Ultimo aggiornamento: 31 marzo 2026

Termini relativi alla privacy del Programma speciale per agenzie (TAAP): Contratto da titolare a titolare (SCC incluse)

Allegato 4 (TAAP)

La versione originale in lingua inglese del presente Contratto C2C potrebbe essere stata tradotta in altre lingue. In presenza di incoerenze o di discrepanze fra la versione in lingua inglese e quella in altra lingua del presente Contratto, prevarrà la versione in lingua inglese.

AMBITO DI APPLICAZIONE:laddove Expedia e l'Affiliato trattino dati personali nell'ambito di un contratto (che può assumere la forma di termini clickwrap online) stipulato con l'altra parte (in base al quale l'Affiliato è stato nominato partner di marketing ai sensi del TAAP e tutte le iniziative intraprese in relazione a tale attività sono qui indicate come le "Attività pertinenti"), il presente contratto globale da titolare a titolare ("("Contratto C2C") ("("Contratto")e stabilisce ulteriori termini, requisiti e condizioni in base ai quali Expedia e l'Affiliato tratteranno i dati personali in relazione al Contratto. Nel presente Contratto C2C,"Expedia", "noi" e "ci"si riferiscono a Expedia, Inc. e/o a qualsiasi altra società di Expedia Group parte del Contratto. Il termine "Affiliato" si riferisce all'entità indicata nell'App come descritto nel Contratto (tutti i riferimenti a Expedia o all'Affiliato saranno interpretati al plurale nella misura richiesta dal Contratto).

1. DEFINIZIONI E INTERPRETAZIONE

1.1 Il presente Contratto C2C è soggetto ai termini del Contratto e costituisce parte integrante dello stesso. Le interpretazioni e i termini definiti nel Contratto si applicano all'interpretazione del Contratto C2C se non diversamente definito nello stesso, e

  1. i singoli termini quali misure tecniche e organizzative appropriate, titolare del trattamento, dati personali, violazione dei dati personali, trattare/trattamento e autorità di vigilanza (o termini ragionevolmente equivalenti) avranno il significato loro attribuito dalla Legge vigente sulla protezione dei dati;
  2. Legge vigente sulla protezione dei dati (anche al plurale) indica le leggi e i regolamenti applicabili in qualsiasi giurisdizione pertinente, relativamente all'utilizzo o al trattamento dei dati personali;
  3. Paese CBPR indica un Paese che è membro a pieno titolo o associato del Sistema CBPR;
  4. Parte CBPR indica un'organizzazione che possiede una certificazione in corso di validità nell'ambito del Sistema CBPR;
  5. Sistema CBPR indica il sistema globale di norme sulla privacy transfrontaliera istituito dal Global CBPR Forum;
  6. Finalità consentite indica vari scopi, tra cui (i) adempiere alle Prenotazioni; (ii) fornire supporto per le Prenotazioni; (iii) registrare e gestire gli Account TAAP; (iv) pagare Commissioni e altri importi ai sensi del Contratto; (v) generare report e svolgere qualsiasi ulteriore elaborazione necessaria per la riconciliazione, la gestione dei reclami e attività simili connesse alla gestione del Contratto; (vi) fornire supporto agli Account TAAP; (vii) comunicare con gli Iscritti a TAAP e con i Sotto-utenti; (viii) facilitare l'eventuale aggiunta di servizi o extra che possiamo rendere disponibili all'Affiliato, a condizione che l'Affiliato stesso abbia scelto di abilitare detto servizio o extra; (ix) migliorare i servizi di Expedia, compresa la tecnologia sottostante, e ottimizzare il processo completo, compresa l'esperienza di prenotazione e qualsiasi altro servizio opzionale o extra che forniamo e che l'Affiliato decide di usare; (x) creare report a fini di analisi, business intelligence e documentazione aziendale; (xi) prevenire le frodi; (xii) rispondere alle richieste provenienti dalle pubbliche autorità e alle richieste di audit delle autorità fiscali; (xiii) facilitare le transazioni riguardanti il patrimonio aziendale (che possono estendersi anche a fusioni, acquisizioni o vendite del patrimonio); (xiv) adempiere ad altro titolo agli obblighi spettanti a Expedia ai sensi del Contratto, dell'Informativa sulla privacy di Expedia e delle leggi vigenti; e (xv) determinare, calcolare e rendicontare le Tasse di viaggio e altri scopi fiscali applicabili, come può essere richiesto di volta in volta;
  7. DPF indica il quadro normativo UE-USA in materia di protezione dei dati e/o il quadro normativo per la protezione dei dati Svizzera-USA o qualsiasi programma di autocertificazione successivo gestito dal Dipartimento del Commercio degli Stati Uniti d'America e approvato di volta in volta dalla Commissione europea e che non sia stato invalidato (in ciascun caso, sono incluse l'estensione del Regno Unito al quadro normativo UE-USA in materia di protezione dei dati e l'eventuale estensione decisa da qualsiasi altro Paese che consenta l'applicazione del suddetto quadro normativo a tale Paese);
  8. Paese DPF indica un Paese del SEE, il Regno Unito, la Svizzera e qualsiasi altro Paese o regione le cui autorità competenti abbiano accettato di estendere la portata del DPF a tale Paese o regione;
  9. SEEindica lo Spazio economico europeo; Paese con limiti al trasferimento indica qualsiasi Paese dello Spazio economico europeo, la Svizzera, il Regno Unito, il Brasile, la Thailandia e l'Arabia Saudita;
  10. Dati con limiti al trasferimento indica i Dati personali TAAP relativi a una Prenotazione effettuata tramite un point of sale (POS) a cui un individuo può accedere in un Paese con limiti al trasferimento;
  11. Clausole contrattuali tipo o SCC indica le clausole contrattuali tipo approvate dalla Commissione europea per il trasferimento di dati personali dall'Unione europea verso Paesi terzi, emesse il 4 giugno 2021 e come modificate, sostituite, integrate o superate di volta in volta, la cui versione completa e aggiornata è disponibile al seguente link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; e
  12. Dati personali TAAP indica i dati personali forniti a Expedia dall'Affiliato tramite il Sito web TAAP o in altro modo elaborati in relazione al programma TAAP o per facilitare le Prenotazioni effettuate tramite il Sito web TAAP.
RELAZIONE TRA LE PARTI

1.2 L'Affiliato ed Expedia raccoglieranno e tratteranno i dati personali al fine di adempiere i rispettivi obblighi previsti dal Contratto oltre che per le responsabilità loro spettanti ai sensi delle leggi vigenti. Pertanto, ciascuna delle Parti: (i) tratterà i dati personali come titolare del trattamento indipendente e autonomo; (ii) rispetterà la Legge vigente sulla protezione dei dati e (iii) sarà responsabile di tutti i propri atti o omissioni che costituiscano violazione della Legge vigente sulla protezione dei dati.

