CORREO ELECTRÓNICO DE SINCH Convenio de Tratamiento de Datos ("DPA")

Este Convenio de Tratamiento de Datos (este «DPA«) forma parte de los Términos de Servicio de SINCH Email (el «Contrato Marco«) entre SINCH Email y el Cliente y está sujeto al Contrato Marco. Sinch Email es la unidad de negocio de Desarrolladores y Correo Electrónico de Sinch y está compuesta por las marcas Mailgun, Mailjet, Email on Acid e InboxReady.

Definiciones. A los efectos de este DPA, los términos en mayúsculas tendrán los siguientes significados. Los términos en mayúsculas que no se definan de otra manera tendrán el significado que se les da en el Contrato Marco.
1. «Datos personales del Cliente» se refiere a cualquier dato personal tratado por SINCH Email en nombre del Cliente para prestar los Servicios en virtud del Contrato Marco.
2. «Leyes de Protección de Datos aplicables» se refiere al RGPD, tal como se trasnfiera a la legislación nacional de cada Estado miembro (y el Reino Unido) y según se modifique, sustituya o sustituya de vez en cuando, y las leyes que implementan, sustituyen o complementan el RGPD y todas las leyes aplicables a la recopilación, almacenamiento, procesamiento y uso de los Datos personales del Cliente, incluida la Ley de Privacidad del Consumidor de California de 2018, Código Civil de California § 1798.100 et seq.
3. «GDPR» significa el Reglamento General de Protección de Datos de la UE 2016/679.
4. «Infraestructura de SINCH-EMAIL» significa (i) las instalaciones físicas de SINCH EMAIL; (ii) infraestructura de nube alojada; (iii) la red corporativa de SINCH y la red privada, el software y el hardware necesarios para proporcionar los Servicios y que están controlados por SINCH Email; en cada caso, en la medida en que se utilice para prestar los Servicios.
5. «Transferencia Restringida» significa una transferencia de los Datos Personales del Cliente de SINCH Email a un sub encargado donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos Aplicables (o por los términos de los convenios de transferencia de datos establecidos para regular las restricciones de transferencia de datos de las Leyes de Protección de Datos Aplicables) en ausencia de las salvaguardas apropiadas requeridas para dichas transferencias bajo las Leyes de Protección de Datos. Datos aplicables.
6. «Servicios» se refiere a los servicios prestados al Cliente por SINCH Email de acuerdo con el Contrato Marco.
7. «Cláusulas contractuales tipo» se refiere a la última versión de las cláusulas contractuales tipo para la transferencia de datos personales a encargados establecidos en terceros países en virtud del RGPD (la versión actual a la fecha de este DPA se adjunta a la Decisión 2021/914 de la Comisión Europea (UE) de 4 de junio de 2021).
8. «Anexo del Reino Unido» se refiere a la Adenda del Reino Unido (Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE) https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf
9. Los términos «consentimiento«, «responsable del tratamiento«, «interesado«, «Estado miembro«, «datos personales«, «violación de la seguridad de los datos personales«, «encargado«, «subencargado del tratamiento«, «autoridad de control» y «tercero«» tienen el significado que se les da en el artículo 4 del Tratado de Desarrollo Civil. RGPD.

Cumplimiento de las leyes de protección de datos aplicables
1. SINCH Email y el Cliente deberán cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protección de Datos Aplicables y se asegurarán de que sus empleados y subencargados cumplan con las disposiciones de las Leyes de Protección de Datos Aplicables.

