ACUERDO DE PROCESAMIENTO DE DATOS PERSONALES

Este Acuerdo de Procesamiento de Datos (en adelante, APD) forma parte de las Condiciones Generales de Uso de los servicios de Sendinblue (en adelante, Acuerdo). Todos los términos en mayúscula no definidos en este APD tendrán el mismo significado establecido en el Acuerdo.

Este APD tiene por objeto definir las condiciones bajo las cuales Sendinblue se compromete a realizar, en nombre del Usuario, las operaciones de procesamiento de datos que se definen a continuación.

En el contexto de este APD, el Usuario actúa como Controlador de Datos y Sendinblue como Procesador de Datos en el sentido de la Ley de Protección de Datos de la UE.

1 – DEFINICIONES 

Datos del Usuario significa cualquier Dato Personal que Sendinblue procese en nombre del Usuario como Procesador de Datos en el curso de la prestación de los servicios.

Controlador de Datos significa el Usuario (Werku Tools SA).

Procesador de Datos significa Sendinblue.

Ley de Protección de Datos de la UE significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos)

(RGPD).

EEE significa el Espacio Económico Europeo.

Información Personal significa cualquier información relacionada con una persona física identificada o identificable.

Procesando tiene el significado que se le atribuye en el RGPD y proceso, procesos y procesada se interpretará en consecuencia.

Subprocesador significa cualquier Procesador de Datos contratado por Sendinblue para ayudar a cumplir con sus obligaciones con respecto a la prestación de los servicios de conformidad con el Acuerdo o este APD. Los Subprocesadores pueden incluir a terceros o miembros del grupo Sendinblue.

2 – DETALLES DEL PROCESAMIENTO DE DATOS 

2.1 Sendinblue procesará los Datos del Usuario solo para los fines descritos en el APD y solo de acuerdo con las instrucciones legales documentadas del Usuario. Las Partes acuerdan que este APD y el Acuerdo establecen las instrucciones completas y finales del Usuario para Sendinblue en relación con el procesamiento de los Datos del Usuario.

2.2 Duración: Entre Sendinblue y el Usuario, la duración del procesamiento de datos bajo este APD es hasta la terminación del Acuerdo de acuerdo con sus términos.

2.3 Finalidad: La finalidad del procesamiento de datos en virtud de este APD es el envío de correos electrónicos y/o SMS de marketing y/o transaccionales.

2.4 Las operaciones de procesamiento de datos que realiza Sendinblue en nombre del Usuario se definen a continuación:

– Almacenamiento de listados de contactos cargados por el Usuario
– Envío de mensajes por correo electrónico o SMS, ya sea automatizado o no (incluido el seguimiento de pedidos, confirmación de pedidos, boletines informativos)
– Retención y análisis de datos de capacidad de entrega de correo electrónico (pantalla de retargeting)
– Recopilación de cancelaciones de suscripción e información del Usuario
– Recopilación de consentimientos (en caso de que el Usuario utilice el formulario de Sendinblue para recuperar datos de contacto de su propio sitio)
– Análisis del comportamiento de los destinatarios del correo electrónico (seguimiento de tasas de apertura, tasas de clics y tasas de rebote a nivel individual)

2.5 Categorías de sujeto de datos: Cualquier individuo: (i) cuya dirección de correo electrónico esté incluida en la lista de distribución del Usuario; (ii) cuya información se almacena o recopila a través de los servicios, o (iii) a quién el Usuario envía correos electrónicos o se compromete o se comunica a través de los servicios y, más precisamente, clientes y prospectos.

2.6 Tipos de Datos del Usuario: Cualquier tipo de datos determinados y controlados por el Usuario a su exclusivo criterio, en el contexto de su uso y configuración de los servicios, como los datos de contacto (como correo electrónico y número de teléfono); información informática (direcciones IP, datos de cookies).

