Data Processing Addendum – Anexo sobre procesamiento de datos

Data Processing Addendum	Anexo sobre procesamiento de datos
This Data Processing Addendum (“DPA”) supplements the Order concluded between you (the “Controller” or the “Customer”) and GetResponse (defined below; the “Processor” or “GetResponse”). BACKGROUND: The Customer and GetResponse entered into a GetResponse Order Form for GetResponse MAX o MAX² Service or the GetResponse MAX (Enterprise) or MAX² Service Agreement (the “Order”). 1. Definitions 1.1 The following words and phrases used in this DPA shall have the following meanings except where the context otherwise requires: “Applicable Law”     GDPR, or the PDPA, or LGPD, or any other applicable data protection regulations that Customer or GetResponse are subject to and that may apply to Personal Data processing activities. “Controller” the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; here the Customer. “Data Subject” a natural person who is the subject of Personal Data Processing. “GDPR” the EU General Data Protection Regulation (2016/679) and laws implementing and supplementing GDPR. “GetResponse” one of the following entities: (i) GetResponse S. A. al. Grunwaldzka 413, Gdansk (80-309) Poland or (ii) GetResponse Inc. 3 Germay Dr, Ste 5 PMB 15672 Wilmington, DE 19804 USA, or (iii) GetResponse Malaysia Sdn. Bhd.  Unit No. L25-1, Level 25, TSLAW Tower, No. 39, Jalan Kamuning, 55100 Kuala Lumpur, Wilayah Persekutuan Kuala Lumpur, Malaysia, or (iv) GetResponse Tecnologias Brasil Ltda. Irmã Gabriela Street, 51, Cidade Monções, City of São Paulo, State of São Paulo, Zip Code 04571-130, Brasil, depending on which entity the Customer concluded the Order with. “LGPD” the Brazilian General Personal Data Protection Law 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” or “LGPD”) a statutory law on data protection and privacy in the Federative Republic of Brazil. “Personal Data” any information relating to a natural person who is directly or indirectly identified or identifiable from that information or from that information in combination with other information in the possession of the Controller and as set out HERE. “PDPA” the Malaysian Personal Data Protection Act of 2010 and its subsidiary legislation. “Processing” any operation carried out with Personal Data, such as collection, production, receipt, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, deletion, evaluation or control of the information, modification, communication, transfer, dissemination or extraction. “Processor” a natural or legal person, public authority, agency or other body which processes personal data on behalf of the Controller. “Purpose” the purpose for processing Personal Data as set out HERE “Services” the processing of Personal Data to be carried out by GetResponse in accordance with this DPA, the scope of which is set out in HERE. “Supervising Authority” an authority tasked to implement and enforce privacy laws and regulations in a jurisdiction that the Customer and/or the Processor is/are subject.	El Anexo sobre Procesamiento de Datos (“APD”) es un suplemento del Pedido celebrado entre Usted (“el Responsable del tratamiento” o el “Cliente”) y GetResponse (definido a continuación; el “Encargado del tratamiento” o “GetResponse“). BASE: El Cliente y GetResponse suscriben un Formulario de Pedido GetResponse para el Servicio GetResponse MAX o MAX² o el Acuerdo de Servicio GetResponse MAX (Enterprise) o MAX² (el “Pedido“). 1. Definiciones 1.1 Las siguientes palabras y frases usadas en este APD tendrán los siguientes significados, con excepción de la situación que requiera lo contrario: “Ley aplicable” el RGPD, o la PPDA, o la LGPD, o cualquier otra normativa de protección de datos aplicable a la que el Cliente o GetResponse estén sujetos y que pueda aplicarse a las actividades de procesamiento de Datos Personales. “Responsable del tratamiento” la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales; en este caso, el Cliente. “Titular de los Datos” persona física que es objeto del Tratamiento de Datos Personales. “RGPD” el Reglamento General de Protección de Datos de la UE (2016/679) y las leyes que implementan y complementan el RGPD. “GetResponse” una de las siguientes entidades: (i) GetResponse S. A. al. Grunwaldzka 413, Gdansk (80-309) Polonia o (ii) GetResponse Inc. 3 Germay Dr, Ste 5 PMB 15672 Wilmington, DE 19804 USA, o (iii) GetResponse Malaysia Sdn. Bhd.  Unit No. L25-1, Level 25, TSLAW Tower, No. 39, Jalan Kamuning, 55100 Kuala Lumpur, Wilayah Persekutuan Kuala Lumpur, Malasia, o (iv) GetResponse Tecnologias Brasil Ltda., Inc. Calle Irmã Gabriela, 51, Cidade Monções, Ciudad de São Paulo, Estado de São Paulo, Código Postal 04571-130, Brasil, dependiendo de la entidad con la que el Cliente haya celebrado el Pedido. “LGPD” la Ley General de Protección de Datos Personales de Brasil 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” o “LGPD”) una ley estatutaria sobre protección de datos y privacidad en la República Federativa de Brasil. “Datos Personales” cualquier información relativa a una persona física que sea directa o indirectamente identificada o identificable a partir de esa información o de esa información en combinación con otra información en posesión del Responsable del tratamiento y según lo establecido AQUÍ. “PDPA” la Ley de Protección de Datos Personales de Malasia de 2010 y su legislación subsidiaria. “Tratamiento” cualquier operación realizada con Datos Personales, como recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción. “Encargado del tratamiento ” persona física o jurídica, autoridad pública, agencia u otro organismo que procese Datos Personales por cuenta del Responsable del Tratamiento. “Objetivo” la finalidad del tratamiento de los Datos Personales tal y como se establece AQUÍ. “Servicios” el tratamiento de Datos Personales que llevará a cabo GetResponse de conformidad con este APD, cuyo alcance se establece AQUÍ. “Autoridad Supervisora” una autoridad encargada de aplicar y hacer cumplir las leyes y reglamentos sobre privacidad en una jurisdicción en la que el Cliente y/o el Encargado del Tratamiento esté/n sujetos.
