Acuerdo en línea de TAAP: Acuerdo de Corresponsabilidad (incluidas las CCT)

Es posible que la versión original en inglés del presente Acuerdo se haya traducido a otros idiomas.En caso de incoherencias o discrepancias entre la versión en inglés y la versión en algún otro idioma, prevalecerá la versión en inglés.

ALCANCE: si Expedia o tú procesan datos personales como parte de un acuerdo (que podría presentarse como términos y condiciones de aceptación en línea) celebrado entre Expedia y tú (según el cual se te considera un socio de marketing en el programa TAAP, y todas las actividades relevantes al procesamiento de datos referido se denominarán "Actividades pertinentes"), este acuerdo global de corresponsabilidad (en lo sucesivo, el "Acuerdo de Corresponsabilidad") se vuelve supletorio y se aplica al acuerdo celebrado entre las partes en lo que respecta a las Actividades pertinentes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de Corresponsabilidad establece condiciones y requisitos adicionales según los cuales Expedia y tú procesarán datos personales en relación con el Acuerdo. En el presente Acuerdo de Corresponsabilidad, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. o a toda empresa de Expedia Group que forme parte del Acuerdo. En cambio, "tú" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la Solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de Corresponsabilidad está sujeto a las condiciones que se establecen en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos que figuran en el Acuerdo se aplican a la interpretación del presente Acuerdo de Corresponsabilidad, a menos que se definan de otra manera en él.

  1. a. Los términos medidas técnicas y operativas adecuadas, controlador, datos personales, filtración de datos personales, proceso o procesamiento, y autoridad supervisora (o los términos razonablemente equivalentes) tendrán los mismos significados que se les atribuye en las Leyes de protección de datos aplicables.
  2. b. Las Leyes de protección de datos aplicables se refieren a toda ley y regulación en relación con el uso o procesamiento de datos personales aplicable en cualquier jurisdicción correspondiente.
  3. c. Objetivo permitido significa los objetivos de (i) completar Reservaciones; (ii) brindar asistencia para Reservaciones; (iii) registrarse en TAAP y administrar la cuenta; (iv) pagar las Comisiones y otros montos relacionados con el Acuerdo; (v) generar informes para ti, así como todo procesamiento adicional requerido con fines de reconciliación, tratamiento de quejas y demás actividades similares en relación con el cumplimiento del Acuerdo; (vi) brindar asistencia con la Cuenta de TAAP; (vii) comunicarse con los Socios y subusuarios de TAAP; (viii) mejorar nuestros servicios, incluida la optimización del proceso de reservación; (ix) crear reportes para análisis, inteligencia comercial y generación de informes comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de autoridades fiscales; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiii) cumplir con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables, y (xiv) determinar y calcular los Impuestos de viaje y otros fines fiscales según sea requerido en su momento, así como brindar información sobre ellos.
  4. d. DPF es una sigla en inglés que hace referencia a una certificación del Marco de Privacidad de Datos de la Unión Europea y EE. UU. ante el Departamento de Comercio de los Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) cuando corresponda, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, con carácter enunciativo, aunque no limitativo, el Reino Unido y Suiza).
  5. e. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil.
  6. f. Datos de transferencia restringida hace referencia a los Datos de clientes relativos a una Reservación efectuada a través de un punto de venta al que pretendemos que accedan Clientes de un País de transferencia restringida.
  7. g. Cláusulas contractuales tipo o CCT se refiere a las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, publicadas el 4 de junio de 2021, en su versión modificada, sustituida, completada o reemplazada en cualquier momento, y cuya versión completa actual puede consultarse (en inglés) en el siguiente enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
  8. h. Datos personales de TAAP hace referencia a los datos personales que tú nos proporcionas a través del sitio web de TAAP, o bien a los datos procesados de alguna otra manera en relación directa con TAAP o que faciliten las Reservaciones efectuadas a través del sitio web de TAAP.
Relación entre las partes
  1. 1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como controladores independientes y autónomos, (ii) cumplirá con las Leyes de protección de datos aplicables, y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes de protección de datos aplicables.
Tus responsabilidades

