Contrato de Encargo del Tratamiento

---

Actualizado el 11 de octubre de 2023

PARTES Y EXPOSITIVOS

(A) El Cliente (el “Cliente”) ha suscrito un contrato con Klaviyo, Inc. (“Klaviyo”) (individualmente, la “Parte” y conjuntamente las “Partes”) en virtud del cual Klaviyo se ha obligado a prestar los Servicios previstos en dicho contrato (el “Contrato”). El presente Contrato de Encargo del Tratamiento (el “DPA”) queda incorporado al Contrato formando parte integrante del mismo y surtirá sus efectos en la fecha de entrada en vigor del Contrato, en el entendimiento, no obstante, de que en el caso de aquellos clientes que hayan suscrito un Contrato con anterioridad a la fecha de actualización del presente DPA indicada en el encabezamiento, el presente DPA entrará en vigor el 11 de octubre de 2023 y sustituirá a cualesquiera condiciones previamente acordadas en materia de tratamiento y seguridad de datos.

(B) En la medida en que Klaviyo lleve a cabo el tratamiento de Datos Personales del Cliente (tal y como dicho término se definen a continuación) en nombre del Cliente (o, en su caso, de la Filial del Cliente) en el marco de la prestación de los Servicios, las Partes acuerdan que dicho tratamiento se realizará con sujeción a lo dispuesto en el presente DPA.

1. DEFINICIONES

1.1 Los términos con letra inicial mayúscula que se utilizan, pero no se definen en el presente DPA tendrán el significado establecido en el Contrato. Los siguientes términos con letra inicial mayúscula que se utilizan en el presente DPA se definen como sigue:

“Datos de la Cuenta” significa los datos del Cliente, incluyendo los Datos Personales de los usuarios del Cliente y de las Filiales del Cliente, facilitados para la creación, el acceso, la administración y el mantenimiento de la cuenta, y puede incluir nombres, nombres de usuario, datos de inicio de sesión, números de teléfono, direcciones de correo electrónico e información de facturación asociada a una cuenta de Klaviyo;

“Filial” significa una entidad que, directa o indirectamente, posee o controla, es propiedad, está controlada, o se encuentra bajo la propiedad o control común con una de las Partes y es beneficiaria del Contrato;

“Leyes de Protección de Datos Aplicables” significa todas las leyes, normativas, reglamentos y requisitos gubernamentales aplicables en materia de protección, confidencialidad o seguridad de los Datos Personales, en su versión modificada o actualizada en cada momento;

“Adenda Aprobada” se refiere al modelo de Adenda, versión B.1.0, emitida por el Information Commissioner del Reino Unido en virtud del artículo 119A (1) de la Ley de Protección de Datos de 2018 y presentada ante el Parlamento del Reino Unido el 2 de febrero de 2022, conforme pueda verse modificada por el Apartado 18 de las Cláusulas Obligatorias;

“Datos Personales del Cliente” significa los Datos Personales tratados por Klaviyo en nombre del Cliente o de la Filial del Cliente en el marco de la prestación de los Servicios, excluyendo expresamente los Datos Personales contenidos en los Datos de la Cuenta;

“DPF” o “Marco de Privacidad de Datos” significa el Marco de Privacidad de Datos UE-EE.UU., o en su caso, a la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. y al Marco de Privacidad de Datos Suiza-EE.UU.;

“EEE” significa el Espacio Económico Europeo;

“Fecha de Entrada en Vigor” significa la fecha de entrada en vigor del presente DPA, tal como se establece en el Expositivo (A) anterior;

“RGPD” significa el Reglamento (UE) 2016/679 (el “RGPD de la UE”) o, en su caso, el “RGPD del Reino Unido”, tal como se define en el artículo 3 de la Ley de Protección de Datos de 2018;

“Cláusulas Obligatorias” significa la “Parte 2: Cláusulas Obligatorias” de la Adenda Aprobada;

“Estado Miembro” significa un estado miembro del EEE, esto es, un estado miembro de la Unión Europea, Islandia, Noruega o Liechtenstein;

“Datos Personales” significa cualquier información relativa a una persona o dispositivo identificado o identificable, o que constituya “datos personales”, “información personal”, “información identificable con personas” y demás términos similares, los cuales tendrán el mismo significado que se define en las Leyes de Protección de Datos Aplicables;

“Brecha de Seguridad” significa una violación de la seguridad que tenga como consecuencia la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada, o el acceso no autorizado a los Datos Personales del Cliente;

“Cláusulas Contractuales Tipo” o “CCT” significa el Módulo Dos (responsable a encargado) y/o el Módulo Tres (encargado a encargado) de las Cláusulas Contractuales Tipo anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión;

“Subencargado” significa las Filiales de Klaviyo y terceros encargados designados por Klaviyo para llevar a cabo el tratamiento de los Datos Personales del Cliente;

“Reino Unido” significa el Reino Unido de Gran Bretaña e Irlanda del Norte; y

“Leyes de Protección de Datos de EE.UU.” significa, en la medida en que sean aplicables, las leyes federales y estatales en materia de protección de datos, tratamiento de Datos Personales, privacidad y/o protección de datos vigentes en cada momento en Estados Unidos.

1.2 Los términos “responsable del tratamiento”, “encargado del tratamiento”, “interesado”, “tratamiento”, “autoridad de control”, “vender” y “proveedor de servicios” tendrán el mismo significado que se establece en las Leyes de Protección de Datos Aplicables.

2. INTERACCIÓN CON EL CONTRATO

2.1 El presente DPA complementa y (en caso de conflicto) sustituye al Contrato en lo que respecta a cualquier tratamiento de los Datos Personales del Cliente.

2.2 En lo que respecta a las Filiales del Cliente, al suscribir el Contrato, el Cliente garantiza que está debidamente autorizado para celebrar el presente DPA en nombre y representación de cualquiera de las Filiales del Cliente y, con sujeción a la cláusula 2.3 siguiente, cada Filial del Cliente estará obligada a cumplir las disposiciones del presente DPA como si fuera el Cliente.

2.3 El Cliente garantiza que ha sido debidamente autorizado por cualquiera de las Filiales del Cliente en cuyo nombre Klaviyo lleva a cabo el tratamiento de los Datos Personales del Cliente de conformidad con el presente DPA para (a) hacer cumplir los términos del presente DPA en nombre de las Filiales del Cliente y para actuar en nombre de las Filiales del Cliente en la administración y tramitación de cualquier reclamación derivada del presente DPA; y para (b) recibir y responder a cualquier notificación o comunicación en virtud del presente DPA en nombre de las Filiales del Cliente.