1.2 This DPA is subject to the terms of an Order and is incorporated into the Order.	1.2 Este APD está sujeto a los términos del Pedido y se incorpora al mismo.
1.3. Except as otherwise defined herein, all capitalized terms used in this DPA or its Annexes shall have the meaning attributed to them in the Order and Terms of Service constituting integral part of the Order.	1.3. Salvo que se definan de otro modo en el presente documento, todos los términos escritos en mayúsculas en este APD o en sus Anexos tendrán el significado que se les atribuye en el Pedido y en los Términos del Servicio que constituyen parte integrante del Pedido.
2. Subject matter of this DPA and Processing purposes.	2. Tema de este APD y Objetivos de procesamiento.
2.1 For the purposes of this DPA, the Parties have agreed that the Customer is the Controller and GetResponse is the Processor of the Personal Data. 2.2 The subject matter, duration, nature and purposes of Processing and the Personal Data categories and Data Subject types in respect of which GetResponse may process to fulfil the business purposes of the Order and this DPA are available HERE. 2.3 The scope of the Services shall be limited to providing the Customer with the service tools to be used for the Purpose of Personal Data Processing. 2.4 The Services provided by GetResponse do not impact on the scope of the Personal Data processed by the Customer under the Order and this DPA except for specifying the minimum scope of the Personal Data required for the proper use of the Services. 2.5 Unless expressly indicated in this DPA, GetResponse shall not determine nor be responsible for the purposes and means of Processing and shall not monitor the scope of the Personal Data processed nor the lawful bases for their Processing as determined by the Customer.	2.1 Para los objetivos de este APD, las Partes acuerdan que el Cliente es el Responsable y GetResponse es el Encargado del Tratamiento de los Datos Personales. 2.2 El objeto, la duración, la naturaleza y los objetivos del Procesamiento y las categorías de Datos Personales y los tipos de Titulares de Datos que GetResponse puede procesar para cumplir con los objetivos de negocio del Pedido y de este APD están disponibles AQUÍ. 2.3 El alcance de los Servicios se limitará a proporcionar al Cliente las herramientas de servicio que se utilizarán para el Propósito del Procesamiento de Datos Personales. 2.4 Los Servicios prestados por GetResponse no afectan el ámbito de los Datos Personales procesados por el Cliente en virtud del Pedido y de este APD, salvo para especificar el alcance mínimo de los Datos Personales requeridos para el uso adecuado de los Servicios. 2.5 A menos que se indique expresamente en este APD, GetResponse no determinará ni será responsable de los fines y medios del Procesamiento y no controlará el alcance de los Datos Personales tratados ni las bases legales para su Procesamiento según lo determinado por el Cliente.
3. Customers obligations	3. Obligaciones de Cliente
3.1 The Customer shall ensure that it will provide GetResponse with such information and co-operation as GetResponse reasonably requires to carry out its Services under this DPA, especially, but not limited to, the Personal Data Processing activities and purposes. 3.2 The Customer shall ensure that in circumstances where it intends to carry on the activities of direct marketing it has obtained all necessary marketing consents, including consents to send and distribute commercial information by email, telephone, SMS or any other messaging application or platforms and to use telecommunications terminal equipment and automated phone call systems for direct marketing purposes strictly in accordance with any Applicable Law.   3.3 The Customer shall use the Services in accordance with the Order and ensure the security of Customer Account authentication data at all times and protect this Account authentication data against unauthorized access and use; 3.4 The Customer also confirms and expressly undertakes not to engage in any activity in connection with Personal Data that is in breach of any Applicable Law. 3.5 The Customer shall not request or instruct GetResponse to perform any act or service that amounts to an infringement of any Applicable Law.	3.1 El Cliente debe garantizar que proporcionará a GetResponse tal información y cooperación que GetResponse razonablemente requiera para llevar a cabo sus Servicios en virtud de este APD, especialmente, pero no únicamente, a las actividades y propósitos del Procesamiento de Datos Personales. 3.2 El Cliente se asegurará de que, en las circunstancias en las que pretenda llevar a cabo actividades de marketing directo, ha obtenido todos los consentimientos de marketing necesarios, incluidos los consentimientos para enviar y distribuir información comercial por email, teléfono, SMS o cualquier otra aplicación o plataformas de mensajería y para utilizar equipos terminales de telecomunicaciones y sistemas de llamadas telefónicas automatizadas con fines de marketing directo estrictamente de conformidad con cualquier Ley Aplicable. 3.3 El Cliente utilizará los Servicios de conformidad con el Pedido y garantizará la seguridad de los datos de autenticación de la Cuenta del Cliente en todo momento y protegerá estos datos de autenticación de la Cuenta contra el acceso y uso no autorizados; 3.4 El Cliente también confirma y se compromete expresamente a no realizar ninguna actividad relativa a los Datos Personales que infrinja cualquier Ley Aplicable. 3.5 El Cliente no solicitará ni ordenará a GetResponse que realice ningún acto o servicio que suponga una violación de cualquier Ley Aplicable.
