Términos de privacidad de TAAP: Acuerdo de corresponsabilidad (incluidas las CCT)

Anexo 4 (TAAP)

Es posible que la versión original en inglés del presente Acuerdo de corresponsabilidad se haya traducido a otros idiomas. En caso de incoherencias o discrepancias entre la versión en inglés y la versión en algún otro idioma, prevalecerá la versión en inglés.

ALCANCE : si Expedia o tú procesan datos personales como parte de un acuerdo (que podría presentarse como términos y condiciones de aceptación en línea) celebrado entre Expedia y tú (según el cual se te considera un socio de marketing en el programa TAAP, y todas las actividades relevantes relacionadas con esa actividad se denominan "Actividades pertinentes"), este acuerdo global de corresponsabilidad (en lo sucesivo, el "Acuerdo de corresponsabilidad") se vuelve supletorio y se aplica al acuerdo celebrado entre las partes en lo que respecta a las Actividades pertinentes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de corresponsabilidad establece términos, condiciones y requisitos adicionales según los cuales Expedia y tú procesarán datos personales en relación con el Acuerdo. En el presente Acuerdo de corresponsabilidad, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. y/o a toda empresa de Expedia Group que forme parte del Acuerdo. En cambio, "" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la Solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de Corresponsabilidad está sujeto a las condiciones que se establecen en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos que figuran en el Acuerdo se aplican a la interpretación del presente Acuerdo de corresponsabilidad, a menos que se definan de otra manera en él.

  1. Los términos medidas técnicas y operativas adecuadas, responsable del tratamiento de datos, datos personales, filtración de datos personales, proceso o procesamiento, y autoridad supervisora (o los términos razonablemente equivalentes) tendrán los mismos significados que se les atribuye en las Leyes de protección de datos aplicables.
  2. Leyes de protección de datos aplicables hace referencia a toda ley y regulación en relación con el uso o procesamiento de datos personales aplicable en cualquier jurisdicción correspondiente.
  3. País sujeto al CBPR hace referencia a un país que es miembro de pleno derecho o asociado al Sistema CBPR.
  4. Parte sujeta al CBPR hace referencia a una organización que posee una certificación vigente conforme al Sistema CBPR.
  5. Sistema CBPR hace referencia al Sistema de normas de privacidad transfronteriza del Foro de Cooperación Económica Asia-Pacífico.
  6. Objetivo permitido significa los objetivos de (i) completar Reservaciones; (ii) brindar asistencia para Reservaciones; (iii) registrarse en TAAP y administrar la cuenta; (iv) pagar las Comisiones y otros montos relacionados con el Acuerdo; (v) generar informes para ti, así como todo procesamiento adicional requerido con fines de conciliación, tratamiento de quejas y demás actividades similares en relación con el cumplimiento del Acuerdo; (vi) brindar asistencia con la Cuenta de TAAP; (vii) comunicarse con los Socios y subusuarios de TAAP; (viii) mejorar nuestros servicios, incluida la optimización del proceso de reservación; (ix) crear reportes para análisis, inteligencia de negocios y generación de informes comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de autoridades fiscales; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiii) cumplir con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables, y (xiv) determinar y calcular los Impuestos de viaje y otros fines fiscales según sea requerido en el futuro, así como brindar información sobre ellos.
  7. DPF es una sigla en inglés que hace referencia a una certificación del Marco de Privacidad de Datos de la Unión Europea y EE. UU. ante el Departamento de Comercio de los Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) en el futuro, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, con carácter enunciativo, aunque no limitativo, el Reino Unido y Suiza).
  8. País sujeto al DPF hace referencia a un país del EEE, Reino Unido, Suiza y cualquier otro país o región cuyas autoridades pertinentes hayan acordado ampliar la aplicación del DPF a ese país o región.
  9. EEE se refiere al Espacio Económico Europeo.
  10. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil.
  11. Datos de transferencia restringida hace referencia a los Datos de clientes relativos a una Reservación efectuada a través de un punto de venta al que pretendemos que accedan Clientes de un País de transferencia restringida.
  12. Cláusulas contractuales tipo o CCT se refieren a las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, publicadas el 4 de junio de 2021, en su versión modificada, sustituida, completada o reemplazada en el futuro, y cuya versión completa actual puede consultarse (en inglés) en el siguiente enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
  13. Datos personales de TAAP significa los datos personales que nos proporcionas a través del Sitio web de TAAP, que se procesan de otra manera con el propio TAAP o que permiten hacer Reservaciones mediante el Sitio web de TAAP.
RELACIÓN DE LAS PARTES

1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como responsables independientes y autónomos del tratamiento de datos, (ii) cumplirá con las Leyes de protección de datos aplicables, y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes de protección de datos aplicables.