2.4 Las Partes acuerdan que cualquier notificación o comunicación enviada por Klaviyo al Cliente satisfará cualquier obligación de envío de dicha notificación o comunicación a una Filiales del Cliente.

3. FUNCIÓN DE LAS PARTES

3.1 Las Partes reconocen y aceptan que:

(a) a los efectos del RGPD, Klaviyo actúa como “encargado del tratamiento” o “subencargado del tratamiento”. La función de Klaviyo como encargado o subencargado del tratamiento vendrá determinada por la función del Cliente:

(i) En general, el Cliente actúa como responsable del tratamiento, mientras que Klaviyo actúa como encargado del tratamiento.

(ii) En determinados casos, el Cliente actúa como encargado del tratamiento de sus clientes, cuándo éstos hayan celebrado un contrato de encargo del tratamiento en relación con el tratamiento de los Datos Personales de los clientes del Cliente; y 

(b) a los efectos de las Leyes de Protección de Datos de EE.UU., Klaviyo actuará como “proveedor de servicios” o “encargado del tratamiento” al cumplir sus obligaciones derivadas del Contrato.

(c) Los Datos de la Cuenta no se regirán por el presente DPA y estarán sujetos a la Notificación de Privacidad de Klaviyo.

4. DETALLES DEL TRATAMIENTO DE DATOS

4.1 Los detalles del tratamiento de datos (tales como el objeto, la naturaleza y la finalidad del tratamiento, las categorías de Datos Personales y los interesados) se describen en el Contrato y en el Anexo 1.

4.2 Los Datos Personales del Cliente sólo serán tratados por cuenta y bajo las instrucciones del Cliente y de conformidad con las Leyes de Protección de Datos Aplicables. El Contrato y el presente DPA constituirán las instrucciones del Cliente para llevar a cabo el tratamiento de los Datos Personales del Cliente. El Cliente podrá emitir instrucciones adicionales por escrito de conformidad con el presente DPA. 

4.3 Si como consecuencia de las instrucciones del Cliente Klaviyo lleva a cabo el tratamiento de los Datos Personales del Cliente infringiendo las Leyes de Protección de Datos Aplicables o fuera del ámbito de aplicación del Contrato o del presente DPA, Klaviyo informará inmediatamente de dicha circunstancia al Cliente, salvo que lo prohíban las Leyes de Protección de Datos Aplicables (sin perjuicio de las CCT).

4.4 Klaviyo podrá almacenar y tratar los Datos Personales del Cliente en cualquier lugar donde Klaviyo o sus Subencargados mantengan instalaciones, con sujeción a la cláusula 5 del presente DPA.

5. SUBENCARGADOS DEL TRATAMIENTO

5.1 El Cliente concede a Klaviyo una autorización general para contratar a los Subencargados de un listado acordado, con sujeción a la cláusula 5.2 siguiente, así como a los actuales Subencargados de Klaviyo que se enumeran en https://www.klaviyo.com/legal/subprocessors a partir de la Fecha de Entrada en Vigor.

5.2 Klaviyo (i) celebrará un acuerdo por escrito con cada Subencargado que imponga unas obligaciones de protección de los Datos Personales del Cliente que sean no menos restrictivas que las obligaciones de Klaviyo derivadas del presente DPA en la medida en que sean aplicables teniendo en cuenta la naturaleza de los servicios prestados por dicho Subencargado; y (ii) será responsable de que cada Subencargado cumpla las obligaciones derivadas del presente DPA.

5.3 Klaviyo notificará al Cliente con al menos quince (15) días de antelación cualquier cambio propuesto en los Subencargados que utilice para tratar los Datos Personales del Cliente (incluyendo cualquier adición o sustitución de cualquier Subencargado). El Cliente podrá oponerse razonablemente a que Klaviyo utilice un nuevo Subencargado (incluyendo cuando ejerza su derecho de oposición previsto en la cláusula 9 (a) de las CCT) notificando a Klaviyo por escrito su oposición en los diez (10) días siguientes a la fecha en que Klaviyo le haya notificado el cambio propuesto (la “Oposición”). En el supuesto de que el Cliente se oponga a que Klaviyo utilice un nuevo Subencargado, el Cliente y Klaviyo trabajarán conjuntamente de buena fe para alcanzar un acuerdo mutuo para abordar dicha Oposición. Si las Partes no pueden llegar a un acuerdo de mutuo dentro de un plazo razonable, cualquiera de ellas podrá, como único y exclusivo recurso, resolver el Contrato notificándolo por escrito a la otra Parte. Durante el periodo de Oposición, Klaviyo podrá suspender la parte afectada de los Servicios.

6. SOLICITUDES DE EJERCICIO DE DERECHOS DE LOS INTERESADOS

6.1 El Cliente tendrá la potestad y responsabilidad exclusiva de responder a las solicitudes de ejercicio de derechos formuladas por cualquier persona en relación con los Datos Personales del Cliente (la “Solicitud de Ejercicio”).

6.2 Klaviyo remitirá al Cliente sin retrasos injustificados cualquier Solicitud de Ejercicio recibida por Klaviyo o cualquier Encargado del Tratamiento de una persona en relación con los Datos Personales del Cliente y podrá indicar a la persona que envíe su solicitud directamente al Cliente.

6.3 Klaviyo proporcionará al Cliente (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente) una funcionalidad de autoservicio a través de los Servicios o asistencia razonable en la medida en que sea necesaria para que el Cliente cumpla su obligación, conforme a las Leyes de Protección de Datos Aplicables, de responder a las Solicitudes de Ejercicio de los interesados. Klaviyo podrá cobrar al Cliente por cualquier asistencia que exceda del ámbito de las funciones de autoservicio incluidas como parte de los Servicios, y el Cliente se obliga a reembolsar a Klaviyo el coste de la misma.