4. Obligations of GetResponse	4. Obligaciones de GetResponse
4.1 GetResponse shall process the Personal Data within the scope and for the purposes expressly indicated in the Agreement and this DPA only, and for no other scope or purpose. 4.2 GetResponse shall process the Personal Data only in accordance with Applicable Law and shall not perform its obligations under this DPA in such a way as to cause the Customer to breach any of its applicable obligations under the Applicable Law. 4.3 GetResponse shall only process the Personal Data on behalf of the Customer and in strict compliance with the Customer’s instructions as set out and contained in this DPA and the Agreement and shall not process the Personal Data in any manner for any other purposes, which also applies to transfers of Personal Data to a third country or an international organization under GDPR, save as is required by applicable legal regulations or by any regulatory body to which GetResponse is subject, in which case GetResponse shall inform the Customer of this legal obligation prior to the start of processing, unless such law prohibits the provision of such information for reasons of important public interest. 4.4 GetResponse shall ensure that all GetResponse employees and contractors: a. are informed of the confidential nature of the Personal Data and are bound by confidentiality obligations and use restrictions of the Personal Data; b. have undertaken training on the data protection and security; c. are aware both of their personal duties and obligations under Applicable Law and this DPA. 4.5. In Processing Personal Data in accordance with this DPA and the Agreement, GetResponse shall implement and ensure that it has in place sufficient and appropriate technical and organizational security measures to protect the Personal Data against unauthorized or unlawful Processing, and against accidental loss, destruction, damage, misuse, alteration or disclosure. These measures shall be sufficient and appropriate to avoid harm which might result from any unauthorized or unlawful Processing, accidental loss, destruction, misuse or damage to the Personal Data, having regard to the state of technological development, the costs of implementation (including, as appropriate, the measures referred to in Article 32(1) of the GDPR or any other that may arise from Applicable Law) and the nature, scope, context and purposes of processing the Personal Data, as well as the risk of varying likelihood and severity for the rights and freedoms of the Data Subjects. GetResponse may at any time change the implemented measures provided that the security and protection level shall not be lower than originally provided and ensured. 4.6 GetResponse shall provide all reasonable assistance to the Customer in the Customer’s response to any Data Subject requests, complaints or enquiries from either a Data Subject or from a relevant Supervising Authority. 4.7 GetResponse shall assist the Customer in complying with the obligations pursuant to Articles 32 to 36 of the GDPR if applicable, or any other Applicable Law in respect of the Services by providing the Customer with all necessary information and in respect of supporting the Customer in connection with any data protection impact assessment and consultation with a Supervising Authority shall do so only in so far as the Customer is unable to fulfil its obligations by other means and upon payment of the reasonable costs incurred by GetResponse.	4.1 GetResponse procesará los Datos Personales dentro del alcance y para los fines expresamente indicados en el Acuerdo y en este APD solamente, y nunca con otro alcance o finalidad. 4.2 GetResponse procesará los Datos Personales solo de conformidad con la Ley Aplicable y no cumplirá sus obligaciones en virtud de este APD de tal manera que ocasione que el Cliente incumpla cualquiera de sus obligaciones correspondientes en virtud de la Ley Aplicable. 4.3 GetResponse solamente procesará los Datos Personales en nombre del Cliente y en estricto cumplimiento de las instrucciones del Cliente establecidas y contenidas en este APD y en el Acuerdo, y no procesará los Datos Personales de ninguna manera con ningún otro fin, lo que también se aplica a las transferencias de Datos Personales a un tercer país o a una organización internacional en virtud del RGPD, salvo que lo exija la normativa legal aplicable o cualquier organismo regulador al que GetResponse esté sujeto, en cuyo caso GetResponse informará al Cliente de dicha obligación legal antes del inicio del procesamiento, a menos que dicha ley prohíba el suministro de dicha información por razones de interés público de relevancia. 