RESPONSABILITÀ DELL'AFFILIATO

1.3 In particolare, l'Affiliato è tenuto a:  

  1. soddisfare una base giuridica al fine di mettere i Dati personali TAAP forniti dall'Affiliato a disposizione di Expedia per il trattamento in vista delle Finalità consentite;
  2. assicurare che i Clienti finali siano consapevoli, tramite l'Informativa sulla privacy di Expedia e altri mezzi appropriati, che i loro dati personali saranno condivisi con Expedia per le Finalità consentite;
  3. invitare i Clienti finali a consultare l'Informativa sulla privacy di Expedia per ulteriori informazioni su come questa gestisce i loro dati personali;
  4. collaborare e fornire ragionevole assistenza a Expedia per aiutarla a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di Expedia dei Dati personali TAAP in relazione a questo Contratto; e
  5. soddisfare una base giuridica per inviare comunicazioni di marketing ai Clienti.
RESPONSABILITÀ DI EXPEDIA

1.4 Expedia (e i Membri di Expedia Group, quando applicabile) dovranno:

  1. trattare i Dati personali TAAP esclusivamente in relazione alle Finalità consentite;
  2. non divulgare a terzi, né interamente né in parte, i Dati personali TAAP, se non in relazione a una delle Finalità consentite;
  3. collaborare e fornire ragionevole assistenza all'Affiliato per aiutarlo a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di quest'ultimo dei Dati personali TAAP; e
  4. esporre la Politica sui cookie aggiornata (se richiesta) e l'Informativa sulla privacy di Expedia sul Sito web TAAP e conformarsi con esse.
CLIENTI E TERZI

1.5 L'Affiliato riconosce che Expedia:

  1. può inviare e-mail ai Clienti finali con riferimento alle Prenotazioni;
  2. può trasferire i Dati personali TAAP (inclusi i dati bancari) ai fornitori terzi di Expedia che operano al fine di:
    1. gestire, amministrare e fornire supporto agli Account TAAP dell'Affiliato, dei suoi Rappresentanti e dei suoi Sotto-utenti;
    2. fornire assistenza per le Prenotazioni; e
    3. pagare la Commissione e gli altri importi previsti dal Contratto.
SICUREZZA DEI DATI E VIOLAZIONI

1.6 L'Affiliato ed Expedia, nella rispettiva veste di titolari del trattamento, concordano su quanto segue: entrambe le Parti dovranno mantenere misure tecniche e organizzative appropriate per proteggere i dati personali TAAP trattati da ciascuna di loro da possibili violazioni; e

  1. qualora i sistemi che si trovano in possesso o sotto il controllo di una delle Parti siano interessati da una violazione confermata dei dati personali, la Parte in questione dovrà comunicarlo prontamente all'altra Parte, fornendone i dettagli completi, qualora tale violazione (i) influisca sui Dati personali TAAP trattati anche dall'altra Parte ai sensi del Contratto e (ii) debba essere comunicata a un'autorità di vigilanza. In tal caso, entrambe le Parti collaboreranno ragionevolmente e in buona fede al fine di porre rimedio o mitigare gli effetti di tale violazione dei dati personali; i costi ragionevoli di tale collaborazione verranno sostenuti dalla Parte che ha subito la violazione in questione.
TRASFERIMENTI DI DATI TRANSFRONTALIERI

1.7 Trasferimenti di dati transfrontalieri.

Le Parti convengono e accettano che nella presente Clausola 1.7, ovunque venga utilizzato il termine "trasferimento", esso comprende l'accesso fornito da un titolare o responsabile del trattamento a un altro titolare o responsabile del trattamento, e:

  1. Disposizioni generali: nessuna delle Parti trasferirà (e non permetterà a terzi di trasferire) i Dati personali TAAP al di fuori del territorio di origine, a meno che tale Parte non adotti tutte le misure di conformità richieste per consentire legalmente tale trasferimento in conformità con la Legge vigente sulla protezione dei dati.
  2. Regione Asia-Pacifico e CBPR: 

    1. Le Parti convengono e accettano che:

      1. una Parte CBPR è vincolata da una serie di obblighi legalmente applicabili per fornire una protezione equivalente a quella fornita dalle Leggi vigenti sulla protezione dei dati; e
      2. Expedia è una Parte CBPR.

      Nel caso in cui il Partner sia anch'esso una Parte CBPR, le disposizioni del presente paragrafo (b) saranno interpretate come applicabili in modo bidirezionale.

    2. Fermo restando il seguente paragrafo (iii), le Parti convengono che qualora:

      1. i Dati personali TAAP vengano trasferiti da un Paese CBPR a un altro Paese CBPR; e
      2. l'importatore dei dati sia una Parte CBPR,

      allora, nella misura in cui e fintanto che il Sistema CBPR sia un metodo di trasferimento riconosciuto da un'autorità di vigilanza competente, il Sistema CBPR sarà il meccanismo concordato per i trasferimenti transfrontalieri dei Dati personali TAAP a tale Parte CBPR.

    3. Il Sistema CBPR sarà valido unicamente per i trasferimenti che prevedono che almeno una delle Parti situata nella regione Asia-Pacifico sia anche un Paese CBPR.

