformidad con esta Sección 6 designe) Subencargados en virtud de la presente Sección 6.
- iSpring y cada Filial de iSpring pueden utilizar aquellos Subencargados ya contratados por iSpring o cualquier Filial de iSpring a la fecha de este DPA y designar nuevos Subencargados, con sujeción a que iSpring y cada Filial de iSpring, en cada caso, cumplan las obligaciones establecidas en la Sección 3 tan pronto como sea posible.
- iSpring o una Filial de iSpring ha celebrado un acuerdo escrito con cada Subencargado que contiene, en esencia, obligaciones en materia de protección de datos no menos protectoras que las del DPA con respecto a la protección de los Datos del Cliente, en la medida que sea aplicable a la naturaleza de los Servicios prestados por dicho Subencargado.
- iSpring solo podrá contratar Subencargados con el consentimiento previo, expreso y por escrito del Cliente. iSpring está obligado a seleccionar cuidadosamente a los Subencargados del tratamiento según su idoneidad y fiabilidad. iSpring debe contratar a los Subencargados de acuerdo con las disposiciones de este DPA y garantizar que el Cliente pueda ejercer sus derechos en virtud de este documento (en particular, sus derechos de auditoría y control) directamente ante los Subencargados.
- A este respecto, el Cliente ha acordado hasta el momento encargar el tratamiento a los Subencargados indicados en el Anexo 2 «Lista de Subencargados» bajo la condición de un acuerdo contractual según lo exige la Legislación y Normativa en materia de Protección de Datos aplicable.
- Si el Subencargado proporciona el rendimiento acordado fuera de la UE/EEE, iSpring debe garantizar que el Subencargado correspondiente proporcione un nivel adecuado de protección de datos en el sentido del art. 44 y siguientes del RGPD.
-
Derechos de los Interesados
- Teniendo en cuenta la naturaleza del Tratamiento, iSpring y cada Filial de iSpring ayudarán al Cliente implementando medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Cliente, según lo entienda razonablemente, para responder a las solicitudes de ejercicio de los derechos del Interesado conforme a la Legislación y Normativa en materia de Protección de Datos aplicables.
- iSpring deberá:
- notificar de inmediato al Cliente si algún Encargado recibe una solicitud de un Interesado en virtud de la Legislación y Normativa en materia de Protección de Datos aplicable con respecto a los Datos del Cliente; y
- garantizar que el Encargado no responda a dicha solicitud sin las instrucciones documentadas del Cliente o según lo exija la Legislación y Normativa en materia de Protección de Datos aplicable a las que esté sujeto el Encargado, en cuyo caso, en la medida permitida por dicha Legislación y Normativa, iSpring informará al Cliente sobre dicho requisito legal antes de responder a la solicitud.
-
Incidencias relativas a los Datos del Cliente
- iSpring notificará al Cliente dentro de las 24 (veinticuatro) horas posteriores a que iSpring o cualquier Subencargado tenga conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos del Cliente, incluidos los Datos Personales, transmitidos, almacenados o Tratados de otra forma por iSpring o sus Subencargados, de los cuales iSpring tenga conocimiento (Incidencias relativas a los Datos del Cliente), que afecte a los Datos del Cliente, proporcionándole suficiente información para permitirle cumplir con cualquier obligación de informar a los Interesados sobre las Incidencias relativas a los Datos del Cliente, conforme a la Legislación y Normativa en materia de Protección de Datos aplicable.
- iSpring cooperará con el Cliente y adoptará las medidas comerciales razonables que este le indique para ayudar en la investigación, mitigación y reparación de cada Violación de Datos Personales.
-
Evaluación del impacto de la protección de datos; Solicitudes de acceso del gobierno
- Evaluación del impacto de la protección de datos. iSpring y cada filial de iSpring brindarán asistencia razonable al Cliente con cualquier evaluación de impacto sobre la protección de datos y con las consultas previas con Autoridades Públicas u otras autoridades competentes en materia de privacidad de datos, que el Cliente considere razonablemente exigida por la Legislación y Normativa en materia de Protección de Datos aplicable, en cada caso únicamente en relación con el Tratamiento de Datos del Cliente por parte de los Subencargados y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para ellos y teniendo en cuenta la naturaleza del Tratamiento, además de la información disponible para ellos.