4.4 GetResponse debe garantizar que todos los empleados y contratistas de GetResponse: a. estén informados de la naturaleza confidencial de los Datos Personales y estén sujetos a las obligaciones de confidencialidad y restricciones de uso de los Datos Personales; b. hayan sido instruidos en relación con la protección y seguridad de los datos; c. sean conscientes tanto de sus deberes y obligaciones personales en virtud de la Legislación Aplicable como del presente APD. 4.5. En el Procesamiento de Datos Personales de conformidad con este APD y el Acuerdo, GetResponse implementará y garantizará que dispone de medidas de seguridad técnicas y organizativas suficientes y apropiadas para proteger los Datos Personales contra el Procesamiento no autorizado o ilegal, y contra la pérdida, destrucción, daño, uso indebido, alteración o divulgación accidentales. Dichas medidas serán suficientes y adecuadas para evitar los daños que pudieran derivarse de cualquier Procesamiento no autorizado o ilícito, pérdida accidental, destrucción, uso indebido o daño de los Datos Personales, teniendo en cuenta el estado de desarrollo tecnológico, los costes de implementación (incluyendo, en su caso, las medidas a que se refiere el artículo 32.1 del RGPD o cualesquiera otras que pudieran derivarse de la Legislación Aplicable) y la naturaleza, alcance, contexto y finalidades del procesamiento de los Datos Personales, así como el riesgo de probabilidad y severidad variables para los derechos y libertades de los Titulares de Datos. GetResponse podrá modificar en cualquier momento las medidas implementadas siempre que el nivel de seguridad y protección no sea inferior al inicialmente previsto y asegurado. 4.6 GetResponse proporcionará toda la asistencia razonable al Cliente en la respuesta del mismo a cualquier solicitud, reclamación o consulta de los Titulares de Datos, o de una Autoridad de Supervisión pertinente. 4.7 GetResponse ayudará al Cliente a cumplir con las obligaciones de conformidad con los artículos 32 a 36 del RGPD, si corresponde, o cualquier otra Ley Aplicable relativa a los Servicios, proporcionando al Cliente toda la información necesaria y, con respecto al apoyo al Cliente en relación a cualquier valoración de impacto de protección de datos y consulta con la Autoridad Supervisora, deberá hacerlo solamente en la medida en que el Cliente no sea capaz de cumplir con sus obligaciones por otros medios y previo pago de los costes razonables en los que incurra GetResponse.
5. Transfer of Personal Data outside the EEA, if GDPR applies 5.1 In the case of transfer of Personal Data under this DPA outside the European Economic Area (EEA) to third countries that ensure an adequate level of protection of Personal Data, the implementing decisions of the European Commission stating the adequate level of protection of Personal Data shall apply. 5.2 In the case of transfer of Personal Data under this DPA outside the European Economic Area (EEA) to third countries that do not ensure an adequate level of protection of Personal Data within the meaning of the GDPR, the SCC shall apply to this DPA. SCC content is available HERE. 5.3 To the extent that the Parties rely on the SCC to legalize the transfer of Personal Data outside the EEA, and this mechanism is no longer considered to provide an adequate level of protection within the meaning of the GDPR, the Parties undertake to cooperate to promptly identify and implement an appropriate alternative mechanism, that can lawfully support such a transfer.	5. Transferencia de Datos Personales fuera del EEE, si es aplicable el RGPD   5.1 En caso de transferencia de Datos Personales en virtud de este APD fuera del Espacio Económico Europeo (EEE) a terceros países que garanticen un nivel de protección adecuado de los Datos Personales, se aplicarán las decisiones de implementación de la Comisión Europea que establezcan el nivel adecuado de protección de los Datos Personales.   5.2 En caso de la transferencia de Datos Personales en virtud del presente APD fuera del Espacio Económico Europeo (EEE) a terceros países que no garanticen el nivel adecuado de protección de Datos Personales en el marco del RGPD, se aplicarán las SCC (Cláusulas Contractuales Tipo – SCC en inglés) a este APD. El contenido de las SCC está disponible AQUÍ.   5.3 En la medida en que las Partes confíen en las SCC para legalizar la transferencia de Datos Personales fuera del EEE, y se considere que este mecanismo ya no proporciona un nivel adecuado de protección en el marco del RGPD, las Partes se comprometen a cooperar para identificar e implementar rápidamente un mecanismo alternativo apropiado, que pueda respaldar legalmente dicha transferencia.
6. Security measures 6.1 GetResponse shall at all times implement sufficient and appropriate technical and organizational security measures against unauthorized or unlawful Processing, access, disclosure, copying, modification, storage, reproduction, display or distribution of Personal Data, and against accidental or unlawful loss, destruction, alteration, disclosure, misuse or damage to Personal Data in accordance with the security measures listed HERE.	6. Medidas de seguridad 6.1 GetResponse aplicará en todo momento medidas de seguridad técnicas y organizativas contra el Procesamiento, acceso, divulgación, copia, modificación, almacenamiento, reproducción, exposición o distribución no autorizada o ilegal de Datos Personales y contra la pérdida accidental o ilegal, destrucción, modificación, divulgación, uso indebido o daño de los Datos Personales de conformidad con las medidas de seguridad listadas AQUÍ.