Detalles y alcance del Tratamiento
1. El Tratamiento de los Datos Personales del Cliente en virtud del Contrato se llevará a cabo de conformidad con las siguientes estipulaciones y según lo dispuesto en el las Leyes de Protección de Datos Aplicables. Las partes pueden cambiar esta información de vez en cuando según lo consideren razonablemente necesario para cumplir con estos requisitos.
  1. Objeto y duración del Tratamiento de Datos Personales: El objeto y la duración del Tratamiento de los Datos Personales se establecen en el Contrato Marco.
  2. La naturaleza y finalidad del Tratamiento de Datos Personales: De conformidad con el Contrato Marco, SINCH Email proporciona al Cliente determinados servicios como mensajería, correo electrónico, llamadas de voz y otros servicios de comunicación, que implican el Tratamiento de datos personales. Dichas actividades de Tratamiento incluyen (a) la prestación de los Servicios; b) Detección, prevención y resolución de problemas técnicos y de seguridad; y (c) cumplir con las solicitudes de soporte del Cliente.
  3. Los tipos de datos personales que se tratan: Los datos personales enviados, cuyo alcance es determinado y controlado por el Responsable a su entera discreción, incluyen nombre, correo electrónico, números de teléfono, dirección IP y otros datos personales incluidos en las listas de contactos y el contenido de los mensajes.
  4. Las categorías de Titulares de datos a los que se refieren los Datos personales: remitentes y destinatarios de mensajes de correo electrónico y SMS, llamadas de voz u otras formas de comunicación.
2. SINCH Email, solo tratará los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Contrato Marco y (i) de acuerdo con las instrucciones documentadas descritas en este DPA o según las instrucciones del Cliente de vez en cuando. Las instrucciones del Cliente deben estar documentadas en la orden correspondiente, la descripción de los servicios, el ticket de soporte, otra comunicación escrita o según lo indique el Cliente mediante los Servicios (por ejemplo, a través de una API o un panel de control).
3. Cuando SINCH crea razonablemente que una instrucción del Cliente es contraria a las disposiciones del Contrato Marco o de este DPA, o que infringe las Leyes de Protección de Datos Aplicables u otras disposiciones de protección de datos aplicables, informará al Cliente sin demora. En cualquier caso, SINCH estará autorizado a posponer la ejecución de la instrucción correspondiente hasta que sea modificada por el Cliente o sea mutuamente acordada por el Cliente y SINCH.
4. El Cliente es el único responsable del uso y la gestión de los Datos Personales enviados o transmitidos a través de los Servicios, lo que incluye: (i) verificar la información de los destinatarios y que se haya ingresado correctamente en los Servicios (ii) notificar de manera clara y razonable a cualquier destinatario la naturaleza insegura del correo electrónico como medio de transmisión de Datos Personales (según corresponda), (iii) limitar razonablemente la cantidad o el tipo de información divulgada a través de los Servicios; (iv) cifrar cualquier Dato Personal transmitido a través de los Servicios cuando corresponda o lo exija la ley aplicable (por ejemplo, mediante el uso de archivos adjuntos cifrados, conjuntos de herramientas PGP o S/MIME). En caso de que el Cliente decida no configurar el cifrado obligatorio, reconoce que los Servicios pueden incluir la transmisión de correo electrónico no cifrado en texto sin formato a través de la Internet pública y redes abiertas. La información cargada en los Servicios, incluido el contenido de los mensajes, se almacena en un formato cifrado cuando es procesada por la infraestructura de correo electrónico de SINCH.
5. Excepciones (reglas específicas basadas en la legislación nacional aplicable): 
  1.  Para Clientes y contratos en Brasil, además de lo acordado en este DPA, las obligaciones establecidas adoptarán las siguientes redacciones y directrices: 
    1. Las definiciones destacadas a continuación deberán sustituir las definiciones utilizadas en el presente DPA: 
      1. Categorías Especiales de Datos Personales” significará los datos personales Sensibles: esto significa los datos relativos al origen racial o étnico, las creencias religiosas, las opiniones políticas, la afiliación a un sindicato u organizaciones religiosas, filosóficas o políticas, los datos relativos a la salud o la vida sexual de una persona física, los datos genéticos o biométricos, cuando estén relacionados con una persona física.  
      2. “Tratamiento de Datos” se entenderá cualquier operación realizada con datos personales, tales como las que se refieran a la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, conservación, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción. 
    2. Las disposiciones contenidas en la Cláusula 13(b) no serán aplicables.
    3. Para Clientes y contratos en Colombia, además de lo acordado en este DPA, se aplica lo siguiente en relación con el tratamiento y transferencia de datos personales:

“El responsable del tratamiento reconoce que el encargado del tratamiento puede tratar, transferir, transmitir, almacenar y procesar datos personales a territorios fuera de Colombia, donde estarán sujetos a las leyes de las jurisdicciones extranjeras en las que se encuentran. El responsable del tratamiento reconoce que posee todas las autorizaciones previas necesarias de los titulares de los datos personales y los registros de bases de datos que permitirían al encargado del tratamiento para tratar los datos personales y transferir y/o transmitir los mismos a países que cumplen al menos los mismos estándares de protección de datos personales (nivel adecuado de protección) como los previstos en las normas colombianas (tales como, pero no limitado a la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto 90 de 2018, la Circular Única de la Superintendencia de Industria y Comercio y la Circular Externa Nº 005 de 2017 de la Superintendencia de Industria y Comercio y demás normas que modifiquen, sustituyan o complementen las anteriores).”  

 Para los Clientes y contratos en Argentina, además de lo acordado en este DPA, las partes acuerdan concluir las siguientes Cláusulas Contractuales Estándar de Argentina para la transferencia internacional en caso de que el Controlador de los datos personales sea de Argentina y/o la Legislación de Protección de Datos aplicable y/o la Autoridad Argentina de Protección de Datos requiera que se celebren estas cláusulas:

Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, “el exportador de datos”) y, por la otra, ____________________________ (nombre), __________ (dirección y país), (“en adelante, el importador de datos”), en conjunto “las partes”, convienen el presente contrato de transferencia internacional de datos personales para la prestación de servicios, sometiéndola a los términos y condiciones que se detallan a continuación. 