1.3 Debes hacer lo siguiente: 

  1. a. Proporcionar una base jurídica para poner a nuestra disposición los Datos personales de TAAP a fin de procesarlos para los Objetivos permitidos.
  2. b. Asegurarte de que los Clientes tengan conocimiento, a través de tu aviso de privacidad y cualquier otro medio apropiado, de que sus datos personales serán compartidos con nosotros para los Objetivos permitidos.
  3. c. Dirigir a los Clientes a nuestro aviso de privacidad para que obtengan más información sobre nuestro manejo de sus datos personales.
  4. d. Colaborar con nosotros y ayudarnos a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
Nuestras responsabilidades

1.4 Nosotros (y los Socios de nuestro grupo, cuando corresponda), tendremos las siguientes responsabilidades: 

  1. a. Procesar los Datos personales de TAAP únicamente en relación con un Objetivo permitido.
  2. b. No divulgar, ni total ni parcialmente, los Datos personales de TAAP a ninguna persona, salvo en relación con un Objetivo permitido.
  3. c. Colaborar contigo y ayudarte a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
  4. d. Mostrar nuestro aviso sobre cookies legal actualizado (si fuera necesario) y nuestro aviso de privacidad en el Sitio web de TAAP, y cumplir con ellos.
Clientes y terceros

1.5 Reconoces que nosotros podemos hacer lo siguiente:

  1. a. Enviar correos electrónicos a los Clientes relacionados con las Reservaciones.
  2. b. Transferir Datos personales de TAAP (incluidos datos bancarios) a nuestros prestadores de servicios externos para los siguientes fines:
    1. i. Administrar, gestionar y proporcionar respaldo con la Cuenta de TAAP, y la de los representantes y subusuarios.
    2. ii. Brindar asistencia con las Reservaciones.
    3. iii. Pagar Comisiones y otros montos en virtud del Acuerdo.
Seguridad de los datos

1.6 Ambas partes, en calidad de controladores, deben hacer lo siguiente:

  1. a. Implementar medidas técnicas y organizativas adecuadas para proteger los datos personales que procesen contra una filtración de datos personales.
  2. b. En el caso de una filtración de datos personales confirmada en los sistemas de la parte en cuestión o controlados por esta, notificar de inmediato a la otra parte si esta filtración (i) afecta los Datos personales de TAAP que también son procesados por la otra parte en virtud de este Acuerdo y (ii) debe informarse a una autoridad supervisora, proporcionando todos los detalles correspondientes. En ese caso, ambas partes deberán colaborar de manera razonable y de buena fe para remediar o mitigar los efectos de la filtración de datos personales. Los costos razonables de dicha colaboración estarán a cargo de la parte que sufrió la filtración de datos personales.
Transferencias transfronterizas 

1.7 Marco de Privacidad de Datos (DPF): tú y nosotros aceptamos que, con respecto a las transferencias de Datos de transferencia restringida entre tú y nosotros a los Estados Unidos o a un país que no se haya considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen (a) siempre y cuando el DPF sea un método de transferencia reconocido por una autoridad pertinente, el DPF será el mecanismo acordado para las transferencias transfronterizas de datos que se originen en un País de transferencia restringida hacia nosotros en Estados Unidos, y (b) siempre y cuando el DPF no sea un método válido de transferencia (incluidas las transferencias de Datos de transferencia restringida a un país que no se haya considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen), las CCT se aplicarán a dichas transferencias y tú y nosotros las celebraremos según lo establecido en la Cláusula 1.11 más adelante. Si también tienes una certificación vigente del DPF, las transferencias de Datos de transferencia restringida a ti se pueden realizar de manera similar en virtud del DPF con CCT como un mecanismo alternativo según lo establecido anteriormente.

