Acuerdo de Procesamiento de Datos

Revisado y actualizado por última vez el 14/01/2022. Haz clic aquí para ver la última versión.

La presente Cláusula Adicional al Tratamiento de Datos («Cláusula Adicional») forma parte de las Condiciones de Servicio de Mailgun (el «Acuerdo Principal») por y entre Mailgun Technologies, Inc. en su propio nombre y en nombre de sus Afiliados («Mailgun») y el «Cliente» y está sujeta al Acuerdo Principal.

1. Definiciones.

A los efectos de la presente Cláusula Adicional, los términos en mayúscula inicial tendrán los siguientes significados. Los términos en mayúscula inicial que no se definan de otro modo tendrán el significado que se les dé en el Acuerdo Principal.

(a) Por «Afiliados» se entiende cualquier entidad que sea propiedad o que posea Mailgun Technologies, Inc. o que esté bajo control común con una de las entidades de Mailgun, incluidas, entre otras, Mailgun Technologies SAS y Mailjet SAS.

(b) Por «Datos Personales del Cliente» se entiende cualquier dato personal que es procesado por Mailgun en nombre del Cliente para prestar los Servicios en virtud del Acuerdo Principal.

(c) Por «Leyes de protección de datos de la UE» se entiende la Directiva 95/46/CE de la UE, tal como ha sido incorporada a la legislación interna de cada Estado miembro y en su versión modificada, sustituida o reemplazada periódicamente, incluso (con efecto a partir del 25 de mayo de 2018) por el RGPD y las leyes que aplican, sustituyen o complementan el RGPD.

(d) Por «RGPD» se entiende el Reglamento General de Protección de Datos de la UE 2016/679.

(e) Por «EEE» se entiende el Espacio Económico Europeo.

(f) Por «Infraestructura de Mailgun» se entiende (i) las instalaciones físicas de Mailgun; (ii) la infraestructura alojada en la nube; (iii) la red corporativa de Mailgun y la red interna no pública, el software y el hardware necesario para prestar los Servicios y que está controlado por Mailgun; en cada caso en la medida en que se utilicen para prestar los Servicios.

(g) Por «Transferencia restringida» se entiende una transferencia de los Datos Personales del Cliente de Mailgun a un subencargado del tratamiento cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos de la UE (o por las condiciones de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos de la UE) en ausencia de las salvaguardias apropiadas requeridas para dichas transferencias en virtud de las Leyes de Protección de Datos de la UE.

(h) Por «Servicios» se entiende los servicios que Mailgun presta al Cliente de conformidad con el Acuerdo Principal.

(i) Por «Cláusulas contractuales tipo» se entiende la última versión de las cláusulas contractuales tipo relativas a la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo (la versión vigente a la fecha de la presente Cláusula Adicional figura se adjunta a la Decisión 2010/87/UE de la Comisión Europea).

(j) Los términos «consentimiento», «responsable del tratamiento», «interesado», «Estado miembro», «datos personales», «violación de los datos personales», «encargado del tratamiento», «subencargado del tratamiento», «tratamiento», «autoridad de supervisión» y «tercero» tendrá el significado que se les atribuye en el artículo 4 del RGPD.

2. Cumplimiento de las Leyes de Protección de Datos de la UE

(a) Mailgun y el Cliente deberán cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protección de Datos de la UE y procurarán que sus empleados, agentes y contratistas observen las disposiciones de las Leyes de Protección de Datos de la UE.

3. Detalles y Ámbito del Tratamiento

(a) El Tratamiento de los Datos Personales del Cliente dentro del ámbito de aplicación del Acuerdo se llevará a cabo de conformidad con las siguientes disposiciones y según lo dispuesto en el artículo 28 (3) del RGPD. Las partes podrán modificar esta información periódicamente, según consideren razonablemente necesario para cumplir con esos requisitos.

(i) Objeto y duración del tratamiento de los Datos Personales: El objeto y la duración del tratamiento de los Datos Personales se establecen en el Acuerdo Principal.