7. Personal Data breach 7.1 GetResponse will promptly and within 48 hours notify the Customer if any Personal Data is lost or destroyed or becomes damaged, corrupted or unusable. 7.2 GetResponse will promptly and within 48 hours notify the Customer if it becomes aware of any accidental, unauthorized or unlawful processing of the Personal Data or any Personal Data breach. 7.3 GetResponse will provide the Customer with a description of the nature of the Personal Data breach including the categories and approximate number of both the Data Subjects and Personal Data records concerned, the likely consequences and the measures taken to mitigate against any possible adverse effects arising from the Personal Data breach.	7. Violación de Datos Personales 7.1 GetResponse notificará al Cliente inmediatamente y en un plazo de 48 horas si algún Dato Personal se pierde o es destruido o resulta dañado, corrompido o inutilizable. 7.2 GetResponse notificará al Cliente sin demora y en un plazo de 48 horas si tiene conocimiento de cualquier procesamiento accidental, no autorizado o ilegal de los Datos Personales o de cualquier violación de los Datos Personales. 7.3 GetResponse le proporcionará al Cliente una descripción de la naturaleza de la violación de los Datos Personales, incluyendo las categorías y el número aproximado tanto de los Titulares de los Datos como de los registros de Datos Personales afectados, las posibles consecuencias y las medidas adoptadas para mitigar cualquier posible efecto adverso derivado de la violación de los Datos Personales.
8. Sub-processors 8.1. The Customer authorizes GetResponse to engage any of the third-party sub processors listed HERE. 8.2 In the event of any intended change to the listed sub-processors, GetResponse shall inform the Customer of such change upon 30 days’ notice via web page indicated in Clause 8.1 herein. A change of the list doesn’t constitute a change of the DPA.   8.3 The Customer shall have the opportunity to object to such change by emailing GetResponse and within 14 days of receipt of notice of such intended change. 8.4 In the event of any objection GetResponse shall have a period of 30 days from receipt of such objection to determine its response. Parties shall jointly and in good faith attempt to find an appropriate solution to accommodate the Customer’s objection and possibility to continue using the Service. At the same time, GetResponse may indicate that expressing an objection may result in a limitation of certain functionalities of the Service. On the expiry of the 30-day period, if the Parties cannot agree on whether the list of sub-processers may be changed, either Party may terminate the Order pursuant to the relevant provisions of the Order. 8.5.      Engagement of sub-processors may only take place within the limits of and for the purpose of performing the Services. GetResponse hereby represents that (i) the sub-processors it has engaged meet all the requirements arising from Applicable Law, (ii) it has entered into Personal Data processing agreements with the sub-processors and that such agreements include provisions imposing obligations analogical to those defined in the DPA in respect of GetResponse, and that (iii) the Personal Data protection standard followed by the sub-processors is at least equal to the Personal Data protection standard followed by GetResponse. If sub-processor chosen by GetResponse is located in a third country within the meaning of GDPR, and GDPR applies, GetResponse shall be obliged to ensure that the conditions set in Chapter V of the GDPR are met.	8. Subencargados 8.1. El Cliente autoriza a GetResponse a contratar a cualquiera de los subencargados enumerados AQUÍ. 8.2 En caso de cualquier cambio previsto en los subencargados enumerados, GetResponse informará al Cliente de dicho cambio con un preaviso de 30 días a través de la página web indicada en la Cláusula 8.1 de este documento. Un cambio de la lista no constituye un cambio del APD. 8.3 El Cliente tendrá la oportunidad de oponerse a dicho cambio, enviando un correo electrónico a GetResponse y dentro de los 14 días siguientes a la recepción de la notificación de dicho cambio. 8.4 En caso de objeción, GetResponse dispondrá de un plazo de 30 días desde la recepción de dicha objeción para determinar su respuesta. Las Partes intentarán conjuntamente y de buena fe encontrar una solución adecuada para satisfacer la objeción del Cliente y la posibilidad de continuar utilizando el Servicio. Al mismo tiempo, GetResponse puede indicar que expresar una objeción puede dar lugar a una limitación de ciertas funcionalidades del Servicio. Una vez transcurrido el plazo de 30 días, si las Partes no llegan a un acuerdo sobre la posibilidad de modificar la lista de subencargados, cualquiera de las Partes podrá rescindir el Pedido de conformidad con las disposiciones pertinentes del mismo. 8.5 La contratación de subencargados sólo puede tener lugar dentro de los límites y con el fin de realizar los Servicios. GetResponse declara por la presente que (i) los subencargados que ha contratado cumplen todos los requisitos derivados de la Ley Aplicable, (ii) ha celebrado acuerdos de procesamiento de Datos Personales con los subencargados y que dichos acuerdos incluyen disposiciones que imponen obligaciones análogas a las definidas en el APD con respecto a GetResponse, y que (iii) el estándar de protección de Datos Personales aplicado por los subencargados es al menos igual al estándar de protección de Datos Personales adoptado por GetResponse. Si el subencargado elegido por GetResponse se encuentra en un tercer país en el marco del RGPD, y se aplica el RGPD, GetResponse estará obligado a garantizar que se cumplan las condiciones establecidas en el Capítulo V del RGPD.