1.8 Obligaciones derivativas del DPF: aceptas proporcionar al menos el mismo nivel de protección que se requiere en el DPF a los Datos de transferencia restringida, así como notificarnos de inmediato si determinas que ya no puedes proporcionar este nivel de protección. En tal caso, o si creemos de manera razonable que no estás protegiendo los Datos de transferencia restringida en la medida que exige el DPF, podemos (a) indicarte que tomes medidas razonables y apropiadas para detener y subsanar todo procesamiento no autorizado, en cuyo caso colaborarás con nosotros de buena fe para identificar, establecer e implementar tales pasos; (b) acordar una garantía alternativa que se pueda aplicar al procesamiento en virtud de las Leyes de protección de datos aplicables; o (c) rescindir sin penalización el presente Acuerdo de Corresponsabilidad y el Acuerdo (o, a nuestra elección, cualquier parte de este que se vea afectada) previa notificación. Si también tienes una certificación vigente del DPF, se considerará que las disposiciones antes mencionadas y las de la Cláusula 1.9 a continuación se aplicarán como si las obligaciones fueran en ambos sentidos.

1.9 Obligaciones de divulgación en virtud del DPF: reconoces que podemos divulgar el presente Acuerdo de Corresponsabilidad y toda disposición de privacidad pertinente en el Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense cuando estos lo soliciten, y aceptas que dicha divulgación no se considerará una violación de la confidencialidad.

1.10 Extensión de las CCT a países de transferencia sin restricciones: en relación con las transferencias de Datos personales de TAAP entre tú y nosotros que se originen en un país distinto a los Países de transferencia restringida, y que esté sujeto a salvaguardas que, de acuerdo con las Leyes de protección de datos aplicables, deban aplicarse antes de que se pueda realizar una transferencia de tales Datos personales de TAAP fuera del país de origen (cada uno de ellos un "País de transferencia sin restricciones"), tú y nosotros aceptamos que (a) las CCT establecidas en la Cláusula 1.11 a continuación se considerarán extensiones de las transferencias adicionales en la medida en que satisfagan las garantías de ese país en particular, o (b) cuando las medidas establecidas en la Cláusula 1.11 sean insuficientes o requieran medidas complementarias, las partes acuerdan tomar tales medidas adicionales, que incluyen, por ejemplo, la suscripción de los documentos pertinentes, la obtención del consentimiento y la presentación de documentos requeridos, según se solicite en su momento para cumplir con las Leyes de protección de datos aplicables.

1.11 Sujeto a la Cláusula 1.7 del presente Acuerdo, tú y nosotros aceptamos celebrar las CCT sin cambios, excepto por las siguientes selecciones:

  1. a. Si te encuentras en un País de transferencia restringida o en un país que se considere "adecuado" de conformidad con el artículo 45 del RGPD, solo el Módulo uno (1) de las CCT se aplicará en un solo sentido con respecto a las transferencias que tú hagas a Expedia. De lo contrario, las CCT del Módulo uno se aplicarán en ambos sentidos para cubrir las transferencias tanto de nosotros a ti como de ti a nosotros.
  2. b. A los efectos de la Cláusula 11(a) de las CCT, se elimina el lenguaje opcional.
  3. c. A los efectos de la Cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad de supervisión del Estado miembro en el que se establezca el representante según se establece en el Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente".
  4. d. A los efectos de la Cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
  5. e. A los efectos de la Cláusula 18(b) de las CCT, la selección corresponde a Irlanda.
  6. f. Se agrega una nueva Cláusula 19 a las CCT para cubrir las transferencias de datos personales desde el Reino Unido hacia fuera este país de la siguiente manera:

"Cláusula 19

RGPD y DPA (2018) del Reino Unido

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance del RGPD y la Ley de Protección de Datos (DPA, por su sigla en inglés) de 2018 del Reino Unido (en lo sucesivo, "transferencias del Reino Unido"). A los efectos de dichas transferencias del Reino Unido, se aplicarán las disposiciones de la versión B1.0 del Apéndice de transferencia internacional de datos para las Cláusulas contractuales tipo (en su versión modificada, sustituida, complementada o reemplazada en cualquier momento) tal como se establece en el formulario adjunto como Apéndice".

