Condiciones de privacidad de TAAP: Acuerdo de responsable del tratamiento a responsable del tratamiento (incluidas las CCT)

Anexo 4 (TAAP)

Es posible que la versión original redactada en inglés del presente Acuerdo de responsable del tratamiento a responsable del tratamiento se haya traducido a otros idiomas. En caso de incoherencia o discrepancia entre la versión en inglés de este Acuerdo y la redactada en cualquier otro idioma, prevalecerá la versión en inglés.

ALCANCE : Si Expedia o tú procesáis datos personales como parte de un acuerdo (el cual podría presentarse a modo de condiciones de aceptación online) celebrado entre Expedia y tú (de conformidad con lo cual se te considera un colaborador de marketing en el TAAP, y todas las actividades relevantes relacionadas con el procesamiento de datos referido se denominarán en lo sucesivo las "Actividades relevantes"), este acuerdo global de responsable del tratamiento a responsable del tratamiento (en lo sucesivo, el "Acuerdo de responsable del tratamiento a responsable del tratamiento") se vuelve complementario y se aplica a dicho acuerdo celebrado entre las partes en lo que respecta a las Actividades relevantes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de responsable del tratamiento a responsable del tratamiento estipula condiciones y requisitos adicionales de conformidad con los cuales Expedia y tú procesaréis datos personales en relación con el Acuerdo. En el presente Acuerdo de responsable del tratamiento a responsable del tratamiento, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. o a toda sociedad de Expedia Group que sea parte del Acuerdo. En cambio, "" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en la que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de responsable del tratamiento a responsable del tratamiento está sujeto a las condiciones estipuladas en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos en el Acuerdo se aplican a la interpretación del presente Acuerdo de responsable del tratamiento a responsable del tratamiento, a menos que se definan de otra forma en este Acuerdo, y:

  1. Los términos "medidas técnicas y organizativas adecuadas", "responsable del tratamiento", "datos personales", "vulneración de la seguridad de los datos personales", " proceso" o "procesamiento" y "autoridad de supervisión" (o términos equivalentes en la medida de lo razonable) tendrán los mismos significados que se les atribuyen en las Leyes aplicables en materia de protección de datos;
  2. Las Leyes aplicables en materia de protección de datos se refieren a toda ley y normativa en relación con el uso o el procesamiento de datos personales aplicable en toda jurisdicción pertinente;
  3. País sujeto al CBPR hace referencia a un país que es miembro de pleno derecho o asociado del Sistema CBPR;
  4. Parte sujeta al CBPR se refiere a una organización que posee una certificación vigente conforme al Sistema CBPR;
  5. Sistema CBPR hace referencia al Sistema de reglas de privacidad transfronteriza del Foro de Cooperación Económica Asia-Pacífico;
  6. Fin permitido se refiere a los siguientes fines: (i) realizar Reservas; (ii) ofrecer asistencia para las Reservas; (iii) gestión de la cuenta y registro del TAAP; (iv) pago de la Comisión y otras cantidades en virtud del presente Acuerdo; (v) generar informes para ti y cualquier otro procesamiento necesario para la reconciliación de cuentas, gestión de reclamaciones y actividades similares relativas al cumplimiento del Acuerdo; (vi) servicio de asistencia para la Cuenta del TAAP; (vii) comunicaciones a los Miembros y Usuarios secundarios del TAAP; (viii) mejorar nuestros servicios, incluido optimizar el proceso de reserva; (ix) crear informes sobre análisis, inteligencia empresarial y operaciones comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de la autoridad fiscal; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); y (xiii) cumplir de cualquier otra forma con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables; y (xiv) determinar, calcular y notificar los impuestos de viaje y demás fines fiscales según se requiera eventualmente;
  7. DPF es una sigla en inglés que se refiere a una certificación del Marco de Privacidad de Datos UE-EE. UU. con el Departamento de Comercio de Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) cuando proceda, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, el Reino Unido y Suiza, entre otros);
  8. País sujeto al DPF hace referencia a un país del EEE, Reino Unido, Suiza y cualquier otro país o región cuyas autoridades pertinentes hayan acordado ampliar la aplicación del DPF a ese país/región;
  9. EEA se refiere al Espacio Económico Europeo;
  10. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil;
  11. Datos de transferencia restringida son los datos de clientes relacionados con una reserva hecha a través de un punto de venta destinado por nosotros para que los clientes accedan a él desde un País de transferencia restringida;
  12. Cláusulas contractuales tipo o CCT son las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales de la Unión Europea a terceros países, en su versión vigente según se emitieron el 4 de junio de 2021, con las respectivas modificaciones, sustituciones, complementos e invalidaciones que hayan tenido; la versión vigente completa se puede consultar (en inglés) en este enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; y
  13. Datos personales del TAAP se refiere a los datos personales que usted nos ha proporcionado a través del sitio web del TAAP o en relación con el TAAP o al facilitar Reservas hechas con el Sitio web del TAAP.
RELACIÓN ENTRE LAS PARTES

