Acuerdo online del TAAP - Acuerdo de responsable del tratamiento a responsable del tratamiento (incluidas las CCT)

Es posible que la versión original redactada en inglés del presente Acuerdo de responsable del tratamiento a responsable del tratamiento se haya traducido a otros idiomas. En caso de incoherencia o discrepancia entre la versión en inglés de este Acuerdo y la redactada en cualquier otro idioma, prevalecerá la versión en inglés.

ALCANCE: Si Expedia o tú procesáis datos personales como parte de un acuerdo (el cual podría presentarse a modo de condiciones de aceptación online) celebrado entre Expedia y tú (de conformidad con lo cual se te considera un colaborador de marketing en el TAAP, y todas las actividades relevantes relacionadas con el procesamiento de datos referido se denominarán en lo sucesivo las "Actividades relevantes"), este acuerdo global de responsable del tratamiento a responsable del tratamiento (en lo sucesivo, el "Acuerdo de responsable del tratamiento a responsable del tratamiento") se vuelve complementario y se aplica a dicho acuerdo celebrado entre las partes en lo que respecta a las Actividades relevantes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de responsable del tratamiento a responsable del tratamiento estipula condiciones y requisitos adicionales de conformidad con los cuales Expedia y tú procesaréis datos personales en relación con el Acuerdo. En el presente Acuerdo de responsable del tratamiento a responsable del tratamiento, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. o a toda sociedad de Expedia Group que sea partes del Acuerdo. En cambio, "tú" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en la que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de responsable del tratamiento a responsable del tratamiento está sujeto a las condiciones estipuladas en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos en el Acuerdo se aplican a la interpretación del presente Acuerdo de responsable del tratamiento a responsable del tratamiento, a menos que se definan de otra forma en este Acuerdo, y:

  1. a. Los términos "medidas técnicas y organizativas adecuadas", "responsable del tratamiento", "datos personales", "vulneración de la seguridad de los datos personales", " proceso" o "procesamiento" y "autoridad de supervisión" (o términos equivalentes en la medida de lo razonable) tendrán los mismos significados que se les atribuyen en las Leyes aplicables en materia de protección de datos;
  2. b. Las Leyes aplicables en materia de protección de datos se refieren a toda ley y normativa en relación con el uso o el procesamiento de datos personales aplicable en toda jurisdicción pertinente;
  3. c. Objetivo permitido se refiere a los objetivos siguientes: (i) hacer reservas; (ii) prestar asistencia para reservas; (iii) registrarse en el TAAP y gestionar la cuenta; (iv) pagar comisiones y otros importes relacionados con el Acuerdo; (v) generar informes para ti, así como hacer todo el procesamiento adicional requerido para fines de conciliación, tratamiento de quejas y actividades parecidas en relación con el cumplimiento del Acuerdo; (vi) prestar asistencia para la cuenta del TAAP; (vii) comunicarse con los miembros del TAAP y los usuarios secundarios; (viii) mejorar nuestros servicios, como la optimización del proceso de reserva; (ix) crear informes para análisis, inteligencia comercial y generación de informes comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de la autoridad fiscal; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiii) cumplir de cualquier otra forma con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables; y (xiv) determinar, calcular y notificar los impuestos de viaje y demás fines fiscales según se requiera eventualmente;
  4. d. DPF es una sigla en inglés que se refiere a una certificación del Marco de Privacidad de Datos UE-EE. UU. con el Departamento de Comercio de Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) cuando proceda, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, el Reino Unido y Suiza, entre otros);
  5. e. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil;
  6. f. Datos de transferencia restringida son los datos de clientes relacionados con una reserva hecha a través de un punto de venta destinado por nosotros para que los clientes accedan a él desde un País de transferencia restringida;
  7. g. Cláusulas contractuales tipo o CCT son las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales de la Unión Europea a terceros países, en su versión vigente según se emitieron el 4 de junio de 2021, con las respectivas modificaciones, sustituciones, complementos e invalidaciones que hayan tenido; la versión vigente completa se puede consultar (en inglés) en este enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; y
  8. h. Datos personales del TAAP son los datos personales que nos facilitas a través del sitio web del TAAP, o bien los datos procesados de alguna otra forma en relación directa con el TAAP o que faciliten las reservas hechas a través del sitio web del TAAP.
Relación entre las partes
  1. 1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como con las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como responsable del tratamiento independiente y autónomo; (ii) cumplirá con las Leyes aplicables en materia de protección de datos; y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes aplicables en materia de protección de datos.
Tus responsabilidades