(ii) Naturaleza y finalidad del tratamiento de los Datos Personales: en virtud del Acuerdo Principal, Mailgun proporciona determinados servicios de email y sms al Cliente que implican el tratamiento de datos personales. Estas actividades de tratamiento incluyen (a) la prestación de Servicios; (b) la detección, prevención y resolución de problemas técnicos y de seguridad; y (c) la respuesta a las solicitudes de asistencia técnica del Cliente.

(iii) Tipos de Datos Personales a tratar: los datos personales enviados, cuyo alcance es determinado y controlado por el Responsable del tratamiento a su sola discreción, incluyen nombre, email, números de teléfono, direcciones IP y otros datos personales incluido en las listas de suscriptores y el contenido de los mensajes.

(iv) Categorías de interesados a los que se refieren los Datos Personales: remitentes y destinatarios de mensajes de email y sms.

(b) Mailgun únicamente tratará los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Acuerdo Principal y (i) de conformidad con las instrucciones documentadas descritas en la presente Cláusula Adicional o según las instrucciones periódicas del Cliente. Estas instrucciones del Cliente serán documentadas en el pedido, la descripción de los servicios, el ticket de asistencia técnica, otras comunicaciones por escrito aplicables o según lo indique el Cliente que utilice los Servicios (por ejemplo, a través de una API o un panel de control).

(c) Cuando Mailgun considere razonablemente que una instrucción del Cliente es contraria a lo dispuesto en el Acuerdo Principal o en la presente Cláusula Adicional, o que infringe el RGPD u otras disposiciones de protección de datos aplicables, informará al Cliente sin demora. En ambos casos, Mailgun estará autorizado a aplazar el cumplimiento de la instrucción pertinente hasta que haya sido enmendada por el Cliente o sea acordada mutuamente por el Cliente y Mailgun.

(d) El Cliente será el único responsable de su utilización y gestión de los Datos Personales enviados o transmitidos por los Servicios, incluida: (i) la verificación de las direcciones de los destinatarios y de que están correctamente introducidas en los Servicios; (ii) la notificación razonable a cualquier destinatario de la naturaleza insegura del email como medio de transmisión de Datos Personales (según proceda); (iii) la limitación razonable de la cantidad o el tipo de información divulgada a través de los Servicios; (iv) la encriptación de cualesquiera Datos Personales transmitidos a través de los Servicios, cuando proceda o lo exija la ley aplicable (por ejemplo, mediante el uso de archivos adjuntos encriptados, herramientas PGP o S/MIME). Cuando el Cliente decide no configurar la encriptación obligatoria, el Cliente reconoce que los Servicios pueden incluir la transmisión de email no encriptado en texto plano a través de la red pública de Internet y las redes abiertas. La información transmitida a los Servicios, incluido el contenido de los mensajes, se almacena en formato encriptado cuando es procesada por la Infraestructura de Mailgun.

4. Responsable del tratamiento y Encargado del tratamiento

(a) A todos los efectos de la presente Cláusula Adicional, el Cliente es el responsable del tratamiento de sus Datos Personales y Mailgun es el encargado del tratamiento de dichos datos, excepto cuando el Cliente actúe como encargado de los Datos Personales del Cliente, en cuyo caso Mailgun será un subencargado.

(b) Mailgun contará en todo momento con un agente que será responsable de asistir al Cliente (i) para responder a las consultas relativas al Tratamiento de Datos recibidas de los Interesados; y (ii) para completar cualesquiera requisitos legales de información y divulgación que se apliquen y que estén relacionados con el Tratamiento de Datos. Puede contactar directamente con el Delegado de Protección de Datos en la siguiente dirección: privacy@mailgun.com.