7. SEGURIDAD Y AUDITORÍAS

7.1 Klaviyo adoptará y mantendrá medidas técnicas y organizativas de protección y seguridad de los datos adecuadas, diseñadas para garantizar la seguridad de los Datos Personales del Cliente, incluyendo, sin limitación alguna, protección frente a cualquier tratamiento ilícito o no autorizado (incluyendo, sin limitación alguna, la divulgación, el acceso y/o la alteración no autorizada o ilícita de los Datos Personales del Cliente) y frente a cualquier pérdida, destrucción o daño accidental de los mismos.

7.2 Klaviyo adoptará y mantendrá como mínimo las medidas establecidas en el Anexo 2. Klaviyo podrá actualizar o modificar las medidas de seguridad establecidas en el Anexo 2 en el momento oportuno, incluyendo (en su caso) después de efectuar cualquier revisión de las mismas de conformidad con la cláusula 8.6 de las CCT, siempre y cuando tales actualizaciones y / o modificaciones no reduzcan el nivel general de protección brindado a los Datos Personales del Cliente por Klaviyo con arreglo al presente DPA.

7.3 El Cliente o un auditor externo independiente razonablemente aceptable para Klaviyo (que no podrá ser un auditor que no esté debidamente cualificado o no sea independiente o que compita con Klaviyo) podrá auditar el cumplimiento por parte de Klaviyo de sus obligaciones derivadas del presente DPA hasta una vez al año o con mayor frecuencia en el supuesto de que se produzca una Brecha de Seguridad o en la medida en que así lo requieran las Leyes de Protección de Datos Aplicables, incluyendo cuando lo exija una autoridad reguladora o gubernamental a la que esté sujeto el Cliente.

7.4 Para solicitar una auditoría, el Cliente deberá presentar una propuesta detallada de plan de auditoría a Klaviyo al menos dos semanas antes de la fecha propuesta para la auditoría. Klaviyo revisará el plan de auditoría propuesto y trabajará en colaboración con el Cliente para acordar un plan de auditoría final. Las referidas auditorías deberán llevarse a cabo durante el horario de apertura habitual y con sujeción al plan de auditoría final acordado y a las políticas de salud y seguridad o demás políticas aplicables de Klaviyo, y no podrán interferir de manera inaceptable en el normal desarrollo de la actividad de Klaviyo. Nada de lo dispuesto en esta cláusula 7.4 obligará a Klaviyo a incumplir sus obligaciones de confidencialidad.

7.5 Si el ámbito de la auditoría solicitada se describe en una certificación ISO 27001, un informe SOC 2 Tipo 2 o un informe de auditoría similar elaborado por un auditor externo cualificado en los doce (12) meses posteriores a la solicitud de auditoría del Cliente y Klaviyo confirma que no hay cambios materiales conocidos en los controles auditados, el Cliente se compromete a aceptar dichas conclusiones en lugar de solicitar una auditoría de los controles cubiertos por el informe.

7.6 El Cliente notificará con prontitud a Klaviyo cualquier incumplimiento detectado durante el transcurso de una auditoría y proporcionará a Klaviyo los informes que puedan elaborarse en relación con la auditoría, salvo que lo prohíba la legislación aplicable o la autoridad reguladora o gubernamental competente ordene lo contrario. El Cliente podrá utilizar los informes de auditoría únicamente a los efectos de cumplir sus requisitos reglamentarios de auditoría y/o confirmar el cumplimiento de los requisitos del presente DPA.

7.7 El coste de las auditorías correrá por cuenta del Cliente. El Cliente reembolsará a Klaviyo los gastos incurridos en relación con el tiempo que Klaviyo o sus Subencargados puedan dedicar a dichas auditorías.

7.8 Klaviyo auditará a sus Subencargados de forma periódica y, a solicitud del Cliente, confirmará que cumplen la legislación aplicable en materia de protección de datos y las obligaciones impuestas a los Subencargados por el contrato de encargo del tratamiento suscrito con los mismos. El Cliente podrá solicitar a Klaviyo que realice auditorías adicionales sólo cuando esté razonablemente justificado, y en tales casos Klaviyo realizará auditorías adicionales en la medida en que esté permitido.

7.9 El Cliente reconoce y acepta que, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, las medidas de seguridad establecidas en el Anexo 2 son adecuadas para garantizar la seguridad de los Datos Personales del Cliente. 

8. BRECHAS DE SEGURIDAD

Klaviyo notificará sin demora al Cliente por escrito cualquier incumplimiento del presente DPA, de las Leyes de Protección de Datos Aplicables o de cualquier instrucción del Cliente en relación con el tratamiento de los Datos Personales del Cliente en virtud del presente DPA. Sin perjuicio del carácter general de lo dispuesto anteriormente, Klaviyo informará al Cliente por escrito y sin retrasos injustificados en caso de que tenga conocimiento de cualquier Brecha de Seguridad, y cooperará razonablemente en la investigación de cualquier Brecha de Seguridad y en el cumplimiento de cualquier obligación del Cliente prevista en las Leyes de Protección de Datos Aplicables en lo que se refiere a la notificación a personas, autoridades de control, autoridades gubernamentales o reguladoras o al público en general con respecto a la Brecha de Seguridad. Klaviyo adoptará medidas razonables para contener, investigar y mitigar cualquier Brecha de Seguridad y enviará al Cliente, sin retrasos injustificados, información actualizada sobre la Brecha de Seguridad, incluyendo a título enunciativo, que no limitativo, sobre la naturaleza de la Brecha de Seguridad, las medidas adoptadas para mitigarla o contenerla y el estado de la investigación. La notificación de una Brecha de Seguridad o la respuesta de Klaviyo a la misma de conformidad con esta cláusula 8 no se interpretará como una admisión de culpabilidad o responsabilidad, por parte de Klaviyo, en lo que respecta a la Brecha de Seguridad.

9. ELIMINACIÓN Y DEVOLUCIÓN

Klaviyo deberá (a) si así lo solicita el Cliente antes de la fecha de resolución o extinción del Contrato, enviarle una copia de todos los Datos Personales del Cliente o habilitar una funcionalidad de autoservicio que permita al Cliente obtener dicha copia; y (b) en los 90 días siguientes a la resolución o extinción del Contrato, eliminar y hacer todo lo razonablemente posible para conseguir que se eliminen todas las demás copias de los Datos Personales del Cliente tratados por Klaviyo o cualquier Subencargado.

10. PERIODO DE VIGENCIA

El presente DPA surtirá sus efectos en la Fecha de Entrada en Vigor y, sin perjuicio de la resolución del Contrato, permanecerá en vigor hasta que Klaviyo elimine todos los Datos Personales del Cliente que se describen en el presente DPA, momento en el cual el presente DPA se extinguirá automáticamente.

11. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS

11.1 Cláusulas Contractuales Tipo

Las Partes acuerdan que los términos del Módulo Dos de las Cláusulas Contractuales Tipo (transferencias de Responsable a Encargado) y del Módulo Tres (transferencias de Encargado a Encargado), tal y como se especifican más detalladamente en el Anexo 3 del presente DPA, quedan incorporados por referencia, se consideran firmados por las Partes y se aplicarán a cualquier transferencia de Datos Personales del Cliente que se realice del Cliente (como exportador de datos) a Klaviyo (como importador de datos) dentro del ámbito de aplicación del RGPD en la medida y durante el tiempo en que Klaviyo no pueda basarse en el Marco de Privacidad de Datos de conformidad con la cláusula 11.2.

11.2 Marco de Privacidad de Datos

Klaviyo está auto certificada de conformidad con el DPF y cumple los principios de protección de datos previstos en el mismo.  En la medida y durante el tiempo en que el DPF sea reconocido como un mecanismo de transferencia válido en el país/región correspondiente, los Datos Personales procedentes del EEE, Reino Unido o Suiza o que de otro modo estén sujetos al RGPD serán transferidos sobre la base del DPF.  

11.3 Apoyo en las transferencias transfronterizas de datos

Klaviyo proporcionará apoyo razonable al Cliente para permitir que éste cumpla los requisitos relativos a la transferencia de datos personales a terceros países en lo que respecta a los interesados ubicados en el EEE, Suiza y Reino Unido. Cuando así lo solicite el Cliente, Klaviyo le proporcionará toda aquella información que sea razonablemente necesaria para que el Cliente pueda llevar a cabo una evaluación del impacto de la transferencia (la “EIT”). Asimismo, Klaviyo se obliga a adoptar las medidas complementarias acordadas y establecidas en el Anexo 4 del presente DPA para permitir el cumplimiento por parte del Cliente de los requisitos relativos a la transferencia de datos personales a terceros países. Klaviyo podrá cobrar al Cliente, y el Cliente deberá reembolsar a Klaviyo, cualquier asistencia que Klaviyo pueda prestarle en relación con cualesquiera EITs, evaluaciones de impacto en la protección de datos o consultas con cualquier autoridad de control del Cliente.

12. DATOS PERSONALES DEL CLIENTE SUJETOS A LAS LEYES DE PROTECCIÓN DE DATOS DE REINO UNIDO Y DE SUIZA

En la medida en que el tratamiento de los Datos Personales del Cliente esté sujeto a las leyes de protección de datos de Reino Unido o de Suiza, se aplicará la Adenda para Reino Unido y/o la Adenda para Suiza (según corresponda) que se recogen en el Anexo 5.

13. DATOS PERSONALES DEL CLIENTE SUJETOS A LAS LEYES DE PROTECCIÓN DE DATOS DE EE.UU. 

En la medida en que el tratamiento de los Datos Personales del Cliente esté sujeto a las Leyes de Protección de Datos de EE.UU., se aplicará la Adenda para EE.UU. que se recoge en el Anexo 6.

14. GENERAL 

14.1 En virtud del presente DPA, las Partes declaran comprender y se obligan a cumplir los requisitos previstos en el presente DPA. 

14.2 El presente DPA y el Contrato constituyen el acuerdo completo entre las Partes con respecto al objeto del presente DPA.

─────────────────

Anexo 1
DETALLES DEL TRATAMIENTO

Parte 1
LISTA DE PARTES

1. Exportador de datos

El Cliente y/o las Filiales del Cliente que operen en los países que conforman el Espacio Económico Europeo, Reino Unido y/o Suiza y/o – en la medida en que lo acuerden las Partes – el Cliente y/o las Filiales del Cliente situadas en cualquier otro país en la medida en que se aplique el RGPD o la ley suiza correspondiente.

El cargo y los datos de contacto de la persona de contacto del Cliente y de las Filiales del Cliente, así como (si se ha designado) los datos de contacto del delegado de protección de datos y (en su caso) del representante, serán notificados a Klaviyo, antes de que se inicie el tratamiento de los Datos Personales, por correo electrónico a privacy@klaviyo.com o a través del formulario que Klaviyo ponga a disposición del Cliente en su cuenta de los Servicios.

Las actividades relacionadas con la transferencia de datos con arreglo a estas Cláusulas vienen definidas en el Contrato y por el exportador de datos que decide sobre el alcance del tratamiento de datos personales en relación con los Servicios que se describen más detalladamente en este Anexo 1 y en el Contrato.

2. Importador de datos

Klaviyo, Inc.,
125 Summer Street, Floor 6,
Boston, MA, 02110,
Estados Unidos

Puede contactar con la persona de contacto del importador de datos a través de privacy@klaviyo.com.

Las actividades del importador de datos relacionadas con la transferencia de datos con arreglo a estas Cláusulas son las siguientes: el importador de datos lleva a cabo el tratamiento de los datos personales proporcionados por el exportador de datos por cuenta de éste en relación con la prestación de los Servicios al exportador de datos, tal como se especifica más detalladamente en este Anexo 1 y en el Contrato.

Parte 2
DESCRIPCIÓN DE LA TRANSFERENCIA

1. Categorías de interesados

Categorías de interesados cuyos datos personales se transfieren: 

Suscriptores del Cliente y de las Filiales del Cliente que reciban comunicaciones de marketing y demás personas a las que se dirijan otras actividades de marketing del Cliente y/o de las Filiales del Cliente o de sus clientes.

2. Categorías de datos personales

Categorías de datos personales transferidos:

Determinadas por la configuración de los Servicios por parte del Cliente, y pueden incluir nombre, número de teléfono, dirección de correo electrónico, dirección postal, dirección IP, identificadores de dispositivo, datos de uso (tales como interacciones entre un usuario y el sistema online, sitio web o correo electrónico de Klaviyo, navegador utilizado, sistema operativo utilizado, URL de referencia).

Además, el Cliente y las Filiales del Cliente podrán incluir otros datos personales de los interesados, tal y como se especifica más arriba (en particular, en formato no estructurado), en relación con el uso que hagan de los Servicios de conformidad con el Contrato.