    4. Expedia conferma che fornirà ai Dati personali TAAP almeno lo stesso livello di protezione richiesto dal Sistema CBPR e che, se del caso, informerà tempestivamente l'altra Parte in merito alla decisione di non poter più fornire tale livello di protezione. Qualora ciò avvenga, o nel caso in cui l'altra Parte ritenga ragionevolmente che Expedia non stia fornendo la protezione dei Dati personali TAAP prevista dagli standard richiesti dal Sistema CBPR, l'altra Parte può:

      1. richiedere a Expedia di adottare misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato, nel qual caso le Parti collaboreranno prontamente in buona fede per identificare, concordare e attuare tali misure;
      2. concordare una modalità di tutela alternativa che possa essere applicata al trattamento ai sensi della Legge vigente sulla protezione dei dati; oppure
      3. nel caso in cui le misure (A) e (B) non riescano a risolvere il problema, recedere dal presente Contratto C2C e dal Contratto (o, a discrezione dell'altra Parte, da qualsiasi porzione interessata dello stesso) senza che venga applicata alcuna penale, dandone comunicazione a Expedia.

      Se anche l'altra Parte è in possesso di una certificazione del Sistema CBPR in corso di validità, le disposizioni di cui sopra saranno considerate come se gli obblighi fossero reciproci.

  3. DPF: le Parti concordano che, per quanto riguarda i trasferimenti di Dati con limiti al trasferimento tra le Parti verso gli Stati Uniti o un Paese non ritenuto "adeguato" ai sensi delle Leggi vigenti sulla protezione dei dati applicate nel Paese con limiti al trasferimento originario:
    1. nella misura in cui e fintanto che il DPF sia un metodo di trasferimento riconosciuto da un'autorità competente, il DPF sarà il meccanismo concordato per i trasferimenti transfrontalieri di dati da un Paese con limiti al trasferimento a Expedia negli Stati Uniti; e
    2. ii. nella misura in cui e fintanto che il DPF non sia un metodo di trasferimento valido (anche per i trasferimenti di Dati con limiti al trasferimento verso un Paese non ritenuto "adeguato" ai sensi della Legge vigente sulla protezione dei dati applicata nel Paese con limiti al trasferimento originario), le SCC si applicheranno a tali trasferimenti e le Parti vi aderiranno secondo quanto indicato nel seguente paragrafo (h). Qualora l'Affiliato sia anche titolare di una certificazione DPF in corso di validità, i trasferimenti di Dati con limiti al trasferimento all'Affiliato possono svolgersi in modo analogo ai sensi del DPF impiegando le SCC come meccanismo alternativo, come indicato nel presente paragrafo; tutti i paragrafi pertinenti sul DPF saranno interpretati come applicabili in modo bidirezionale.
  4. Per quanto riguarda il DPF, Expedia accetta di fornire lo stesso livello di protezione richiesto dal DPF. Se l'Affiliato ritiene a ragione che Expedia non stia fornendo una protezione adeguata dei Dati con limiti al trasferimento secondo gli standard richiesti dal DPF, Expedia potrà:
    1. fare affidamento alle SCC come riportato nel seguente paragrafo (h);
    2. qualora le SCC non siano una soluzione praticabile o appropriata, proporre all'Affiliato misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato, che implementeremo in buona fede utilizzando sforzi commercialmente ragionevoli; oppure
    3. qualora i metodi alternativi di cui ai paragrafi (i) o (ii) di cui sopra non siano praticabili, risolvere il presente Contratto C2C e il Contratto senza che venga applicata alcuna penale.
  5. Se l'Affiliato è certificato ai sensi del DPF, sarà tenuto a rispettare i Principi di notifica e scelta del DPF (come definiti nel DPF UE-USA). A scanso di equivoci, se l'Affiliato non è in possesso di certificazione DPF oppure non accede o riceve i Dati con limiti al trasferimento in un Paese ritenuto "adeguato" dalla Commissione europea, verrà fatto affidamento alle SCC per i trasferimenti di Dati con limiti al trasferimento da Expedia all'Affiliato.
  6. Le Parti concordano che possono divulgare il presente Contratto C2C e qualsiasi disposizione pertinente in materia di privacy contenuta nello stesso al Dipartimento del Commercio degli Stati Uniti, alla Federal Trade Commission, a qualsiasi autorità europea per la protezione dei dati o a qualsiasi altro organo giudiziario o normativo degli Stati Uniti o dell'UE su loro richiesta e che tale divulgazione non sarà considerata una violazione della riservatezza.
  7. Estensione delle SCC ai Paesi senza limiti al trasferimento: I  in relazione ai trasferimenti di Dati personali TAAP tra le Parti che abbiano origine da un Paese che non figura come Paese con limiti al trasferimento ma è comunque soggetto a tutela da applicare obbligatoriamente, secondo la Legge vigente sulla protezione dei dati, prima di poter trasferire tali Dati personali TAAP al di fuori del Paese di origine (ciascuno definito come Paese senza limiti al trasferimento), ), le Parti concordano che:
    1. le SCC di cui al seguente paragrafo (h) sono da intendersi come estese a tali trasferimenti aggiuntivi nella misura in cui tale estensione soddisfi i criteri di tutela di quel particolare Paese; e/o
    2. laddove le misure di cui al seguente paragrafo (h) siano insufficienti o richiedano misure supplementari, le Parti concordano di adottare tali misure supplementari, come, ad esempio, l'esecuzione di documenti pertinenti, la raccolta del consenso e l'effettuazione delle registrazioni richieste, come richiesto di volta in volta al fine di soddisfare la Legge vigente sulla protezione dei dati.