TUS RESPONSABILIDADES

1.3 En particular, debes hacer lo siguiente:

  1. Contar con una base jurídica para poner a nuestra disposición los Datos personales de TAAP a fin de procesarlos para los Objetivos permitidos.
  2. Asegurarte de que los Clientes tengan conocimiento, a través de tu aviso de privacidad y cualquier otro medio apropiado, de que sus datos personales serán compartidos con nosotros para los Objetivos permitidos.
  3. Dirigir a los Clientes a nuestro aviso de privacidad para que obtengan más información sobre nuestro manejo de sus datos personales.
  4. Colaborar con nosotros y ayudarnos a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
  5. Contar con una base jurídica para enviar comunicaciones de marketing a los Clientes.
NUESTRAS RESPONSABILIDADES

1.4 Nosotros (y los Socios de nuestro grupo, cuando corresponda), tendremos las siguientes responsabilidades:

  1. Procesar los Datos personales de TAAP únicamente en relación con un Objetivo permitido.
  2. No divulgar, ni total ni parcialmente, los Datos personales de TAAP a ninguna persona, salvo en relación con un Objetivo permitido.
  3. Colaborar contigo y ayudarte a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
  4. Mostrar nuestro aviso sobre cookies legal actualizado (si fuera necesario) y nuestro aviso de privacidad en el Sitio web de TAAP, y cumplir con ellos.
CLIENTES Y TERCEROS

1.5 Reconoces que nosotros podemos hacer lo siguiente:

  1. Enviar correos electrónicos a los Clientes relacionados con las Reservaciones.
  2. Transferir Datos personales de TAAP (incluidos datos bancarios) a nuestros prestadores de servicios externos para los siguientes fines:
    1. Administrar tu Cuenta de TAAP, y las de tus representantes y subusuarios, y proporcionar asistencia en relación con ellas.
    2. Brindar asistencia con las Reservaciones.
    3. Pagar Comisiones y otros montos en virtud del Acuerdo.
SEGURIDAD DE LOS DATOS E INCUMPLIMIENTO

1.6 Tú y nosotros, en nuestra respectiva calidad de responsables, acordamos hacer lo siguiente:

  1. Implementar medidas técnicas y organizativas adecuadas para proteger los datos personales que procesemos contra una filtración de datos personales.
  2. En el caso de una filtración de datos personales confirmada en los sistemas de una de las partes o controlados por esta, notificar de inmediato a la otra parte si esta filtración (i) afecta los Datos personales de TAAP que también son procesados por la otra parte en virtud de este Acuerdo y (ii) debe informarse a una autoridad supervisora, proporcionando todos los detalles correspondientes. En ese caso, ambas partes deberán colaborar de manera razonable y de buena fe para remediar o mitigar los efectos de la filtración de datos personales, y los costos razonables de dicha colaboración estarán a cargo de la parte que sufrió la filtración de datos personales.
TRANSFERENCIAS TRANSFRONTERIZAS

1.7 Transferencias de datos transfronterizas.

Las Partes aceptan y reconocen que, en la presente cláusula 1.7, siempre que se utilice la palabra "transferencia", esta incluye el acceso proporcionado por un procesador o responsable del tratamiento a otro procesador o responsable del tratamiento y:

  1. Aspectos generales: ninguna de las Partes transferirá (ni permitirá que ninguna otra parte lo haga) Datos personales pertinentes fuera del territorio de origen, a menos que dicha Parte adopte las medidas de cumplimiento necesarias para permitir legalmente dicha transferencia de conformidad con las Leyes de protección de datos aplicables.
  2. Región de Asia-Pacífico y CBPR: 

    1. Las Partes reconocen y aceptan lo siguiente:

      1. Una Parte sujeta al CBPR está regida por un conjunto de obligaciones jurídicamente exigibles para proporcionar una protección comparable a las Leyes de protección de datos aplicables.
      2. Expedia es una Parte sujeta al CBPR.

      Cuando la Empresa sea también una Parte sujeta al CBPR, las disposiciones de este párrafo (b) se aplicarán recíprocamente.

    2. Sin perjuicio de lo dispuesto en el párrafo (iii) siguiente, las Partes acuerdan que:

      1. cuando los Datos personales pertinentes se transfieran de un País sujeto al CBPR a otro País sujeto al CBPR, y
      2. el importador de datos sea una Parte sujeta al CBPR,

      en la medida y por el tiempo que el Sistema CBPR sea un método de transferencia reconocido por una autoridad supervisora pertinente, el Sistema CBPR será el mecanismo acordado para las transferencias transfronterizas de Datos personales pertinentes a dicha Parte sujeta al CBPR.

    3. El Sistema CBPR se aplicará únicamente a transferencias en las que al menos una de las Partes se encuentre en un país de la región de Asia-Pacífico que también sea un País sujeto al CBPR.

    4. Expedia confirma que proporcionará al menos el mismo nivel de protección de los Datos personales pertinentes que el requerido por el Sistema CBPR y notificará sin demora a la otra Parte si determina que ya no puede proporcionar este nivel de protección. En tal caso, o si la otra Parte considera razonablemente que Expedia no está protegiendo los Datos personales pertinentes con el nivel requerido por el Sistema CBPR, la otra Parte podrá:

      1. ordenar a Expedia que adopte medidas razonables y adecuadas para detener y remediar cualquier tratamiento no autorizado, en cuyo caso las Partes cooperarán de buena fe y sin demora para identificar, acordar y aplicar dichas medidas;
      2. acordar una garantía alternativa que pueda aplicarse al procesamiento en virtud de las Leyes de protección de datos aplicables; o,
      3. si (A) y (B) no logran resolver el problema, rescindir el presente Acuerdo de corresponsabilidad y el Acuerdo (o, a elección de la otra Parte, cualquier parte afectada de ellos) sin penalización alguna, previa notificación a Expedia.