1.3 Debes:

  1. a. cumplir con unos fundamentos jurídicos para facilitarnos Datos personales del TAAP con el propósito de tratarlos para los Objetivos permitidos;
  2. b. asegurarte de que los clientes tengan conocimiento, a través de tu política de privacidad y cualquier otro medio apropiado, de que sus datos personales se compartirán con nosotros para los Objetivos permitidos;
  3. c. dirigir a los clientes a nuestra política de privacidad para que puedan informarse sobre cómo gestionamos sus datos personales; y
  4. d. colaborar con nosotros y prestarnos una asistencia razonable a fin de ayudarnos a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de nuestro procesamiento de los datos personales del TAAP en relación con el Acuerdo.
Nuestras responsabilidades

1.4 Nosotros (y nuestros Miembros del Grupo, según corresponda): 

  1. a. únicamente procesaremos los Datos personales del TAAP que tengan relación con un Fin permitido;
  2. b. no divulgaremos a nadie, ni en su totalidad ni en parte, los Datos personales del TAAP, salvo en relación con un Objetivo permitido;
  3. c. colaboraremos contigo y te prestaremos una asistencia razonable a fin de ayudarte a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de tu procesamiento de los Datos personales del TAAP en relación con el Acuerdo; y
  4. d. mostraremos nuestro aviso lícito y actualizado sobre el uso de cookies (si fuese necesario) y nuestra política de privacidad en el sitio web del TAAP, y cumpliremos con ellos.
Clientes y terceros

1.5 Reconoces que es posible que nosotros:

  1. a. Enviemos correos electrónicos a los clientes en relación con las reservas;
  2. b. Transfiramos Datos personales del TAAP (incluidos datos bancarios) a nuestros proveedores externos de servicios con el propósito de:
    1. i. administrar, gestionar y respaldar su Cuenta del TAAP y las de sus Representantes y Usuarios secundarios;
    2. ii. prestar asistencia para las reservas; y
    3. iii. pagar comisiones y otros importes relacionados con el Acuerdo.
Seguridad de los datos

1.6 Ambas partes, en calidad de responsables del tratamiento, deberán:

  1. a. Implementar medidas técnicas y organizativas adecuadas para proteger los datos personales que procesen contra vulneraciones de la seguridad de tales datos; y
  2. b. En el caso de una vulneración de la seguridad de los datos personales confirmada en los sistemas de la parte en cuestión o controlados por esta, notificar de inmediato a la otra parte si esta vulneración de la seguridad (i) afecta a los Datos personales del TAAP que también procesa la otra parte en virtud del Acuerdo y (ii) debe notificarse a una autoridad de supervisión, facilitando todos los detalles de esta vulneración. En tal caso, ambas partes cooperarán de forma razonable y de buena fe con el fin de solucionar o mitigar los efectos de la vulneración de los datos personales. Asimismo, los costes razonables de dicha cooperación correrán a cargo de la parte que haya sufrido dicha vulneración de los datos personales.
Transferencias transfronterizas 