  8. SSC: fermi restando i paragrafi precedenti della Clausola 1.7, le Parti convengono di sottoscrivere le SCC incorporate per riferimento nel Contratto lasciandole invariate, salvo per quanto segue:

    1. laddove il Partner sia situato all'interno dello Spazio economico europeo o comunque in un Paese ritenuto "adeguato" ai sensi dell'Articolo 45 del GDPR (Paese adeguato), il Modulo uno (1) delle SCC si applicherà solo in modo unidirezionale relativamente ai trasferimenti dall'Affiliato a Expedia. In caso contrario, il Modulo uno (1) si applica in modo bidirezionale per coprire sia i trasferimenti da Expedia all'Affiliato, sia quelli dall'Affiliato a Expedia.
    2. Ai fini della Clausola 11(a) delle SCC, la lingua opzionale viene eliminata.
    3. Ai fini della Clausola 13 delle SCC, il relativo paragrafo è "L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27(1) del regolamento (UE) 2016/679, come indicato nell'allegato I.C, agisce come autorità di vigilanza competente".
    4. Ai fini della Clausola 17 delle SCC, la legge applicabile è quella dell'Irlanda.
    5. Ai fini della Clausola 18(b) delle SCC, la selezione del foro competente spetta all'Irlanda.

    6. Dati con limiti al trasferimento. È stata aggiunta alle SCC la Clausola 19 relativa ai trasferimenti di dati personali provenienti da Regno Unito, Svizzera, Brasile, Arabia Saudita o Thailandia verso un Paese non considerato adeguato ai sensi della Legge vigente sulla protezione dei dati del Paese di origine, né comunque esente dall'obbligo di rispetto delle clausole contrattuali tipo, come segue:

      “Clausola 19

      Trasferimenti da Regno Unito, Svizzera, Brasile, Arabia Saudita e Thailandia

      Le Parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti extraterritoriali che rientrano nell'ambito di applicazione della Legge di riferimento sulla tutela della privacy (indicati nella presente Clausola come Trasferimenti di riferimento). Ai fini di tali Trasferimenti di riferimento, la legge applicabile sarà la Legge di riferimento sulla tutela della privacy, il foro competente sarà quello del Paese di riferimento e l'Autorità di vigilanza di riferimento sarà l'autorità di vigilanza competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un Trasferimento di riferimento saranno considerate necessarie dall'Autorità di vigilanza di riferimento per conformarsi alle Leggi di riferimento sulla tutela della privacy, e che le Clausole saranno interpretate in conformità ai requisiti per i Trasferimenti di riferimento derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'Autorità di vigilanza di riferimento, senza che le Parti debbano stipulare clausole contrattuali tipo separate redatte appositamente per i loro Trasferimenti di riferimento. Le Parti si impegnano inoltre a compiere tutti gli atti e le misure necessari a garantire il rispetto della Legge di riferimento sulla tutela della privacy nel corso dei Trasferimenti di riferimento.

      Paese

      Legge di riferimento sulla tutela della privacy   

      Trasferimento di riferimento

      Legge vigente di riferimento 

      Paese di riferimento

      Autorità di vigilanza di riferimento   

      Regno Unito

      GDPR and Data Protection Act 2018 del Regno Unito

      Trasferimento dal Regno Unito

      Regno Unito

      Regno Unito

      Commissario per le informazioni del Regno Unito (ICO)

      Svizzera

      Legge federale sulla protezione dei dati (LPD)

      Trasferimento dalla Svizzera

      Svizzera

      Svizzera

      Incaricato federale della protezione dei dati e della trasparenza (IFPDT)

      Brasile

      Legge generale brasiliana sulla protezione dei dati n. 13709/18 (Lei Geral de Proteção de Dados)

      Trasferimento dal Brasile

      Brasile

      Brasile

      Autorità nazionale brasiliana per la protezione dei dati (ANDP)/span>

      Arabia Saudita

      Legge sulla tutela dei dati personali

      Trasferimento dall'Arabia Saudita

      Arabia Saudita

      Arabia Saudita

      Autorità saudita per i dati e l'intelligenza artificiale (SDAIA)

      Thailandia

      Legge sulla protezione dei dati personali B.E. 2562 (2019) (PDPA)

      Trasferimento dalla Thailandia

      Thailandia

      Thailandia

      Comitato per la protezione dei dati personali

      e:

      1. tutti i riferimenti alla Legge di riferimento sulla tutela della privacy indicano le leggi di riferimento così come modificate, integrate o sostituite di volta in volta;
      2. tutti i riferimenti a un'Autorità di vigilanza di riferimento indicano l'autorità di riferimento o qualsiasi organismo successore;
      3. in relazione al Regno Unito, si applicheranno le disposizioni dell'Addendum sul trasferimento internazionale di dati alle Clausole contrattuali tipo della Commissione europea (Addendum).”

    7. Trasferimenti da Paesi terzi: viene aggiunta una nuova Clausola 20 per coprire i trasferimenti di dati personali da qualsiasi altro Paese finora non specificato in cui le SCC possono essere estese per garantire la tutela adeguata di trasferimenti di dati personali provenienti da tale Paese a una parte situata al di fuori dello stesso come segue:

      “Clausola 20

      Trasferimenti da altri Paesi terzi

      Le Parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, ai trasferimenti transfrontalieri che rientrano nell'ambito di applicazione di qualsiasi altra legge e regolamento vigente in qualsiasi giurisdizione pertinente, in relazione all'utilizzo o al trattamento dei dati personali (Leggi vigenti sulla protezione dei dati), che richiedono termini e tutele ampiamente equivalenti alle presenti Clausole al fine di trasferire i dati personali da tale Paese (indicato nella presente Clausola come Paese terzo) a un altro (indicato nella presente Clausola come Trasferimento da un Paese terzo). ).Ai fini di tali trasferimenti da Paesi terzi, la legge applicabile sarà quella del Paese terzo, il foro competente sarà quello del Paese terzo e l'autorità per la protezione dei dati o l'organismo di regolamentazione di tale Paese sarà l'autorità di vigilanza competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un Trasferimento da un Paese terzo saranno considerate necessarie da tale autorità di vigilanza per conformarsi alla Legge vigente sulla protezione dei dati di tale Paese terzo, e che le Clausole saranno interpretate in conformità ai requisiti per i Trasferimenti da un Paese terzo derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'autorità di vigilanza competente, senza che le Parti debbano stipulare clausole contrattuali tipo separate redatte appositamente per i loro Trasferimenti da un Paese terzo. Le Parti si impegnano inoltre a compiere tutti gli atti e le misure necessari a garantire il rispetto delle Leggi vigenti sulla protezione dei dati nel corso dei Trasferimenti da Paesi terzi".

