Última actualización: 31 de marzo de 2026

Términos de privacidad de TAAP: Acuerdo de corre sponsabilidad (incluidas las CCT)

Anexo 4 (TAAP)

Es posible que la versión original en inglés del presente Acuerdo de corresponsabilidad se haya traducido a otros idiomas. En caso de incoherencias o discrepancias entre la versión en inglés y la versión en algún otro idioma, prevalecerá la versión en inglés.

ALCANCE :si Expedia o tú procesan datos personales como parte de un acuerdo (que podría presentarse como términos y condiciones de aceptación en línea) celebrado entre Expedia y tú (según el cual se te considera un socio de marketing en el programa TAAP, y todas las actividades relevantes relacionadas con esa actividad se denominan "Actividades pertinentes"), este acuerdo global de corresponsabilidad (en lo sucesivo, el Acuerdo de corresponsabilidad") se vuelve supletorio y se aplica al acuerdo celebrado entre las partes en lo que respecta a las Actividades pertinentes (en lo sucesivo, el Acuerdo"). Asimismo, el Acuerdo de corresponsabilidad establece términos, condiciones y requisitos adicionales según los cuales Expedia y tú procesarán datos personales en relación con el Acuerdo. En el presente Acuerdo de corresponsabilidad, "Expedia", "nosotros y cualquier mención en primera persona del plural se referirá a Expedia, Inc. y/o a toda empresa de Expedia Group que forme parte del Acuerdo. En cambio, "" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la Solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de Corresponsabilidad está sujeto a las condiciones que se establecen en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos que figuran en el Acuerdo se aplican a la interpretación del presente Acuerdo de corresponsabilidad, a menos que se definan de otra manera en él.

  1. Los términos medidas técnicas y operativas adecuadas, responsable del tratamiento de datos, datos personales, filtración de datos personales, proceso o procesamiento, y autoridad supervisora (o los términos razonablemente equivalentes) tendrán los mismos significados que se les atribuye en las Leyes de protección de datos aplicables.
  2. Leyes de protección de datos aplicables hace referencia a toda ley y regulación en relación con el uso o procesamiento de datos personales aplicable en cualquier jurisdicción correspondiente.
  3. País sujeto al CBPR hace referencia a un país que es miembro de pleno derecho o asociado al Sistema CBPR.
  4. Parte sujeta al CBPR hace referencia a una organización que posee una certificación vigente conforme al Sistema CBPR.
  5. Sistema CBPR significa el Sistema Global de Reglas de Privacidad Transfronterizas establecido por el foro Global-CBPR.
  6. Objetivo permitido significa los objetivos de (i) completar Reservaciones; (ii) brindar asistencia para Reservaciones; (iii) registrarse en TAAP y administrar la cuenta; (iv) pagar las Comisiones y otros montos relacionados con el Acuerdo; (v) generar informes para ti, así como todo procesamiento adicional requerido con fines de conciliación, tratamiento de quejas y demás actividades similares en relación con el cumplimiento del Acuerdo; (vi) brindar asistencia con la Cuenta de TAAP; (vii) comunicarse con los Socios y subusuarios de TAAP; (viii) facilitar todo servicio o complemento adicional que podemos poner a tu disposición, siempre y cuando hayas elegido activar dicho servicio o complemento; (ix) mejorar nuestros servicios, incluida la tecnología subyacente, y optimizar todo el proceso, incluida la experiencia de reservación o servicio, o cualquier otro servicio o complemento opcional que ofrezcamos y que elijas usar; (x) crear informes para análisis, inteligencia de negocios y generación de informes comerciales; (xi) prevenir fraudes; (xii) responder a solicitudes de cumplimiento de la ley y auditorías de autoridades fiscales; (xiii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiv) cumplir con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables, y (xv) determinar y calcular los Impuestos de viaje y otros fines fiscales según sea requerido en el futuro, así como brindar información sobre ellos.
  7. DPF hace referencia al Marco de privacidad de datos UE-EE. UU. o al Marco de privacidad de datos Suiza-EE. UU., o a cualquier programa de autocertificación sucesor operado por el Departamento de Comercio de Estados Unidos y aprobado por la Comisión Europea en lo sucesivo y que siga siendo válido (y en cada caso, incluye la Extensión del Reino Unido al Marco de privacidad de datos UE-EE. UU. y cualquier otra extensión de dicho marco a otro país que opere para ampliar la aplicación del Marco de privacidad de datos UE-EE. UU. a ese país).
  8. País sujeto al DPF hace referencia a un país del EEE, Reino Unido, Suiza y cualquier otro país o región cuyas autoridades pertinentes hayan acordado ampliar la aplicación del DPF a ese país o región.
  9. EEE significa el Espacio Económico Europeo. País de transferencia restringida hace referencia a cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido, Brasil, Tailandia y Arabia Saudita.
  10. Datos de transferencia restringida hace referencia a los Datos personales de TAAP relativos a una Reservación efectuada a través de un punto de venta al que pretendemos que accedan individuos de un País de transferencia restringida.
  11. Cláusulas contractuales tipo o CCT se refieren a las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, publicadas el 4 de junio de 2021, en su versión modificada, sustituida, completada o reemplazada en el futuro, y cuya versión completa actual puede consultarse (en inglés) en el siguiente enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
  12. Datos personales de TAAP significa los datos personales que nos proporcionas a través del Sitio web de TAAP, que se procesan de otra manera con el propio TAAP o que permiten hacer Reservaciones mediante el Sitio web de TAAP.
RELACIÓN DE LAS PARTES

1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como responsables independientes y autónomos del tratamiento de datos, (ii) cumplirá con las Leyes de protección de datos aplicables, y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes de protección de datos aplicables.