      Si la otra Parte también cuenta con una certificación vigente del Sistema CBPR, las disposiciones anteriores se considerarán aplicables como si las obligaciones fueran recíprocas.

  3. DPF: las Partes acuerdan que, en lo que respecta a las transferencias de Datos de transferencia restringida entre las Partes hacia Estados Unidos o a un país que no haya sido considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen:
    1. En la medida y por el tiempo que el DPF siga siendo un método de transferencia reconocido por una autoridad competente, se considerará el mecanismo acordado para las transferencias de datos transfronterizas desde un País de transferencia restringida a Expedia en Estados Unidos.
    2. En la medida y por el tiempo que el DPF no sea un método válido de transferencia (incluyendo transferencias de Datos de transferencia restringida a un país que no haya sido considerado "adecuado" en virtud de las Leyes de protección de datos aplicables del País de transferencia restringida de origen), 

      las CCT se aplicarán a dichas transferencias, y las celebraremos como se indica en el párrafo (h) a continuación. Si la Empresa también cuenta con una certificación DPF vigente, las transferencias de Datos de transferencia restringida a la Empresa podrán realizarse de manera similar bajo el DPF, con las CCT como mecanismo alternativo, según se describe en este párrafo. Además, todos los párrafos pertinentes del DPF serán de aplicación recíproca.
  4. Con respecto al DPF, Expedia acepta proporcionar el mismo nivel de protección que requiere el DPF. Si la Empresa considera razonablemente que no estamos protegiendo los Datos de transferencia restringida según el nivel requerido por el DPF, Expedia podrá:
    1. basarse en las CCT, como se indica en el párrafo (h) a continuación;
    2. si las CCT no son una solución viable o adecuada, proponer a la Empresa medidas razonables y adecuadas para detener y remediar cualquier procesamiento no autorizado, las cuales aplicará de buena fe mediante esfuerzos comercialmente razonables; o,
    3. si las soluciones alternativas de los párrafos (i) o (ii) anteriores no son viables, rescindir este Acuerdo de corresponsabilidad y el Acuerdo sin penalización.
  5. Si la Empresa está certificada conforme al DPF, cumplirá con los Principios de notificación y elección del DPF (tal y como se definen en el DPF de la Unión Europea y EE. UU.). Para mayor claridad, si la Empresa no está certificada bajo el DPF, o si no accede a los Datos de transferencia restringida o no los recibe en un país considerado "adecuado" por la Comisión Europea, se recurrirá a las CCT para las transferencias de Datos de transferencia restringida de Expedia a la Empresa.
  6. Las Partes aceptan que cada una podrá divulgar el presente Acuerdo de corresponsabilidad y toda disposición de privacidad pertinente del Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense cuando estos lo soliciten, y aceptan que dicha divulgación no se considerará una violación de la confidencialidad.
  7. Extensión de las CCT a Países de transferencia no restringida: en relación con las transferencias de Datos personales pertinentes entre las Partes procedentes de un país que no sea un País de transferencia restringida que, no obstante, esté sujeto a salvaguardas que, según las Leyes de protección de datos aplicables, deban aplicarse antes de la transferencia de dichos Datos personales pertinentes fuera del país de origen (cada uno, un País de transferencia no restringida), las Partes acuerdan que:
    1. se considerará que las CCT descritas en el párrafo (h) a continuación se extienden a dichas transferencias adicionales en la medida en que dicha extensión cumpla con las salvaguardas de ese país específico; y/o,
    2. si las medidas descritas en el párrafo (h) a continuación resultan insuficientes o requieren medidas adicionales, las Partes acuerdan adoptar otras medidas, como la firma de documentos pertinentes, la obtención del consentimiento o la realización de los trámites necesarios, según se requiera periódicamente para cumplir con las Leyes de protección de datos aplicables.

  8. CCT: sin perjuicio de lo dispuesto en los párrafos anteriores de la cláusula 3.4, las Partes acuerdan celebrar las CCT que se incorporan por referencia al Acuerdo sin cambios, con las siguientes excepciones:

    1. Si la Empresa se encuentra dentro del Espacio Económico Europeo o en un país considerado "adecuado" según el Artículo 45 del RGPD, (País adecuado), el Módulo uno (1) de las CCT se aplicará de manera unidireccional para las transferencias de la Empresa a Expedia. De lo contrario, el Módulo uno (1) se aplicará en ambas direcciones para las transferencias de la Empresa a Expedia y de Expedia a la Empresa.
    2. A los efectos de la Cláusula 11(a) de las CCT, se elimina el texto opcional.
    3. A los efectos de la Cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad supervisora del Estado miembro en el que se establezca el representante según se lo dispuesto en el Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente".
    4. A los efectos de la Cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
    5. A los efectos de la Cláusula 18(b) de las CCT, la selección corresponde a Irlanda.