    8. In relazione alle SCC sopra citate, esse troveranno applicazione al trattamento dei dati come segue:
      1. ciascuna Parte che agisce in qualità di esportatore o importatore dei dati ai sensi delle SCC sarà considerata come se avesse sottoscritto le SCC a proprio nome e per proprio conto.
      2. L'Allegato 1 (Panoramica sul trattamento in base alle SCC) al presente Contratto C2C costituisce l'Allegato 1 alle SCC.
      3. L'Allegato 2 (Misure tecniche e organizzative) al presente Contratto C2C costituisce l'Allegato 2 alle SCC e si applica solo a Expedia laddove (a) si applichino solo SCC unidirezionali ai trasferimenti di Dati con limiti al trasferimento dall'Affiliato a Expedia; oppure (b) il Partner abbia fornito adeguate misure tecniche e organizzative, accettate da Expedia, per soddisfare i requisiti dell'Allegato 2 alle SCC in capo al Partner. Nel caso in cui le suddette condizioni non siano soddisfatte, l'Allegato 2 sarà interpretato come applicabile a entrambe le Parti e tutti i riferimenti a Expedia ed Expedia Group saranno interpretati come riferimenti a ciascuna parte su base contestuale.
      4. L'Addendum al presente Contratto C2C costituisce l'Addendum per il Regno Unito ai fini delle SCC. In caso di conflitto tra una qualsiasi clausola del presente Contratto e le SCC, prevarranno le SCC.

    1.8 PCI. 

    L’Affiliato dichiara e garantisce che:

    1. otterrà, utilizzerà, trasmetterà e memorizzerà i dati dei titolari di carte di credito dei Clienti finali solo nella misura necessaria per assolvere agli obblighi previsti dal Contratto e dal presente Contratto C2C;
    2. qualora ottenga, utilizzi, trasmetta, memorizzi o elabori i dati dei titolari di carte di credito dei Clienti finali, rispetterà tutti i requisiti PCI DSS emessi dal PCI Security Standards Council e i relativi aggiornamenti;
    3. fornirà a Expedia una copia della propria certificazione di conformità annuale; e
    4. comunicherà senza indugio a Expedia eventuali violazioni dei requisiti PCI DSS o qualsiasi violazione dei dati personali riguardante i dati dei titolari di carte di credito dei Clienti finali.

    Expedia riconosce di essere responsabile della sicurezza dei dati dei titolari di carte di credito che possiede, memorizza, elabora o trasmette e si impegna a rispettare gli standard PCI DSS emessi dal PCI Security Standards Council e i relativi aggiornamenti. Expedia fornirà all'Affiliato, su richiesta, una copia del proprio certificato di conformità annuale.

    1.9 Comunicazioni. 

    1. Qualsiasi comunicazione ai sensi del presente Contratto C2C sarà ritenuta valida se inviata via e-mail ai contatti forniti da una parte all'altra per tali finalità, in conformità alle disposizioni sulle comunicazioni riportate nel Contratto. Nel caso di Expedia, ciò richiede l'invio di una e-mail all'Account manager o al Relationship manager di volta in volta, con copia inviata all'indirizzo e-mail per la privacy[S(3.1] di Expedia di volta in volta.

     

    ALLEGATO I – PANORAMICA SUL TRATTAMENTO IN BASE ALLE SCC
    MODULO UNO: da titolare a titolare (dall'Affiliato a Expedia)
    A. ELENCO DELLE PARTI

    Esportatore/i dei dati:

    Parte

    La Parte (o le Parti) identificata/e come "Affiliato", Iscritto al TAAP o termini equivalenti

    Indirizzo

    Come specificato nel Contratto

    Nome del contatto, ruolo e recapiti di tutte le parti di Expedia Group

    La comunicazione è ritenuta valida quando viene inviata una e-mail all'Account manager o al Relationship manager usando l'indirizzo e-mail fornito a Expedia di volta in volta

    Attività relative ai dati trasferiti ai sensi delle SCC

     

     

    • Attività pertinentiossia:
    • Prenotazioni effettuate tramite il Sito web TAAP messo a disposizione da Expedia all'Affiliato nonché le attività correlate in conformità al Contratto e al Contratto C2C
    • Per le Finalità consentite in conformità con il Contratto e il Contratto C2C
    • Servizi aggiuntivi su richiesta, tra cui servizi di marketing e comunicazione, servizi di Single Sign-On e integrazione dei programmi di fidelizzazione dei partner.

     

    Mansione

    Titolare

    Importatore/i dei dati:  

    Parte

    Le parti non UE identificate come "noi" o "Expedia" nel Contratto

    Indirizzo

    Come specificato nel Contratto

    Nome, ruolo e recapiti del referente

    La comunicazione è ritenuta valida quando viene inviata una e-mail sia (1) all'Account manager o al Relationship manager, sia (2) all'indirizzo e-mail per la privacy di Expedia, in ogni caso usando gli indirizzi e-mail forniti al Partner di volta in volta

    Attività relative ai dati trasferiti ai sensi delle presenti Clausole

    Prenotazioni effettuate tramite il Sito web TAAP messo a disposizione da Expedia all'Affiliato in conformità al Contratto

    Mansione

    Titolare.