9. Data Subject requests and third-party rights 9.1 GetResponse shall reasonably support the Customer and take such technical and organizational measures as may be appropriate and promptly provide the Customer with such information as the Customer may reasonably require to enable the Customer to comply with the rights of Data Subjects under Applicable Law subject always to the Customer agreeing to pay the reasonable costs incurred by GetResponse in providing such assistance. The Customer shall be responsible to satisfy the requests of the Data Subjects and to prepare replies to such requests in accordance with the requirements under Applicable Law. 9.2 GetResponse will notify the Customer if it receives any complaint, notice or communication that relates directly or indirectly to the Processing of the Personal Data or to either Party’s compliance with the Applicable Law.	9. Solicitudes de Titulares de Datos y los derechos de terceros 9.1 GetResponse prestará asistencia razonable al Cliente y adoptará las medidas técnicas y organizativas que resulten apropiadas y le proporcionará con prontitud la información que el Cliente pueda requerir de forma razonable para permitirle cumplir con los derechos de los Titulares de los Datos en virtud de la Ley Aplicable, siempre que el Cliente acepte pagar los costes razonables en los que incurra GetResponse para proporcionar dicha asistencia. El Cliente será responsable de satisfacer las solicitudes de los Titulares de los Datos y de preparar las respuestas a dichas solicitudes de conformidad con los requisitos de la Ley Aplicable. 9.2 GetResponse notificará al Cliente si recibe cualquier reclamación, notificación o comunicación que se refiera directa o indirectamente al Tratamiento de los Datos Personales o con el cumplimiento de la Ley Aplicable por cualquiera de las Partes.
10. Term This DPA will remain in full force and effect so long as the Order remains in effect, unless the following provisions impose additional obligations.	10. Plazo Este APD se mantendrá en plena validez y efecto mientras el Pedido continúe vigente, a menos que las siguientes disposiciones impongan obligaciones adicionales.
11. Data return and destruction 11.1 If the Order is terminated GetResponse shall, according to Customer’s written request, delete the Personal Data or return them to the Customer. If GetResponse does not receive any written request referred to in the preceding sentence, whether in writing or by e-mail, within 5 days of the Order termination, the Customer shall be deemed to require that the entrusted Personal Data be deleted, unless GetResponse has the right to further process the Personal Data under Applicable Law. 11.2 From the effective date of this DPA, the Customer may request a copy of the Personal Data processed by GetResponse but no such request will be entertained if made on a date that is later than 30 days after the termination of the Order. 11.3 At the expiry of the 30-day period in Clause 11.2 above and within 7 days after such expiry, the Personal Data will be encrypted and stored in backup copies only. The said 7-day period is required for GetResponse to delete the Personal Data completely due to specifics of the backup copies operations	11. Restitución y destrucción de datos 11.1 Si se rescinde el Pedido, GetResponse, de acuerdo con la solicitud por escrito del Cliente, eliminará los Datos Personales o los devolverá al Cliente. Si GetResponse no recibe ninguna solicitud por escrito mencionada en la frase anterior, ya sea por escrito o por correo electrónico, en un plazo de 5 días a partir de la finalización del Pedido, se considerará que el Cliente requiere que se eliminen los Datos Personales confiados, a menos que GetResponse tenga derecho a seguir procesando los Datos Personales en virtud de la Ley Aplicable. 11.2 A partir de la fecha de entrada en vigor del presente APD, el Cliente podrá solicitar una copia de los Datos Personales procesados por GetResponse, pero no se atenderá dicha solicitud si se realiza en una fecha posterior a los 30 días siguientes a la terminación del Pedido.   11.3 Al finalizar el plazo de 30 días de la Cláusula 11.2 anterior y dentro de los 7 días siguientes a dicha expiración, los Datos Personales serán encriptados y almacenados únicamente en copias de seguridad. Dicho período de 7 días es necesario para que GetResponse elimine completamente los Datos Personales debido a las especificidades de las operaciones de las copias de seguridad.