    6. Datos de transferencia restringida. Se agrega una nueva Cláusula 19 a las CCT para cubrir las transferencias de datos personales procedentes del Reino Unido, Suiza, Brasil, Arabia Saudita o Tailandia a un país que no sea considerado adecuado según las Leyes de protección de datos aplicables del país de origen ni esté exento de celebrar cláusulas contractuales tipo, como se indica a continuación:

      "Cláusula 19

      Transferencias del Reino Unido, Suiza, Brasil, Arabia Saudita y Tailandia

      Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias extraterritoriales que se encuentren dentro del alcance de la Ley de privacidad de referencia (denominadas, en esta Cláusula, Transferencias de referencia). Para los fines de dichas Transferencias de referencia, la ley aplicable se considerará la Ley de referencia aplicable, la elección del foro será el País de referencia, y la Autoridad supervisora de referencia será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las Transferencias de referencia según lo considere necesario la Autoridad supervisora de referencia para cumplir con las Leyes de privacidad de referencia; las Cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de referencia que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la Autoridad supervisora de referencia, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de referencia. Las Partes realizarán, además, todos los actos necesarios para garantizar el cumplimiento de las Leyes de privacidad de referencia cuando hagan Transferencias de referencia.

      País

      Ley de privacidad de referencia

      Transferencia de referencia

      Ley de referencia aplicable

      País de referencia

      Autoridad supervisora de referencia

      Reino Unido

      RGPD y Ley de Protección de Datos de 2018 del Reino Unido

      Transferencia del Reino Unido

      Reino Unido

      Reino Unido

      Oficina del Comisionado de Información (ICO)

      Suiza

      Ley Federal de Protección de Datos (FADP)

      Transferencia de Suiza

      Suiza

      Suiza

      Comisionado Federal de Información y Protección de Datos (FDPIC)

      Brasil

      Ley General de Protección de Datos de Brasil No. 13,709/18 (Lei Geral de Proteção de Dados)

      Transferencia de Brasil

      Brasil

      Brasil

      Autoridad Nacional de Protección de Datos (ANPD) de Brasil

      Arabia Saudita

      Ley de Protección de Datos Personales (PDPL)

      Transferencia de Arabia Saudita

      Arabia Saudita

      Arabia Saudita

      Autoridad Saudita de Datos e Inteligencia Artificial (SDAIA)

      Tailandia

      Ley de Protección de Datos Personales B.E. 2562 (2019) (PDPA)

      Transferencia de Tailandia

      Tailandia

      Tailandia

      Comité de Protección de Datos Personales (PDPC)

      Y:

    7. Todas las referencias a la Ley de privacidad de referencia aluden a las leyes de referencia según se modifiquen, complementen o sustituyan en lo sucesivo.
    8. Todas las referencias a una Autoridad supervisora de referencia aluden a la autoridad de referencia o cualquier organismo que la suceda.
    9. En relación con el Reino Unido, se aplicarán las disposiciones del Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea, según lo establecido en el formulario adjunto como Apéndice".

    10. Transferencias de terceros países: se agrega una nueva Cláusula 20 para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora donde las CCT puedan extenderse a fin de asegurar las garantías adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de este, como se indica a continuación:

      "Cláusula 20

      Otras transferencias de terceros países

      Las Partes acuerdan que las presentes Cláusulas se ampliarán y se aplicarán, en la medida pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que entren en el ámbito de aplicación de cualquier otra ley y normativa aplicable en cualquier jurisdicción pertinente, en relación con el uso o procesamiento de datos personales (Leyes de protección de datos aplicables) que requieran términos y protecciones ampliamente equivalentes a las presentes Cláusulas para transferir datos personales de ese país (denominado en la presente cláusula Tercer país) a otro (denominado en la presente cláusula Transferencia de un tercer país). A efectos de dichas Transferencias de un tercer país, se considerará que la ley aplicable es la legislación del Tercer país, la elección del foro será el Tercer país y la autoridad de protección de datos u otro organismo regulador pertinente de dicho país será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las Transferencias de un tercer país según lo considere necesario la autoridad supervisora correspondiente para cumplir con las Leyes de protección de datos aplicables de dicho Tercer país; las Cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de un tercer país que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad supervisora pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de un tercer país. Las Partes realizarán, además, todos los actos necesarios para garantizar el cumplimiento de las Leyes de privacidad de referencia cuando hagan Transferencias de un tercer país".

    1.8 A efectos de las CCT: :

    El Anexo 1 (uno) (Aspectos generales del procesamiento de las CCT) de esta Parte 5 (cinco) (Aspectos generales del procesamiento del Acuerdo de corresponsabilidad) constituirá el Anexo 1 (uno) de las CCT.