(c) El Cliente garantiza que:

(i) el tratamiento de los Datos Personales del Cliente se basa en fundamentos legales para el tratamiento, como puede ser requerido por las Leyes de Protección de Datos de la UE y que ha cumplido con, y que mantendrá durante toda la vigencia del Acuerdo Principal, todos los derechos, permisos, registros y consentimientos necesarios de conformidad con y según lo requerido por las Leyes de Protección de Datos de la UE con respecto al tratamiento de Mailgun de los Datos Personales del Cliente en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(ii) tiene derecho y dispone de todos los derechos, permisos y consentimientos necesarios para transferir los Datos Personales del Cliente a Mailgun y por lo demás permitir que Mailgun trate los Datos Personales del Cliente en su nombre, de modo que Mailgun pueda utilizar, tratar y transferir legalmente los Datos Personales del Cliente para llevar a cabo los Servicios y cumplir con los demás derechos y obligaciones de Mailgun en virtud de la presente Cláusula Adicional y el Acuerdo Principal;

(iii) informará a sus Interesados sobre la utilización de Encargados del tratamiento en el Tratamiento de sus Datos Personales, en la medida en que lo exijan las Leyes de Protección de Datos de la UE aplicables; y

(iv) responderá en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los Interesados en relación con el Tratamiento de sus Datos Personales y dará las instrucciones apropiadas al Encargado del tratamiento de manera oportuna.

5. Confidencialidad

(a) Mailgun se asegurará de que cada uno de sus empleados, y los subencargados del tratamiento, estén autorizados a tratar los Datos Personales del Cliente, estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad y estén capacitados para cumplir los requisitos pertinentes de seguridad y de Protección de Datos.

6. Medidas técnicas y de organización

(a) En relación con los Datos Personales del Cliente, Mailgun (a) tomará y documentará, según corresponda, las medidas razonables y apropiadas requeridas de conformidad con el Artículo 32 del RGPD en materia de seguridad de la Infraestructura de Mailgun y las plataformas utilizadas para prestar los Servicios tal como se describe en el Acuerdo Principal, y (b) previa solicitud razonable y por cuenta del Cliente, asistirá al Cliente para asegurar el cumplimiento de las obligaciones del Cliente de conformidad con el Artículo 32 del RGPD.

(b) Los procedimientos operativos internos de Mailgun deberán cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

7. Solicitudes de los Interesados

(a) Mailgun proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes enviadas por los interesados. Estas incluyen nuestras API e interfaces de búsqueda de datos de incidentes, de supresiones y de recuperación del contenido de los mensajes. Cuando Mailgun reciba una queja, consulta o solicitud (incluidas las solicitudes hechas por los interesados para ejercer sus derechos de conformidad con las Leyes de Protección de Datos de la UE) relacionada con los Datos Personales del Cliente directamente de los interesados, Mailgun lo notificará al Cliente en un plazo de 14 días a partir de la recepción de la queja, consulta o solicitud. Habida cuenta de la naturaleza del tratamiento, Mailgun asistirá al Cliente, por cuenta de este, mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de dichos derechos de los interesados.

8. Violaciones de Datos Personales

(a) Mailgun notificará al Cliente sin demora injustificada tan pronto como Mailgun tenga conocimiento de una violación de datos personales que afecte a los Datos Personales del Cliente. Habida cuenta de la naturaleza del tratamiento y la información disponible para Mailgun, Mailgun hará esfuerzos comercialmente razonables para proporcionar al cliente la información suficiente para permitir al Cliente, a su cargo, cumplir con cualquier obligación de notificar o informar a las autoridades reguladoras, los interesados y otras entidades de dicha violación de datos personales en la medida en que se requiera en virtud de las Leyes de Protección de Datos de la UE.

9. Evaluaciones del impacto de la Protección de Datos

(a) Habida cuenta de la naturaleza del tratamiento y la información disponible, Mailgun proporcionará una asistencia razonable al Cliente, a cargo de este, en relación con cualesquiera evaluaciones del impacto de la protección de datos y consultas previas con las autoridades de supervisión u otras autoridades reguladoras competentes, según sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos de la UE.

10. Auditorías

(a) Mailgun pondrá a disposición del Cliente, previa petición razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento con la presente Cláusula Adicional.