TUS RESPONSABILIDADES

1.3 En particular, debes hacer lo siguiente:  

  1. Contar con una base jurídica para poner a nuestra disposición los Datos personales de TAAP que suministres a fin de procesarlos para los Objetivos permitidos.
  2. Asegurarte de que los Clientes finales tengan conocimiento, a través de tu aviso de privacidad y cualquier otro medio apropiado, de que sus datos personales serán compartidos con nosotros para los Objetivos permitidos.
  3. Dirigir a los Clientes finales a nuestro aviso de privacidad para que obtengan más información sobre nuestro manejo de sus datos personales.
  4. Colaborar con nosotros y ayudarnos a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
  5. Contar con un fundamento jurídico para enviar comunicaciones de marketing a los Clientes.
NUESTRAS RESPONSABILIDADES

1.4 Nosotros (y los Socios de nuestro grupo, cuando corresponda) tendremos las siguientes responsabilidades:  

  1. Procesar los Datos personales de TAAP únicamente en relación con un Objetivo permitido.
  2. No divulgar, ni total ni parcialmente, los Datos personales de TAAP a ninguna persona, salvo en relación con un Objetivo permitido.
  3. Colaborar contigo y ayudarte a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP.
  4. Mostrar nuestro aviso sobre cookies legal actualizado (si fuera necesario) y nuestro aviso de privacidad en el Sitio web de TAAP, y cumplir con ellos.
CLIENTES Y TERCEROS

1.5 Reconoces que nosotros podemos hacer lo siguiente:

  1. Enviar correos electrónicos a los Clientes finales relacionados con las Reservaciones.
  2. Transferir Datos personales de TAAP (incluidos datos bancarios) a nuestros prestadores de servicios externos para los siguientes fines:
    1. Administrar tu Cuenta de TAAP, y las de tus representantes y subusuarios, y proporcionar asistencia en relación con ellas.
    2. Brindar asistencia con las Reservaciones.
    3. Pagar Comisiones y otros montos en virtud del Acuerdo.
SEGURIDAD DE LOS DATOS E INCUMPLIMIENTO

1.6 Tú y nosotros, en nuestra respectiva calidad de responsables, acordamos hacer lo siguiente: Implementar medidas técnicas y organizativas adecuadas para proteger los Datos personales de TAAP que proceses y procesemos contra una filtración de datos personales.

  1. En el caso de una filtración de datos personales confirmada en los sistemas de la parte en cuestión o controlados por esta, notificar de inmediato a la otra parte si esta filtración (i) afecta los Datos personales de TAAP que también son procesados por la otra parte en virtud de este Acuerdo y (ii) debe informarse a una autoridad supervisora, proporcionando todos los detalles correspondientes. En ese caso, ambas partes deberán colaborar de manera razonable y de buena fe para remediar o mitigar los efectos de la filtración de datos personales, y los costos razonables de dicha colaboración estarán a cargo de la parte que sufrió la filtración de datos personales.
TRANSFERENCIAS TRANSFRONTERIZAS

1.7 Transferencias de datos transfronterizas.

Las Partes aceptan y reconocen que, en la presente cláusula 1.7, siempre que se utilice la palabra "transferencia", esta incluye el acceso proporcionado por un procesador o responsable del tratamiento a otro procesador o responsable del tratamiento y:

  1. Aspectos generales: ninguna de las Partes transferirá (ni permitirá que ninguna otra parte lo haga) Datos personales de TAAP fuera del territorio de origen, a menos que dicha Parte adopte las medidas de cumplimiento necesarias para permitir legalmente dicha transferencia de conformidad con las Leyes de protección de datos aplicables.
  2. Región de Asia-Pacífico y CBPR: 

    1. Las Partes reconocen y aceptan lo siguiente:

      1. Una Parte sujeta al CBPR está regida por un conjunto de obligaciones jurídicamente exigibles para proporcionar una protección comparable a las Leyes de protección de datos aplicables.
      2. Expedia es una Parte sujeta al CBPR.

      Cuando el Socio sea también una Parte sujeta al CBPR, las disposiciones de este párrafo (b) se aplicarán recíprocamente.

    2. ii. Sin perjuicio de lo dispuesto en el párrafo (iii) siguiente, las Partes acuerdan que:
      1. cuando los Datos personales de TAAP se transfieran de un País sujeto al CBPR a otro País sujeto al CBPR, y
      2. el importador de datos sea una Parte sujeta al CBPR, en la medida y por el tiempo que el Sistema CBPR sea un método de transferencia reconocido por una autoridad supervisora pertinente, el Sistema CBPR será el mecanismo acordado para las transferencias transfronterizas de Datos personales de TAAP a dicha Parte sujeta al CBPR.
    3. El Sistema CBPR se aplicará únicamente a transferencias en las que al menos una de las Partes se encuentre en un país de la región de Asia-Pacífico que también sea un País sujeto al CBPR.