1.7 Marco de Privacidad de Datos (DPF): tú y nosotros estamos de acuerdo en que, con respecto a las transferencias de Datos de transferencia restringida entre tú y nosotros a Estados Unidos o a un país que no se haya considerado "adecuado" según las Leyes aplicables en materia de protección de datos del País de transferencia restringida de origen (a) mientras y en la medida en la que el DPF sea un método de transferencia reconocido por una autoridad pertinente, el DPF será el mecanismo acordado para las transferencias transfronterizas de datos que se originen en un País de transferencia restringida hacia nosotros en Estados Unidos, y (b) mientras y en la medida en la que el DPF no sea un método válido de transferencia (como las transferencias de Datos de transferencia restringida a un país que no se haya considerado "adecuado" según las Leyes aplicables en materia de protección de datos del País de transferencia restringida de origen), las CCT se aplicarán a dichas transferencias y tú y nosotros las celebraremos sobre la base establecida en la cláusula 1.11 más adelante. Si también tienes una certificación vigente del DPF, las transferencias de Datos de transferencia restringida a ti se pueden hacer de forma parecida en virtud del DPF con CCT como un mecanismo alternativo según lo estipulado anteriormente.

1.8 Obligaciones derivativas del DPF: estás de acuerdo en ofrecer al menos el mismo nivel de protección que se requiere en el DPF a los Datos de transferencia restringida, así como en notificarnos de inmediato si determinas que ya no puedes ofrecer este nivel de protección. En tal caso, o si tenemos razones para creer que no estás protegiendo los Datos de transferencia restringida en la medida que exige el DPF, podemos (a) indicarte que tomes medidas razonables y apropiadas para detener y subsanar todo procesamiento no autorizado, en cuyo caso colaborarás con nosotros de buena fe para identificar, establecer e implementar tales pasos; (b) acordar una salvaguardia alternativa que se pueda aplicar al procesamiento en virtud de las Leyes aplicables en materia de protección de datos; o (c) rescindir sin penalización el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y el Acuerdo (o, a nuestra elección, cualquier sección afectada de este) cuando te lo notifiquemos. Si también tienes una certificación vigente del DPF, se considerará que las disposiciones antedichas y las de la cláusula 1.9 más adelante se aplicarán como si las obligaciones fueran en ambos sentidos.

1.9 Obligaciones de divulgación en virtud del DPF: reconoces que podemos divulgar el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y toda disposición de privacidad pertinente en el Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense o europeo cuando estos lo soliciten, y convienes en que dicha divulgación no se considerará una vulneración de la confidencialidad.

1.10 Extensión de las CCT a países de transferencia sin restricciones: en relación con las transferencias de Datos personales del TAAP entre tú y nosotros que se originen en un país distinto a los Países de transferencia restringida, pero que esté sujeto a salvaguardias que, de acuerdo con las Leyes aplicables en materia de protección de datos, deban aplicarse antes de que se puedan transferir tales Datos personales del TAAP fuera del país de origen (cada uno de ellos un "País de transferencia sin restricciones"), tú y nosotros estamos de acuerdo en que (a) las CCT establecidas en la cláusula 1.11 más adelante se considerarán ampliadas a dichas transferencias adicionales en la medida en la que dicha ampliación satisfaga las salvaguardias de ese país en particular, o (b) cuando las medidas establecidas en la cláusula 1.11 sean insuficientes o requieran medidas complementarias, las partes convienen en tomar tales medidas adicionales, que incluyen, por ejemplo, la suscripción de los documentos pertinentes, la obtención del consentimiento y la presentación de documentos requeridos, según se solicite en su momento para cumplir con las Leyes aplicables en materia de protección de datos.