(b) El Cliente, o un auditor externo designado, puede, previa solicitud razonable por escrito, llevar a cabo una inspección en relación con el Tratamiento que realiza Mailgun de los Datos Personales del Cliente y, en la medida necesaria, de conformidad con las Leyes de Protección de Datos y sin interrumpir las operaciones comerciales de Mailgun y garantizando la confidencialidad. El Cliente será responsable de cualesquiera costes y gastos del Encargado del tratamiento derivados del suministro de dichos derechos de auditoría.

11. Devolución o eliminación de los Datos Personales del Cliente

(a) El Cliente puede, mediante notificación escrita a Mailgun, solicitar la devolución y/o el certificado de eliminación de todas las copias de los Datos Personales del Cliente que estén bajo control o en posesión de Mailgun y de los subencargados del tratamiento. Mailgun proporcionará una copia de los Datos del Responsable del tratamiento en un formato que pueda ser leído y procesado posteriormente.

(b) Dentro de los noventa (90) días siguientes a la cancelación de la cuenta, el Encargado del tratamiento eliminará y/o devolverá todos los Datos Personales tratados de conformidad con la presente Cláusula Adicional. Esta disposición no afectará las posibles obligaciones legales de las Partes de conservar los registros durante los periodos de retención establecidos por ley, estatuto o contrato. Mailgun puede conservar copias electrónicas de los archivos que contienen los Datos Personales del Cliente creados en virtud de procedimientos automáticos de archivado o de copia de seguridad que no pueden eliminarse razonablemente. En estos casos, Mailgun se asegurará de que los Datos Personales del Cliente no se sigan tratando activamente en el futuro.

(c) Cualquier coste adicional que surja en relación con la devolución o eliminación de los Datos Personales tras la rescisión o expiración del Acuerdo será asumido por el Cliente.

12. Transferencias de datos

(a) Tras la ejecución de la presente Cláusula Adicional, si el Cliente lo solicita y si así lo exigen las Leyes de Protección de Datos de la UE, Mailgun suscribirá las Cláusulas Contractuales Tipo como importador de datos, mientras que el Cliente actuará como exportador de datos. Si el acuerdo de Mailgun con un subencargado del tratamiento implica una Transferencia Restringida, Mailgun se asegurará de que las disposiciones sobre transferencias ulteriores de las Cláusulas Contractuales Tipo se incorporen al Acuerdo Principal, o se celebren de otro modo, entre Mailgun y el subencargado del tratamiento. El Cliente acepta ejercer su derecho de auditoría en las Cláusulas Contractuales Tipo dando instrucciones a Mailgun para llevar a cabo la auditoría establecida en el párrafo 10.

(b) El Responsable del tratamiento reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Acuerdo, el Encargado del tratamiento podrá transferir Datos Personales en el ámbito de sus grupos de empresa. Estas transferencias son necesarias para proporcionar los Servicios de forma global y se justifican a efectos de administración interna.

(c) Para las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios mencionados anteriormente, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos con el fin de aplicar las salvaguardias adecuadas, se tomarán las siguientes medidas de salvaguardia: (i) Cláusulas Contractuales Tipo según la Decisión 2010/87/UE de la Comisión Europea y (2) salvaguardias adicionales con respecto a las medidas de seguridad, incluidos el encriptado de datos y los principios de minimización de datos.

13. Subtratamiento

(a) Por la presente el Cliente autoriza a Mailgun a nombrar subencargados del tratamiento de conformidad con el presente párrafo 12 y el anexo 2, con sujeción a cualesquiera restricciones en el Acuerdo Principal. Mailgun se asegurará de que los subencargados del tratamiento estén vinculados por acuerdos escritos que les obliguen a proporcionar al menos el nivel de protección de datos que se exige a Mailgun en la presente Cláusula Adicional. Mailgun podrá seguir utilizando los subencargados del tratamiento que ya estaban contratados a la fecha de la presente Cláusula Adicional.