    4. Expedia confirma que proporcionará a los Datos personales de TAAP al menos el mismo nivel de protección que el requerido por el Sistema CBPR y notificará sin demora a la otra Parte si determina que ya no puede proporcionar este nivel de protección. En tal caso, o si la otra Parte considera razonablemente que Expedia no está protegiendo los Datos personales de TAAP con el nivel requerido por el Sistema CBPR, la otra Parte podrá:

      1. ordenar a Expedia que adopte medidas razonables y adecuadas para detener y remediar cualquier procesamiento no autorizado, en cuyo caso las Partes cooperarán de buena fe y sin demora para identificar, acordar y aplicar dichas medidas;
      2. acordar una garantía alternativa que pueda aplicarse al procesamiento en virtud de las Leyes de protección de datos aplicables; o,
      3. si (A) y (B) no logran resolver el problema, rescindir el presente Acuerdo de corresponsabilidad y el Acuerdo (o, a elección de la otra Parte, cualquier parte afectada de ellos) sin penalización alguna, previa notificación a Expedia.

      Si la otra Parte también cuenta con una certificación vigente del Sistema CBPR, las disposiciones anteriores se considerarán aplicables como si las obligaciones fueran recíprocas.

  3. DPF: las Partes acuerdan que, en lo que respecta a las transferencias de Datos de transferencia restringida entre las Partes hacia Estados Unidos o a un país que no haya sido considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen:
    1. En la medida y por el tiempo que el DPF siga siendo un método de transferencia reconocido por una autoridad competente, se considerará el mecanismo acordado para las transferencias de datos transfronterizas desde un País de transferencia restringida a Expedia en Estados Unidos.
    2. En la medida y por el tiempo que el DPF no sea un método válido de transferencia (incluyendo transferencias de Datos de transferencia restringida a un país que no haya sido considerado "adecuado" en virtud de las Leyes de protección de datos aplicables del País de transferencia restringida de origen), las CCT se aplicarán a dichas transferencias, y las celebraremos como se indica en el párrafo (h) a continuación. Si tú también cuentas con una certificación DPF vigente, las transferencias de Datos de transferencia restringida a ti podrán realizarse de manera similar bajo el DPF, con las CCT como mecanismo alternativo, según se describe en este párrafo. Además, todos los párrafos pertinentes del DPF serán de aplicación recíproca.
  4. Con respecto al DPF, aceptamos proporcionar el mismo nivel de protección que requiere el DPF. Si consideras razonablemente que no estamos protegiendo los Datos de transferencia restringida según el nivel requerido por el DPF, podremos:
    1. basarnos en las CCT, como se indica en el párrafo (h) a continuación;
    2. si las CCT no son una solución viable o adecuada, proponerte medidas razonables y adecuadas para detener y remediar cualquier procesamiento no autorizado, las cuales aplicaremos de buena fe mediante esfuerzos comercialmente razonables; o,
    3. si las soluciones alternativas de los párrafos (i) o (ii) anteriores no son viables, rescindir este Acuerdo de corresponsabilidad y el Acuerdo sin penalización.
  5. Si tienes una certificación conforme al DPF, cumplirás con los Principios de notificación y elección del DPF (tal y como se definen en el DPF de la Unión Europea y EE. UU.). Para mayor claridad, si no tienes una certificación conforme al DPF, o si no accedes a los Datos de transferencia restringida o no los recibes en un país considerado "adecuado" por la Comisión Europea, se recurrirá a las CCT para las transferencias de Datos de transferencia restringida desde nosotros hacia ti.
  6. Las Partes aceptan que cada una podrá divulgar el presente Acuerdo de corresponsabilidad y toda disposición de privacidad pertinente del Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo de EE. UU. o la UE cuando estos lo soliciten, y aceptan que dicha divulgación no se considerará un incumplimiento de la confidencialidad.
  7. Extensión de las CCT a Países de transferencia no restringida: en relación con las transferencias de Datos personales de TAAP entre las Partes procedentes de un país que no sea un País de transferencia restringida que, no obstante, esté sujeto a salvaguardas que, según las Leyes de protección de datos aplicables, deban aplicarse antes de la transferencia de dichos Datos personales de TAAP fuera del país de origen (cada uno, un País de transferencia no restringidaPaís de transferencia no restringida
    1. se considerará que las CCT descritas en el párrafo (h) a continuación se extienden a dichas transferencias adicionales en la medida en que dicha extensión cumpla con las salvaguardas de ese país específico; y/o,
    2. si las medidas descritas en el párrafo (h) a continuación resultan insuficientes o requieren medidas adicionales, las Partes acuerdan adoptar otras medidas, como la firma de documentos pertinentes, la obtención del consentimiento o la realización de los trámites necesarios, según se requiera en lo sucesivo para cumplir con las Leyes de protección de datos aplicables.