  1. h. Se agrega una nueva Cláusula 20 a las CCT para cubrir las transferencias de datos personales desde Suiza hacia fuera este país de la siguiente manera:

"Cláusula 20

Suiza: FADP

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley Federal de Protección de Datos (FADP, por su sigla en inglés) de Suiza (en lo sucesivo, "transferencias suizas"). A los efectos de estas transferencias suizas, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y el Comisionado Federal de Información y Protección de Datos (FDPIC, por su sigla en inglés) será la autoridad supervisora competente. Las Partes también acuerdan que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias suizas según lo considere necesario el FDPIC para cumplir con el RGPD y la FADP del Reino Unido; las Cláusulas se interpretarán de acuerdo con los requisitos para las transferencias suizas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la FDPIC, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para las transferencias suizas. Las Partes realizarán además todos los actos necesarios para garantizar el cumplimiento con la FADP cuando realicen transferencias suizas".

  1. i. Se agrega una nueva Cláusula 21 a las CCT para cubrir las transferencias de datos personales desde Brasil hacia fuera este país de la siguiente manera:

"Cláusula 21

Brasil: LGPD

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley General de Protección de Datos 13.709/18 (Lei Geral de Proteção de Dados, LGPD) de Brasil (en lo sucesivo, "transferencias brasileñas"). A los efectos de dichas transferencias brasileñas, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y la Autoridad Nacional de Protección de Datos (ANPD) de Brasil será la autoridad supervisora competente. Las Partes también acuerdan que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias brasileñas según lo considere necesario la ANPD para cumplir con la LGPD; las Cláusulas se interpretarán de conformidad con los requisitos para las transferencias brasileñas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la ANPD u otra autoridad brasileña pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para las transferencias brasileñas. Las Partes realizarán además todos los actos necesarios para garantizar el cumplimiento con la LGPD cuando hagan transferencias brasileñas".

  1. j. Se agrega una nueva Cláusula 22 a las CCT para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora donde las CCT puedan extenderse a fin de asegurar las garantías adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de este, como se indica a continuación:

"Cláusula 22

Otras transferencias a terceros países

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que se incluyan en el alcance de cualquier otra ley o regulación aplicable en toda jurisdicción correspondiente en relación con el uso o procesamiento de datos personales (Leyes de protección de datos aplicables) que requieran condiciones y protecciones ampliamente equivalentes a estas Cláusulas a fin de transferir datos personales del país en cuestión a otro (referida en esta Cláusula como una " Transferencia a un tercer país"). A los efectos de dichas transferencias a terceros países, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y la autoridad u organismo normativo de protección de datos de tal país será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias de terceros países según lo considere necesario la autoridad supervisora correspondiente para cumplir con las Leyes de protección de datos aplicables de dicho país; las Cláusulas se interpretarán de acuerdo con los requisitos para las transferencias de terceros países que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad supervisora pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus transferencias a terceros países. Las Partes realizarán además todos los actos y necesarios para garantizar el cumplimiento con las Leyes de protección de datos aplicables cuando realicen transferencias a terceros países".

1.12 El Anexo 1 (Aspectos generales del procesamiento de las CCT) de este Acuerdo de Corresponsabilidad constituye el Anexo 1 de las CCT. El Anexo 2 (Medidas técnicas y organizativas) del presente Acuerdo de Corresponsabilidad constituye el Anexo 2 de las CCT y se aplica solo a Expedia cuando tú hayas proporcionado, y nosotros hayamos aceptado, las medidas técnicas y organizativas adecuadas para satisfacer tus requisitos del Anexo 2 de las CCT o, si este no fuera el caso, se interpretará que el Anexo 2 se aplica a ambas partes, y todas las referencias a Expedia y Expedia Group se interpretarán como referencias a cualquiera de las partes según corresponda. El Apéndice a este Acuerdo de Corresponsabilidad constituye el Apéndice del Reino Unido para los propósitos de las CCT.