1.11 De conformidad con la anterior cláusula 1.7, tú y nosotros estamos de acuerdo en celebrar las CCT sin cambios, excepto por las selecciones siguientes::

  1. a. Si te encuentras en un País de transferencia restringida o en un país que se considere "adecuado" de conformidad con el artículo 45 del RGPD, solo el Módulo uno (1) de las CCT se aplicará en un solo sentido con respecto a las transferencias que hagas a Expedia. De lo contrario, las CCT del Módulo uno se aplicarán en ambos sentidos para cubrir las transferencias tanto de nosotros a ti como de ti a nosotros.
  2. b. A efectos de la cláusula 11(a) de las CCT, se elimina el idioma opcional.
  3. c. A efectos de la cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad de supervisión competente".
  4. d. A efectos de la cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
  5. e. A efectos de la cláusula 18(b) de las CCT, la selección es Irlanda.
  6. f. Se añade una nueva cláusula 19 a las CCT para cubrir las transferencias de datos personales del Reino Unido hacia fuera de este país de la forma siguiente:

"Cláusula 19

RGPD y DPA (2018) del Reino Unido

Las Partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance del RGPD y la Ley de Protección de Datos (DPA, por sus siglas en inglés) de 2018 del Reino Unido (en lo sucesivo, "Transferencias británicas"). A efectos de dichas Transferencias británicas, se aplicarán las disposiciones de la versión B1.0 del Apéndice de transferencia internacional de datos para las Cláusulas contractuales tipo (según se hayan modificado, sustituido, complementado o invalidado en su momento) tal como se establece en el formulario adjunto como apéndice".

  1. g. Se añade una nueva cláusula 20 a las CCT para cubrir las transferencias de datos personales de Suiza hacia fuera de este país de la forma siguiente:

"Cláusula 20

Suiza - FADP

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley Federal de Protección de Datos (FADP, por sus siglas en inglés) de Suiza (en lo sucesivo, "Transferencias suizas"). A efectos de dichas Transferencias suizas, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y el Comisionado Federal de Información y Protección de Datos (FDPIC, por sus siglas en inglés) será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias suizas según lo considere necesario el FCPIC para cumplir con el RGPD del Reino Unido y la FADP; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias suizas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por el FDPIC, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias suizas. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de la FADP cuando realicen Transferencias suizas".

  1. h. Se añade una nueva cláusula 21 a las CCT para cubrir las transferencias de datos personales de Brasil hacia fuera de este país de la forma siguiente:

"Cláusula 21

Brasil - LGPD

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley General de Protección de Datos n.º 13 709/18 (Lei Geral de Proteção de Dados, LGPD) de Brasil (en lo sucesivo, "Transferencias brasileñas"). A efectos de dichas Transferencias brasileñas, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y la Autoridad Nacional de Protección de Datos (ANPD) de Brasil será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias brasileñas según lo considere necesario la ANPD para cumplir con la LGPD; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias brasileñas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la ANPD u otra autoridad brasileña pertinente, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias brasileñas. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de la LGPD cuando realicen Transferencias brasileñas".

  1. i. Se añade una nueva cláusula 22 a las CCT para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora al que puedan ampliarse las CCT a fin de garantizar las salvaguardias adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de dicho país como se indica a continuación:

"Cláusula 22

Otras transferencias a terceros países

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en que sea pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que se incluyan en el alcance de cualquier otra ley o normativa aplicables en toda jurisdicción pertinente en relación con el uso o el procesamiento de datos personales (Leyes aplicables en materia de protección de datos) que requieran condiciones y protecciones ampliamente equivalentes a estas cláusulas a fin de transferir datos personales del país en cuestión a otro (lo que se denomina en esta cláusula una "Transferencia de terceros países"). A efectos de dichas Transferencias de terceros países, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y la autoridad o el organismo normativo de protección de datos de tal país será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias de terceros países según lo considere necesario la autoridad de supervisión correspondiente para cumplir con las Leyes aplicables en materia de protección de datos de dicho país; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de terceros países que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad de supervisión pertinente, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de terceros países. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de las Leyes aplicables en materia de protección de datos cuando realicen Transferencias de terceros países".