12. Audit 12.1 GetResponse will permit the Customer and its third-party authorized representative to audit its compliance with its DPA obligations on conditions indicated in Clause 12.2 below and other specific conditions, as may be agreed by the Parties. 12.2 GetResponse will give the Customer all necessary assistance to conduct such audits. The audit shall be limited to and conditional on: (a)The appointment of an authorized independent auditor who is not in conflict with or a competitor of GetResponse; (b)The Personal Data entrusted to GetResponse for Processing under this DPA; (c)A reasonable period of time agreed upon between GetResponse and the Customer; (d)The Confidentiality of this DPA and the Personal Data processed; (e)The Customer paying the costs of and incidental to the audit.	12. Auditoría 12.1 GetResponse permitirá al Cliente y a su representante autorizado auditar el cumplimiento de sus obligaciones del APD en las condiciones indicadas en la Cláusula 12.2 a continuación y otras condiciones específicas, según acuerden las Partes. 12.2 GetResponse prestará al Cliente toda la asistencia necesaria para realizar dichas auditorías. La auditoría estará limitada y condicionada a: (a) El nombramiento de un auditor independiente que no esté en conflicto ni sea competidor de GetResponse; (b) Los Datos Personales encomendados a GetResponse para el Procesamiento de conformidad con este APD; (c) Un periodo de tiempo razonable acordado entre GetResponse y el Cliente; (d) La Confidencialidad de este APD y los Datos Personales procesados. (e) El Cliente paga los costos de la auditoría y los inherentes a la misma.
13. Liability 13.1 The Customer and GetResponse are each liable for their breach of Personal Data in accordance with the scope of Personal Data entrusted to them. With regard to the limitation of liability of GetResponse from contract and tort, the Parties confirm the validity of the relevant provisions (Limitation of Liability) in the Terms of Services of GetResponse. 13.2 GetResponse shall be liable to the Customer for the acts and omissions of any sub-processor listed HERE as if they were the acts and omissions of GetResponse. 13.3 GetResponse shall be liable for satisfying claims of Personal Data Subjects in connection with any damage arising from improper Processing of Personal Data by GetResponse under this DPA, if the Customer demonstrates that the damage resulted from the sole through fault of GetResponse or GetResponse’s sub-processors. 13.4 GetResponse shall be liable for its violation of the provisions of the DPA or any Applicable Law, as a result of which the Customer shall be obliged to pay compensation or any fine only if GetResponse does not fulfill its obligations which Applicable Law directly imposes on data Processors or if GetResponse processes the Personal Data not compliant with the Customer’s express instructions.	13. Responsabilidad 13.1 El Cliente y GetResponse son individualmente responsables de su violación de los Datos Personales de acuerdo con el alcance de los Datos Personales que les han sido confiados. Con respecto a la limitación de la responsabilidad de GetResponse por contrato y responsabilidad extracontractual, las Partes confirman la validez de las disposiciones pertinentes (Limitación de Responsabilidad) en los Términos de los Servicios de GetResponse. 13.2 GetResponse será responsable ante el Cliente de las acciones y omisiones de cualquier subencargado listado AQUÍ como si fueran acciones y omisiones de GetResponse. 13.3 GetResponse se responsabilizará de satisfacer las reclamaciones de los Titulares de Datos Personales en relación a cualquier daño que surja del Procesamiento inadecuado de los Datos Personales por parte de GetResponse en virtud de este APD, si el Cliente demuestra que los daños se produjeron por culpa exclusiva de GetResponse o de los subencargados de GetResponse 13.4 GetResponse será responsable de su violación de las disposiciones del APD o cualquier Ley Aplicable, como resultado de lo cual el Cliente estará obligado a pagar una indemnización o cualquier multa solo si GetResponse no cumple con sus obligaciones que la Ley Aplicable impone directamente a los Encargados del procesamiento de datos, o si GetResponse procesa los Datos Personales no cumpliendo con las instrucciones expresas del Cliente
14. Force Majeure Neither Party shall be liable for failure to perform or delay in performing any obligation under this DPA if the failure or delay is caused by any circumstances beyond its reasonable control, including but not limited to acts of god, war, terrorism, civil commotion or industrial dispute (not extending to disputes by its own employees or sub-contractors).	14. Fuerza mayor Ninguna de las Partes será responsable del incumplimiento o retraso en el cumplimiento de cualquier obligación de conformidad con este APD si el incumplimiento o retraso es ocasionado por cualquier circunstancia fuera de su control razonable, incluyendo pero no limitado a casos de fuerza mayor, guerra, terrorismo, conmoción civil o conflicto industrial (no incluyendo los conflictos entre sus propios empleados o subcontratistas).