  8. CCT :sin perjuicio de lo dispuesto en los párrafos anteriores de la cláusula 1.7, las Partes acuerdan celebrar las CCT que se incorporan por referencia al Acuerdo sin cambios, con las siguientes excepciones:

    1. Si el Socio se encuentra dentro del EEE o en un país considerado "adecuado" según el Artículo 45 del RGPD, (País adecuado), el Módulo uno (1) de las CCT se aplicará de manera unidireccional para las transferencias que nos envíes. De lo contrario, el Módulo uno (1) se aplicará en ambas direcciones para las transferencias que nos envíes y que nosotros te enviemos.
    2. A los efectos de la Cláusula 11(a) de las CCT, se elimina el texto opcional.
    3. A los efectos de la Cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad supervisora del Estado miembro en el que se establezca el representante según se lo dispuesto en el Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente".
    4. A los efectos de la Cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
    5. A los efectos de la Cláusula 18(b) de las CCT, la selección corresponde a Irlanda.

    6. Datos de transferencia restringida. Se agrega una nueva Cláusula 19 a las CCT para cubrir las transferencias de datos personales procedentes del Reino Unido, Suiza, Brasil, Arabia Saudita o Tailandia a un país que no sea considerado adecuado según las Leyes de protección de datos aplicables del país de origen ni esté exento de celebrar cláusulas contractuales tipo, como se indica a continuación:

      "Cláusula 19

      Transferencias del Reino Unido, Suiza, Brasil, Arabia Saudita y Tailandia

      Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias extraterritoriales que se encuentren dentro del alcance de la Ley de privacidad de referencia (denominadas, en esta Cláusula, Transferencias de referencia).Para los fines de dichas Transferencias de referencia, la ley aplicable se considerará la Ley de referencia aplicable, la elección del foro será el País de referencia y la Autoridad supervisora de referencia será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las Transferencias de referencia según lo considere necesario la Autoridad supervisora de referencia para cumplir con las Leyes de privacidad de referencia; las Cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de referencia que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la Autoridad supervisora de referencia, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de referencia. Las Partes realizarán, además, todos los actos necesarios para garantizar el cumplimiento de las Leyes de privacidad de referencia cuando hagan Transferencias de referencia.

      País

      Ley de privacidad de referencia

      Transferencia de referencia

      Ley de referencia aplicable

      País de referencia/strong>

      Autoridad supervisora de referencia

      Reino Unido

      RGPD y Ley de Protección de Datos de 2018 del Reino Unido

      Transferencia del Reino Unido

      Reino Unido

      Reino Unido

      Oficina del Comisionado de Información (ICO)

      Suiza

      Ley Federal de Protección de Datos (FADP) 

      Transferencia de Suiza

      Suiza

      Suiza

      Comisionado Federal de Información y Protección de Datos (FDPIC)

      Brasil

      Ley General de Protección de Datos de Brasil No. 13,709/18 (Lei Geral de Proteção de Dados)

      Transferencia de Brasil

      Brasil

      Brasil

      Autoridad Nacional de Protección de Datos (ANPD) de Brasil

      Arabia Saudita

      Ley de Protección de Datos Personales (PDPL)

      Transferencia de Arabia Saudita

      Arabia Saudita

      Arabia Saudita

      Autoridad Saudita de Datos e Inteligencia Artificial (SDAIA)

      Tailandia

      Ley de Protección de Datos Personales B.E. 2562 (2019) (PDPA)

      Transferencia de Tailandia

      Tailandia

      Tailandia

      Comité de Protección de Datos Personales (PDPC)

      Y:

      1. Todas las referencias a la Ley de privacidad de referencia aluden a las leyes de referencia según se modifiquen, complementen o sustituyan en lo sucesivo.
      2. Todas las referencias a una Autoridad supervisora de referencia aluden a la autoridad de referencia o cualquier organismo que la suceda.
      3. En relación con el Reino Unido, se aplicarán las disposiciones del Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea, según lo establecido en el formulario adjunto como Apéndice".

    7. Transferencias de terceros países : se agrega una nueva Cláusula 20 para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora donde las CCT puedan extenderse a fin de asegurar las garantías adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de este, como se indica a continuación:

      "Cláusula 20

      Otras transferencias de terceros países

      Las Partes acuerdan que las presentes Cláusulas se ampliarán y se aplicarán, en la medida pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que entren en el ámbito de aplicación de cualquier otra ley y normativa aplicable en cualquier jurisdicción pertinente, en relación con el uso o procesamiento de datos personales (Leyes de protección de datos aplicables)que requieran términos y protecciones ampliamente equivalentes a las presentes Cláusulas para transferir datos personales de ese país (denominado en la presente cláusula Tercer país) )a otro (denominado en la presente cláusula Transferencia de un tercer país ). A efectos de dichas Transferencias de un tercer país, se considerará que la ley aplicable es la legislación del Tercer país, la elección del foro será el Tercer país y la autoridad de protección de datos u otro organismo regulador pertinente de dicho país será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las Transferencias de un tercer país según lo considere necesario la autoridad supervisora correspondiente para cumplir con las Leyes de protección de datos aplicables de dicho Tercer país; las Cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de un tercer país que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad supervisora pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de un tercer país. Las Partes realizarán además todos los actos necesarios para garantizar el cumplimiento con las Leyes de protección de datos aplicables cuando hagan Transferencias de un tercer país".