Para Clientes y contratos en México, las obligaciones establecidas en las secciones 13(b) no son aplicables.

Responsable
1. Para los efectos de este DPA, el Cliente es el Responsable de los Datos Personales del Cliente y SINCH Email es el Encargado de dichos datos, excepto cuando el Cliente actúa como Encargado de los Datos Personales del Cliente, en cuyo caso SINCH Email es un Subencargado.
2. SINCH siempre tendrá un representante que será responsable de ayudar al Cliente (i) a responder las preguntas sobre el Tratamiento de Datos recibidas de los Titulares; y, (ii) a completar todos los requisitos legales de información y divulgación que se aplican y están asociados con el Tratamiento de Datos. Puede ponerse en contacto directamente con el responsable de la protección de datos a través de privacy@mailgun.com.
3. El Cliente garantiza que:
  1. El Tratamiento de los Datos Personales del Cliente se basa en motivos legales para el Tratamiento según lo requerido por las Leyes de Protección de Datos Aplicables, así como que tiene y mantendrá durante la vigencia del Contrato Marco todos los derechos, permisos, registros y consentimientos necesarios de acuerdo con y según lo requieran las Leyes de Protección de Datos Aplicables con respecto al Tratamiento de Datos Personales del Cliente por parte de SINCH Email en virtud de este DPA y el Contrato Marco;
  2. tiene todos los derechos, permisos y consentimientos necesarios para remitir los Datos Personales del Cliente SINCH EMAIL y, de otro modo, permitir que SINCH EMAIL trate los Daros Personales del Cliente en su nombre, para que SINCH pueda usar, tratar y transferir legalmente los Datos Personales del Cliente para prestar los Servicios y cumplir con los demás derechos y obligaciones de SINCH en virtud de este DPA y el Contrato Marco;
  3. informar a sus Titulares sobre el uso de los Responsables de Datos en el Tratamiento de sus Datos Personales, en la medida en que lo exijan las Leyes de Protección de Datos Aplicables; y
  4. responderá de manera y dentro de un tiempo razonable a las consultas de los Titulares con respecto al Tratamiento de sus Datos Personales y dará las instrucciones adecuadas a Sinch de manera oportuna.

Confidencialidad
1. SINCH se asegurará de que cada uno de sus empleados y subencargados autorizados para tratar los Datos Personales del Cliente esté sujeto a compromisos de confidencialidad o a obligaciones de confidencialidad profesionales o legales y esté capacitado en los requisitos de seguridad y protección de datos relevantes.

Medidas técnicas y organizativas
1. SINCH deberá, con respecto a los Datos Personales del Cliente, (a) tomar y documentar, según corresponda, los pasos razonables y apropiados requeridos bajo el Anexo 2 del DPA en relación con la seguridad de la Infraestructura de SINCH Email y las plataformas utilizadas para proporcionar los Servicios como se describe en el Contrato Marco, y (b) previa solicitud razonable a cargo del Cliente, ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos Aplicables.
2. Los procedimientos operativos internos de SINCH Emails deben cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

Solicitudes de los interesados
1. Sinch Email proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes recibidas de los Titulares. Esto incluye nuestras API e interfaces para buscar datos de eventos, supresiones y recuperar contenido de mensajes. Cuando SINCH reciba una queja, consulta o solicitud (incluidas las solicitudes realizadas por los Titulares para ejercer sus derechos en virtud de las Leyes de Protección de Datos Aplicables) relacionada con los Datos Personales del Cliente directamente de los Titulares, SINCH notificará al Cliente dentro de los 14 (catorce) días posteriores a la recepción de la queja, consulta o solicitud. Teniendo en cuenta la naturaleza del tratamiento, SINCH proporcionará asistencia al Cliente, a través de medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos de dichos interesados.

Violaciones de datos personales
1. SINCH notificará al Cliente sin demora indebida tan pronto como tenga conocimiento de una violación de datos personales que afecte a los Datos Personales del Cliente. SINCH deberá, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para SINCH, realizar esfuerzos comercialmente razonables para proporcionar al Cliente información suficiente que le permita, a expensas del Cliente, cumplir con cualquier obligación de comunicar o informar a las autoridades reguladoras, sujetos de datos y otras entidades de dicha violación de datos personales en la medida en que lo exijan las Leyes de Protección de Datos Aplicables.