1.12 El Anexo 1 (Aspectos generales del procesamiento de las CCT) de este Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Anexo 1 de las CCT. El Anexo 2 (Medidas técnicas y organizativas) del presente Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Anexo 2 de las CCT y se aplica solo a Expedia cuando tú hayas proporcionado, y nosotros hayamos aceptado, medidas técnicas y organizativas adecuadas para satisfacer tus requisitos del Anexo 2 de las CCT. Si este no fuera el caso, se interpretará que el Anexo 2 se aplica a ambas partes, y todas las referencias a Expedia y Expedia Group se interpretarán como referencias a cualquiera de las partes en consecuencia. El Apéndice de este Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Apéndice del Reino Unido a efectos de las CCT.

ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT
MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de ti a nosotros)
A. LISTA DE PARTES

Exportadores de datos:

Parte

Partes identificadas como "tú", "miembro del TAAP" o algún término equivalente

Dirección

Según lo especificado en el Acuerdo

Nombre, puesto y datos de contacto de la persona encargada para todas las partes de Expedia Group

Gestor de cuentas que usa la dirección de correo electrónico notificada al contacto de Expedia cada cierto tiempo

Actividades relacionadas con los datos transferidos en virtud de las CCT

 

Reservas hechas a través del sitio web del TAAP que ponemos a tu disposición de conformidad con el Acuerdo

Función

Responsable del tratamiento

Importadores de datos: 

Parte

Partes no pertenecientes a la UE identificadas como "nosotros" o "Expedia" en el Acuerdo

Dirección

Según lo especificado en el Acuerdo

Nombre, puesto y datos de contacto de la persona encargada

Gestor de cuentas que usa la dirección de correo electrónico notificada al contacto del miembro del TAAP cada cierto tiempo

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas

Reservas hechas a través del sitio web del TAAP que ponemos a tu disposición de conformidad con el Acuerdo

Función

Responsable del tratamiento

 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

 

Categorías de personas interesadas

Clientes y miembros del TAAP, así como sus usuarios secundarios

Categorías de datos personales

Datos de identificación:

  1. Nombre y apellidos (tanto del agente como del viajero)
  2. Fecha de nacimiento
  3. Género
  4. Información de inicio de sesión (agente)

Datos de contacto:

  1. Dirección postal
  2. Dirección de correo electrónico
  3. Números de teléfono (fijo y móvil)
  4. Número de fax
  5. Otra información de contacto
  6. Fecha de nacimiento (para vuelos)
  7. Género (para vuelos)
  8. Nacionalidad (indicada en el pasaporte)
  9. Información para la TSA

Información financiera:

  1. Número de cuenta bancaria
  2. Datos bancarios
  3. Datos de la tarjeta de pago

Información de viaje: historial de reservas y preferencias de viaje

Solo en el caso de agentes fiscales:

  1. Número de identificación fiscal

Otra información que el miembro del TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con:

  1. Informes, seguimiento y análisis
  2. Inicio de sesión único y programas de fidelidad

Datos confidenciales

Ninguno, a menos que una persona los facilite voluntariamente para satisfacer sus necesidades de accesibilidad para viajar

Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua)

De forma continua o para casos específicos, según las necesidades del negocio del miembro del TAAP

Naturaleza del procesamiento

Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

Objetivos de la transferencia de datos y su procesamiento posterior

Objetivos permitidos, tal como se definen en el Acuerdo

Periodo durante el cual se conservarán los datos personales o, en su defecto, criterios utilizados para determinar dicho periodo

De conformidad con la política de retención de Expedia Group, siempre que los Datos personales del TAAP se retengan tras la finalización del Acuerdo por razones legales o de copia de seguridad, Expedia seguirá protegiendo dichos datos personales en virtud del Acuerdo.

Para las transferencias a procesadores o subprocesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List (actualizado periódicamente)

 

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

Identifica a las autoridades de supervisión competentes de conformidad con la cláusula 13 de las CCT.