     

    A. DESCRIZIONE DEL TRASFERIMENTO

     

    Categorie di interessati

    Iscritti al TAAP e loro Sotto-utenti

    Categorie di dati personali

    Agenzia di host/Managing account:  

    Dati identificativi:

    • Nome commerciale dell'agenzia
    • Tipo di accreditamento di viaggio (IATA/ARC/CLIA/True ID/Altro) e numero
    • Numero di iscrizione al registro delle imprese

    Recapiti:

    • URL del sito web dell'agenzia (obbligatorio in Canada e in Italia; facoltativo altrove)
    • Indirizzo (via, città, stato/provincia, codice postale, Paese)
    • Numero di telefono dell'agenzia
    • Numero di fax (richiesto solo in Giappone)

    Dati finanziari

    • Nome sul conto bancario
    • Numero di conto bancario
    • Dati bancari
    • Dettagli della carta di pagamento
    • N° partita IVA/codice fiscale

    Singoli agenti o Sotto-utenti:  

    Dati identificativi:

    • Nome e cognome dell'agente
    • Nome commerciale dell'agenzia (agenzia dell'agente, se applicabile)
    • Nome dell'agenzia di host (agenzia a cui l'agente è affiliato)
    • Nome commerciale dell'agenzia
    • Tipo di accreditamento di viaggio (IATA/ARC/CLIA/True ID/Altro) e numero
    • Numero di iscrizione al registro delle imprese

    Recapiti:

    • Indirizzo (via, città, stato/provincia, codice postale, Paese)
    • Numero di telefono dell'agenzia

    Informazioni di viaggio:

    • Cronologia delle prenotazioni e preferenze di viaggio

    Informazioni sul viaggio e sulla sistemazione per facilitare il prelievo o il trasporto di persone, compresi l'hotel del Cliente finale, le informazioni su arrivo e partenza (data, ora, metodo e luoghi di destinazione e prelievo).

    Altre informazioni (richieste e concordate con l'Iscritto a TAAP, inclusi, ad esempio, i dati personali richiesti in relazione a):

    • Reporting, monitoraggio e analisi (compresi i dati sulle commissioni e sulle prenotazioni)
    • Single sign-on og loyalitetsprogrammer
    • Corrispondenza

    Dati sensibili

    Nessuno, a meno che non siano forniti volontariamente da una persona per soddisfare le sue esigenze di accessibilità per gli spostamenti.

    Frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o in modo continuativo).

    Su base continuativa o ad hoc in base alle esigenze dell'attività degli Iscritti al TAAP.

    Natura del trattamento

    Tutte le operazioni di trattamento necessarie per facilitare le finalità indicate di seguito.

    Finalità del trasferimento e dell'ulteriore trattamento dei dati

    Finalità consentite, come definite nel Contratto

    Periodo previsto per la conservazione dei dati personali oppure, se ciò non è possibile, criteri utilizzati per determinare tale periodo

    In conformità alla politica di conservazione di Expedia Group e nella misura in cui i Dati personali TAAP vengano conservati oltre il periodo di validità del Contratto per motivi di backup o legali, Expedia continuerà a proteggere tali dati in conformità al Contratto

    Per i trasferimenti ai (sub-)responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

    https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List, aggiornato periodicamente

    Categorie di interessati

    Clienti

    Categorie di dati personali

    Dati identificativi:

    • nome e cognome e
    • programma e numero Frequent Flyer (voli)
    • Numero TSA (solo per gli USA)

    Recapiti:

    • indirizzo e-mail
    • recapiti telefonici (fisso e mobile)
    • data di nascita (per i voli)
    • nazionalità (dal passaporto)

    Dettagli finanziari:

    • dettagli della carta di pagamento
    • codice fiscale (Brasile: solo POSa)

    Dati sensibili

    Nessuno, a meno che non siano forniti volontariamente da una persona per soddisfare le sue esigenze di accessibilità per gli spostamenti.

    Frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o in modo continuativo).

    Su base continuativa o ad hoc in base alle esigenze dell'attività degli Iscritti al TAAP.

    Natura del trattamento

    Tutte le operazioni di trattamento necessarie per facilitare le finalità indicate di seguito.

    Finalità del trasferimento e dell'ulteriore trattamento dei dati

    Finalità consentite, come definite nel Contratto

    Periodo previsto per la conservazione dei dati personali oppure, se ciò non è possibile, criteri utilizzati per determinare tale periodo

    In conformità alla politica di conservazione di Expedia Group e nella misura in cui i Dati personali TAAP vengano conservati oltre il periodo di validità del Contratto per motivi di backup o legali, Expedia continuerà a proteggere tali dati in conformità al Contratto

    Per i trasferimenti ai (sub-)responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

    https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List , aggiornato periodicamente

     

    B. AUTORITÀ DI VIGILANZA COMPETENTE

    Autorità irlandese per la protezione dei dati

     

    MODULO UNO: da titolare a titolare (da Expedia all'Affiliato)

    A. ELENCO DELLE PARTI

    Esportatore/i dei dati:  

    La Parte (o le Parti) identificata/e come Importatore dei dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

     

    Importatore/i dei dati:

    La Parte (o le Parti) identificata/e come Esportatore dei dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

    B. DESCRIZIONE DEL TRASFERIMENTO
    • Categorie di interessati
    • Categorie di dati personali
    • Dati sensibili

    Come da Modulo uno (1)

    • Frequenza del trasferimento
    • Natura del trattamento
    • Finalità

    Come da Modulo uno (1)

    Periodo previsto per la conservazione dei dati personali oppure, se ciò non è possibile, criteri utilizzati per determinare tale periodo

    In conformità alla politica di conservazione degli Iscritti al TAAP

    Per i trasferimenti ai (sub-)responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

    Non applicabile

     

    C. AUTORITÀ DI VIGILANZA COMPETENTE

    Come da Modulo uno (1)

     

    ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE  

    Le misure tecniche e organizzative applicabili a noi/a Expedia ai fini dell'Allegato uno (1), Parte uno (1) sono indicate di seguito. Tali misure si applicano anche al Partner, in conformità al Contratto C2C, nei casi in cui il Partner sia un Importatore dei dati ai sensi delle SCC per qualsiasi trasferimento di dati personali pertinente e non abbia fornito una serie di misure alternative che siano state accettate da Expedia.