Evaluaciones de impacto de la protección de datos
1. SINCH deberá, teniendo en cuenta la naturaleza del Procesamiento y la información disponible, proporcionar asistencia razonable al Cliente a expensas del Cliente, con cualquier evaluación de impacto de protección de datos y consultas previas con autoridades supervisoras u otras autoridades reguladoras competentes, según sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables.

Auditorías
1. SINCH pondrá a disposición del Cliente, previa solicitud razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento de este DPA.
2. El Cliente, o un auditor externo autorizado, puede, previa solicitud razonable por escrito, realizar una inspección en relación con el Tratamiento de los Datos Personales del Cliente por parte de SINCH Email y en la medida necesaria de acuerdo con las Leyes de Protección de Datos y sin interrumpir las operaciones comerciales de SINCH y garantizar la confidencialidad.
3. El derecho de auditoría descrito en el párrafo 10(b) anterior será aplicable al Cliente en caso de que SINCH no haya proporcionado pruebas suficientes de su cumplimiento de las medidas técnicas y organizativas. La evidencia suficiente incluye la provisión: (i) de una certificación de cumplimiento de ISO 27001 u otros estándares implementados por Sinch Email (alcance tal como se define en el certificado); o (ii) un informe de auditoría o certificación de un tercero independiente. Una auditoría como se describe en esta Cláusula 10 se llevará a cabo por cuenta y gasto del Cliente.

Devolución o destrucción de los datos personales del cliente
1. El Cliente podrá, mediante comunicación escrita a SINCH Email, solicitar la devolución y/o certificado de eliminación de todas las copias de los Datos Personales del Cliente bajo el control o posesión de SINCH Email. SINCH proporcionará una copia de los Datos del Responsable en un formato que pueda ser leído y procesado en una fecha posterior.
2. Dentro de los noventa (90) días posteriores al cierre de la cuenta, Sinch eliminará y/o devolverá todos los Datos personales procesados de acuerdo con este DPA. Esta disposición no afectará a las posibles obligaciones legales de las Partes de conservar los registros durante los períodos de conservación establecidos por la ley, los estatutos o el contrato.
3. Cualquier costo adicional derivado de la devolución o eliminación de los Datos Personales después de la rescisión o vencimiento del Contrato correrá a cargo del Cliente.

Transferencias de datos
1. Las Cláusulas Contractuales Estándar y, si es necesario, el Anexo del Reino Unido, que hace que SINCH Email actúe como importador de datos y el Cliente actúe como exportador de datos, se incorporan como parte de este DPA. Si el acuerdo de SINCH con un subencargado implica una Transferencia Restringida, SINCH se asegurará de que las disposiciones de transferencia posterior de las Cláusulas Contractuales Estándar y / o el Anexo del Reino Unido se incorporen al Contrato Marco, o se celebren de otra manera, entre SINCH Email y el suberncargado. El Cliente se compromete a ejercer su derecho a auditar en las Cláusulas Contractuales Tipo instruyendo a SINCH Email para que realice la auditoría establecida en el Párrafo 10.
2. El Cliente reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Contrato, Sinch puede transferir Datos Personales dentro de su grupo de empresas. Dichas transferencias son necesarias para prestar los Servicios a nivel mundial y están justificadas por motivos de administración interna.
3. Para las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios anteriores, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos y para implementar las salvaguardas adecuadas, se adoptan las siguientes salvaguardas: (i) Cláusulas Contractuales Estándar de conformidad con la Decisión 2021/914/UE de la Comisión Europea de 4 de junio de 2021, (2) Adenda del Reino Unido y (3) salvaguardas adicionales con respecto a las medidas de seguridad, incluido el cifrado de datos, la agregación de datos, la separación de los controles de acceso y los principios de minimización de datos.

Sub encargados
1. El Cliente autoriza a SINCH a designar sub encargados de acuerdo con este Párrafo 13 y el Anexo 1, sujeto a cualquier restricción en el Acuerdo Marco. SINCH se asegurará de que los sub encargados estén sujetos a acuerdos escritos que les exijan proporcionar al menos el nivel de protección de datos requerido de SINCH por este DPA. SINCH podrá seguir utilizando los subencargados ya contratados a partir de la fecha de este DPA.
2. SINCH notificará al Cliente con antelación y por escrito el nombramiento de cualquier nuevo subencargado. Si, dentro de los diez (10) días hábiles posteriores a la recepción de dicha notificación, el Cliente notifica a SINCH por escrito cualquier objeción por motivos razonables a la designación propuesta, SINCH no designará a dicho subencargado propuesto hasta que se hayan tomado medidas razonables para resolver las objeciones planteadas por el Cliente y el Cliente haya recibido una explicación razonable por escrito de las medidas tomadas. Si SINCH y el Cliente no pueden resolver el nombramiento de un subecargado dentro de un plazo razonable, cualquiera de las partes tendrá derecho a rescindir el Contrato Marco por causa justificada.
3. Esta cláusula no se aplica a los siguientes servicios auxiliares, a saber, servicios de telecomunicaciones, servicios postales o de transporte, herramientas de mantenimiento y soporte al usuario. Sin embargo, SINCH estará obligado a tomar medidas contractuales apropiadas y legalmente vinculantes y a tomar medidas de inspección apropiadas para garantizar la protección y seguridad de los Datos del Cliente, incluso para dichos servicios auxiliares subcontratados.
4. SINCH será responsable de los actos y omisiones de cualquier subencargado, así como lo es para el Cliente por sus propios actos y omisiones en relación con los asuntos establecidos en este DPA.