1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como con las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como responsable del tratamiento independiente y autónomo; (ii) cumplirá con las Leyes aplicables en materia de protección de datos; y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes aplicables en materia de protección de datos.

TUS RESPONSABILIDADES

1.3 En particular, debes:

  1. cumplir con unos fundamentos jurídicos para facilitarnos Datos personales del TAAP con el propósito de tratarlos para los Fines permitidos;
  2. asegurarte de que los clientes tengan conocimiento, a través de tu política de privacidad y cualquier otro medio apropiado, de que sus datos personales se compartirán con nosotros para los Objetivos permitidos;
  3. dirigir a los Clientes a nuestra política de privacidad para que puedan informarse sobre cómo gestionamos sus datos personales;
  4. colaborar con nosotros y prestarnos una asistencia razonable a fin de ayudarnos a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de nuestro procesamiento de los datos personales del TAAP en relación con el Acuerdo; y
  5. satisfacer una base legal a la hora de enviar comunicaciones de marketing a los Clientes.
NUESTRAS RESPONSABILIDADES

1.4 Nosotros (y nuestros Miembros del Grupo, según corresponda):

  1. únicamente procesaremos los Datos personales del TAAP que tengan relación con un Fin permitido;
  2. no divulgaremos a nadie, ni en su totalidad ni en parte, los Datos personales del TAAP, salvo en relación con un Fin permitido;
  3. colaboraremos contigo y te prestaremos una asistencia razonable a fin de ayudarte a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de tu procesamiento de los Datos personales del TAAP en relación con el Acuerdo; y
  4. mostraremos y cumpliremos con nuestro aviso lícito y actualizado sobre el uso de cookies (si fuese necesario) y nuestra política de privacidad en el Sitio web del TAAP.
CLIENTES Y TERCEROS

1.5 Reconoces que es posible que nosotros:

  1. Enviemos mensajes de correo electrónico a los Clientes en relación con las Reservas.
  2. Transfiramos Datos personales del TAAP (incluidos datos bancarios) a nuestros proveedores externos de servicios con el propósito de:
    1. administrar, gestionar y respaldar su Cuenta del TAAP y las de sus Representantes y Usuarios secundarios;
    2. ofrecer asistencia para las Reservas, y
    3. pagar comisiones y otros importes relacionados con el Acuerdo.
SEGURIDAD DE LOS DATOS E INCUMPLIMIENTO

1.6 Tanto tú como nosotros, en nuestra respectiva calidad de responsables del tratamiento de los datos, acordamos lo siguiente:

  1. mantener las medidas técnicas y organizativas adecuadas para proteger los datos personales que tratemos ambas partes frente a una vulneración de los datos personales, y
  2. en el caso de que se confirme una vulneración de los datos personales en los sistemas propiedad de esa parte o bajo su control, dicha parte informará a la otra parte si la vulneración de datos personales (i) afecta a los Datos personales del TAAP que la otra parte también trata según el Acuerdo, y (ii) debe notificarse a una autoridad de supervisión, con detalles completos de la misma. En tal caso, ambas partes cooperarán de forma razonable y de buena fe con el fin de solucionar o mitigar los efectos de la Vulneración de los datos personales. Asimismo, los costes razonables de dicha cooperación correrán a cargo de la parte que haya sufrido dicha Vulneración de los datos personales.
TRANSFERENCIAS DE DATOS TRANSFRONTERIZAS

1.7 Transferencias de datos transfronterizas.

Las Partes aceptan y reconocen que, en la presente cláusula 1.7, siempre que se utilice la palabra "transferencia", esta incluye el acceso proporcionado por un responsable/encargado del tratamiento a otro responsable/encargado del tratamiento y:

  1. Aspectos generales: ninguna de las Partes transferirá (ni permitirá que otra parte transfiera) Datos personales relevantes fuera del territorio de origen a menos que dicha Parte adopte las medidas de conformidad necesarias para permitir legalmente la transferencia de acuerdo con la Legislación aplicable de protección de datos.
  2. Región Asia-Pacífico y CBPR: 

    1. Las Partes aceptan y reconocen que:

      1. una Parte sujeta al CBPR está vinculada por un conjunto de obligaciones jurídicamente exigibles para proporcionar una protección comparable a la Legislación aplicable de protección de datos, y
      2. Expedia es una Parte sujeta al CBPR.

      Cuando la Empresa sea también una Parte sujeta al CBPR, las disposiciones de este párrafo (b) se interpretarán de manera que apliquen en ambos sentidos.

    2. Sin perjuicio de lo dispuesto en el párrafo (iii) siguiente, las Partes acuerdan que, cuando:

      1. los Datos personales pertinentes se transfieran de un País sujeto al CBPR a otro País sujeto al CBPR, y
      2. el importador de datos sea una Parte sujeta al CBPR,

      en la medida y por el tiempo en que el Sistema CBPR sea un método de transferencia reconocido por una autoridad de supervisión pertinente, el Sistema CBPR será el mecanismo acordado para las transferencias transfronterizas de Datos personales relevantes a dicha Parte sujeta al CBPR.

    3. El Sistema CBPR solo se aplicará a las transferencias en las que al menos una de las Partes esté situada en un país de la región Asia-Pacífico que también sea un País sujeto al CBPR.

    4. Expedia confirma que proporcionará al menos el mismo nivel de protección de los Datos personales relevantes que el exigido por el Sistema CBPR; y notificará sin demora a la otra Parte si determina que ya no puede proporcionar este nivel de protección. En tal caso, o si la otra Parte considera razonablemente que Expedia no está protegiendo los Datos personales relevantes con el nivel exigido por el Sistema CBPR, la otra Parte podrá:

      1. exigir a Expedia que adopte medidas razonables y adecuadas para detener y subsanar todo tratamiento no autorizado, en cuyo caso las Partes cooperarán de buena fe y sin demora para identificar, acordar y aplicar dichas medidas;
      2. acordar una salvaguardia alternativa que se pueda aplicar al tratamiento en virtud de la Legislación aplicable de protección de datos, o
      3. si (A) y (B) no consiguen resolver el problema, finalizar el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y el Acuerdo (o, a elección de la otra Parte, cualquier parte afectada de este) sin penalización, mediante notificación a Expedia.

      Si la otra Parte también posee una certificación vigente del Sistema CBPR, las disposiciones anteriores se aplicarán de manera que las obligaciones sean en ambos sentidos.