-
Solicitudes de acceso del gobierno
- Requisitos de iSpring. En su función de Encargado, iSpring mantendrá medidas apropiadas para proteger los Datos Personales de acuerdo con los requisitos de la Legislación y Normativa en materia de Protección de Datos aplicables, incluso mediante la implementación de salvaguardas técnicas y organizativas apropiadas para proteger los Datos Personales contra cualquier injerencia que vaya más allá de lo necesario en una sociedad democrática para garantizar la seguridad nacional, la defensa y la seguridad pública. Si iSpring recibe una solicitud legalmente vinculante de una Autoridad Pública para acceder a Datos Personales, deberá, salvo prohibición legal, notificar de inmediato al Cliente, incluyendo un resumen de la naturaleza de la solicitud. En la medida en que la ley le prohíba a iSpring proporcionar dicha notificación, iSpring realizará todos los esfuerzos comercialmente razonables para obtener una exención de la prohibición y comunicar la mayor cantidad de información posible a la mayor brevedad. Además, iSpring impugnará la solicitud si, después de una evaluación cuidadosa, concluye que hay motivos razonables para considerar que la solicitud es ilegal. iSpring buscará posibilidades de apelación. Al impugnar una solicitud, iSpring solicitará medidas cautelares para suspender sus efectos hasta que la autoridad judicial competente decida haya decidido sobre el fondo de la cuestión. No divulgará los Datos Personales solicitados hasta que así lo exijan las normas procesales aplicables. iSpring acepta que proporcionará la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud. iSpring notificará de inmediato al Cliente si tiene conocimiento de cualquier acceso directo por parte de una Autoridad Pública a Datos Personales y proporcionará la información disponible a iSpring a este respecto, en la medida permitida por la ley. Para evitar dudas, este DPA no requerirá que iSpring emprenda acciones o inacciones que puedan resultar en sanciones civiles o penales para iSpring, como desacato al tribunal.
- Requisitos de los Subencargados. iSpring se asegurará de que los Subencargados involucrados en el Tratamiento de Datos Personales estén sujetos a los compromisos pertinentes con respecto a las solicitudes de acceso del gobierno en las Cláusulas Contractuales Tipo.
-
Eliminación o devolución de los Datos del Cliente
- Sujeto a las secciones 10.2 y 10.3, iSpring y cada Filial de iSpring deberán, de inmediato y en cualquier caso dentro de los treinta (30) días a partir de la fecha de cese de cualquier Producto que involucre el Tratamiento de Datos del Cliente (la «Fecha de Cese»), eliminar y procurar la eliminación de todas las copias de dichos Datos del Cliente.
- Sujeto a la sección 10.3, el Cliente puede, a su absoluta discreción, mediante notificación por escrito a iSpring dentro de los treinta (30) días de la Fecha de Cese, requerir a iSpring y a cada Filial de la compañía que (a) devuelvan una copia completa de todos los Datos del Cliente al Cliente mediante una transferencia de archivos segura en el formato que el Cliente notifique razonablemente a iSpring; y (b) eliminen y procuren la eliminación de todas las demás copias de los Datos del Cliente Tratados por cualquier Encargado. iSpring y cada Filial de iSpring cumplirán cualquier solicitud por escrito dentro de los treinta (30) días a partir de la Fecha de Cese.
- Cada Encargado puede retener Datos del Cliente solo en la medida y durante el período requerido por la Legislación y Normativa en materia de Protección de Datos aplicables, y siempre que iSpring y cada Filial de iSpring garanticen la confidencialidad de todos esos Datos del Cliente y se aseguren de que dicha información solo se Trate según sea necesario, para los fines especificados en la Legislación y Normativa en materia de Protección de Datos aplicables que requieren su almacenamiento, y para ningún otro fin.
-
Derechos de auditoría
- Sujeto a la sección 11.2, iSpring y cada Filial de iSpring pondrán a disposición del Cliente, mediante solicitud escrita, toda la información necesaria para demostrar el cumplimiento de este DPA, y permitirán y contribuirán con una (1) auditoría remota durante un año natural por parte del Cliente o un auditor designado por este, en relación con el Tratamiento de los Datos del Cliente por parte de los Subencargados.
- Los derechos de información y auditoría del Cliente solo surgen de conformidad con la sección 11.1, en la medida en que el Acuerdo Principal no le otorgue de otro modo derechos de información y auditoría que cumplan con los requisitos pertinentes de la Legislación y Normativa en materia de Protección de Datos aplicables (incluido, cuando corresponda, el artículo 28(3)(h) del RGPD).