Ley aplicable y jurisdicción
1. Las partes de este DPA se someten a la elección de jurisdicción establecida en el Contrato Marco con respecto a cualquier disputa o reclamo que surja de este DPA, incluidas las disputas relacionadas con su existencia, validez o terminación o las consecuencias de su nulidad.
2. Este DPA y todas las obligaciones no contractuales u otras obligaciones que surjan de él o en relación con él se rigen por las leyes del país o territorio estipuladas a tal efecto en el Contrato Marco.

Orden de preferencia
1. Con respecto al objeto de este DPA, en caso de inconsistencias entre las disposiciones de este DPA y cualquier otro acuerdo entre las partes, incluido el Contrato Marco y (salvo que se acuerde explícitamente lo contrario por escrito, firmado en nombre de las partes) los acuerdos celebrados o que se pretenda haber celebrado después de la fecha de este DPA, prevalecerán las disposiciones de este DPA.

Disposiciones independientes
1. Si alguna disposición de este DPA es inválida o inaplicable, el resto de este DPA seguirá siendo válida y en vigor. La disposición inválida o inaplicable se modificará (i) según sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las partes lo más fielmente posible o, si esto no es posible, (ii) se interpretará de manera que la parte inválida o inaplicable nunca hubiera estado contenida en ella.

Terminación
1. Este DPA y las Cláusulas Contractuales Tipo terminarán automáticamente a la terminación del Contrato Marco.
2. Cualquier enmienda o variación a este DPA no será vinculante para las Partes a menos que se establezca por escrito y esté firmada por representantes autorizados de cada una de las Partes.

* * *

Este DPA y los Anexos se celebran y se convierten en una parte vinculante del Contrato Marco con efecto a partir de la fecha establecida anteriormente.

ANEXO 1

CLÁUSULAS CONTRACTUALES TIPO

Con respecto a las Cláusulas Contractuales Tipo, las Partes acuerdan que:

El Módulo 2 (Responsable a Encargado) se aplicará cuando SINCH Email actúe como Responsable de datos del Cliente; El Módulo 3 (Encargado a Encargado) se aplicará cuando SINCH Email actúe como sub encargado del Cliente. Para cada módulo, si procede:

Se incorpora la cláusula 7 (cláusula de adhesión);

A los efectos de la Cláusula 9.a) (Uso de subencargados), se aplica la Opción 2: Autorización general por escrito. El importador de datos tiene la autorización general del exportador de datos para contratar subencargados de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subencargados con al menos diez (10) días hábiles de anticipación;

No se incorpora la redacción facultativa de la Cláusula 11 (Enmienda) relativa a los organismos de resolución independientes;

A los efectos de la Cláusula 13 (Supervisión), la CNIL, la Autoridad Nacional de Protección de Datos (Commission Nationale de l’Informatique et des Libertés) actuará como autoridad supervisora competente;

Se aplicará la opción 1 de la Cláusula 17 (Ley aplicable) y las leyes de Francia regirán las Cláusulas Contractuales Tipo;

A los efectos de la Cláusula 18 (Elección del lugar y jurisdicción), los tribunales de Francia resolverán cualquier disputa que surja de las Cláusulas Contractuales Tipo;

El Anexo IA (Lista de Partes) y el Anexo I B (Descripción de la Transferencia) se completarán sobre la base de la información y los detalles especificados en el Acuerdo Marco y enumerados en la Cláusula 3 del DPA;

El anexo I B (Descripción de la transferencia) se completará especificando que no se transferirán datos sensibles. La frecuencia de la transferencia debe ser continua. En el caso de las transferencias a subencargados, el objeto, la naturaleza y la duración del Tratamiento serán los mismos que los del importador de datos;

A efectos del anexo IC, la autoridad de control competente de conformidad con la cláusula 13 es la CNIL, la Comisión Nacional de Informática y Libertades de Francia;