3 – OBLIGACIONES DEL USUARIO 

3.1 Si el Usuario está establecido en la Unión Europea, o si su Lista de Distribución contiene Datos Personales de ciudadanos miembros de la Unión Europea, el Usuario acepta que cumplirá con sus obligaciones como Controlador de Datos bajo la Ley de Protección de Datos de la UE, y en particular:
– Que los Datos Personales contenidos en los ficheros transmitidos han sido recogidos y tratados de conformidad con la normativa aplicable
– Que el Usuario ha informado a los interesados de acuerdo con la normativa aplicable
– En su caso, que los interesados hayan dado su consentimiento para la recopilación y el tratamiento
– Que los interesados podrán ejercer sus derechos de conformidad con las normas aplicables
– Que el Usuario se compromete a que la información sea rectificada, completada, aclarada, actualizada o eliminada si es inexacta, incompleta, ambigua o desactualizada, o si el interesado desea prohibir su recopilación, uso, comunicación o almacenamiento

3.2 Se especifica que el Usuario es el único responsable de administrar los períodos de retención de los Datos Personales que carga en la plataforma Sendinblue, y que le corresponde eliminar los datos cuando expire su período de retención. Sendinblue es responsable únicamente de eliminar estos datos al final de su relación contractual con el Usuario.

3.3 El Usuario se compromete a no incluir en las listas de distribución subidas a la plataforma ningún Dato Personal conocido como «sensible» en el sentido del artículo 9 del RGPD.

4 – OBLIGACIONES DE SENDINBLUE 

4.1 Cumplimiento de las instrucciones y normativas del Usuario.
Sendinblue se compromete a:
– Procesar Datos Personales solo para el propósito establecido en este APD
– Procesar los Datos Personales de acuerdo con las instrucciones del controlador. Si Sendinblue considera que una instrucción constituye una violación de la ley de Protección de Datos de la UE, informará inmediatamente al Usuario
– Garantizar la confidencialidad de los Datos Personales procesados en virtud de este Acuerdo
– Asegurarse de que las personas autorizadas para procesar Datos Personales en virtud de este DPA:

– Se comprometen a respetar la confidencialidad o están sujetos a una obligación legal apropiada de confidencialidad
– Recibir la formación necesaria en la protección de Datos Personales; nombrar un Delegado de Protección de Datos: Jules Jeanroy, dpo@sendinblue.com

– Mantener un registro con una lista de las operaciones de procesamiento realizadas en nombre del Controlador de Datos, incluida toda la información enumerada en el Artículo 30 (2) del RGDP

4.2 Seguridad: Sendinblue se compromete a tomar todas las precauciones necesarias, con respecto a la naturaleza de los Datos Personales y los riesgos que presenta el procesamiento, para preservar la seguridad de los Datos Personales y, en particular, para evitar que sean distorsionados, dañados o accedidos por terceros no autorizados. Sendinblue se compromete en este contexto a implementar las

medidas de seguridad y confidencialidad técnicas y organizativas adecuadas.

4.3 Filtración de datos: Al tener conocimiento de cualquier violación de los Datos Personales, Sendinblue notificará al Usuario dentro de las 72 horas posteriores a su conocimiento, mediante notificación a través de la cuenta de cliente del Usuario o por correo electrónico a la dirección, en particular para permitir al Usuario, cumplir con la obligación prevista en el artículo 33 del RGPD.

4.4 Destrucción: En cualquier momento durante la ejecución del Acuerdo, el Usuario puede acceder o eliminar los Datos Personales procesados por Sendinblue directamente desde su cuenta de cliente haciendo clic en el «botón exportar» en su cuenta de cliente. Al final de la relación contractual, Sendinblue se compromete, a solicitud del Usuario, a destruir todos los Datos Personales, o devolverlos al Usuario u otro procesador de datos designado por ellos si es técnicamente factible y en un plazo máximo de 3 meses. La devolución debe ir acompañada de la destrucción de las copias existentes en los sistemas de información de Sendinblue, salvo que alguna ley aplicable exija su retención. Sendinblue se compromete a proporcionar al Usuario, si lo solicita, una prueba de dicha destrucción.