  3. DPF: Las Partes acuerdan que, con respecto a las transferencias de Datos de transferencia restringida entre las Partes destinadas a Estados Unidos o a un país que no se considere "adecuado" en virtud de la Legislación aplicable de protección de datos del País de transferencia restringida de origen:
    1. en la medida y por el tiempo en que el DPF sea un método de transferencia reconocido por una autoridad pertinente, el DPF será el mecanismo acordado para las transferencias transfronterizas de datos procedentes de un País de transferencia restringida y destinadas a Expedia en Estados Unidos; y
    2. en la medida y por el tiempo en que el DPF no sea un método válido de transferencia (incluso para transferencias de Datos de transferencia restringida a un país que no se considere "adecuado" en virtud de la Legislación aplicable de protección de datos del País de transferencia restringida de origen), 

      las CCT se aplicarán a dichas transferencias y las celebraremos sobre la base de lo establecido en el párrafo (h) a continuación. Si la Empresa también tiene una certificación vigente del DPF, las transferencias de Datos de Transferencia Restringida a la Empresa se pueden hacer de forma parecida en virtud del DPF con CCT como un mecanismo de respaldo según lo estipulado en este párrafo, y los párrafos pertinentes del DPF se aplicarán recíprocamente.
  4. Con respecto al DPF, Expedia está de acuerdo en que proporcionará el mismo nivel de protección que requiere el DPF. Si la Empresa cree razonablemente que no estamos protegiendo los Datos de transferencia restringida conforme al nivel exigido por el DPF, Expedia podrá:
    1. basarse en las CCT, como se indica en el párrafo (h) a continuación;
    2. si las CCT no son una solución viable ni adecuada, proponer a la Empresa medidas razonables y adecuadas para detener y subsanar todo tratamiento no autorizado, las cuales aplicaremos de buena fe mediante la implementación de esfuerzos comercialmente razonables; o
    3. si las soluciones alternativas de los párrafos (i) o (ii) anteriores no son viables, finalizar el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y el Acuerdo sin penalización.
  5. Si la Empresa está certificada conforme al DPF, esta cumplirá los Principios de aviso y elección del DPF (tal y como se define en el EU-US DPF). A fin de evitar cualquier duda, en caso de que la Empresa no tenga certificación DPF o no acceda ni reciba los Datos de transferencia restringida en un país considerado "adecuado" por la Comisión Europea, se recurrirá a las CCT para las transferencias de Datos de transferencia restringida de Expedia a la Empresa.
  6. Las Partes reconocen que pueden, cada una, divulgar el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y toda disposición de privacidad pertinente en el Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense o europeo cuando estos lo soliciten, y convienen en que dicha divulgación no se considerará una vulneración de la confidencialidad.
  7. Extensión de las CCT a Países de transferencia no restringida: en relación con las transferencias de Datos personales relevantes entre las Partes desde un país que no sea un País de transferencia restringida que, no obstante, esté sujeto a salvaguardas que, según la Legislación aplicable de protección de datos, deban aplicarse antes de la transferencia de dichos Datos personales relevantes fuera del país de origen (cada uno, un País de transferencia no restringida), las Partes acuerdan que:
    1. se considerará que las CCT establecidas en el párrafo (h) siguiente se extienden a dichas transferencias adicionales en la medida en que tal extensión cumpla con las salvaguardias de ese país concreto, o
    2. si las medidas establecidas en el párrafo (h) a continuación resultan insuficientes o requieren medidas adicionales, las Partes acuerdan su adopción, incluidas, por ejemplo, la firma de documentos pertinentes, la obtención del consentimiento o la realización de los trámites necesarios, según lo requiera la Legislación aplicable de protección de datos.

  8. CCT: sin perjuicio de lo dispuesto en los párrafos anteriores de la cláusula 3.4, las Partes acuerdan adherirse a las CCT que se incorporan por referencia en el Acuerdo sin cambios, excepto por las selecciones siguientes:

    1. Si la Empresa se encuentra dentro del Espacio Económico Europeo o en un país que se considere "adecuado" de conformidad con el artículo 45 del RGPD, (País adecuado), el Módulo uno (1) de las CCT solo se aplicará en un solo sentido con respecto a las transferencias que la Empresa haga a Expedia. En caso contrario, el Módulo uno (1) se aplica en ambos sentidos para cubrir las transferencias tanto de la Empresa a Expedia como de Expedia a la Empresa.
    2. A efectos de la cláusula 11(a) de las CCT, se elimina el idioma opcional.
    3. A efectos de la cláusula 13 de las CCT, el párrafo pertinente es "La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente".
    4. A efectos de la cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
    5. A efectos de la cláusula 18(b) de las CCT, la selección es Irlanda.