Autoridad irlandesa de protección de datos

 

MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de nosotros a ti)

A. LISTA DE PARTES

Exportadores de datos: 

Partes identificadas como importadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

 

Importadores de datos:

Partes identificadas como exportadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

B. DESCRIPCIÓN DE LA TRANSFERENCIA
  • Categorías de personas interesadas
  • Categorías de datos personales
  • Datos confidenciales

De conformidad con el Módulo uno (1)

  • Frecuencia de transferencia
  • Naturaleza del procesamiento
  • Objetivos

De conformidad con el Módulo uno (1)

Periodo durante el cual se conservarán los datos personales o, en su defecto, criterios utilizados para determinar dicho periodo

De conformidad con la política de retención del miembro del TAAP

Para las transferencias a procesadores o subprocesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

No aplicable

 

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

De conformidad con el Módulo uno (1)

 

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

A continuación se detallan las medidas técnicas y organizativas aplicables para los objetivos del Módulo uno (1).

OBJETO

MEDIDA

Medidas de seudonimización y cifrado de datos personales

  • Expedia Group admite los protocolos de cifrado estándar del sector para la transferencia
  • Los requisitos de tratamiento de los datos se basan en un criterio por categoría. Según
  • Expedia Group seudonimiza (y anonimiza) los datos personales del cliente (y sus empleados)
  • Los números de tarjetas de crédito se tokenizan o seudonimizan para eliminar el
  • Expedia Group utiliza conexiones cifradas a través de VPN, SSL y demás redes parecidas,

Medidas para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y los servicios de procesamiento

  • Expedia Group cumple sus responsabilidades y aplica procedimientos para la administración
  • La supervisión de las instalaciones de procesamiento clave se implementa con un programa
  • El registro y la supervisión estándar del sector se implementan en los sistemas de EG para
  • Expedia Group mantiene la resiliencia del servicio mediante arquitecturas redundantes, la

Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de incidentes físicos o técnicos

  • Los sistemas de Expedia Group están diseñados específicamente para impedir o prevenir ataques comunes y garantizar la disponibilidad para el funcionamiento, la supervisión y el mantenimiento. Para lograrlo, Expedia Group hace pruebas y auditorías simuladas periódicamente con el fin de confirmar que sus sistemas mantengan la disponibilidad.
  • Los servidores cuentan con parches de conformidad con la sólida política de parches de Expedia Group y están protegidos mediante programas antivirus y antimalware estándar del sector. Además, se llevan a cabo evaluaciones de vulnerabilidad, pruebas exhaustivas y revisiones de red para garantizar el mantenimiento de los sistemas de EG.
  • Se implementa la supervisión de la disponibilidad y la fiabilidad para garantizar que los sitios de Expedia permanezcan online, con interrupciones mínimas del servicio.
  • Expedia Group mantiene un plan de recuperación ante desastres que tiene en cuenta las emergencias y los planes de contingencia para garantizar que los servicios al cliente no se interrumpan, en función de la gravedad, y se ponen a prueba periódicamente para garantizar la viabilidad.

Procesos para poner a prueba y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento

  • Las medidas técnicas y organizativas de Expedia Group se someten a auditoría cada año, tanto por parte de asesores externos como mediante sólidas pruebas internas.
  • EG realiza evaluaciones anuales del sector de las tarjetas de pago (PCI, por sus siglas en inglés) mediante un evaluador externo y garantiza el cumplimiento continuo de las normas del PCI.
  • La función integral de pruebas internas de EG se compone de pruebas de vulnerabilidad trimestrales, pruebas de penetración internas y externas, y análisis y revisiones de redes, sistemas y firewalls. Además, un departamento interno de auditoría realiza evaluaciones de riesgo anuales para priorizar las auditorías operativas.