ANNEX I – SCCs PROCESSING OVERVIEW
ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT MÓDULO UNO: de controlador a controlador (de ti a nosotros)
A. LISTA DE PARTES

Exportador(es) de datos:

Parte

Las partes identificadas como "tú", "ustedes", "socio de TAAP" o algún término equivalente

Dirección

Como se especifica en el Acuerdo

Nombre, puesto e información de contacto de la persona encargada de todas las partes de Expedia Group

Administrador de cuentas que use la dirección de correo electrónico notificada al contacto de Expedia de vez en cuando

Actividades relacionadas con los datos transferidos en virtud de las CCT

 

Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición de conformidad con el Acuerdo

Función

Controlador

Importador(es) de datos: 

Parte

Las partes no pertenecientes a la UE identificadas como "nosotros" o "Expedia" en el Acuerdo

Nombre, puesto e información de contacto de la persona encargada

Administrador de cuentas que use la dirección de correo electrónico notificada al contacto del Socio de TAAP de vez en cuando

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas

Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición de conformidad con el Acuerdo

Función

Controlador

 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

 

Categorías de personas interesadas

Clientes y socios de TAAP, así como sus subusuarios

Categorías de datos personales

Datos de identificación:

  1. Nombres y apellidos (tanto del agente como del viajero)
  2. Fecha de nacimiento
  3. Género
  4. Información de inicio de sesión (agente)

Información de contacto:

  1. Dirección postal
  2. Dirección de correo electrónico
  3. Números de teléfono (fijo y móvil)
  4. Número de fax
  5. Otra información de contacto
  6. Fecha de nacimiento (para vuelos)
  7. Género (para vuelos)
  8. Nacionalidad (del pasaporte)
  9. Información para la TSA

Información financiera:

  1. Número de cuenta bancaria
  2. Datos bancarios
  3. Datos de la tarjeta de pago

Información de viaje: historial de reservaciones y preferencias de viaje

Solo en el caso de agentes fiscales:

  1. Núm. de identificación fiscal

Otra información que el Socio de TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con:

  1. Informes, seguimiento y análisis
  2. Inicio de sesión único y programas de lealtad

Datos confidenciales

Ninguno, a menos que una persona los proporcione voluntariamente para satisfacer sus necesidades de accesibilidad para viajar.

Frecuencia de transferencia (por ejemplo, si los datos se transfieren una sola vez o de manera continua)

De forma continua o para casos específicos según las necesidades del negocio del Socio de TAAP

Naturaleza del procesamiento

Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

Propósito(s) de la transferencia de datos y su procesamiento posterior

Propósitos permitidos, tal como se definen en el Acuerdo

El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

De conformidad con la política de retención de Expedia Group, siempre que los Datos personales de TAAP se retengan más allá de la terminación del Acuerdo por razones legales o de respaldo, Expedia continuará protegiendo los datos personales de conformidad con el Acuerdo.

Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento.

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, actualizado periódicamente

 

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifica a las autoridades de control competentes de conformidad con la Cláusula 13 de las CCT.

Autoridad irlandesa de protección de datos

 

MÓDULO UNO: de controlador a controlador (de nosotros a ti)

A. LISTA DE PARTES

Exportador(es) de datos: 

Las partes identificadas como Importadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

 

Importador(es) de datos:

Las Partes identificadas como Exportadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

B. DESCRIPCIÓN DE LA TRANSFERENCIA
  • Categorías de personas interesadas
  • Categorías de datos personales
  • Datos confidenciales

De conformidad con el Módulo uno (1)

  • Frecuencia de transferencia
  • Naturaleza del procesamiento
  • Propósitos

De conformidad con el Módulo uno (1)

El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

De conformidad con la política de retención del Socio de TAAP

Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento.