3. Categorías especiales de datos personales (en su caso)

Los datos personales transferidos incluyen las siguientes categorías especiales de datos: N/A – La Política de Uso Aceptable de Klaviyo prohíbe al Cliente usar los Servicios para solicitar, mostrar, almacenar, tratar, enviar o transmitir categorías especiales de datos.

Las restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), el mantenimiento de un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales son: N/A

4. Frecuencia de la transferencia

La frecuencia de la transferencia es la siguiente: la transferencia se realiza de forma constante y viene determinada por la configuración de los Servicios por parte del Cliente.

5. Objeto y naturaleza del tratamiento

El objeto del tratamiento es: proporcionar una plataforma de análisis de datos y automatización de marketing al Cliente.

6. Finalidad(es) de la transferencia y tratamiento ulterior de los datos

La(s) finalidad(es) de la transferencia de datos y el tratamiento ulterior son: prestar los Servicios al Cliente de conformidad con el Contrato para que el Cliente pueda analizar los datos de los clientes, mejorar sus relaciones con los clientes y enviar comunicaciones de marketing y de otro tipo a sus clientes.

7. Duración

El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo: el plazo se define en la cláusula 10 del DPA.

8. Subencargado (en su caso)

En caso de transferencia a subencargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento: según lo estipulado en la cláusula 5.1 del DPA. Los Subencargados podrán tener acceso a los Datos Personales durante la vigencia del presente DPA o hasta que se resuelva el contrato de servicios con el Subencargado en cuestión o se haya revocado el acceso del Subencargado de mutuo acuerdo entre Klaviyo y el Cliente.

Parte 3
AUTORIDAD DE CONTROL COMPETENTE

Identifíquese a la/s autoridad/es de control competente/s de conformidad con la cláusula 13 de las CCT

Cuando el exportador de datos esté establecido en un Estado Miembro de la UE, la autoridad de control del país en el que esté establecido el exportador de datos actuará como autoridad competente.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, y haya designado a un representante de conformidad con el artículo 27, apartado 1, del RGPD, la autoridad de control competente será la del Estado miembro de la UE en el que esté establecido el representante.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, sin estar obligado a designar a un representante de conformidad con el artículo 27, apartado 2, del RGPD, la autoridad de control competente será la autoridad de control de Irlanda, esto es, la Data Protection Commission (https://www.dataprotection.ie/).

─────────────────

Anexo 2
MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Klaviyo ha adoptado las siguientes medidas técnicas y organizativas (incluyendo las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas: 

1. Gestión organizativa y personal encargado del desarrollo, implementación y mantenimiento del programa de seguridad de la información de Klaviyo.

2. Procedimientos de auditoría y evaluación de riesgos a los efectos de revisar y evaluar periódicamente los riesgos para la organización de Klaviyo, vigilar y mantener el cumplimiento de las políticas y procedimientos de Klaviyo, e informar del estado de sus procedimientos de seguridad de la información y compliance a la dirección.

3. Utilización de tecnologías de cifrado comercialmente disponibles y estándar del sector para los Datos Personales del Cliente:

(a) que Klaviyo transmita a través de redes públicas (es decir, Internet) o cuando se transmitan de forma inalámbrica; o

(b) que estén en reposo o almacenados en soportes portátiles o extraíbles (es decir, ordenadores portátiles, CD/DVD, unidades USB, cintas de copia de seguridad).

4. Controles de seguridad de los datos que incluyan como mínimo, aunque no exclusivamente, la segregación lógica de los datos, controles de acceso lógico diseñados para gestionar el acceso electrónico a los datos y a la funcionalidad del sistema de acuerdo con niveles de autorización y funciones del puesto (por ejemplo, concesión de acceso en función de la necesidad de conocer los datos y del privilegio mínimo, utilización de identificadores y contraseñas únicos para todos los usuarios, revisión periódica y revocación/cambio inmediato del acceso cuando finalice la relación laboral o se produzcan cambios en las funciones del puesto).

5. Controles de contraseñas diseñados para gestionar y controlar la robustez, caducidad y utilización de las contraseñas, lo que incluye prohibir que los usuarios compartan contraseñas y exigir que las contraseñas de Klaviyo que se asignen a sus empleados: (i) tengan al menos ocho (8) caracteres de longitud, (ii) no se almacenen en formato legible en los sistemas informáticos de Klaviyo; (iii) tengan una complejidad definida; (iv) se almacenen en un historial para evitar la reutilización de contraseñas recientes; y (v) si son contraseñas recién emitidas, deban cambiarse después de su primer uso.

6. Auditoría de sistemas o registro de eventos y procedimientos de monitorización relacionados para registrar de forma proactiva el acceso de los usuarios y la actividad de los sistemas para su revisión rutinaria.

7. Seguridad física y ambiental de las instalaciones del centro de datos, sala de servidores y otras áreas que contengan Datos Personales, diseñada para: (i) proteger los activos de información frente al acceso físico no autorizado, (ii) gestionar, supervisar y registrar los movimientos de las personas dentro y fuera de las instalaciones de Klaviyo, y (iii) proteger frente a peligros medioambientales como el calor, el fuego y los daños causados por el agua.

8. Procedimientos y controles operativos para facilitar la configuración, supervisión y mantenimiento de la tecnología y los sistemas informáticos de acuerdo con las normas internas establecidas y los estándares adoptados por el sector, incluyendo la eliminación segura de sistemas y soportes para hacer que toda la información o datos contenidos en los mismos sean indescifrables o irrecuperables antes de que sean eliminados permanentemente o Klaviyo deje de tenerlos en su poder.

9. Procedimientos de gestión de cambios y mecanismos de seguimiento diseñados para probar, aprobar y supervisar todos los cambios en las tecnologías y los activos de información de Klaviyo.

10. Procedimientos de gestión de brechas de seguridad / problemas diseñados para permitir a Klaviyo investigar, responder, mitigar y notificar brechas de seguridad relacionadas con sus tecnologías y activos de información.

11. Controles de seguridad de la red que permitan usar cortafuegos, sistemas de detección de intrusiones y otros procedimientos de correlación de tráfico y eventos diseñados para proteger los sistemas frente a intrusiones y limitar el alcance de cualquier ataque exitoso.

12. Evaluación de vulnerabilidades, gestión de parches y tecnologías de protección frente a amenazas y procedimientos de monitorización programados diseñados para identificar, evaluar, mitigar y proteger frente a amenazas de seguridad, virus y otros códigos maliciosos identificados.