15. General 15.1 The failure on the part of either Party to this DPA to exercise or enforce any rights conferred by this DPA shall not be deemed to be a waiver of any such right nor operate so as to bar the exercise or enforcement at any time. 15.2 No variation of this DPA shall be binding unless agreed to in advance by the Parties. 15.3 If any provision of this DPA is declared by any competent court or body to be illegal, invalid or unenforceable under the law of any jurisdiction, or if any enactment is passed that renders any provision of this DPA illegal, invalid or unenforceable under the law of any jurisdiction this shall not affect or impair the legality, validity or enforceability of the remaining provisions of this DPA or the Order. 15.4 In case of any disputes that cannot be amicably resolved, either Party may submit this DPA to a court, which shall be the one chosen and provided for in the Agreement, excluding any other, however privileged it may be, especially in relation to any dispute or lawsuit that may arise from the application of the rules of this DPA, including, but not limited to, issues regarding their existence, validity, termination or any consequences of any nullities. 15.5 This DPA shall be governed by the laws provided in the Agreement.	15. General 15.1 El hecho de que cualquiera de las Partes del presente APD no ejercite o haga valer cualquiera de los derechos conferidos por el presente APD no se considerará una renuncia a tal derecho ni impedirá su ejercicio o ejecución en cualquier momento. 15.2. Ninguna modificación del presente APD será válida a menos que haya sido acordada previamente por las Partes. 15.3 Si cualquier disposición de este APD es declarada ilegal, inválida o inaplicable por cualquier tribunal u organismo competente en virtud de la legislación de cualquier jurisdicción, o si se promulga cualquier ley que declare ilegal, inválida o inaplicable cualquier disposición de este APD en virtud de la legislación de cualquier jurisdicción, esto no afectará ni menoscabará la legalidad, validez o aplicabilidad de las demás disposiciones de este APD o del Pedido. 15.4 En caso de cualquier disputa que no pueda resolverse amistosamente, cualquiera de las Partes podrá someter el presente APD a un tribunal, que será el elegido y previsto en el Acuerdo, excluyendo cualquier otro, por privilegiado que sea, especialmente en relación con cualquier disputa o litigio que pueda surgir de la aplicación de las normas del presente APD, incluyendo, pero sin limitarse a, cuestiones relativas a su existencia, validez, terminación o cualquier consecuencia de cualquier nulidad. 15.5 El presente APD se regirá por las leyes previstas en el Acuerdo.
16. Entire agreement This DPA (as amended from time to time) together with any document expressly referred to in its terms, contains the entire agreement between the Parties relating to the subject matter covered, unless otherwise stipulated in the Order. No oral explanation or oral information given by any Party shall alter the interpretation of this DPA. Amendments to DPA and its annexes may be introduced according to the procedure for amending Terms of Service, subject to Clause 8.2 – 8.4 above.	16. Acuerdo integral El presente APD (en su versión modificada periódicamente), junto con cualquier documento al que se haga referencia expresa en sus términos, contiene la totalidad del acuerdo entre las Partes en relación con el asunto tratado, salvo que se estipule lo contrario en el Pedido. Ninguna explicación oral o información oral facilitada por cualquiera de las Partes alterará la interpretación del presente APD. Podrán introducirse modificaciones en el APD y sus anexos de acuerdo con el procedimiento de modificación de las Condiciones de Servicio, sujeto a la Cláusula 8.2 – 8.4 anterior.
17. Rights of Third Parties Nothing in this DPA shall be construed as conferring any rights (including the right to rely on any exclusion or limitation clause contained within it) or obligations on any person or class of persons whether in existence now or at any time in the future that is not a party to this DPA.	17. Derechos de terceros Nada de lo dispuesto en el presente APD debe ser interpretado como otorgamiento de cualquier derecho (incluyendo el derecho a invocar cualquier cláusula de exención o limitación contenida en el mismo) o imposición de obligaciones a ninguna persona o clase de personas, tanto si existen en la actualidad como en cualquier momento futuro, que no formen parte del presente APD.
18. Data Protection Officer GetResponse S. A. has appointed a GetResponse Data Protection Officer who can be contacted on all matters relating to the Processing of Personal Data and the exercise of rights related thereto. Contact with the Data Protection Officer can be made through: – contact form available HERE – in writing: the Data Protection Officer, GetResponse S.A., 413 Grunwaldzka Avenue, 80-309 Gdańsk	18. Responsable por la Protección de Datos GetResponse S. A. ha designado a un Responsable de la Protección de Datos de GetResponse que puede ser contactado para todo lo relacionado con el Tratamiento de Datos Personales y el ejercicio de los derechos relacionados con el mismo. El contacto con el Responsable de Protección de Datos puede realizarse a través de – formulario de contacto disponible AQUÍ – por escrito: el Responsable de Protección de Datos, GetResponse S.A., 413 Grunwaldzka Avenue, 80-309 Gdańsk
19. Final provisions The DPA has been drafted in two counterparts in English and Spanish. In case of divergence between the language versions, the English version shall prevail. Annexes: 1.     Annex no. 1 – Description of Personal Data Processing; 2.     Annex no. 2 – Description of the implemented organizational and technical measures for Personal Data protection; 3. Annex no. 3 – List of GetResponse’s sub-processors.	19. Disposiciones finales Este APD ha sido redactado en dos ejemplares en inglés y en español. En caso de divergencia entre las versiones lingüísticas, prevalecerá la versión en inglés. Anexos: 1.         Anexo nº 1 – Descripción del Tratamiento de Datos Personales; 2.         Anexo nº 2 – Descripción de las medidas organizativas y técnicas aplicadas en la protección de Datos Personales; 3.         Anexo nº 3 – Lista de subencargados de GetResponse.