N/A

 

C. AUTORIDAD SUPERVISORA COMPETENTE

De conformidad con el Módulo uno (1)

 

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

A continuación, se detallan las medidas técnicas y organizativas aplicables a los propósitos del Módulo uno (1).

OBJETO

MEDIDA

Medidas de pseudonimización y cifrado de datos personales

  • Expedia Group es compatible con los protocolos de cifrado estándar al nivel de la industria para la transferencia de datos basados en la Norma de manejo y clasificación de información de Expedia Group.
  • Los requisitos de manejo de datos se basan en un criterio categórico. Dependiendo de los datos que se manejen, hay diferentes requisitos de seguridad en Expedia Group. Por ejemplo, los datos de tarjetas de crédito se consideran altamente confidenciales y deben cifrarse tanto en tránsito como en almacenamiento.
  • Los datos personales del cliente (y de sus empleados) son pseudonimizados (y anonimizados) por Expedia Group cuando sea posible y según lo requieran las Normas de clasificación y manejo de información de Expedia Group.
  • Los números de tarjetas de crédito se tokenizan o pseudonimizan para eliminar el procesamiento correspondiente en texto sin cifrado.
  • Expedia Group utiliza conexiones cifradas a través de VPN, SSL y demás redes similares, así como mecanismos de autenticación multifactor.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento

  • Expedia Group mantiene responsabilidades y procedimientos para la administración y operación

de todas las instalaciones de procesamiento de información a fin de garantizar un procesamiento de datos completo, válido y preciso.

  • La supervisión de las instalaciones de procesamiento clave se implementa con un programa SOX

sólido en el que los controles sobre el procesamiento y la integridad de los datos se ponen a prueba y se certifican de manera continua.

  • El registro y la supervisión estándar de la industria se implementan en los sistemas de

Expedia Group para garantizar la protección contra el acceso, la modificación y la eliminación no autorizados.

  • Expedia Group mantiene la resiliencia del servicio a través de arquitecturas redundantes,

replicaciones de datos y verificaciones de integridad.

Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidentes físicos o técnicos

  • Los sistemas de Expedia Group están diseñados específicamente para impedir o prevenir ataques

comunes y garantizar la disponibilidad para la operación, la supervisión y el mantenimiento.Para lograrlo, Expedia Group realiza pruebas y auditorías simuladas periódicamente a fin de confirmar que sus sistemas mantienen la disponibilidad.

  • Los servidores cuentan con parches contra la sólida política de parches de Expedia Group y

están protegidos por programas AV/AM estándar de la industria.Además, se llevan a cabo evaluaciones de vulnerabilidad, pruebas exhaustivas y revisiones de red para garantizar el mantenimiento de los sistemas de Expedia Group.

  • Se implementa la supervisión de disponibilidad y confiabilidad para garantizar que los sitios

de Expedia permanezcan en línea, con interrupciones mínimas del servicio.

  • Expedia Group cuenta con un Plan de recuperación ante desastres que tiene en cuenta las

urgencias y los planes de contingencia para asegurarse de que los servicios al cliente no se interrumpan según la gravedad y que se pongan a prueba de manera constante para garantizar la viabilidad.

Procesos para poner a prueba y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento

  • Las medidas técnicas y organizativas de Expedia Group son auditadas cada año por asesores

externos, así como mediante sólidas pruebas internas.

  • Expedia Group realiza evaluaciones anuales de la industria de tarjetas de pago (PCI, por su

sigla en inglés) mediante un evaluador externo y garantiza el cumplimiento continuo con las normas de PCI.

  • La función integral de pruebas internas de Expedia Group se compone de pruebas de

vulnerabilidad trimestrales, pruebas de penetración internas y externas, y análisis y revisiones de redes, sistemas y firewalls. Además, un departamento interno de auditoría realiza evaluaciones de riesgo anuales para priorizar las auditorías operativas.