A efectos del anexo II, las medidas técnicas y organizativas se describen en el anexo 2 del DPA;

A efectos del anexo III, la lista de subencargados del tratamiento se incluye en el anexo 3 del DPA;

cuando la Transferencia restringida esté sujeta al Reglamento, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte (RGPD del Reino Unido), las Cláusulas Contractuales Tipo incorporarán el Anexo del Reino Unido completado de la siguiente manera:
1. A los efectos de la Tabla 1, la fecha de inicio es la fecha de firma del DPA y los datos de las Partes se completarán sobre la base de la información y los detalles especificados en el Acuerdo Marco;
2. A los efectos del Anexo 2, la versión de las Cláusulas Contractuales Tipo de la UE aprobadas a las que se adjunta el Anexo del Reino Unido serán las Cláusulas Contractuales Tipo cumplimentadas de conformidad con este Anexo 1, siendo la fecha de entrada en vigor de este Anexo;
3. A los efectos del Cuadro 3, la información que figura en el Apéndice es la descrita en los párrafos h) a l) del presente Anexo 1; y
4. A los efectos de la Tabla 4, Mailgun, como Importador, puede rescindir el Anexo del Reino Unido cuando se modifique el Anexo Aprobado.

ANEXO 2

SEGURIDAD DE LA INFORMACIÓN: MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Cuando los datos personales se tratan o utilizan automáticamente, la organización interna de SINCH Email garantiza que cumpla con los requisitos específicos de protección de datos utilizando las mejores prácticas de seguridad. En particular, Sinch Email implementa las siguientes medidas para proteger los datos personales u otras categorías de datos sensibles.

Control de acceso físico

Para evitar que personas no autorizadas tengan acceso a los sistemas de tratamiento de datos con los que se tratan o utilizan los datos personales:

Sinch Email aprovecha los proveedores de infraestructura de centros de datos y nube líderes en la industria. El acceso a todos los centros de datos está estrictamente controlado. Todos los centros de datos están equipados con sistemas de vigilancia y control de acceso biométrico 24x7x365. Además, todos los proveedores cuentan con certificaciones estándar de la industria.

Los centros de datos están equipados con al menos redundancia N+1 para la infraestructura de energía, red y refrigeración.

Dentro de una región, el procesamiento de datos se produce en al menos tres zonas de disponibilidad distintas. Los servicios están diseñados para resistir el error de una zona de disponibilidad sin interrupciones para el cliente.

Control de acceso al sistema

Para evitar el uso de sistemas de procesamiento de datos sin autorización:

El acceso administrativo a los sistemas y servicios de Sinch Email sigue el principio de mínimo privilegio. El acceso a los sistemas se basa en el puesto de trabajo y las responsabilidades. Sinch Email utiliza nombres de usuario/identificadores únicos que no se pueden compartir ni reasignar a otra persona.

La VPN y la autenticación multifactor se utilizan para acceder a las herramientas de soporte internas y a la infraestructura del producto.

Las listas de control de acceso a la red (ACL) y los grupos de seguridad se utilizan para limitar el tráfico dentro y fuera de la infraestructura de producción.

Los sistemas de detección de intrusos (IDS) se utilizan para detectar posibles accesos no autorizados.

Se han implementado protecciones de red para mitigar el impacto de los ataques de denegación de servicio distribuido (DDoS).

Los procesos de incorporación y salida se documentan y se siguen de forma coherente para garantizar que el acceso se gestione correctamente a las herramientas y sistemas alojados interna y externamente. Siempre que sea posible, los servicios de terceros aprovechan la funcionalidad de inicio de sesión único (SSO), que permite una administración centralizada y aplica la autenticación multifactor.

Control de acceso a los datos

Para garantizar que los usuarios autorizados con derecho a utilizar los sistemas de tratamiento de datos tengan acceso únicamente a los datos a los que tienen derecho de acceso y que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante el tratamiento o el uso y después del almacenamiento:

Sinch Email utiliza un sistema de gestión de contraseñas que impone la longitud mínima de la contraseña, la complejidad, el tiempo de caducidad y el último uso mínimo.

Las estaciones de trabajo de los empleados se bloquean automáticamente después de un período prolongado de inactividad. Los sistemas desconectan a los usuarios después de un período prolongado de inactividad.

Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los registros de seguridad, se conservan durante al menos un año.

El proceso de gestión de parches de Sinch Email garantiza que los sistemas se parcheen al menos una vez al mes. La supervisión, las alertas y el análisis rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se aplique parches de forma coherente.

Se utiliza un software antivirus estándar de la industria para garantizar que los activos internos que acceden a los datos personales estén protegidos de virus conocidos. El software antivirus se actualiza regularmente.