13. Procedimientos de resiliencia/continuidad del negocio y recuperación en caso de catástrofe para mantener el servicio y/o recuperarse ante situaciones de emergencia o catástrofes previsibles.

─────────────────

Anexo 3
CLÁUSULAS CONTRACTUALES TIPO

A los efectos de las Cláusulas Contractuales Tipo:

1. El Módulo Dos se aplicará en el caso del tratamiento conforme a la cláusula 3.1(a)(i) del DPA y el Módulo Tres se aplicará en el caso del tratamiento conforme a la cláusula 3.1(a)(ii) del DPA.

2. La Cláusula 7 de las Cláusulas Contractuales Tipo (Cláusula de incorporación o Docking Clause) no es aplicable.

3. Se selecciona la opción 2 de la cláusula 9(a) (Autorización general por escrito), y el periodo de tiempo que debe especificarse se determina en la cláusula 5.3 del DPA.

4. La opción de la cláusula 11(a) de las Cláusulas Contractuales Tipo (Organismo independiente de resolución de litigios) no es aplicable.

5. En lo que respecta a la cláusula 17 de las Cláusulas Contractuales Tipo (Derecho aplicable), las Partes acuerdan que se aplicará la opción 1. Las Partes acuerdan que el Derecho aplicable será el de la República de Irlanda.

6. En la cláusula 18 de las Cláusulas Contractuales Tipo (Elección de foro y jurisdicción), las Partes se someten a la competencia de los tribunales de la República de Irlanda.

7. A los efectos del Anexo I de las Cláusulas Contractuales Tipo, el Anexo 1 recoge las especificaciones relativas a las partes, la descripción de transferencia y la autoridad de control competente.

8. A los efectos del Anexo II de las Cláusulas Contractuales Tipo, el Anexo 2 recoge las medidas técnicas y organizativas.

9. Las especificaciones del Anexo III de las Cláusulas Contractuales Tipo vienen determinadas por la cláusula 5.1 del DPA. El nombre, cargo y datos de contacto de la persona de contacto del Subencargado serán proporcionados por Klaviyo previa solicitud.

─────────────────

Anexo 4
MEDIDAS COMPLEMENTARIAS ADICIONALES

Asimismo, Klaviyo se compromete a adoptar medidas complementarias basadas en las orientaciones proporcionadas por las autoridades de control de la UE con el fin de mejorar la protección de los Datos Personales del Cliente en relación con el tratamiento en un tercer país, conforme se describe en este Anexo 4.

1. Medidas técnicas adicionales (cifrado)

1.1 Los datos personales se transmiten (entre las Partes y por Klaviyo entre centros de datos, así como a un Subencargado y viceversa) utilizando un cifrado fuerte.

1.2 Los datos personales en reposo son almacenados por Klaviyo utilizando un cifrado fuerte.

2. Medidas organizativas adicionales

2.1 Políticas internas para la gobernanza de las transferencias, especialmente con grupos de empresas

(a) Adopción de políticas internas adecuadas con una clara asignación de responsabilidades en materia de transferencia de datos, canales de información y procedimientos operativos normalizados para aquellos casos en los que se reciban solicitudes formales o informales de acceso a los datos por parte de autoridades.

(b) Desarrollo de procedimientos de formación específicos para el personal encargado de gestionar las solicitudes de acceso a datos personales por parte de autoridades. Dichos procedimientos deberán actualizarse periódicamente para reflejar las novedades legislativas y jurisprudenciales en el tercer país y en el EEE.

2.2 Medidas de transparencia y rendición de cuentas

Publicación periódica de informes de transparencia o resúmenes sobre solicitudes gubernamentales de acceso a datos y el tipo de respuesta proporcionada, en la medida en que la publicación esté permitida por la legislación local.

2.3 Métodos organizativos y medidas de minimización de datos

Desarrollo y aplicación de buenas prácticas por ambas Partes para trabajar de la forma adecuada y en el momento oportuno con sus respectivos delegados de protección de datos, de existir, y permitir acceso a la información tanto a éstos como a sus servicios jurídicos y de auditoría interna en lo que respecta a asuntos relacionados con transferencias internacionales de datos personales.

2.4 Otros

Adopción y revisión periódica por parte de Klaviyo de políticas internas para evaluar la idoneidad de las medidas complementarias adoptadas e identificar y aplicar soluciones adicionales o alternativas cuando sea necesario, con el fin de garantizar que se mantenga un nivel de protección de los datos personales transferidos esencialmente equivalente al garantizado en el EEE.

3. Medidas contractuales adicionales

3.1 Obligaciones de transparencia

(a) Klaviyo declara (1) que no ha creado intencionadamente puertas traseras o programas similares que puedan utilizarse para acceder al sistema y/o a los datos personales, (2) que no ha creado o modificado intencionadamente sus procesos empresariales de forma que se facilite el acceso a los datos personales o a los sistemas, y (3) que ni la legislación nacional ni la política gubernamental exigen que Klaviyo cree o mantenga puertas traseras o facilite el acceso a los datos personales o a los sistemas o que Klaviyo posea o entregue la clave de cifrado.

(b) Klaviyo verificará periódicamente la validez de la información proporcionada para el cuestionario de EIT e informará sin demora al Cliente en caso de que se produzca cualquier cambio. La cláusula 14(e) de las CCT no se verá afectada.

3.2 Obligaciones de adoptar medidas específicas

En el supuesto de que una autoridad competente ordene que se le divulguen o se le conceda acceso a los datos personales, Klaviyo se compromete a informar a la autoridad solicitante de la incompatibilidad de la orden con las garantías vinculadas al instrumento de transferencia del artículo 46 del RGPD y del consiguiente conflicto de obligaciones para Klaviyo.

3.3 Capacidad de los interesados para ejercer sus derechos

   (a) Klaviyo se compromete a indemnizar equitativamente al interesado ante cualquier daño material e inmaterial que pueda sufrir como consecuencia de la divulgación de sus datos personales cuando sean transferidos a través de la herramienta de transferencia elegida incumpliendo los compromisos correspondientes.

   (b) No obstante lo anterior, Klaviyo no tendrá obligación de indemnizar al interesado en la medida en que éste ya haya sido indemnizado por el mismo daño.