Medidas para la identificación y la autorización de usuarios; medidas para la protección de datos durante la transferencia; medidas para la protección de datos durante el almacenamiento

  • Los sistemas de Expedia Group siguen las prácticas recomendadas del sector y cuentan con prácticas de comunicación tales como sesiones de tiempo de espera, protocolos de bloqueo, y controles sólidos de autenticación y contraseña.
  • Expedia Group aplica requisitos para el aprovisionamiento y la supervisión de las cuentas a fin de impedir el acceso no autorizado o el uso indebido de la información de Expedia Group. Asimismo, utiliza las prácticas recomendadas del sector según sea necesario, como el principio de acceso con privilegios mínimos, los identificadores únicos y la autenticación multifactor, para lograr una autenticación sólida.

Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan datos personales

  • Un centro de operaciones de seguridad brinda cobertura las 24 horas del día, los 7 días de la semana, con un plan formal de respuesta a incidentes que se revisa y se prueba al menos una vez al año.
  • Todos los sistemas están sometidos a control y a pruebas que efectúan periódicamente proveedores de servicios externos.
  • Cada cliente de Expedia Group recibe su propio identificador de cliente. Todos los conjuntos de datos de cada cliente se almacenan bajo este identificador y dichos datos se segregan de forma lógica. Debido a los derechos de administración y las estructuras de base de datos, el cliente solo puede acceder a conjuntos de datos que están asignados a ese identificador de usuario y centros de datos o controles de AWS.
  • Solo las personas expresamente autorizadas por Expedia que tengan una "necesidad de saber" tienen acceso a los datos personales. Se implementan controles y supervisión para garantizar el acceso con privilegios mínimos y proteger contra los intentos de acceso no autorizado al sistema.

Medidas para garantizar el registro de eventos

 

Medidas para garantizar la configuración del sistema, como la configuración predeterminada; medidas para la gobernanza y la administración internas de tecnologías de información y de la seguridad de estas; medidas para la certificación o la garantía de procesos y productos

  • El programa de seguridad de la información de Expedia Group (EG) se ajusta a los marcos y normas del sector, y utiliza su programa de gestión de riesgos para garantizar una postura de seguridad sólida e integral. Expedia Group aplica procesos operativos seguros para fomentar la seguridad, la disponibilidad, la integridad y la confidencialidad del entorno y de los datos de los clientes.
  • Las normas de compilación de Expedia Group solo habilitan los componentes del sistema, los servicios y los protocolos que sirven para un requisito comercial determinado. Los sistemas operativos, las bases de datos y las aplicaciones listas para usar deben ser detectables para cumplir con los requisitos jurídicos y normativos de auditoría, admitir herramientas de administración de configuración o implementar una administración de configuración que aplique correctamente los controles de seguridad. Además, deben habilitar el cifrado para todos los accesos administrativos remotos a un sistema y mostrar el uso adecuado del sistema, a la vez que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas, así que no hay expectativa de privacidad mientras se usa el sistema.
  • Expedia Group aplica a la seguridad una estrategia en capas o de defensa en profundidad. Se implementan capacidades y controles de importancia capital en toda la empresa (por ejemplo, antimalware, firewall de aplicaciones web o WAF, segmentación de red y prevención de pérdida de datos) mediante un conjunto de políticas, operaciones y tecnologías para garantizar que el entorno se supervise a través de una organización central de seguridad y alertas a las que se responda debidamente.
  • Los sistemas de Expedia se alojan en Amazon Web Services (AWS) y en centros de datos que facilitan a Expedia Group informes anuales de auditoría SOC 2 para garantizar el cumplimiento.

Medidas para garantizar la minimización de datos; medidas para garantizar la calidad de los datos; medidas para garantizar la retención limitada de datos; medidas para garantizar la rendición de cuentas

  • Minimización: Expedia Group garantiza que solo se recopile, procese y almacene una cantidad mínima de datos. Solo usamos un formato identificable cuando es necesario.
  • Retención: la política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad.
  • Calidad: Expedia Group tiene un programa de administración de calidad formalizado llamado Administración de la experiencia del cliente (CEM, por sus siglas en inglés). Siempre nos esforzamos por mejorar dentro del entorno de EG y buscamos simplificar los procesos para lograr una mayor eficiencia, lo que da como resultado servicios e interacciones consistentes y de alta calidad con nuestros colaboradores, clientes y viajeros.
  • Rendición de cuentas: Expedia Group garantiza la supervisión de la rendición de cuentas al implementar coherentemente políticas, normas o marcos del sector, y requisitos legales mediante el mantenimiento de un programa de gobernanza formalizado y un departamento jurídico o de privacidad.