Sinch Email utiliza dispositivos de firewall para segregar el tráfico no deseado y evitar que ingrese a la red. Una DMZ se utiliza mediante firewalls para proteger aún más los sistemas internos que protegen los datos confidenciales.

Control de transmisión de datos

Para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión o el transporte electrónicos:

Los datos del cliente se almacenan cifrados en reposo mediante el uso del cifrado AES-256 en dispositivos de bloque.

Las copias de seguridad de los clientes se cifran en tránsito y en reposo mediante un cifrado seguro.

Sinch Email es compatible con TLS 1.2 para cifrar el tráfico de red entre la aplicación cliente y la infraestructura de Sinch Email.

Sinch Email recibe alertas sobre problemas de cifrado a través de evaluaciones de riesgos periódicas y pruebas de penetración de terceros. Sinch Email realiza pruebas de penetración de terceros anualmente o según sea necesario debido a cambios comerciales.

Sinch Email opera un programa de recompensas por errores, fomentando la divulgación responsable de vulnerabilidades por parte de los investigadores de la comunidad.

Control de entrada

Para garantizar que sea posible verificar y determinar si los datos personales han sido introducidos en los sistemas de tratamiento de datos, modificados o eliminados, y por quién:

Los sistemas se supervisan en busca de eventos de seguridad para garantizar una resolución rápida.

Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los registros de seguridad, se conservan durante al menos un año. Los registros se pueden rastrear hasta nombres de usuario únicos individuales con marcas de tiempo para investigar no conformidades o eventos de seguridad.

Control de disponibilidad

Para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental:

Se realiza una copia de seguridad de los datos de la cuenta al menos una vez al día. La recuperación incremental o a un momento dado está disponible para todas las bases de datos principales. Las copias de seguridad se cifran en tránsito y en reposo mediante un cifrado seguro.

El proceso de gestión de parches de Sinch Email garantiza que los sistemas se parcheen al menos una vez al mes. La supervisión, las alertas y el análisis rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se aplique parches de forma coherente.

Cuando es necesario, Sinch Email remedia la infraestructura rápidamente en respuesta a la divulgación de vulnerabilidades críticas para garantizar que se conserve el tiempo de actividad del sistema.

Los entornos de los clientes están separados de forma lógica en todo momento. Los clientes no pueden acceder a cuentas que no sean aquellas para las que se les han concedido credenciales de autorización.

Certificación/aseguramiento de procesos y productos

Garantice el gobierno y la gestión internos de TI y la seguridad de TI, así como el aseguramiento de procesos y productos

Certificación ISO 27001

Certificación ISO 27701

Informe SOC 2 Tipo 2 (solo marcas Mailgun y Mailjet)

Informe SOC 2 Tipo 1 (solo correo electrónico con la marca Acid)

ANEXO 3

SUBENCARGADOS DEL TRATAMIENTO AUTORIZADOS A PARTIR DE LA FECHA DE ENTRADA EN VIGOR DEL DPA

Subencargados de infraestructuras
Compañía	Ubicación del servidor	Descripción de las actividades	Salvaguardias adecuadas para las transferencias
Plataforma en la nube de Google 70 Sir John Rogerson’s Quay, Dublín 2, Irlanda	Alemania y Bélgica (Clientes de la UE) EE. UU. (clientes de EE. UU.)	Centros de datos (Productos: Mailgun, Mailjet e InboxReady)	Sccs Cifrado de datos
Rackspace (AWS) Un lugar fanático San Antonio, TX 78218 Estados Unidos	EE. UU. (clientes de EE. UU.) Alemania (clientes de la UE)	Centros de datos (Todos los productos)	Sccs Cifrado de datos
MacStadium 3525 Piedmont Road, Edificio 7 Atlanta, GA 30305	Estados Unidos	Centros de datos (Correo electrónico en ácido)	Sccs Cifrado de datos
Cyxtera 9180 Centro de Comercio Cir Rancho de las Tierras Altas, CO 80129	Estados Unidos	Centros de datos (Correo electrónico en ácido)	Sccs Cifrado de datos
Compatibilidad con subercargados
Compañía	Ubicación	Descripción de las actividades	Salvaguardias adecuadas para las transferencias
Proxiad Bulgaria Tintyava 13b St., Fl. 4 Sofía 1113 – Bulgaria	Bulgaria	Funciones de soporte de tickets Funciones TAM	Derecho de la Unión Minimización de datos
Sitel India Chandivali – Farm Road, Andheri East Mumbai 400072 India	India	Funciones de soporte de tickets (proporcionar la primera respuesta a través del sistema de tickets; sin acceso a los datos personales del cliente)	Sccs Cifrado de datos Minimización de datos
Subencargados del tratamiento de la empresa del grupo
Compañía	Sed	Descripción de las actividades	Salvaguardias adecuadas para las transferencias
Tecnologías Mailgun 112 E. Pecan Street #1135, San Antonio, Texas, 78205 Estados Unidos	Estados Unidos	Empresa del grupo (Servicios administrativos, de facturación, soporte y mantenimiento)	Sccs Cifrado de datos Minimización de datos
Mailjet 4, rue Jules Lefebvre 75009 París, Francia	Francia	Empresa del grupo	Sccs Cifrado de datos Agregación de datos
Sinch AB Lindhagensgatan 74 Estocolmo, 112 18 Suecia	Suecia	Empresa del grupo	Sccs Cifrado de datos Agregación de datos