    8. En lo que respecta a las CCT anteriores, se aplicarán al procesamiento conforme a lo siguiente:
      1. Se considerará que cada parte que actúe como exportador o importador de datos en virtud de las CCT ha suscrito las CCT en su propio nombre y por su propia cuenta.
      2. El Anexo 1 (Aspectos generales del procesamiento de las CCT) de este Acuerdo de corresponsabilidad constituye el Anexo 1 de las CCT.
      3. El Anexo 2 (Medidas técnicas y organizativas) del presente Acuerdo de corresponsabilidad constituye el Anexo 2 de las CCT y se aplica únicamente a Expedia cuando (a) solo se aplican CCT unidireccionales a las transferencias de Datos de transferencia que nos envías o (b) el Socio ha proporcionado, y Expedia ha aceptado, medidas técnicas y organizativas adecuadas para satisfacer los requisitos del Anexo 2 de las CCT del Socio. Cuando no se cumplan las condiciones mencionadas, se entenderá que el Anexo 2 se aplica a ambas partes y todas las referencias a Expedia y Expedia Group se interpretarán como referencias a cualquiera de las partes según corresponda.
      4. El Apéndice a este Acuerdo de corresponsabilidad constituye el Apéndice del Reino Unido para los propósitos de las CCT. En caso de conflicto entre cualquier cláusula de este Acuerdo y las CCT, prevalecerán estas últimas.

    1.8 PCI. 

    Declaras y garantizas lo siguiente:

    1. únicamente obtendrás, utilizarás, transmitirás y almacenarás datos de titulares de tarjetas de Clientes finales en la medida en la que sea necesario para cumplir con tus obligaciones en virtud del Acuerdo y de este Acuerdo de corresponsabilidad;
    2. toda vez que obtengas, utilices, transmitas, almacenes o proceses datos de titulares de tarjetas de Clientes finales, cumplirás con los PCI DSS que emita el Consejo de Normas de Seguridad de la PCI, según sus modificaciones en lo sucesivo;
    3. nos proporcionarás una copia de tu certificación anual de cumplimiento; y
    4. nos informarás de inmediato en caso de incumplimiento de los PCI DSS o de cualquier otra filtración de datos personales que afecte a los datos de titulares de tarjetas de Clientes finales.

    Nosotros reconocemos que somos responsables de la seguridad de los datos de titulares de tarjetas que tengamos, almacenemos, procesemos o transmitamos, y cumpliremos con las PCI DSS, y con sus futuras modificaciones, emitidas por el Consejo de Normas de Seguridad de la PCI. Te brindaremos una copia de nuestro certificado anual de cumplimiento cuando así lo solicites.

    1.9 Notificaciones.

    1. Cualquier notificación en virtud del presente Acuerdo de corresponsabilidad se considerará efectiva si se envía por correo electrónico a los contactos facilitados por cualquiera de las partes a la otra a estos efectos, de conformidad con las disposiciones de notificación del Acuerdo. En el caso de Expedia, esto requerirá que se envíe un correo electrónico periódicamente al administrador de cuentas/relaciones, con copia al buzón de privacidad de Expedia[S(3.1] que se proporcione periódicamente.

     

    ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT
    MÓDULO UNO: de responsable a responsable (de ti a nosotros)
    A. LISTA DE PARTES

    Exportador(es) de datos:

    Parte

    Las partes identificadas como "tú", "ustedes", "socio de TAAP" o algún término equivalente

    Dirección

    Como se especifica en el Acuerdo

    Nombre, puesto e información de contacto de la persona encargada de todas las partes de Expedia Group

    Se considera que la Notificación es efectiva cuando se envía un correo electrónico a la dirección del administrador de cuentas o relaciones proporcionada periódicamente a Expedia

    Actividades pertinentes relacionadas con los datos transferidos en virtud de las CCT

     

     

    • Actividades pertinentes, es decir:
    • Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición y actividades relacionadas de conformidad con el Acuerdo y el Acuerdo de corresponsabilidad
    • Para los Objetivos permitidos de conformidad con el Acuerdo y el Acuerdo de corresponsabilidad
    • Servicios adicionales previa solicitud, incluidos servicios de marketing y comunicación, servicios de inicio de sesión único e integración de programas de lealtad de socios

     

    Función

    Responsable del tratamiento de datos

    Importador(es) de datos:  

    Parte

    Las partes no pertenecientes a la UE identificadas como "nosotros" o "Expedia" en el Acuerdo

    Dirección

    Como se especifica en el Acuerdo

    Nombre, puesto e información de contacto de la persona encargada

    Se considera que la Notificación es efectiva cuando se envía un correo electrónico tanto al (1) administrador de cuentas o relaciones como al (2) buzón de privacidad de Expedia, en cada caso con las direcciones de correo electrónico proporcionadas periódicamente al Socio

    Actividades pertinentes relacionadas con los datos transferidos en virtud de estas Cláusulas

    Reservaciones realizadas a través del Sitio web de TAAP que ponemos a tu disposición de conformidad con el Acuerdo

    Función

    Responsable del tratamiento de datos

     

    A. DESCRIPCIÓN DE LA TRANSFERENCIA

     

    Categorías de personas interesadas

    Socios de TAAP, así como sus subusuarios

    Categorías de datos personales

    Agencia anfitriona/cuenta administradora:  

    Datos de identificación:

    • Nombre comercial de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de registro de la empresa

    Información de contacto:

    • URL del sitio web de la agencia (obligatorio en Canadá e Italia; opcional en otros países)
    • Dirección (calle, ciudad, estado/provincia, código postal, país)
    • Número de teléfono de la agencia
    • Número de fax (obligatorio solo en Japón)

    Datos financieros:

    • Nombre en la cuenta bancaria
    • Número de cuenta bancaria
    • Datos bancarios
    • Datos de la tarjeta de pago
    • Núm. de identificación fiscal

    Agentes individuales/subusuarios:  

    Datos de identificación:

    • Nombre y apellido del agente
    • Nombre comercial de la agencia (la propia agencia del agente si corresponde)
    • Nombre de la agencia anfitriona (la agencia a la que está afiliado el agente)
    • Nombre comercial de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de registro de la empresa

    Información de contacto:

    • Dirección (calle, ciudad, estado/provincia, código postal, país)
    • Número de teléfono de la agencia

    Información de viaje:

    • Historial de reservaciones y preferencias de viaje Información del hospedaje y el viaje para facilitar el traslado o transporte, incluido el hotel del Cliente final, y la información sobre la llegada y salida (fecha, hora, método, y lugares de origen y destino)

    Otra información (que el Socio de TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con):

    • Informes, supervisión y análisis (incluidos los datos de comisiones y reservaciones)
    • Inicio de sesión único y programas de lealtad
    • Correspondencia

    Datos confidenciales

    Ninguno, a menos que una persona los proporcione voluntariamente para satisfacer sus necesidades de accesibilidad para viajar.

    Frecuencia de transferencia (por ejemplo, si los datos se transfieren una sola vez o de manera continua)

    De forma continua o para casos específicos según las necesidades del negocio del Socio de TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Propósito(s) de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales de TAAP se retengan más allá de la terminación del Acuerdo por razones legales o de respaldo, Expedia continuará protegiendo dichos datos personales de conformidad con el Acuerdo

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List, según se actualice en el futuro

    Categorías de personas interesadas

    Clientes

    Categorías de datos personales

    Datos de identificación:

    • Nombre y apellido
    • Programa y número de viajero frecuente (vuelos)
    • Número de TSA (solo para EE. UU.)

    Información de contacto:

    • Dirección de correo electrónico
    • Números de teléfono (fijo y móvil)
    • Fecha de nacimiento (para vuelos
    • Nacionalidad (del pasaporte)

    Información financiera:

    • Datos de la tarjeta de pago
    • Núm. de identificación fiscal (solo para el punto de venta de Brasil)

    Datos confidenciales

    Ninguno, a menos que una persona los proporcione voluntariamente para satisfacer sus necesidades de accesibilidad para viajar.

    Frecuencia de transferencia (por ejemplo, si los datos se transfieren una sola vez o de manera continua)

    De forma continua o para casos específicos según las necesidades del negocio del Socio de TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Propósito(s) de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales de TAAP se retengan más allá de la terminación del Acuerdo por razones legales o de respaldo, Expedia continuará protegiendo dichos datos personales de conformidad con el Acuerdo

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List, según se actualice en el futuro

     

    B. AUTORIDAD SUPERVISORA COMPETENTE

    Autoridad irlandesa de protección de datos

     

    MÓDULO UNO: de responsable a responsable (de nosotros a ti)

    A. LISTA DE PARTES

    Exportador(es) de datos:  

    Las partes identificadas como Importadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

     

    Importador(es) de datos:

    Las Partes identificadas como Exportadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

    B. DESCRIPCIÓN DE LA TRANSFERENCIA
    • Categorías de personas interesadas
    • Categorías de datos personales
    • Datos confidenciales

    De conformidad con el Módulo uno (1)

    • Frecuencia de transferencia
    • Naturaleza del procesamiento
    • Propósitos

    De conformidad con el Módulo uno (1)

    El periodo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

    De conformidad con la política de retención del Socio de TAAP

    Para transferencias a (sub)procesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    N/A

     

    C. AUTORIDAD SUPERVISORA COMPETENTE

    De conformidad con el Módulo uno (1)

     

    ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS  

    Las medidas técnicas y organizativas que se aplican a nosotros/Expedia a efectos del Anexo uno (1), parte uno (1), se exponen a continuación. Estas también se aplicarán al Socio de conformidad con el Acuerdo de corresponsabilidad en circunstancias en las que el Socio sea un Importador de datos en virtud de las CCT para cualquier transferencia pertinente de datos personales y el Socio no haya proporcionado un conjunto alternativo de medidas que Expedia haya aceptado.

    OBJETO

    MEDIDA

    Medidas de pseudonimización y cifrado de datos personales

    • Expedia Group admite los protocolos de cifrado estándar de la industria para la transmisión de datos de acuerdo con la Norma de manejo y clasificación de información de Expedia Group.
    • Los requisitos de manejo de datos se basan en un criterio categórico. Dependiendo de los datos que se manejen, hay diferentes requisitos de seguridad en Expedia Group. Por ejemplo, los datos de tarjetas de crédito se consideran altamente confidenciales y deben cifrarse tanto en tránsito como en almacenamiento.
    • Los datos personales del cliente (y de sus empleados) son pseudonimizados (y anonimizados) por Expedia Group cuando sea posible y según lo requieran las Normas de clasificación y manejo de información de Expedia Group.
    • Los números de tarjetas de crédito se tokenizan o pseudonimizan para eliminar el procesamiento correspondiente en texto sin cifrado.
    • Expedia Group utiliza conexiones cifradas a través de VPN, SSL, etc., así como mecanismos de autenticación multifactor.

    Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento

    • Expedia Group mantiene responsabilidades y procedimientos para la administración y operación de todas las instalaciones de procesamiento de información a fin de garantizar un procesamiento de datos completo, válido y preciso.
    • La supervisión de las instalaciones de procesamiento clave se implementa con un programa SOX sólido en el que los controles sobre el procesamiento y la integridad de los datos se ponen a prueba y se certifican de manera continua.
    • El registro y la supervisión estándar de la industria se implementan en los sistemas de Expedia Group para garantizar la protección contra el acceso, la modificación y la eliminación no autorizados.
    • Expedia Group mantiene la resiliencia del servicio a través de arquitecturas redundantes, replicaciones de datos y verificaciones de integridad.

    Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidentes físicos o técnicos

    • Los sistemas de Expedia Group están diseñados específicamente para impedir o prevenir ataques comunes y garantizar la disponibilidad para la operación, la supervisión y el mantenimiento. Para lograrlo, Expedia Group realiza pruebas y auditorías simuladas periódicamente a fin de confirmar que sus sistemas mantienen la disponibilidad.
    • Los servidores se actualizan conforme a la política de parches de Expedia Group y están protegidos por programas antivirus y antimalware estándar de la industria. Además, se llevan a cabo evaluaciones de vulnerabilidad, pruebas exhaustivas y revisiones de red para garantizar el mantenimiento de los sistemas de Expedia Group.
    • Se implementa la supervisión de disponibilidad y confiabilidad para garantizar que los sitios de Expedia permanezcan en línea, con interrupciones mínimas del servicio.
    • Expedia Group cuenta con un Plan de recuperación ante desastres que abarca emergencias y planes de contingencia para asegurarse de que los servicios al cliente no se interrumpan, según la gravedad, y que se pongan a prueba de manera constante para garantizar la viabilidad.

    Procesos para poner a prueba y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento

    • Las medidas técnicas y organizativas de Expedia Group son auditadas cada año por asesores externos, así como mediante sólidas pruebas internas.
    • Expedia Group realiza evaluaciones anuales de la industria de tarjetas de pago (PCI) mediante un evaluador externo y garantiza el cumplimiento continuo con las normas de la PCI.
    • La función integral de pruebas internas de Expedia Group se compone de pruebas de vulnerabilidad trimestrales; pruebas de penetración internas y externas, y análisis y revisiones de redes, sistemas y firewalls. Además, un departamento interno de auditoría realiza evaluaciones de riesgo anuales para priorizar las auditorías operativas.

    Medidas de identificación y autorización de usuarios

    Medidas de protección de datos durante la transmisión

    Medidas de protección de datos durante el almacenamiento

    • Los sistemas de Expedia Group siguen las prácticas recomendadas de la industria y cuentan con prácticas de comunicación, como sesiones con tiempo de espera, protocolos de bloqueo, y controles sólidos de autenticación y contraseña.
    • Expedia Group mantiene requisitos para el suministro y la supervisión de cuentas a fin de evitar el acceso no autorizado o el uso indebido de la información de Expedia Group, y utiliza las prácticas recomendadas de la industria según sea necesario, como el principio de acceso con privilegios mínimos, ID únicos y autenticación multifactor, para lograr una autenticación segura.

    Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales

    • Un centro de operaciones de seguridad brinda cobertura las 24 horas del día, los 7 días de la semana, con un plan formal de respuesta a incidentes que se revisa y se prueba al menos una vez al año.
    • Todos los sistemas son controlados y puestos a prueba periódicamente por prestadores de servicios externos.
    • Cada cliente de Expedia Group recibe su propio ID de cliente. Todos los conjuntos de datos de clientes en cuestión se almacenan bajo este ID y dichos datos se segregan lógicamente. Debido a los derechos de administración y las estructuras de base de datos, el cliente solo puede acceder a conjuntos de datos que están asignados a ese ID de usuario y centros de datos o controles de AWS.
    • Solo las personas expresamente autorizadas por Expedia que tengan una "necesidad de saber" tienen acceso a los datos personales. Se implementan controles y supervisión para garantizar el acceso con privilegios mínimos y los intentos de acceso no autorizado al sistema

    Medidas para garantizar el registro de eventos

    Expedia Group mantiene requisitos rigurosos de registro y supervisión para dar cuenta de quién dio origen a un evento determinado, cuál fue este evento, dónde y cuándo ocurrió, su finalidad, su origen, y si tuvo éxito o fracasó.

    Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

    Medidas para la gobernanza y administración interna de TI y seguridad informática

    Medidas para la certificación y el aseguramiento de procesos y productos

    • El Programa de seguridad de la información de Expedia Group (EG) está alineado con los estándares y marcos de la industria, y utiliza su proceso de administración de riesgos para mantener una postura de seguridad sólida y completa. Expedia Group mantiene procesos operativos seguros para respaldar la seguridad, disponibilidad, integridad y confidencialidad de su entorno y los datos de los clientes
    • Las normas de compilación de Expedia Group solo habilitan los componentes del sistema, los servicios y los protocolos que cumplen con cierto requisito comercial. Los sistemas operativos, las bases de datos y las aplicaciones listas para usar deben:
      • ser detectables para satisfacer los requisitos jurídicos y normativos de auditoría;
      • admitir herramientas de administración de configuración o implementar una administración de configuración que aplique los controles de seguridad correctamente;
      • activar el cifrado para todos los accesos administrativos remotos a un sistema; y
      • mostrar el uso adecuado del sistema y/o que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas. No hay ninguna expectativa de privacidad mientras se usa el sistema.