    OGGETTO

    MISURA

    Misure di pseudonimizzazione e crittografia dei dati personali  

    • Expedia Group supporta i protocolli di crittografia standard del settore per la trasmissione dei dati basati sullo Standard di classificazione e trattamento delle informazioni di Expedia Group.
    • I requisiti per il trattamento dei dati si basano sulle singole categorie. A seconda dei dati trattati, Expedia Group applica requisiti di sicurezza diversi. Ad esempio, i dati delle carte di credito sono considerati altamente sensibili e devono essere crittografati sia in transito che a riposo.
    • I dati personali del cliente (e dei suoi dipendenti) vengono pseudonimizzati (e resi anonimi) da Expedia Group quando possibile e come richiesto in base agli Standard di classificazione e trattamento delle informazioni di Expedia Group.
    • I numeri delle carte di credito sono tokenizzati o pseudonimizzati per eliminare l'elaborazione dei numeri delle carte di credito in chiaro.
    • Expedia Group utilizza connessioni crittografate tramite VPN, SSL, ecc. e utilizza meccanismi di autenticazione a più fattori.

    Misure per garantire in via continuativa la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

    • Expedia Group definisce responsabilità e procedure per la gestione e il funzionamento di tutte le strutture di elaborazione delle informazioni, al fine di garantire un trattamento completo, valido e accurato dei dati.
    • È previsto il monitoraggio delle principali strutture di elaborazione con un valido programma SOX in cui i controlli sul trattamento e sull'integrità dei dati sono verificati e attestati in via continuativa.
    • I sistemi di Expedia Group sono dotati di accesso e monitoraggio standard per garantire e proteggere da accessi, modifiche e/o cancellazioni non autorizzati.
    • Expedia Group garantisce la resilienza del servizio attraverso un'architettura ridondante, la replica dei dati e il controllo dell'integrità.

    Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico

    • I sistemi di Expedia Group sono progettati specificamente per impedire o prevenire gli attacchi più comuni e garantire la disponibilità per il funzionamento, il monitoraggio e la manutenzione. A tal fine, Expedia Group esegue regolarmente test e verifiche simulate per confermare la disponibilità dei suoi sistemi.
    • I server sono dotati di patch in base alla rigorosa politica di patching di Expedia Group e sono protetti da programmi AV/AM standard del settore. Inoltre, vengono condotte valutazioni della vulnerabilità, test approfonditi e revisioni della rete per garantire il mantenimento in buone condizioni dei sistemi di Expedia Group.
    • È previsto il monitoraggio della disponibilità e dell'affidabilità per garantire che i siti Expedia rimangano online, con interruzioni minime del servizio.
    • Expedia Group prevede un piano di ripristino di emergenza che tiene conto di urgenze e piani di emergenza in base alla gravità per garantire che i servizi ai clienti non subiscano interruzioni e siano verificati regolarmente per garantirne l'operatività.

    Processi per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

    • Le misure tecniche e organizzative di Expedia Group sono verificate annualmente da valutatori esterni e da rigorosi test interni.
    • Expedia Group effettua valutazioni annuali del PCI utilizzando un valutatore esterno e garantisce la conformità costante al PCI.
    • La funzione di verifica interna di Expedia Group comprende test di vulnerabilità trimestrali, test di penetrazione interni ed esterni, scansioni e revisioni di reti, sistemi e firewall. Inoltre, un dipartimento di audit interno conduce annualmente valutazioni del rischio per dare priorità agli audit operativi.

    Misure per l'identificazione e l'autorizzazione degli utenti

    Misure per la protezione dei dati durante la trasmissione

    Misure per la protezione dei dati durante la conservazione

    • I sistemi di Expedia Group sono in linea con le best practice del settore e prevedono pratiche di comunicazione quali sessioni di time-out, protocolli di blocco e rigorosi controlli delle password e dell'autenticazione.
    • Expedia Group mantiene requisiti per il provisioning e la supervisione degli account al fine di prevenire l'accesso non autorizzato o l'uso improprio delle informazioni di Expedia Group e utilizza le best practice del settore, come il principio di accesso con privilegi minimi, ID univoci e autenticazione a più fattori per scopi di autenticazione avanzata.

    Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali

    • Un centro operativo per la sicurezza fornisce una copertura 24 ore su 24, 7 giorni su 7, con un piano formale di risposta agli incidenti rivisto e testato almeno una volta l'anno.
    • Tutti i sistemi sono regolarmente controllati e testati da fornitori di servizi esterni.
    • Ogni cliente di Expedia Group riceve un proprio ID cliente. Tutti i set di dati del rispettivo cliente sono archiviati con questo ID e tutti i dati del cliente sono logicamente separati. A causa dei diritti di amministrazione e delle strutture dei database, il cliente può accedere solo ai set di dati assegnati a quell'ID utente e ai data center o controlli AWS.
    • Solo le persone espressamente autorizzate da Expedia e che hanno "necessità di sapere" possono accedere ai dati personali. Sono in atto controlli e monitoraggi per garantire l'accesso con privilegi minimi e prevenire tentativi di accesso non autorizzati al sistema.

    Misure per garantire l'accesso agli eventi

    Expedia Group prevede rigorosi requisiti per l'accesso e la vigilanza in termini di chi, cosa, dove e quando, nonché obiettivo, fonte e successo o fallimento dell'evento registrato.

    Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita

    Misure per la governance e la gestione interna dell'IT e della sicurezza informatica

    Misure per la certificazione o il controllo di processi e prodotti

    • Il programma di sicurezza informatica di Expedia Group (EG) è in linea con i quadri normativi e gli standard del settore e opera attraverso il programma di gestione del rischio per garantire un grado di sicurezza valido e completo. Expedia Group mantiene in atto processi operativi sicuri per supportare la sicurezza, la disponibilità, l'integrità e la riservatezza dell'ambiente e dei dati dei clienti.
    • Gli standard d'infrastruttura di Expedia Group abilitano solo i componenti di sistema, i servizi e i protocolli che rispondono a un'esigenza aziendale. I sistemi operativi, i database e le applicazioni disponibili sul mercato devono:
      • essere individuabili per soddisfare i requisiti di audit legali e normativi;
      • supportare strumenti di gestione della configurazione o implementare una gestione della configurazione tale da applicare con successo i controlli di sicurezza;
      • abilitare la crittografia per tutti gli accessi amministrativi remoti a un sistema; e
      • Mostrare l'uso corretto del sistema e/o il suo monitoraggio per rilevare usi impropri e altre attività illecite. Non sussiste alcuna aspettativa di privacy durante l'utilizzo del sistema.
    • Expedia Group adotta una strategia di sicurezza multilivello, anche nota come difesa in profondità. Funzionalità e controlli critici sono presenti in tutta l'azienda (ad esempio antimalware, WAF, segmentazione della rete, DLP, ecc.) attraverso l'adozione di una serie di politiche, operazioni e tecnologie per garantire che l'ambiente sia monitorato tramite un'organizzazione centralizzata per la sicurezza e che gli avvisi vengano gestiti di conseguenza.
    • I sistemi di Expedia sono ospitati su Amazon Web Services (AWS) e in centri dati che forniscono a Expedia Group report annuali SOC 2 per garantire la conformità.