Medidas para la identificación y autorización de usuarios; medidas para la protección de datos durante la transferencia; medidas para la protección de datos durante el almacenamiento

  • Los sistemas de Expedia Group siguen las prácticas recomendadas de la industria y cuentan con

prácticas de comunicación, como sesiones de tiempo límite, protocolos de bloqueo y controles sólidos de autenticación y contraseña.

  • Expedia Group mantiene requisitos para el suministro y la supervisión de cuentas a fin de

evitar el acceso no autorizado o el uso indebido de la información de Expedia Group, y utiliza las prácticas recomendadas de la industria según sea necesario, como el principio de acceso con privilegios mínimos, ID únicos y autenticación multifactor, para lograr una autenticación sólida.

Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales

  • Un centro de operaciones de seguridad brinda cobertura las 24 horas del día, los 7 días de la

semana, con un plan formal de respuesta a incidentes que se revisa y se prueba al menos una vez al año.

  • Todos los sistemas son controlados y puestos a prueba periódicamente por prestadores de

servicios externos.

  • Cada cliente de Expedia Group recibe su propio ID de cliente. Todos los conjuntos de datos de

clientes en cuestión se almacenan bajo este ID y dichos datos se segregan lógicamente. Debido a los derechos de administración y las estructuras de base de datos, el cliente solo puede acceder a conjuntos de datos que están asignados a ese ID de usuario y centros de datos o controles de AWS.

  • Solo las personas expresamente autorizadas por Expedia que tengan una "necesidad de saber"

tienen acceso a los datos personales. Se implementan controles y supervisión para garantizar el acceso con privilegios mínimos y los intentos de acceso no autorizado al sistema.

Medidas para garantizar el registro de eventos

 

  • Expedia Group mantiene requisitos sólidos de registro y supervisión para dar cuenta de quién dio origen a determinado evento, cuál fue este evento, dónde y cuándo ocurrió, su finalidad, su origen y si tuvo éxito o fracasó.

 

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada; medidas para el gobierno y la administración internos de tecnologías de información y de la seguridad de estas; medidas para la certificación o garantía de procesos y productos

  • El programa de seguridad de la información de Expedia Group (EG) se apega a los marcos y las

normas de la industria, y trabaja a través de su programa de gestión de riesgos para garantizar una postura de seguridad sólida e integral. Expedia Group mantiene procesos operativos seguros para fomentar la seguridad, disponibilidad, integridad y confidencialidad del entorno y los datos de los clientes.

  • Las normas de compilación de Expedia Group solo habilitan los componentes del sistema, los

servicios y los protocolos que cumplen con cierto requisito comercial. Los sistemas operativos, las bases de datos y las aplicaciones listas para usar deben ser detectables para satisfacer los requisitos jurídicos y normativos de auditoría, admitir herramientas de administración de configuración o implementar una administración de configuración que aplique con éxito los controles de seguridad. Además, deben habilitar el cifrado para todos los accesos administrativos remotos a un sistema y mostrar el uso adecuado del sistema a la vez que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas, así que no hay expectativa de privacidad mientras se usa el sistema.

  • Expedia Group aplica una estrategia en capas o de defensa en profundidad a la seguridad. Se

implementan capacidades y controles de primera importancia en toda la empresa (p. ej., antimalware, firewall WAF, segmentación de red y prevención de pérdida de datos) utilizando un conjunto de políticas, operaciones y tecnologías para garantizar que el entorno sea supervisado a través de una organización central de seguridad y alertas a las que se responda de la manera debida.

  • Los sistemas de Expedia se alojan en Amazon Web Services (AWS) y en centros de datos que

proporcionan a Expedia Group informes anuales de auditoría SOC 2 para garantizar el cumplimiento.