    1. Cuando la Empresa sea el importador de datos en virtud de las CCT, la Parte 2 (dos) (Medidas de seguridad) y la Parte 3 (tres) (Continuidad empresarial) de los Requisitos constituirán el Anexo 2 (dos) (Medidas técnicas y organizativas) de las CCT en relación con la Empresa.
    2. Cuando Expedia sea el importador de datos en virtud de las CCT, el Anexo 2 (dos) (Medidas técnicas y organizativas) de esta Parte 5 (cinco) constituirá el Anexo 2 (dos) (Medidas técnicas y organizativas) de las CCT en relación con Expedia.

    1.9 OBLIGACIONES ADICIONALES:

    1. Únicamente a efectos de la presente Sección 1.9, los términos "acceso", "masivo", "país de interés", "transacción de datos cubierta", "persona cubierta", "datos personales confidenciales" y "persona estadounidense" tendrán el significado que se les atribuye en el Título 28 del CFR, Parte 202 ("Reglas sobre datos confidenciales masivos del Departamento de Justicia de EE. UU.").
    2. Sin limitación de las demás obligaciones de la Empresa en virtud del Acuerdo, en la medida en que la Empresa reciba, derive o procese de otro modo datos personales confidenciales relativos a personas estadounidenses en relación con el Acuerdo, la Empresa:
    3. No deberá transferir ni reenviar dichos datos personales confidenciales, ni permitir el acceso a ellos a:
      1. una persona cubierta o país de interés; ni
      2. ningún subcontratista, empresa afiliada o tercero, excepto cuando existan protecciones contractuales equivalentes a esta cláusula.
    4. No deberá participar en ninguna otra actividad o conducta que pudiera dar lugar a que Expedia o la Empresa incumplan las Reglas sobre datos confidenciales masivos del Departamento de Justicia de EE. UU.
    5. Deberá informar sin demora a Expedia cualquier incumplimiento real o potencial de esta cláusula.
    6. La Empresa confirma que, para estos Requisitos, la Empresa cumple el Título 28 del CFR, Parte 202, y cualquier otra prohibición, restricción o disposición aplicable a los datos sujetos a estos Requisitos. La Empresa acuerda certificar el cumplimiento por parte de la Empresa del Título 28 del CFR, Parte 202, ante Expedia cuando se solicite de manera razonable. La Empresa se compromete a no eludir, evitar, infringir ni intentar infringir ninguna de las prohibiciones establecidas en la Orden Ejecutiva 14117 o en el Título 28 del CFR, Parte 202.

    1.10 PLAZO Y RESCISIÓN:

    1. Este Acuerdo de corresponsabilidad permanecerá en pleno vigor y efecto mientras el Acuerdo siga vigente.
    2. Cualquier disposición de este Acuerdo de corresponsabilidad que, de forma expresa o implícita, deba entrar o continuar en vigor a la finalización del Acuerdo o con posterioridad ella con el fin de proteger los Datos personales del responsable del tratamiento de datos permanecerá en pleno vigor y efecto.
    ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT
    MÓDULO UNO: de controlador a controlador (de ti a nosotros)
    A. LISTA DE PARTES

    Exportador(es) de datos:

    Parte

    Las partes identificadas como "tú", "ustedes", "socio de TAAP" o algún término equivalente

    Dirección

    Como se especifica en el Acuerdo

    Nombre, puesto e información de contacto de la persona encargada de todas las partes de Expedia Group

    Administrador de cuentas que use la dirección de correo electrónico notificada al contacto de Expedia en el futuro

    Actividades relacionadas con los datos transferidos en virtud de las CCT

     

    Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición de conformidad con el Acuerdo

    Función

    Controlador

    Importador(es) de datos: 

    Parte

    Las partes no pertenecientes a la UE identificadas como "nosotros" o "Expedia" en el Acuerdo

    Dirección

    Como se especifica en el Acuerdo

    Nombre, puesto e información de contacto de la persona encargada

    Administrador de cuentas que use la dirección de correo electrónico notificada al contacto del Socio de TAAP de vez en cuando

    Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas

    Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición de conformidad con el Acuerdo

    Función

    Controlador

     

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

     

    Categorías de personas interesadas

    Socios de TAAP, así como sus subusuarios

    Categorías de datos personales

    Agencia anfitriona/cuenta administradora: 

    Datos de identificación:

    • Nombre comercial de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de registro de la empresa

    Información de contacto:

    • URL del sitio web de la agencia (obligatorio en Canadá e Italia; opcional en otros países)
    • Dirección (calle, ciudad, estado/provincia, código postal, país)
    • Número de teléfono de la agencia
    • Número de fax (obligatorio solo en Japón)

    Datos financieros:

    • Nombre en la cuenta bancaria
    • Número de cuenta bancaria
    • Datos bancarios
    • Datos de la tarjeta de pago
    • Núm. de identificación fiscal

    Otra información (que el Socio de TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con):

    • Informes, supervisión y análisis (incluidos los datos de comisiones y reservaciones)
    • Inicio de sesión único y programas de lealtad

    Agentes individuales/subusuarios: 

    Datos de identificación:

    • Nombre y apellido del agente
    • Nombre comercial de la agencia (la propia agencia del agente si corresponde)
    • Nombre de la agencia anfitriona (la agencia a la que está afiliado el agente)
    • Nombre comercial de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de registro de la empresa

    Información de contacto:

    • Dirección (calle, ciudad, estado/provincia, código postal, país)
    • Número de teléfono de la agencia

    Información de viaje: historial de reservaciones y preferencias de viaje

    Otra información (que el Socio de TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con):

    • Informes, supervisión y análisis (incluidos los datos de comisiones y reservaciones)
    • Inicio de sesión único y programas de lealtad

    Datos confidenciales

    Ninguno, a menos que una persona los proporcione voluntariamente para satisfacer sus necesidades de accesibilidad para viajar.

    Frecuencia de transferencia (por ejemplo, si los datos se transfieren una sola vez o de manera continua)

    De forma continua o para casos específicos según las necesidades del negocio del Socio de TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Propósito(s) de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales de TAAP se retengan más allá de la terminación del Acuerdo por razones legales o de respaldo, Expedia continuará protegiendo dichos datos personales de conformidad con el Acuerdo

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, actualizado periódicamente

    Categorías de personas interesadas

    Clientes

    Categorías de datos personales

    Datos de identificación:

    • Nombre y apellido
    • Programa y número de viajero frecuente (vuelos)
    • Número de TSA (vuelos)

    Información de contacto:

    • Dirección de correo electrónico
    • Números de teléfono (fijo y móvil)
    • Fecha de nacimiento (para vuelos)
    • Nacionalidad (del pasaporte)

    Información financiera:

    • Datos de la tarjeta de pago
    • Núm. de identificación fiscal (solo para el punto de venta de Brasil)

    Datos confidenciales

    Ninguno, a menos que una persona los proporcione voluntariamente para satisfacer sus necesidades de accesibilidad para viajar.

    Frecuencia de transferencia (por ejemplo, si los datos se transfieren una sola vez o de manera continua)

    De forma continua o para casos específicos según las necesidades del negocio del Socio de TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Propósito(s) de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales de TAAP se retengan más allá de la terminación del Acuerdo por razones legales o de respaldo, Expedia continuará protegiendo dichos datos personales de conformidad con el Acuerdo

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, actualizado periódicamente

     

    C. AUTORIDAD SUPERVISORA COMPETENTE

    Identifica a las autoridades supervisoras competentes de conformidad con la Cláusula 13 de las CCT.

    Autoridad irlandesa de protección de datos

     

    MÓDULO UNO: de controlador a controlador (de nosotros a ti)

    A. LISTA DE PARTES

    Exportador(es) de datos: 

    Las partes identificadas como Importadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

     

    Importador(es) de datos:

    Las Partes identificadas como Exportadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

    B. DESCRIPCIÓN DE LA TRANSFERENCIA
    • Categorías de personas interesadas
    • Categorías de datos personales
    • Datos confidenciales

    De conformidad con el Módulo uno (1)

    • Frecuencia de transferencia
    • Naturaleza del procesamiento
    • Propósitos

    De conformidad con el Módulo uno (1)

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención del Socio de TAAP

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    N/A

     

    C. AUTORIDAD SUPERVISORA COMPETENTE

    De conformidad con el Módulo uno (1)

     

    ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

    A continuación, se detallan las medidas técnicas y organizativas aplicables a los propósitos del Módulo uno (1).

    OBJETO

    MEDIDA

    Medidas de pseudonimización y cifrado de datos personales

    • Expedia Group admite los protocolos de cifrado estándar de la industria para la transmisión de datos de acuerdo con la Norma de manejo y clasificación de información de Expedia Group.
    • Los requisitos de manejo de datos se basan en un criterio categórico. Dependiendo de los datos que se manejen, hay diferentes requisitos de seguridad en Expedia Group. Por ejemplo, los datos de tarjetas de crédito se consideran altamente confidenciales y deben cifrarse tanto en tránsito como en almacenamiento.
    • Los datos personales del cliente (y de sus empleados) son pseudonimizados (y anonimizados) por Expedia Group cuando sea posible y según lo requieran las Normas de clasificación y manejo de información de Expedia Group.
    • Los números de tarjetas de crédito se tokenizan o pseudonimizan para eliminar el procesamiento correspondiente en texto sin cifrado.
    • Expedia Group utiliza conexiones cifradas a través de VPN, SSL, etc., así como mecanismos de autenticación multifactor.

    Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento

    • Expedia Group mantiene responsabilidades y procedimientos para la administración y operación de todas las instalaciones de procesamiento de información a fin de garantizar un procesamiento de datos completo, válido y preciso.
    • La supervisión de las instalaciones de procesamiento clave se implementa con un programa SOX sólido en el que los controles sobre el procesamiento y la integridad de los datos se ponen a prueba y se certifican de manera continua.
    • El registro y la supervisión estándar de la industria se implementan en los sistemas de Expedia Group para garantizar la protección contra el acceso, la modificación y la eliminación no autorizados.
    • Expedia Group mantiene la resiliencia del servicio a través de arquitecturas redundantes, replicaciones de datos y verificaciones de integridad.

    Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidentes físicos o técnicos

    • Los sistemas de Expedia Group están diseñados específicamente para impedir o prevenir ataques comunes y garantizar la disponibilidad para la operación, la supervisión y el mantenimiento. Para lograrlo, Expedia Group realiza pruebas y auditorías simuladas periódicamente a fin de confirmar que sus sistemas mantienen la disponibilidad.
    • Los servidores se actualizan conforme a la política de parches de Expedia Group y están protegidos por programas antivirus y antimalware estándar de la industria. Además, se llevan a cabo evaluaciones de vulnerabilidad, pruebas exhaustivas y revisiones de red para garantizar el mantenimiento de los sistemas de Expedia Group.
    • Se implementa la supervisión de disponibilidad y confiabilidad para garantizar que los sitios de Expedia permanezcan en línea, con interrupciones mínimas del servicio.
    • Expedia Group cuenta con un Plan de recuperación ante desastres que abarca emergencias y planes de contingencia para asegurarse de que los servicios al cliente no se interrumpan, según la gravedad, y que se pongan a prueba de manera constante para garantizar la viabilidad.

    Procesos para poner a prueba y evaluar priódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento

    • Las medidas técnicas y organizativas de Expedia Group son auditadas cada año por asesores externos, así como mediante sólidas pruebas internas.
    • Expedia Group realiza evaluaciones anuales de la industria de tarjetas de pago (PCI, por su sigla en inglés) mediante un evaluador externo y garantiza el cumplimiento continuo con las normas de PCI.
    • La función integral de pruebas internas de Expedia Group se compone de pruebas de vulnerabilidad trimestrales, pruebas de penetración internas y externas, y análisis y revisiones de redes, sistemas y firewalls. Además, un departamento interno de auditoría realiza evaluaciones de riesgo anuales para priorizar las auditorías operativas.

    Medidas para la identificación y autorización de usuarios; medidas para la protección de datos durante la transferencia; medidas para la protección de datos durante el almacenamiento

    • Los sistemas de Expedia Group siguen las prácticas recomendadas de la industria y cuentan con prácticas de comunicación, como sesiones con tiempo de espera, protocolos de bloqueo, y controles sólidos de autenticación y contraseña.
    • Expedia Group mantiene requisitos para el suministro y la supervisión de cuentas a fin de evitar el acceso no autorizado o el uso indebido de la información de Expedia Group, y utiliza las prácticas recomendadas de la industria según sea necesario, como el principio de acceso con privilegios mínimos, ID únicos y autenticación multifactor, para lograr una autenticación segura.

    Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales

    • Un centro de operaciones de seguridad brinda cobertura las 24 horas del día, los 7 días de la semana, con un plan formal de respuesta a incidentes que se revisa y se prueba al menos una vez al año.
    • Todos los sistemas son controlados y puestos a prueba periódicamente por prestadores de servicios externos.
    • Cada cliente de Expedia Group recibe su propio ID de cliente. Todos los conjuntos de datos de clientes en cuestión se almacenan bajo este ID y dichos datos se segregan lógicamente. Debido a los derechos de administración y las estructuras de base de datos, el cliente solo puede acceder a conjuntos de datos que están asignados a ese ID de usuario y centros de datos o controles de AWS.
    • Solo las personas expresamente autorizadas por Expedia que tengan una "necesidad de saber" tienen acceso a los datos personales. Se implementan controles y supervisión para garantizar el acceso con privilegios mínimos y los intentos de acceso no autorizado al sistema.

    Medidas para garantizar el registro de eventos

    		Expedia Group mantiene requisitos rigurosos de registro y supervisión para dar cuenta de quién dio origen a un evento determinado, cuál fue este evento, dónde y cuándo ocurrió, su finalidad, su origen y si tuvo éxito o fracasó.

    Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada; medidas para la gobernanza y la administración internos de tecnologías de información y de la seguridad de estas; medidas para la certificación o garantía de procesos y productos

    • El Programa de seguridad de la información de Expedia Group (EG) está alineado con los estándares y marcos de la industria, y utiliza su proceso de administración de riesgos para mantener una postura de seguridad sólida y completa. Expedia Group mantiene procesos operativos seguros para respaldar la seguridad, disponibilidad, integridad y confidencialidad de su entorno y los datos de los clientes.
    • Las normas de compilación de Expedia Group solo habilitan los componentes del sistema, los servicios y los protocolos que cumplen con cierto requisito comercial. Los sistemas operativos, las bases de datos y las aplicaciones listas para usar deben ser detectables para satisfacer los requisitos jurídicos y normativos de auditoría, admitir herramientas de administración de configuración o implementar una administración de configuración que aplique con éxito los controles de seguridad. Además, deben habilitar el cifrado para todos los accesos administrativos remotos a un sistema y mostrar el uso adecuado del sistema a la vez que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas, así que no hay expectativa de privacidad mientras se usa el sistema.
    • Expedia Group adopta una estrategia de seguridad por capas o defensa en profundidad. Se implementan capacidades y controles de primera importancia en toda la empresa (p. ej., antimalware, firewall WAF, segmentación de red y prevención de pérdida de datos) utilizando un conjunto de políticas, operaciones y tecnologías para garantizar que el entorno sea supervisado a través de una organización central de seguridad y alertas a las que se responda de la manera debida.
    • Los sistemas de Expedia se alojan en Amazon Web Services (AWS) y en centros de datos que proporcionan a Expedia Group informes anuales de auditoría SOC 2 para garantizar el cumplimiento.