    6. Datos de transferencias restringidas. Se añade una nueva cláusula 19 a las CCT para cubrir las transferencias de datos personales procedentes del Reino Unido, Suiza, Brasil, Arabia Saudí o Tailandia a un país que no se considere adecuado en virtud de la Legislación aplicable de protección de datos del país de origen ni esté exento de otro modo de exigir la inclusión en las cláusulas contractuales tipo, como se indica a continuación:

      “Cláusula 19

      Transferencias del Reino Unido, Suiza, Brasil, Arabia Saudí y Tailandia

      Las Partes acuerdan que las presentes cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a las transferencias extraterritoriales incluidas en el ámbito de aplicación de la Ley de privacidad de referencia (denominada en la presente cláusula Transferencia de referencia). A efectos de dichas Transferencias de referencia, se considerará que la ley aplicable es la Ley aplicable de referencia pertinente, la elección del foro será el País de referencia y la Autoridad de supervisión de referencia será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias de referencia según lo considere necesario la autoridad de supervisión de referencia para cumplir con las Leyes de privacidad de referencia; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de referencia que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad de supervisión de referencia, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de referencia. Las Partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de las Leyes de privacidad de referencia cuando realicen Transferencias de referencia.

      País

      Ley de privacidad de referencia

      Transferencia de referencia

      Ley aplicable de referencia

      País de referencia

      Autoridad de supervisión de referencia

      Reino Unido

      RGPD y Ley de protección de datos de 2018 del Reino Unido

      Transferencia del Reino Unido

      Reino Unido

      Reino Unido

      Oficina del Comisionado de Información (ICO)

      Suiza

      Ley Federal de Protección de Datos (FADP)

      Transferencia de Suiza

      Suiza

      Suiza

      Comisionado Federal de Información y Protección de Datos (FDPIC)

      Brasil

      Ley General de Protección de Datos n.º 13 709/18 (Lei Geral de Proteção de Dados) de Brasil

      Transferencia de Brasil

      Brasil

      Brasil

      Autoridad Nacional de Protección de Datos (ANPD) de Brasil

      Arabia Saudita

      Ley de Protección de Datos Personales (PDPL)

      Transferencia de Arabia Saudí

      Arabia Saudita

      Arabia Saudita

      Autoridad Saudí de Datos e Inteligencia Artificial (SDAIA)

      Tailandia

      Ley de Protección de Datos Personales B.E. 2562 (2019) (PDPA)

      Transferencia de Tailandia

      Tailandia

      Tailandia

      Comité de Protección de Datos Personales (PDPC)

      Y:

    7. Todas las referencias a la Ley de privacidad de referencia aluden a las leyes de referencia según se hayan modificado, complementado o sustituido en su momento.
    8. Todas las referencias a una Autoridad de supervisión de referencia significan la autoridad de referencia o cualquier organismo que la suceda.
    9. En relación con el Reino Unido, se aplicarán las disposiciones del Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea, tal como se establece en el formulario adjunto como apéndice".