5 – ASISTENCIA Y AUDITORIA

5.1 Asistencia: En la medida en que el Usuario no pueda acceder de forma independiente a los Datos de Usuario relevantes dentro de los servicios, Sendinblue deberá (a cargo del Usuario) brindar una cooperación razonable para ayudar al Usuario a responder a cualquier solicitud de individuos o autoridades de protección de datos aplicables relacionadas con el procesamiento de Datos Personales en virtud del Acuerdo. En el caso de que dicha solicitud se realice directamente a Sendinblue, Sendinblue no responderá a dicha comunicación directamente sin la autorización previa del Usuario, a menos que esté legalmente obligado a hacerlo. Si se requiere que Sendinblue responda a dicha solicitud, Sendinblue notificará de inmediato al Usuario y le proporcionará una copia de la solicitud, a menos que esté legalmente prohibido.

5.2 Auditoría: Sendinblue se compromete a facilitar al Usuario toda la información y documentos necesarios para demostrar el cumplimiento de las obligaciones establecidas en este APD. Sendinblue autoriza al Usuario o cualquier otro auditor externo que no compita con Sendinblue y que el Usuario le haya encomendado, a expensas del Usuario, inspeccionar y auditar sus actividades de procesamiento de Datos Personales y se compromete a acceder a todas las solicitudes razonables realizadas por el Usuario para verificar que Sendinblue cumplió con las obligaciones contractuales impuestas por esta APD. Dichas auditorías no pueden realizarse más de una (1) por año de contrato. En todos los casos, el Usuario debe dar a Sendinblue un aviso mínimo de treinta (30) días, y la auditoría en ningún caso debe interrumpir las actividades en curso de Sendinblue. La auditoría se limitará a las actividades de procesamiento de Datos Personales realizadas por Sendinblue en nombre del Usuario, y el Usuario no podrá acceder a los datos relacionados con otros clientes de Sendinblue. Se proporcionará una copia del informe de auditoría a Sendinblue de forma gratuita.

6 – TRANSFERENCIAS DE DATOS Y SUBPROCESAMIENTO

6.1 Subprocesadores autorizados: Se informa al Usuario, el cual acepta expresamente, que, en relación con la prestación del servicio en virtud del Acuerdo, Sendinblue puede recurrir a Subprocesadores, quienes tendrán acceso/procesarán los Datos Personales confiados por el Usuario en su nombre. La lista de los procesadores relevantes está disponible https://bit.ly/subcontactors-SIB-EN-int

6.2 Obligaciones de los Subprocesadores: Sendinblue deberá: (i) celebrar un acuerdo por escrito con los Subprocesadores que impongan términos de protección de datos que requieran que el Subprocesador proteja los Datos del Usuario según el estándar requerido por la Ley de Protección de Datos de la UE; y (ii) seguirá siendo responsable de su cumplimiento de las obligaciones de este APD y de cualquier acto u omisión del Subprocesador que haga que Sendinblue incumpla cualquiera de sus obligaciones en virtud de este APD.

6.3 Cambios en Subprocesadores: En caso de modificación de la lista de sus Subprocesadores, Sendinblue notificará al Usuario por correo electrónico o mediante notificación a través de la cuenta del cliente, y el Usuario tendrá la posibilidad de rescindir el Acuerdo en caso de objeción.
Se especifica que esta notificación incluirá cualquier información relacionada con posibles transferencias de Datos Personales al EEE.

7 – VARIOS

7.1 Este APD puede modificarse en cualquier momento. Todos los cambios se publican en el sitio web de Sendinblue y se comunican al Usuario a través del sitio web.

A menos que el Usuario rescinda los Servicios enviando una carta certificada con acuse de recibo a Sendinblue dentro de los treinta (30) días posteriores a estos cambios, se considerará que el Usuario ha aceptado los cambios.

7.2. Este APD ha sido redactado en varios idiomas. A los efectos de la interpretación de este APD, prevalecerá la versión francesa.

8 – LEY APLICABLE Y JURISDICCIÓN 

La ley aplicable y la jurisdicción competente siguen siendo las estipuladas en el Acuerdo.