-
Transferencias internacionales; Disposiciones específicas de Europa
- Transferencias internacionales. El Cliente autoriza a iSpring a transferir sus Datos cuando sea estrictamente necesario para proporcionarle Productos. A partir de la Fecha de Entrada en Vigor del Acuerdo Principal, iSpring no tiene motivos para considerar que las leyes y prácticas aplicables al Tratamiento de Datos Personales en ningún tercer país de destino le impidan cumplir con sus obligaciones en virtud de este DPA. Si iSpring considera razonablemente que alguna ley o práctica vigente o futura, promulgada o aplicable en el tercer país de destino, aplicable al Tratamiento de Datos Personales («Leyes Locales»), le impide cumplir con sus obligaciones en virtud del presente DPA, notificará de inmediato al Cliente. En tal caso, iSpring hará todo lo razonablemente posible para recomendar un cambio comercialmente razonable en la configuración o el uso de los Productos por parte del Cliente para facilitar el cumplimiento de las Leyes Locales sin imponer una carga excesiva al Cliente.
-
Disposiciones específicas de Europa
- RGPD. iSpring Tratará los Datos Personales de conformidad con los requisitos del RGPD directamente aplicables a la provisión de los Productos por parte de iSpring.
- Instrucciones del cliente. iSpring informará al Cliente inmediatamente (i) si, en su opinión, una instrucción del Cliente constituye una violación del RGPD o (ii) si iSpring no puede seguir las instrucciones del Cliente para el Tratamiento de Datos Personales.
- Mecanismos de transferencia de datos. Si, durante la prestación de los Productos, se transfieren Datos Personales sujetos al RGPD o a cualquier otra ley europea relativa a la protección de la privacidad de las personas a países que no garantizan un nivel adecuado de protección de datos según lo dispuesto en la Ley y el Reglamento Europeo de Protección de Datos, los mecanismos de transferencia enumerados en las Cláusulas Contractuales Tipo se aplicarán a dichas transferencias y las Partes podrán exigir su aplicación directa, siempre que dichas transferencias estén sujetas a la Ley y el Reglamento Europeo de Protección de Datos.
-
Condiciones generales
- Ley y jurisdicción aplicables. Sin perjuicio de las cláusulas 7 (Mediación y Jurisdicción) y 9 (Ley Aplicable) de las
Cláusulas Contractuales Tipo:
- Las partes de este DPA se someten por el presente documento a la elección de la jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier disputa o reclamación que surja de este DPA, incluidas las disputas sobre su existencia, validez o terminación o las consecuencias de su nulidad; y
- El presente DPA y todas las obligaciones no contractuales o de otro tipo que surjan de él o en relación con él se rigen por las leyes del país o territorio estipulado a tal efecto en el Acuerdo Principal.
- Si el Acuerdo Principal no se rige por las leyes de un Estado miembro de la UE, las Cláusulas Contractuales Tipo se regirán por (i) las leyes de Alemania; o (ii) cuando el Acuerdo se rija por las leyes del Reino Unido, las leyes del Reino Unido.
- Orden de precedencia. Nada de lo dispuesto en este DPA reduce las obligaciones de iSpring ni de ninguna de sus Filiales
en virtud del Acuerdo Principal en relación con la protección de Datos Personales, ni permite que iSpring o ninguna de sus
Filiales Trate (o permitan el Tratamiento) de Datos Personales de una manera prohibida por el Acuerdo Principal. En caso de
conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Tipo, prevalecerán estas últimas.
Sujeto a la sección 13.2, con respecto al objeto de este DPA, en caso de inconsistencias entre las disposiciones del presente DPA y cualquier otro acuerdo entre las partes, incluido el Acuerdo Principal y (salvo cuando se acuerde explícitamente lo contrario por escrito, firmado en nombre de las Partes) acuerdos celebrados o que se pretendan celebrar después de la fecha de este DPA, prevalecerán las disposiciones de este Acuerdo.
- Divisibilidad. Si alguna disposición de este DPA fuese inválida o inaplicable, el resto del presente DPA seguirá siendo válido y estando en vigor. La disposición inválida o inaplicable se (i) modificará según sea necesario para garantizar su validez y aplicabilidad, preservando al máximo la intención de las partes o, de no ser posible, (ii) se interpretará como si la parte inválida o inaplicable nunca hubiera estado contenida en ella.
- Ley y jurisdicción aplicables. Sin perjuicio de las cláusulas 7 (Mediación y Jurisdicción) y 9 (Ley Aplicable) de las
Cláusulas Contractuales Tipo:
Lista de Anexos
Anexo 1: Detalles del Tratamiento de los Datos del Cliente
Anexo 2: Lista de Subencargados
ANEXO 1: DETALLES DEL TRATAMIENTO DE LOS DATOS DEL CLIENTE
Este Anexo 1 incluye determinados detalles del Tratamiento de los Datos del Cliente.
El objeto y la duración del Tratamiento de los Datos Personales del Cliente se establecen en el Contrato Principal y este DPA.