   (c) La indemnización está limitada a los daños materiales e inmateriales previstos en el RGPD y excluye daños emergentes y todos los demás daños que no se deriven de la infracción del RGPD por parte de Klaviyo.

4. Obligaciones adicionales en caso de requerimiento o acceso por parte de las autoridades

4.1 Klaviyo informará sin demora al Cliente:

   (a) de cualquier requerimiento legalmente vinculante de una autoridad policial o gubernamental (la “Autoridad Competente”) para revelar los datos personales compartidos por el Cliente (los “Datos Personales Transferidos”). La notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica del requerimiento y la respuesta proporcionada. Dicha notificación deberá efectuarse antes de la divulgación de cualquier dato personal en respuesta a tal requerimiento;

   (b) si tiene conocimiento de cualquier acceso directo por parte una Autoridad Competente para transferir datos personales de conformidad con las leyes del país de destino, en cuyo caso la notificación incluirá toda la información de la que disponga Klaviyo.

   (c) S se prohíbe a Klaviyo notificar al Cliente y/o al interesado, Klaviyo se obliga a realizar sus mejores esfuerzos para obtener una dispensa de la prohibición, de modo que pueda comunicar la mayor cantidad de información y a la mayor brevedad posible. Klaviyo se compromete a documentar sus mejores esfuerzos para poder acreditarlos si así lo solicita el exportador de datos.

4.2 Klaviyo se obliga a estudiar, de conformidad con las leyes del país de destino, la legalidad del requerimiento de la Autoridad Competente y, en particular, si se ha realizado en el marco de las competencias atribuidas a la misma, y a agotar todas las acciones que le asistan para impugnar el requerimiento si, tras examinarlo detenidamente, concluye que existen motivos con arreglo a las leyes del país de destino para realizar dicha impugnación. Esto incluye los requerimientos formulados en virtud del artículo 702 del Tribunal de Vigilancia de Inteligencia Extranjera de Estados Unidos o de la Orden Ejecutiva 12333. Cuando impugne un requerimiento, Klaviyo solicitará la adopción de medidas cautelares para conseguir que se suspendan los efectos del requerimiento hasta que el tribunal haya decidido sobre el fondo de la cuestión. Klaviyo no revelará ni proporcionará acceso a los datos personales solicitados hasta que sea requerida para ello en virtud de la normativa procesal aplicable y, en dicho momento, aportará únicamente la información mínima necesaria para atender el requerimiento, basándose en una interpretación razonable del mismo.

4.3 Klaviyo se obliga a conservar la información necesaria para cumplir este Anexo 4 durante la vigencia del Contrato y, salvo que lo prohíba la legislación aplicable, a ponerla a disposición de la autoridad de control competente a solicitud de ésta y cuando así lo exija la legislación aplicable.

─────────────────

Anexo 5
ADENDA PARA EL REINO UNIDO Y SUIZA

1. ADENDA PARA REINO UNIDO

En lo que respecta a las transferencias de Datos Personales del Cliente que se realicen del Cliente (como exportador de datos) a Klaviyo (como importador de datos) y estén comprendidas en el ámbito de aplicación del RGPD del Reino Unido:

1.1 La Adenda Aprobada, tal como se especifica más detalladamente en este Anexo 5, formará parte del presente DPA y las Cláusulas Contractuales Tipo se leerán e interpretarán teniendo en cuenta las disposiciones de la Adenda Aprobada en la medida en que sea necesario de conformidad con la cláusula 12 de las Cláusulas Obligatorias.

1.2 Al margen de lo establecido en la Tabla 1 de la Adenda Aprobada y de conformidad con la cláusula 17 de las Cláusulas Obligatorias, las partes se especifican con más detalle en el Anexo 1 Parte 1 del presente DPA.

1.3 Los Módulos y Cláusulas seleccionados que se determinarán de acuerdo con la Tabla 2 de la Adenda Aprobada se especifican con más detalle en el Anexo 3 del presente DPA en su versión modificada por las Cláusulas Obligatorias.

1.4 Los Anexos 1 A y B de la Tabla 3 de la Adenda Aprobada se especifican en el Anexo 1 del presente DPA; el Anexo II de la Adenda Aprobada se especifica con más detalle en el Anexo 2 del presente DPA, y el Anexo III de la Adenda Aprobada se especifica con más detalle en la cláusula B.10 del Anexo 1 del presente DPA.

1.5 Klaviyo (como importador de datos) podrá resolver el presente DPA, en la medida en que sea de aplicación la Adenda Aprobada, de conformidad con la cláusula 19 de las Cláusulas Obligatorias.

1.6 La cláusula 16 de las Cláusulas Obligatorias no será de aplicación.

2. ADENDA PARA SUIZA

De conformidad con lo establecido en la cláusula 13 del DPA, esta Adenda para Suiza será de aplicación a cualquier tratamiento de Datos Personales del Cliente que esté sujeto a la ley de protección de datos de Suiza o tanto a la ley de protección de datos de Suiza como al RGPD.

2.1 Interpretación de esta Adenda

    (a) Cuando en esta Adenda se utilicen términos definidos en las Cláusulas Contractuales Tipo, tal y como se especifica más detalladamente en el Anexo 3 del presente DPA, dichos términos tendrán el mismo significado que en las Cláusulas Contractuales Tipo. Asimismo, los siguientes términos tendrán los significados que se indican a continuación:

      (i) “Esta Adenda” significa Esta Adenda a las Cláusulas.

      (ii) “Cláusulas” significa las Cláusulas Contractuales Tipo tal y como se especifican más detalladamente en el Anexo 3 del presente DPA.

      (iii) “Leyes de Protección de Datos de Suiza” significa la Ley Federal Suiza sobre Protección de Datos de 19 de junio de 1992 y la Ordenanza Suiza de la Ley Federal Suiza sobre Protección de Datos de 14 de junio de 1993, así como cualquier nueva versión o versión revisada de las referidas leyes que pueda entrar en vigor en cada momento.

    (b) Esta Adenda deberá leerse e interpretarse teniendo en cuenta las disposiciones de las Leyes de Protección de Datos de Suiza y de modo que cumpla el propósito de proporcionar las salvaguardias adecuadas, tal como exige el artículo 46 del RGPD y/o el artículo 6(2)(a) de las Leyes de Protección de Datos de Suiza, según corresponda.