    Medidas para garantizar la minimización de datos; medidas para garantizar la calidad de los datos; medidas para garantizar la retención limitada de datos; medidas para garantizar la rendición de cuentas

    • Minimización: Expedia Group recopila, procesa y almacena solo la cantidad mínima de datos. Solo utilizamos el formato identificable cuando es necesario.
    • Retención: la política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad.
    • Calidad: Expedia Group tiene un programa de administración de calidad formalizado llamado administración de la experiencia del cliente (CEM). Siempre nos esforzamos por mejorar dentro del entorno de Expedia Group y buscamos simplificar los procesos para lograr una mayor eficiencia, lo que da como resultado servicios e interacciones consistentes y de alta calidad con nuestros socios, clientes y viajeros.
    • Rendición de cuentas: Expedia Group garantiza la supervisión de la rendición de cuentas al implementar de manera coherente políticas, normas o marcos de la industria, y requisitos legales mediante el mantenimiento de un programa formalizado de gobernanza y un departamento jurídico o de privacidad.

    Medidas para permitir la portabilidad de los datos y garantizar el borrado

    • Expedia Group es directamente responsable de garantizar el cumplimiento de las leyes de protección de datos (incluso en relación con las solicitudes de las personas interesadas). Expedia Group responde a todas las solicitudes de las personas interesadas, incluidas las relativas al acceso, la eliminación y la portabilidad de conformidad con las leyes de protección de datos aplicables.
    • La política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad. En caso de que Expedia Group no pueda destruir los Datos personales, Expedia Group continuará ampliando las protecciones pertinentes del Acuerdo entre las partes que rigen esos datos personales y rescindirá todo procesamiento posterior.

    Para las transferencias a (sub)procesadores, también se deberán describir las medidas técnicas y organizativas específicas que el (sub)procesador debe tomar a fin de poder proporcionar asistencia al responsable del tratamiento y, en el caso de las transferencias de un procesador a un subprocesador, al exportador de datos

    • Expedia Group lleva a cabo un análisis de diligencia debida de las prácticas de seguridad de la información de sus proveedores, además de exigir a los proveedores que cumplan con determinados requisitos de seguridad integrales, incluidas las obligaciones que requieran que los proveedores implementen y mantengan las medidas técnicas y organizativas adecuadas.
    • Expedia Group formalizó un proceso detallado de evaluación del impacto en la seguridad (SIA). Todos los nuevos proveedores que acceden a los datos son evaluados antes de la contratación y siempre que se considere necesario durante el plazo de sus actividades.
    • Además, Expedia Group cuenta con términos rigurosos en materia de proveedores procesadores que se imponen a todos los proveedores a fin de garantizar la transmisión de las obligaciones a todos sus subprocesadores.

     

    Transferencia internacional de datos para las Cláusulas contractuales tipo de la Comisión Europea (Apéndice)

    Este Apéndice fue emitido por el Comisario de Información para las Partes que realizan Transferencias restringidas. El Comisario de Información considera que proporciona Garantías adecuadas para las Transferencias restringidas cuando se suscriben como un contrato legalmente vinculante.

    Parte 1 Tablas

    Tabla 1: partes

    Fecha de inicio

    La Fecha de las CCT a las que se adjunta este Apéndice (CCT de la UE)

    Partes

    Contacto clave

    Exportador: de conformidad con las CCT de la UE

     

    Importador: de conformidad con las CCT de la UE

     

    Tabla 2: CCT seleccionadas, módulos y cláusulas elegidas

    Apéndice para CCT de la UE

    La versión de las CCT aprobadas de la UE a las que se adjunta este Apéndice

    Tabla 3: información del Apéndice

    "Información del Apéndice" significa la información que se debe proporcionar para los módulos seleccionados como se establece en el Apéndice de las CCT aprobadas de la UE (distintas a las Partes) y que, para este Apéndice, se establece en:

    Anexo IA: lista de Partes

    Anexo IB: descripción de la transferencia

    Anexo II: medidas técnicas y organizativas

    De conformidad con las CCT de la UE

    Tabla 4: rescisión de este Apéndice cuando se modifique el Apéndice aprobado

    Qué Partes pueden poner fin a este Anexo según lo establecido en el Artículo 19

    Ninguna Parte

    Parte 2: cláusulas obligatorias

    Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, según la revisión en el Apartado 18 de dichas Cláusulas obligatorias.

     

Last updated: 1 January 2026