Naturaleza y propósito del Tratamiento de los Datos del Cliente
Alojamiento, almacenamiento en caché, enrutamiento, transmisión, almacenamiento, copia, ejecución, visualización y eliminación de los Datos Personales del Cliente para la prestación de los Servicios al Cliente de conformidad con el Acuerdo Principal.
Categorías de Interesado a quien se refieren los Datos del Cliente
El Cliente puede enviar Datos Personales a los Productos, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que pueden incluir, entre otros, Datos Personales relacionados con las siguientes categorías de Interesados:
- Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que sean personas físicas);
- Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente;
- Empleados, agentes, asesores, autónomos del Cliente (que sean personas físicas);
- Usuarios del Cliente autorizados por este para utilizar los Productos.
Categorías de Datos Personales transferidos
El Cliente puede enviar Datos Personales a los Productos, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que pueden incluir, entre otros, las siguientes categorías de Datos Personales:
- Nombre y apellidos
- Cargo
- Puesto
- Información de contacto (empresa, correo electrónico, teléfono)
Datos confidenciales transferidos (no aplicables)
Transferencias de Subencargados
El Subencargado Tratará los Datos Personales según sea necesario para proporcionar los Productos de conformidad con el Acuerdo Principal y durante su vigencia, a menos que se acuerde lo contrario por escrito.
Obligaciones y derechos del Cliente y de las Filiales del Cliente
Las obligaciones y los derechos del Cliente y de las Filiales del Cliente se establecen en el Acuerdo Principal y este DPA.
Medidas técnicas y organizativas
iSpring mantendrá medidas de seguridad administrativas, físicas y técnicas para proteger la seguridad, confidencialidad e integridad de los Datos Personales cargados en los Productos de iSpring, tal como se describe en los Servicios Web de iSpring: Resumen de los Procesos de Seguridad aplicables a los servicios web de iSpring adquiridos por el Cliente. Las solicitudes de los Interesados se gestionarán de conformidad con la sección 7 de este DPA.
ANEXO 2: LISTA DE SUBENCARGADOS
NOTA EXPLICATIVA:
Este Anexo deberá completarse para los Módulos Dos y Tres de las Cláusulas Contractuales Tipo, en caso de autorización específica de Subencargados del Tratamiento (Cláusula 9(a), Opción 1).
El Responsable ha autorizado el uso de los siguientes Subencargados:
-
SendGrid, Inc.
Dirección: 889 Winslow St, Redwood City, California 94063, EE. UU.
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios de correo electrónico
-
Amazon Web Services, Inc.
Dirección: 410 Terry Avenue North, Seattle, Washington 98109-5210
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): centro de datos
-
Ringcentral, Inc.
Dirección: 20 Davis Dr, Belmont, California 94002, EE. UU.
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios de comunicación
-
First Colo GmbH
Dirección: Kruppstraße 105, 60388 Frankfurt am Main, Alemania
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
Avoxi, Inc.
Dirección: 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, USA
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
Telephonic Solutions OU
Dirección: Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estonia
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios de comunicación
-
Liquid Web, LLC
Dirección: 2703 Ena Dr. Lansing, MI 48917, US
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
Leaseweb USA, Inc.
Dirección: 9301 Innovation Drive / Suite 100 Manassas, Virginia 20110
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
ActiveCampaign, LLC
Dirección: 9301 Innovation Drive / Suite 100 Manassas, Virginia 20110
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios de correo electrónico
-
OpenAI, LLC
Dirección: 3180 18th Street, San Francisco, California 94110, EE. UU.
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios basados en IA
-
AssemblyAI, Inc.
Dirección: 12 South Michigan Ave, Chicago, Illinois 60603, EE. UU.
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios basados en IA
-
Scaleway SAS
Dirección: 8 Rue de la Ville-l'Évêque, 75008 París, Francia
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos de reserva
-
DigitalOcean, LLC
Dirección: 101 Avenue of the Americas, Nueva York, NY 10013, EE. UU.
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos de reserva
-
Amazon Web Services EMEA SARL
Dirección: Mr. Treublaan 7, Amsterdam, 1097DP, Netherlands
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
Amazon Web Services Australia Pty Ltd
Dirección: Level 37, 2-26 Park Street, Sídney, NSW, 2000, Australia
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Centro de datos
-
ElevenLabs, Inc.
Dirección: 169 Madison Ave, #2484, Nueva York, Nueva York 10016
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Servicios basados en IA
-
SatisMeter s.r.o.
Dirección: Česká 1113/1, Praha, Košíře, Hlavní město Praha, 15800, Česká republika
Descripción del tratamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados): Encuestas para medir la satisfacción del cliente