(b) Mailgun notificará previamente por escrito al Cliente el nombramiento de cualquier nuevo subencargado del tratamiento. Si, en el plazo de diez (10) días hábiles a partir de la recepción de dicha notificación, el Cliente notifica a Mailgun por escrito cualquier objeción por motivos razonables al nombramiento propuesto, Mailgun no nombrará a dicho subencargado del tratamiento propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y el Cliente haya proporcionado una explicación razonable por escrito de las medidas adoptadas. Si Mailgun y el Cliente no pueden resolver el nombramiento de un subencargado del tratamiento en un plazo razonable, cualquiera de las partes tendrá derecho a rescindir el Acuerdo Principal por causa justificada.

(c) Asimismo, en caso de subcontratación autorizada fuera de la Unión Europea, el Cliente ordena a Mailgun que suscriba en su nombre y por su cuenta Cláusulas Modelo de la UE para los fines específicos de la prestación de los servicios en virtud del Acuerdo Principal.

(d) Este párrafo no incluye los siguientes servicios complementarios: servicios de telecomunicaciones, servicios postales o de transporte, mantenimiento y herramientas de asistencia técnica al usuario. Sin embargo, Mailgun estará obligado a tomar las disposiciones contractuales apropiadas y legalmente vinculantes y a tomar las medidas de inspección apropiadas para garantizar la protección y seguridad de los Datos del Cliente, incluso para estos servicios complementarios subcontratados.

(e) Mailgun será responsable de los actos y omisiones de cualquier subencargado del tratamiento como lo es ante el Cliente por sus propios actos y omisiones en relación con los asuntos contemplados en la presente Cláusula Adicional.

14. Ley aplicable y jurisdicción

(a) Las partes en la presente Cláusula Adicional se someten a la elección de jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier litigio o reclamación que surja en virtud del mismo, incluidos los litigios relativos a su existencia, validez o rescisión o a las consecuencias de su nulidad.

(b) La presente Cláusula Adicional y todas las obligaciones extracontractuales o de otro tipo que se deriven de ella o estén relacionadas con ella se rigen por las leyes del país o territorio estipuladas a tal efecto en el Acuerdo Principal.

15. Orden de precedencia

(a) En lo que respecta al objeto de la presente Cláusula Adicional, en caso de incoherencias entre las disposiciones de la presente Cláusula Adicional y cualesquiera otros acuerdos entre las partes, incluido el Acuerdo Principal e incluidos (salvo que se acuerde explícitamente por escrito lo contrario, firmado en nombre de las partes) los acuerdos celebrados o que se pretenda celebrar después de la fecha de la presente Cláusula Adicional, prevalecerán las disposiciones de la presente Cláusula Adicional.

16. Cambios en las Leyes de Protección de Datos, etc.

(a) Mailgun podrá modificar o complementar la presente Cláusula Adicional, con un preaviso razonable al Cliente:

(i) si así lo exige una autoridad de supervisión u otra entidad gubernamental o reguladora;

(ii) si es necesario para cumplir con la ley aplicable;

(iii) para aplicar las Cláusulas Contractuales Tipo nuevas o actualizadas aprobadas por la Comisión Europea; o

(iv) para someterse a un código de conducta o mecanismo de certificación aprobado o certificado de conformidad con los artículos 40, 42 y 43 del RGPD.

17. Cesantía

(a) Si alguna disposición de la presente Cláusula Adicional es inválida o inaplicable, el resto de la presente Cláusula Adicional seguirá siendo válida y vigente. La disposición inválida o inaplicable deberá ser (i) enmendada según sea necesario para asegurar su validez y aplicabilidad, a la vez que se preservan las intenciones de las partes lo más fielmente posible o, si esto no es posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado incluida en ella.

18. Rescisión

(a) La presente Cláusula Adicional y las Cláusulas Contractuales Tipo finalizarán simultánea y automáticamente con la rescisión del Acuerdo Principal.