Subgrupo de cookies	Cookies	Cookies utilizadas
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Propias
community.sinch.com	AWSALB , LiSESSIONID	Propias
appengage.sinch.com	dd_cookie_test_	Propias
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Propias
cockpit2.sinch.com	SESSION	Propias
engage.sinch.com	instapage-variant-xxxxxxxx	Propias
dashboard.sinch.com	cookietest	Propias
brand.sinch.com	PHPSESSID , AWSALBCORS	Propias
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Propias
mediabrief.com	__cf_bm	De terceros
recaptcha.net	_GRECAPTCHA	De terceros
cision.com	__cf_bm	De terceros
techtarget.com	__cf_bm	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
community.sinch.com	ValueSurveyVisitorCount	Propias
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Propias
appengage.sinch.com	_dd_s	Propias
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Propias
brand.sinch.com	AMP_TEST	Propias
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Propias
www.sinch.com	d-a8e6 , s-9da4	Propias
nr-data.net	JSESSIONID	De terceros
sinch-en.newsroom.cision.com	_ga, _gid	De terceros
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	De terceros
g.fastcdn.co	instap-spses.85bb	De terceros
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	De terceros
www.googletagmanager.com	userId	De terceros
hello.learn.mailgun.com	visitor_id#####, visitor_id	De terceros
dev.visualwebsiteoptimizer.com	_vwo_ssm	De terceros
box.com	box_visitor_id	De terceros
app.box.com	z, cn	De terceros
sinch-tfn.paperform.co	laravel_session	De terceros
go.sinch.in	visitor_id#####, visitor_id	De terceros
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Subgrupo de cookies	Cookies	Cookies utilizadas
investors.sinch.com	visitor_id	Propias
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Propias
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Propias
go.latam.sinch.com	visitor_id##### , pardot	Propias
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	De terceros
pi.pardot.com	lpv151751, pardot	De terceros
hsforms.com	_cfuvid	De terceros
google.com	CONSENT	De terceros
sinch.in	_gclxxxx, _gcl_au	De terceros
www.linkedin.com	bscookie	De terceros
bing.com	MUID, MSPTC	De terceros
www.facebook.com		De terceros
hello.learn.mailgun.com	pardot	De terceros
www.youtube.com	TESTCOOKIESENABLED	De terceros
dev.visualwebsiteoptimizer.com	uuid	De terceros
g2crowd.com	__cf_bm	De terceros
pardot.com	visitor_id#####, visitor_id	De terceros
tracking.g2crowd.com	_session_id	De terceros
hubspot.com	__cf_bm, _cfuvid	De terceros
doubleclick.net	test_cookie, IDE	De terceros
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	De terceros
go.sinch.in	pardot	De terceros
liadm.com	lidid	De terceros
www.google.com	_GRECAPTCHA	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
portal.sinch.com	pnctest	Propias
partner.appengage.sinch.com	_dd_s	Propias
investors.sinch.com	Propias
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Propias
tickets.sinch.com	selectedidp	Propias
engage.sinch.com	ln_or	Propias
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Propias
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Propias
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Propias
www.recaptcha.net	_GRECAPTCHA	De terceros
boxcdn.net	__cf_bm	De terceros
d2oeshgsx64tgz.cloudfront.net	cookietest	De terceros
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	De terceros
vimeo.com	__cf_bm, vuid	De terceros
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	De terceros
box.com	site_preference	De terceros
app.box.com	bv	De terceros
sinch-tfn.paperform.co	XSRF-TOKEN	De terceros
cision.com	cf_clearance	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
community.sinch.com	ln_or	Propias
sinch.in	_fbp	De terceros
youtube-nocookie.com	CONSENT	De terceros
youtube.com	YSC	De terceros

CORREO ELECTRÓNICO DE SINCH Convenio de Tratamiento de Datos («DPA»)

Legal and Compliance

Privacy Notices

Other