    Misure per garantire la minimizzazione dei dati

    Misure per garantire la qualità dei dati

    Misure per garantire la conservazione limitata dei dati Misure per garantire la responsabilità

    • Minimizzazione: Expedia Group garantisce la raccolta, l'elaborazione e l'archiviazione di una quantità minima di dati. Utilizziamo il formato identificabile solo se necessario.
    • Conservazione: la politica di conservazione dei dati di Expedia Group stabilisce backup e periodi di conservazione diversi a seconda della categoria dei dati, includendo eventuali obblighi legali o altre esenzioni che richiedono la conservazione di tali dati fino all'estinzione di obblighi legali specifici, come ad esempio quelli fiscali e contabili.
    • Qualità: Expedia Group dispone di un programma di gestione della qualità formalizzato, il programma CEM (Customer Experience Management). Ci sforziamo costantemente di migliorare l'ambiente di Expedia Group e ci adoperiamo per semplificare i processi al fine di garantire una maggiore efficienza, ricavando servizi e interazioni coerenti e di alta qualità con i nostri partner, clienti e viaggiatori.
    • Responsabilità: Expedia Group garantisce la supervisione della responsabilità con l'implementazione coerente di politiche, dei regolamenti e quadri normativi di settore e dei requisiti legali, attraverso un programma di governance formalizzato e un dipartimento addetto alle questioni legali e di privacy.

    Misure per consentire la portabilità dei dati e garantirne la cancellazione

    • Expedia Group ha la responsabilità diretta di garantire la conformità alle leggi in materia di protezione dei dati (anche in relazione alle richieste degli interessati). Expedia Group risponde a tutte le richieste degli interessati, tra cui l'accesso, la cancellazione e la portabilità dei dati in conformità alla Legge vigente sulla protezione dei dati.
    • La politica di conservazione dei dati di Expedia Group stabilisce backup e periodi di conservazione diversi a seconda della categoria dei dati, includendo eventuali obblighi legali o altre esenzioni che richiedono la conservazione di tali dati fino all'estinzione di obblighi legali specifici, come ad esempio quelli fiscali e contabili. Qualora sia impossibilitata a distruggere i dati personali, Expedia Group continuerà a estendere le protezioni pertinenti previste dal Contratto tra le Parti che disciplina tali dati personali e sospenderà ogni ulteriore trattamento.

    Per i trasferimenti ai (sub-)responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-)responsabile deve adottare per poter fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile a un sub-responsabile, all'esportatore dei dati

    • Expedia Group conduce una due diligence sulle pratiche di sicurezza informatica dei propri fornitori, ai quali richiede di soddisfare requisiti di sicurezza completi, inclusi gli obblighi che impongono ai fornitori di adottare e mantenere misure tecniche e organizzative adeguate.
    • Expedia Group ha formalizzato un processo dettagliato di Security Impact Assessment ("SIA"). Tutti i nuovi fornitori che accedono ai dati vengono sottoposti a verifica prima dell'ingaggio e, se necessario, durante il mandato.
    • Inoltre, Expedia Group adotta condizioni rigorose per fornitori e responsabili del trattamento che vengono imposte a tutti i fornitori, garantendo una ricaduta a cascata degli obblighi a tutti i loro sub-responsabili.

     

    Addendum sul trasferimento internazionale di dati in base alle Clausole contrattuali tipo della Commissione europea (Addendum)

    Il presente Addendum è stato emesso dal Commissario per le informazioni per le Parti che effettuano trasferimenti soggetti a limitazioni. Il Commissario per le informazioni ritiene che l'Addendum fornisca garanzie adeguate per i trasferimenti soggetti a limitazioni quando viene adottato come contratto legalmente vincolante.

    Sezione 1: Tabelle

    Tabella 1: Parti

    Data di inizio

    La data delle SCC a cui sono allegati (SCC dell'UE).

    Parti

    Contatto principale

    Esportatore: come da SCC dell'UE.

     

    Importatore: come da SCC dell'UE.

     

    Tabella 2: SCC selezionate, moduli e clausole selezionate

    Addendum alle SCC dell'UE

    La versione delle SCC dell'UE approvate a cui è allegato questo Addendum.

    Tabella 3: Informazioni sull'Allegato

    "Informazioni sull'Allegato" indica le informazioni che devono essere fornite per i moduli selezionati come indicato nell'Allegato delle SCC dell'UE approvate (escluso le Parti) e che per il presente Addendum sono indicate in:

    Allegato IA: Elenco delle Parti

    Allegato IB: Descrizione del trasferimento

    Allegato II: Misure tecniche

    e organizzative

    Come da SCC dell'UE

    Tabella 4: Cessazione del presente Addendum in caso di modifica dell'Addendum approvato.

    Quali Parti possono cessare il presente Addendum come stabilito nella sezione 19

    Nessuna delle Parti.

    Sezione 2: Clausole inderogabili

    Clausole inderogabili dell'Addendum approvato, ossia il modello di Addendum B.1.0 emesso dall'ICO e depositato presso il Parlamento in conformità alla Sezione 119A del Data Protection Act 2018 in data 2 febbraio 2022 e successive revisioni ai sensi della Sezione 18 di dette Clausole inderogabili.