(b) Mailgun podrá rescindir la presente Cláusula Adicional y las Cláusulas Contractuales Tipo si Mailgun ofrece al Cliente mecanismos alternativos que cumplan con las obligaciones de las leyes de privacidad de la Unión Europea para la transferencia de Datos Personales fuera del EEE.

EN FE DE LO CUAL, la presente Cláusula Adicional se celebra y se convierte en parte vinculante del Acuerdo Principal con efecto a partir de la fecha indicada anteriormente.

ANEXO 1

SEGURIDAD DE LA INFORMACIÓN – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Cuando los datos personales se procesan o utilizan de forma automática, la organización interna de Mailgun se asegura de que cumple los requisitos específicos de protección de datos utilizando las mejores prácticas de seguridad. En particular, Mailgun aplica las siguientes medidas para proteger los datos personales u otras categorías de datos sensibles.

Control de acceso físico

Para impedir que personas no autorizadas accedan a los sistemas de tratamiento de datos con los que se procesan o utilizan datos personales:

  • Mailgun hace uso de los proveedores de centros de datos e infraestructura de nube líderes en la industria. El acceso a todos los centros de datos está estrictamente controlado. Todos los centros de datos están equipados con vigilancia y sistemas biométricos de control de acceso las 24 horas del día, los 365 días del año. Además, todos los proveedores tienen certificación SOC Tipo II e ISO 27001.

  • Los centros de datos están equipados con al menos una redundancia N+1 para la infraestructura de energía, redes y refrigeración.

  • Dentro de una región, el tratamiento de datos se produce en al menos tres zonas de disponibilidad distintas. Los servicios están diseñados para soportar el fallo de una zona de disponibilidad sin que el cliente se vea afectado.

Control de acceso al sistema

Para evitar que los sistemas de tratamiento de datos se utilicen sin autorización:

  • El acceso administrativo a los sistemas y servicios de Mailgun sigue el principio de menor privilegio. El acceso a los sistemas se basa en la función y las responsabilidades del trabajo. Mailgun utiliza nombres de usuario/identificadores únicos que no se permite compartir o reasignar a otra persona.

  • La autenticación VPN y multifactorial se utiliza para acceder a las herramientas de apoyo internas y a la infraestructura del producto.

  • Las listas de control de acceso a la red (ACL) y los grupos de seguridad se utilizan para limitar el tráfico de entrada y salida de la infraestructura de producción.

  • Los sistemas de detección de intrusos (IDS) se utilizan para detectar posibles accesos no autorizados.

  • Se han implementado protecciones de red para mitigar el impacto de los ataques de denegación de servicio distribuidos (DDoS).

  • Los procesos de entrada y salida se documentan y se controlan sistemáticamente para asegurar que el acceso a los instrumentos y sistemas internos y externos alojados se gestione adecuadamente. Cuando es posible, los servicios de terceros hacen uso de la funcionalidad de inicio de sesión único (SSO) que permite una gestión centralizada y aplica la autenticación multifactor.

Control de acceso a los datos

Para garantizar que los usuarios autorizados con derecho a utilizar sistemas de tratamiento de datos tengan acceso únicamente a los datos para los que se les ha otorgado un derecho de acceso, y para que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización en el curso de su tratamiento o utilización y después de su almacenamiento:

  • Mailgun utiliza un sistema de gestión de contraseñas que impone una longitud mínima de la contraseña, una complejidad y un tiempo de expiración determinados y una duración mínima de la última utilización.

  • Las estaciones de trabajo de los empleados se bloquean automáticamente después de un periodo prolongado de inactividad. Los sistemas cierran la sesión de los usuarios después de un periodo prolongado de inactividad.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año.

  • El proceso de gestión de parches de Mailgun asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • El software antivirus estándar de la industria se utiliza para garantizar que los activos internos que acceden a los datos personales estén protegidos contra los virus conocidos. El software antivirus se actualiza regularmente.