     

    • mostrar el uso adecuado del sistema y/o que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas. No hay ninguna expectativa de privacidad mientras se usa el sistema.
    • Los sistemas de Expedia se alojan en Amazon Web Services (AWS) y en centros de datos que proporcionan a Expedia Group informes anuales de auditoría SOC 2 para garantizar el cumplimiento.

    Medidas para garantizar la minimización de datos

    Medidas para garantizar la calidad de los datos

    Medidas para garantizar la retención limitada de datos Medidas para garantizar la rendición de cuentas

    • Minimización: Expedia Group recopila, procesa y almacena solo la cantidad mínima de datos. Solo utilizamos el formato identificable cuando es necesario.
    • Retención: la política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad.
    • Calidad: Expedia Group tiene un programa de administración de calidad formalizado llamado administración de la experiencia del cliente (CEM). Siempre nos esforzamos por mejorar dentro del entorno de Expedia Group y buscamos simplificar los procesos para lograr una mayor eficiencia, lo que da como resultado servicios e interacciones coherentes y de alta calidad con nuestros socios, clientes y viajeros.
    • Rendición de cuentas: Expedia Group garantiza la supervisión de la rendición de cuentas al implementar de manera coherente políticas, normas o marcos de la industria, y requisitos legales mediante el mantenimiento de un programa formalizado de gobernanza y un departamento jurídico o de privacidad.

    Medidas para permitir la portabilidad de los datos y garantizar el borrado

    • Expedia Group es directamente responsable de garantizar el cumplimiento de las leyes de protección de datos (incluso en relación con las solicitudes de las personas interesadas). Expedia Group responde a todas las solicitudes de las personas interesadas, incluidas las relativas al acceso, la eliminación y la portabilidad de conformidad con las leyes de protección de datos aplicables.
    • La política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad. En caso de que Expedia Group no pueda destruir los Datos personales, Expedia Group continuará ampliando las protecciones pertinentes del Acuerdo entre las partes que rigen esos datos personales y rescindirá todo procesamiento posterior.

    Para las transferencias a (sub)procesadores, también se deberán describir las medidas técnicas y organizativas específicas que el (sub)procesador debe tomar a fin de poder proporcionar asistencia al responsable del tratamiento y, en el caso de las transferencias de un procesador a un subprocesador, al exportador de datos

    • Expedia Group lleva a cabo un análisis de diligencia debida de las prácticas de seguridad de la información de sus proveedores, además de exigir a los proveedores que cumplan con determinados requisitos de seguridad integrales, incluidas las obligaciones que requieran que los proveedores implementen y mantengan las medidas técnicas y organizativas adecuadas.
    • Expedia Group formalizó un proceso detallado de evaluación del impacto en la seguridad (SIA). Todos los nuevos proveedores que acceden a los datos son evaluados antes de la contratación y siempre que se considere necesario durante el plazo de sus actividades.
    • Además, Expedia Group cuenta con términos rigurosos en materia de proveedores procesadores que se imponen a todos los proveedores a fin de garantizar la transmisión de las obligaciones a todos sus subprocesadores.

     

    Transferencia internacional de datos para las Cláusulas contractuales tipo de la Comisión Europea (Apéndice)

    Este Apéndice fue emitido por el Comisionado de Información para las Partes que realizan Transferencias restringidas. El Comisionado de Información considera que proporciona Garantías adecuadas para las Transferencias restringidas cuando se suscriben como un contrato legalmente vinculante.

    Parte 1: tablas

    Tabla 1: partes

    Fecha de inicio

    La Fecha de las CCT a las que se adjunta este Apéndice (CCT de la UE) .

    Partes

    Contacto clave

    Exportador: de conformidad con las CCT de la UE

     

    Importador: de conformidad con las CCT de la UE

     

    Tabla 2: CCT seleccionadas, módulos y cláusulas elegidas

    Apéndice para CCT de la UE

    La versión de las CCT aprobadas de la UE a las que se adjunta este Apéndice

    Tabla 3: información del Apéndice

    «Información del Apéndicesignifica la información que se debe proporcionar para los módulos seleccionados como se establece en el Apéndice de las CCT aprobadas de la UE (distintas a las Partes) y que, para este Apéndice, se establece en:

    Anexo IA: lista de Partes

    Anexo IB: descripción de la transferencia

    Anexo II: medidas técnicas y organizativas

    De conformidad con las CCT de la UE

    Tabla 4: rescisión de este Apéndice cuando se modifique el Apéndice aprobado

    Qué Partes pueden poner fin a este Anexo según lo establecido en el Artículo 19

    Ninguna Parte

    Parte 2: cláusulas obligatorias

    Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, según la revisión en el Apartado 18 de dichas Cláusulas obligatorias.