Medidas para garantizar la minimización de datos; medidas para garantizar la calidad de los datos; medidas para garantizar la retención limitada de datos; medidas para garantizar la rendición de cuentas

  • Minimización: Expedia Group garantiza que solo se recopile, procese y almacene una cantidad mínima de datos. Solo usamos el formato identificable cuando es necesario.
  • Retención: la política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad.
  • Calidad: Expedia Group tiene un programa de administración de calidad formalizado llamado administración de la experiencia del cliente (CEM, por su sigla en inglés). Siempre nos esforzamos por mejorar dentro del entorno de Expedia Group y buscamos simplificar los procesos para lograr una mayor eficiencia, lo que da como resultado servicios e interacciones consistentes y de alta calidad con nuestros socios, clientes y viajeros.
  • Rendición de cuentas: Expedia Group garantiza la supervisión de la rendición de cuentas al implementar de manera coherente políticas, normas o marcos de la industria, y requisitos legales mediante la conservación de un programa de manejo y administración formalizado y un departamento jurídico o de privacidad.

Medidas para permitir la portabilidad de los datos y garantizar el borrado

  • Expedia Group es directamente responsable de garantizar el cumplimiento de las leyes de protección de datos (incluso en relación con las solicitudes de las personas interesadas). Expedia Group responde a todas las solicitudes de las personas interesadas, incluidas las relativas al acceso, la eliminación y la portabilidad de conformidad con las leyes de protección de datos aplicables. 
  • La política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad. En caso de que Expedia Group no pueda destruir los Datos personales, Expedia Group continuará ampliando las protecciones pertinentes del Acuerdo entre las partes que rigen esos datos personales y rescindirá todo procesamiento posterior.

Para las transferencias a (sub)procesadores, también se deberán describir las medidas técnicas y organizativas específicas que el (sub)procesador debe tomar a fin de poder proporcionar asistencia al controlador y, en el caso de las transferencias de un procesador a un subprocesador, al exportador de datos.

  • Expedia Group lleva a cabo la investigación previa y suficiente en las prácticas de seguridad de información de sus proveedores, además de exigir a los proveedores que cumplan con determinados requisitos de seguridad integrales, incluidas las obligaciones que requieran que los proveedores implementen y mantengan las medidas técnicas y organizativas adecuadas.
  • Expedia Group formalizó un proceso detallado de evaluación del impacto en la seguridad (SIA, por su sigla en inglés). Todos los nuevos proveedores que acceden a los datos son evaluados antes de la contratación y siempre que se considere necesario durante el plazo de sus actividades.
  • Además, Expedia Group también cuenta con condiciones sólidas en materia de proveedores procesadores que se imponen a todos los proveedores a fin de garantizar el flujo descendente de obligaciones para todos sus subprocesadores.

 

Transferencia internacional de datos para las Cláusulas contractuales tipo de la Comisión Europea (Apéndice)

Este Apéndice fue emitido por el Comisario de Información para las Partes que realizan Transferencias restringidas. El Comisario de Información considera que proporciona Garantías adecuadas para las Transferencias restringidas cuando se suscriben como un contrato legalmente vinculante.

Parte 1 Tablas

Tabla 1: partes

Fecha de inicio

La Fecha de las CCT a las que se adjuntan (CCT de la UE)

Partes 
Contacto clave

Exportador: de conformidad con las CCT de la UE

 

Importador: de conformidad con las CCT de la UE

 

Tabla 2: CCT seleccionadas, módulos y cláusulas elegidas

Apéndice para CCT de la UE

La versión de las CCT aprobadas de la UE a las que se adjunta este Apéndice

Tabla 3: información del Apéndice

"Información del Apéndice" significa la información que se debe proporcionar para los módulos seleccionados como se establece en el Apéndice de las CCT aprobadas de la UE (distintas a las Partes) y que, para este Apéndice, se establece en:

Anexo IA: lista de Partes

Anexo IB: descripción de la transferencia

Anexo II: medidas técnicas y organizativas

De conformidad con las CCT de la UE

Tabla 4: rescisión de este Apéndice cuando se modifique el Apéndice aprobado

Qué Partes pueden poner fin a este Anexo según lo establecido en el Artículo 19

Ninguna Parte

Parte 3: cláusulas obligatorias

Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, según la revisión en el Apartado 18 de dichas Cláusulas obligatorias.