  • Mailgun utiliza cortafuegos para evitar que el tráfico no deseado entre en la red. La DMZ se utiliza empleando cortafuegos para proteger aún más los sistemas internos que protegen los datos sensibles.

Control de la transmisión de datos

Para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica o el transporte:

  • Los datos de los clientes se almacenan cifrados en reposo mediante el uso del cifrado AES-256 en dispositivos de bloque.

  • Las copias de seguridad de los clientes están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • Mailgun soporta TLS 1.0, 1.1 y 1.2 para cifrar el tráfico de red entre la aplicación del cliente y la infraestructura de Mailgun. Los clientes pueden controlar y gestionar la configuración del cifrado de los mensajes procesados por Mailgun y enviados a los proveedores de buzones de recepción para satisfacer las necesidades de cumplimiento más allá del ámbito de las certificaciones externas de Mailgun.

  • Mailgun recibe alertas sobre los problemas de cifrado mediante evaluaciones periódicas de los riesgos y pruebas de penetración de terceros. Mailgun lleva a cabo pruebas de penetración de terceros anualmente, o cuando es necesario debido a cambios en el negocio.

  • Mailgun opera un programa de recompensa de errores, con el que fomenta la divulgación responsable de las vulnerabilidades de los investigadores de la comunidad.

Control de entrada

Para garantizar que sea posible comprobar y establecer si los datos personales han sido introducidos, y por quién, en los sistemas de tratamiento de datos, modificados o eliminados:

  • Los sistemas son supervisados en busca de eventos relacionados con la seguridad para garantizar una rápida resolución.

  • Los registros se almacenan e indexan de forma centralizada. Los registros críticos, como los de seguridad, se conservan durante al menos un año. Los registros pueden ser rastreados hasta los nombres de usuario individuales y únicos con marcas de tiempo para investigar incumplimientos o eventos relacionados con la seguridad.

Control de disponibilidad

Para asegurar que los datos personales estén protegidos contra la destrucción o la pérdida accidental:

  • Se hace una copia de seguridad de los datos de la cuenta como mínimo una vez al día. La recuperación incremental/puntual está disponible para todas las bases de datos primarias. Las copias de seguridad están cifradas en tránsito y en reposo mediante un fuerte cifrado.

  • El proceso de gestión de parches de Mailgun asegura que los sistemas se parcheen al menos una vez al mes. Las alertas, la supervisión y el escaneo rutinario de vulnerabilidades se llevan a cabo para garantizar que toda la infraestructura del producto se parchea de forma consistente.

  • Cuando es necesario, Mailgun parchea la infraestructura de manera acelerada en respuesta a la divulgación de vulnerabilidades críticas para asegurar que el tiempo de funcionamiento del sistema se mantenga.

  • Los entornos de los clientes están lógicamente separados en todo momento. Los clientes no pueden acceder a otras cuentas que no sean aquellas para las que han recibido credenciales de autorización.

ANEXO 2

Lista de Subprocesadores

Subprocesadores de infraestructura

Sociedad

Ubicación del servidor

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Google Platform

Alemania, Bélgica (clientes de la UE)
EEUU (clientes de EEUU)

Centro de datos

Legislación de la UE
Cláusulas tipo de la UE
Encriptación de datos

Todos los servicios

Rackspace (AWS)

Alemania (clientes de la UE)
Estados Unidos (clientes de EEUU)

Centro de datos

Legislación de la UE
Cláusulas tipo de la UE
Encriptación de datos

Todos los servicios

Subprocesadores de asistencia

Sociedad

Ubicación

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Proxiad Bulgaria

Bulgaria

Funciones de asistencia
Funciones de Technical Account Management

Legislación de la UE
Minimización de datos

Todos los servicios

Sitel India

India

Funciones de asistencia

Legislación de la UE
Encriptación de datos
Minimización de datos

Todos los servicios

Subprocesadores Grupo Empresa

Sociedad

Sede

Descripción de Actividades

Salvaguardas apropiadas para transferencias

Servicios aplicables

Mailgun Technologies

Estados Unidos

Empresa del grupo

Cláusulas tipo de la UE

Todos los servicios

Mailjet

Francia

Empresa del grupo

Cláusulas tipo de la UE
Legislación de la UE

Todos los servicios

ANEXO 3

Cláusulas Contractuales Tipo («encargados Del Tratamiento»)

A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos. La entidad cliente que es parte del Addendum a la que se adjuntan estas Cláusulas Contractuales Tipo.