Medidas para permitir la portabilidad de los datos y garantizar el borrado

  • Expedia Group es directamente responsable de garantizar el cumplimiento de las leyes de protección de datos (incluso en relación con las solicitudes de las personas interesadas). Expedia Group responde a todas las solicitudes de las personas interesadas, como las relativas al acceso, la eliminación y la portabilidad de conformidad con las Leyes aplicables en materia de protección de datos.
  • La política de retención de datos de EG establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad. En caso de que Expedia Group no pueda destruir los datos personales, Expedia Group seguirá ampliando las protecciones pertinentes del Acuerdo entre las partes que rigen dichos datos personales y pondrá fin a todo procesamiento posterior.

Para las transferencias a procesadores o subprocesadores, también deberás describir las medidas técnicas y organizativas específicas que el procesador o subprocesador ha de tomar a fin de poder prestar asistencia al responsable del tratamiento y, en el caso de las transferencias de un procesador a un subprocesador, al exportador de datos.

  • Expedia Group lleva a cabo una investigación previa y suficiente de las prácticas de seguridad de la información de sus proveedores, además de exigir a los proveedores que cumplan con determinados requisitos de seguridad integrales, incluidas las obligaciones que requieran que los proveedores implementen y mantengan las medidas técnicas y organizativas adecuadas.
  • Expedia Group ha formalizado un proceso detallado de evaluación del impacto en la seguridad (SIA, por sus siglas en inglés). Todos los nuevos proveedores que acceden a los datos se evalúan antes de la contratación y durante el periodo de vigencia, cuando sea necesario.
  • Además, Expedia Group cuenta con condiciones sólidas en materia de proveedores procesadores que se imponen a todos los proveedores, a fin de garantizar la transmisión de las obligaciones a todos sus subprocesadores.

 

Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea (Apéndice)

El Comisionado de Información ha emitido este Apéndice para las partes que realizan transferencias restringidas. Según el Comisionado, el Apéndice ofrece garantías adecuadas para las transferencias restringidas cuando se suscribe como un contrato legalmente vinculante.

Parte 1 Tablas

Tabla 1: Partes

Fecha de inicio

Fecha de las CCT a las que se adjuntan (CCT de la UE)

Partes

Contacto principal

Exportador: de conformidad con las CCT de la UE

 

Importador: de conformidad con las CCT de la UE

 

Tabla 2: CCT seleccionadas, módulos y cláusulas elegidas

CCT de la UE para el Apéndice

Versión de las CCT aprobadas de la UE a las que se adjunta este Apéndice

Tabla 3: Información del Apéndice

"Información del Apéndice" significa la información que se debe facilitar para los módulos seleccionados como se establece en el Apéndice de las CCT aprobadas de la UE (distintas a las partes) y que, para este Apéndice, se establece en:

  • Anexo I.A: Lista de partes
  • Anexo I.B: Descripción de la transferencia
  • Anexo II: Medidas técnicas y organizativas

De conformidad con las CCT de la UE

Tabla 4: Rescisión de este Apéndice cuando se modifique el Apéndice aprobado

Partes que pueden rescindir este Apéndice según lo establecido en el Apartado 19

Ninguna de las partes

Part 3: Cláusulas obligatorias

Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con la sección 119A de la Ley de protección de datos de 2018 el 2 de febrero de 2022, según la revisión del Apartado 18 de dichas cláusulas obligatorias.