    (c) Esta Adenda no deberá interpretarse de forma que entre en conflicto con los derechos y obligaciones previstos en las Leyes de Protección de Datos de Suiza.

    (d) Cualquier referencia a una legislación (o a disposiciones específicas de una legislación) se entenderá hecha a esa legislación (o disposición específica) en su versión vigente en cada momento, incluyendo en aquellos casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida con posterioridad a la celebración de esta Adenda.

2.2 Prevalencia

En caso de conflicto o incoherencia entre esta Adenda y las disposiciones de las Cláusulas u otros acuerdos relacionados entre las Partes que existan a la fecha de formalización de esta Adenda o que se suscriban con posterioridad a la misma, prevalecerán las disposiciones que proporcionen la mayor protección a los interesados.

2.3 Incorporación de las Cláusulas

    (a) En lo que respecta a cualquier tratamiento de datos personales que esté sujeto a las Leyes de Protección de Datos de Suiza o tanto a las Leyes de Protección de Datos de Suiza como al RGPD, esta Adenda modifica el DPA incluyendo conforme se especifica con más detalle en el Anexo 3 del presente DPA en la medida necesaria para que:

      (i) se apliquen a las transferencias que el exportador de datos realice al importador de datos, en la medida en que las Leyes de Protección de Datos de Suiza o las Leyes de Protección de Datos de Suiza y el RGPD se apliquen a la actividad de tratamiento del exportador de datos al realizar dicha transferencia; y

      (ii) proporcionen las garantías adecuadas para las transferencias de conformidad con el artículo 46 del RGPD y/o el artículo 6(2)(a) de las Leyes de Protección de Datos de Suiza, según corresponda.

    (b) En la medida en que cualquier tratamiento de datos personales esté sujeto exclusivamente a las Leyes de Protección de Datos de Suiza, las modificaciones del DPA incluyendo las CCT, tal y como se especifica más detalladamente en el Anexo 3 del presente DPA y tal como exige la cláusula 2.1 de esta Adenda para Suiza, incluyen (sin limitación alguna) lo siguiente:

      (i) Las referencias a las “Cláusulas” o a las “CCT” significan esta Adenda para Suiza en su versión modificada por las CCT y

      (ii) Se sustituye la redacción de la cláusula 6 Descripción de la(s) transferencia(s) por la siguiente:

“Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, son los que se especifican en el Anexo 1 del presente DPA cuando las Leyes de Protección de Datos de Suiza se aplican al tratamiento del exportador de datos al realizar dicha transferencia.”

(iii) Las referencias a “Reglamento (UE) 2016/679” o “dicho Reglamento” o “RGPD” se sustituyen por “Leyes de Protección de Datos de Suiza” y las referencias a artículo(s) específico(s) del “Reglamento (UE) 2016/679” o “RGPD” se sustituyen por el artículo o apartado equivalente de las Leyes de Protección de Datos de Suiza en la medida en que sean aplicables.

(iv) Se suprimen las referencias al Reglamento (UE) 2018/1725.

(v) Todas las referencias a “Unión Europea”, “Unión”, “UE” y “Estado Miembro de la UE” se sustituyen por “Suiza”.

      (vi) La cláusula 13(a) y la Parte C del Anexo I no se utilizan; la “autoridad de control competente” es el Federal Data Protection and Information Commissioner (el “FDPIC”) en la medida en que las transferencias se rijan por las Leyes de Protección de Datos de Suiza;

      (vii) Se sustituye la cláusula 17 de modo que quede redactada como sigue:

“Estas Cláusulas se rigen por las leyes de Suiza en la medida en que las transferencias se rijan por las Leyes de Protección de Datos de Suiza”.

      (viii) Se sustituye la cláusula 18 de modo que quede redactada como sigue:

“Cualquier controversia que se derive de estas Cláusulas en relación con las Leyes de Protección de Datos de Suiza será resuelta por los tribunales de Suiza. El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de Suiza correspondientes a su domicilio habitual. Las Partes aceptan someterse a la competencia de dichos tribunales”.

Hasta la entrada en vigor de la versión modificada de las Leyes de Protección de Datos de Suiza, las Cláusulas protegerán también los datos personales de las personas jurídicas y éstas recibirán la misma protección en virtud de las Cláusulas que las personas físicas.

2.4 En la medida en que cualquier tratamiento de datos personales esté sujeto tanto a las Leyes de Protección de Datos de Suiza como al RGPD, el DPA, incluyendo las Cláusulas conforme se especifica más detalladamente en el Anexo 3 del presente DPA, se aplicará (i) tal cual y (ii) en la medida en que una transferencia esté sujeta a las Leyes de Protección de Datos de Suiza, asimismo, en su versión modificada por las cláusulas 2.1 y 2.3 de esta Adenda para Suiza, con la única excepción de que la cláusula 17 de las CCT no será sustituida tal y como se estipula en la cláusula 2.3(b)(vii) de esta Adenda para Suiza.

2.5 El Cliente garantiza que él mismo y/o las Filiales del Cliente han efectuado todas las notificaciones al FDPIC exigidas por las Leyes de Protección de Datos de Suiza.

─────────────────

Anexo 6
ADENDA PARA EE.UU.

De conformidad con lo dispuesto en la cláusula 14 del DPA, esta Adenda para EE.UU. se aplicará a cualquier tratamiento de Datos Personales del Cliente que esté sujeto a las Leyes de Protección de Datos de EE.UU. 

En la medida exigida por las Leyes de Protección de Datos de EE.UU., Klaviyo tendrá prohibido: 

(a) vender Datos Personales del Cliente o ponerlos a disposición de terceros a cambio de una contraprestación monetaria u onerosa;

(b) compartir Datos Personales del Cliente con terceros para publicidad comportamental cruzada;

(c) conservar, utilizar o divulgar Datos Personales del Cliente para cualquier finalidad distinta de los fines empresariales especificados en el Contrato o los permitidos por las Leyes de Protección de Datos de EE.UU.;

(d) conservar, utilizar o divulgar Datos Personales del Cliente al margen de la relación profesional directa entre las Partes; y 

(e) salvo que lo permitan las Leyes de Protección de Datos de EE.UU., combinar Datos Personales del Cliente con Datos Personales que Klaviyo reciba de otra persona o en nombre de ésta, o que recoja a través de sus propias interacciones con el interesado.