Y Mailgun Technologies, Inc. 112 E Pecan St #1135 San Antonio, TX 78205 legal@mailgun.com

(en lo sucesivo, el importador o subencargado del tratamiento de datos (según proceda))

cada una de ellas «la parte»; conjuntamente «las partes»,

ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.

Cláusula 1

Definiciones

A los efectos de las presentes cláusulas:

(a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;

(b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;

(c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de éste , de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

(d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;

(e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

(f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

  1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.

  2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.

  3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.

  4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

(a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;

(b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;

(c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;

(d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

(e) asegurará que dichas medidas se lleven a la práctica;

(f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;

(g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;

(h) pondrá a disposición de los interesados, previa petición de éstos , una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y

(j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza lo siguiente:

(a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso éste estará facultado para suspender la transferencia de los datos o rescindir el contrato;

(b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso éste estará facultado para suspender la transferencia de los datos o rescindir el contrato;

(c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;

(d) notificará sin demora al exportador de datos sobre:

(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de dichas autoridades,

(ii) todo acceso accidental o no autorizado,

(iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;

(e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que èste realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

(f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;

(g) pondrá a disposición de los interesados, previa petición de éstos , una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;

(h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;

(i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

(j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.

Cláusula 6

Responsabilidad

  1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos por el daño sufrido.

  2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud del contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.

  3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acuerda que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:

(a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;

(b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.

2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

  1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

  2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.

  3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.

Cláusula 11

Subtratamiento de datos

  1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas. En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.

  2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas

  3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.

  4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

  1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.

  2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrán a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.

En nombre de Mailgun Technologies, Inc.:

Josh Odom, CTO 112 E Pecan St #1135 San Antonio, TX 78205

En nombre del cliente:

APÉNDICE 1 A LAS CLÁUSULAS CONTRACTUALES TIPO

El presente apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes. Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente apéndice.

EXPORTADOR DE DATOS El exportador de datos es la entidad no perteneciente a Mailgun que transfiere datos personales fuera del EEE y utiliza los servicios de Mailgun como Cliente directo de Mailgun o como usuario final a través del Cliente de Mailgun.

IMPORTADOR DE DATOS El importador de datos es Mailgun Technologies, Inc., un proveedor de servicios de Mailgun™.

INTERESADOS Los datos personales transferidos pueden referirse a personas sobre las que el exportador de datos transmite o almacena datos personales a través del sistema y/o servicios alojados en Mailgun.

CATEGORÍAS DE DATOS Los datos personales transferidos incluyen el nombre, el correo electrónico, la dirección IP y los datos personales incluidos en el contenido del mensaje.

OPERACIONES DE TRATAMIENTO En virtud del Acuerdo, Mailgun presta determinados servicios de correo electrónico al exportador o al importador de datos, según proceda. Por consiguiente, Mailgun puede procesar datos personales. Esas actividades de procesamiento incluyen: a) la prestación de los Servicios; b) la detección, prevención y resolución de problemas técnicos y de seguridad; y c) la respuesta a las solicitudes de apoyo del Cliente.

APÉNDICE 2 A LAS CLÁUSULAS CONTRACTUALES TIPO

El presente Apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.

Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):

El importador de datos aplicará medidas de seguridad equivalentes a las exigidas en virtud del Acuerdo, el Addendum y cualquier documento accesorio que se suscriba de conformidad con el Acuerdo.

Con el fin de asegurar los datos personales procesados, Mailgun utiliza las mejores prácticas de la industria como se describe en el Anexo 1 del presente acuerdo.