    10. Trasferencias de terceros países: se añade una nueva cláusula 20 para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora al que puedan ampliarse las CCT a fin de garantizar las salvaguardias adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de dicho país como se indica a continuación:

      "Cláusula 20

      Otras transferencias de terceros países

      Las Partes acuerdan que las presentes cláusulas se ampliarán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que entren en el ámbito de aplicación de cualquier otra ley y normativa aplicable en toda jurisdicción pertinente, en relación con el uso o tratamiento de datos personales (Legislación aplicable de protección de datos) que requieran condiciones y protecciones ampliamente equivalentes a las presentes cláusulas para transferir datos personales de ese país (denominado en la presente cláusula País tercero) a otro (lo que se denomina en esta cláusula Transferencia de terceros países). A efectos de dichas Transferencias de terceros países, se considerará que las leyes aplicables y la elección del foro son aquellas del País tercero, y la autoridad o el organismo normativo de protección de datos de tal país u otro organismo regulador pertinente será la autoridad de supervisión competente. Asimismo, las Partes acuerdan que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a una Transferencia de terceros países según lo considere necesario la autoridad de supervisión para cumplir con la Legislación aplicable de protección de datos del País tercero, y las cláusulas se interpretarán de conformidad con los requisitos para las Transferencias de terceros países que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad de supervisión pertinente, sin que las Partes tengan que firmar cláusulas contractuales tipo separadas que se hayan preparado específicamente para las Transferencias de terceros países. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de las Leyes aplicables en materia de protección de datos cuando realicen Transferencias de terceros países".

    1.8 A efectos de los CCT: :

    el Anexo uno (1) (Descripción general del tratamiento en virtud de las CCT) de esta Parte cinco (5) (Descripción general del procesamiento del Acuerdo de Corresponsabilidad) constituirá el Anexo uno (1) de las CCT;

    1. cuando la Empresa sea el importador de datos en virtud de las CCT, la Parte 2 (dos) (Medidas de seguridad) y la Parte 3 (tres) (Continuidad empresarial) de los Requisitos constituirán el Anexo 2 (dos) (Medidas técnicas y organizativas) de las CCT en relación con la Empresa; y
    2. cuando Expedia sea el importador de datos en virtud de las CCT, el Anexo 2 (dos) (Medidas técnicas y organizativas) de esta Parte 5 (cinco) constituirá el Anexo 2 (dos) (Medidas técnicas y organizativas) de las CCT en relación con Expedia.

    1.9 OBLIGACIONES ADICIONALES:

    1. Únicamente a efectos de la presente Sección 1.9, los términos "acceso", "masivo", "país de interés", "transacción de datos cubierta", "persona cubierta", "datos personales confidenciales" y "persona estadounidense" tendrán el significado que se les atribuye en el Título 28 del CFR, Parte 202 ("Reglas sobre datos confidenciales masivos del DOJ").
    2. Sin limitación de las demás obligaciones de la Empresa en virtud del Acuerdo, en la medida en que la Empresa reciba, derive o procese de otro modo datos personales confidenciales relativos a personas estadounidenses en relación con el Acuerdo, la Empresa:
    3. no deberá transferir o reenviar dichos datos personales a, ni permitir el acceso a dichos datos personales confidenciales de parte de:
      1. una persona cubierta o un país de interés; o
      2. cualquier subcontratista, filial o tercero, excepto cuando existan protecciones contractuales equivalentes a esta cláusula;
    4. no deberá participar en ninguna otra actividad o conducta que pudiera dar lugar a que Expedia o la Empresa incumplan las Reglas sobre datos confidenciales masivos del DOJ; y
    5. deberá informar sin demora a Expedia acerca de cualquier infracción conocida o sospechada de esta cláusula.
    6. La Empresa confirma que, para estos Requisitos, la Empresa cumple el Título 28 del CFR, Parte 202 y cualquier otra prohibición, restricción o disposición aplicable a los datos sujetos a estos Requisitos. La Empresa acuerda certificar el cumplimiento por parte de la Empresa del Título 28 del CFR, Parte 202 ante Expedia, previa solicitud razonable. La Empresa se compromete a no eludir ni evitar cualquiera de las prohibiciones establecidas en la Orden Ejecutiva 14117 o en el Título 28 del CFR, Parte 202, a no infringirlas ni a intentar incumplirlas.

    1.10 VIGENCIA Y RESOLUCIÓN:

    1. El presente Acuerdo de responsable del tratamiento a responsable del tratamiento permanecerá en pleno vigor y efecto mientras el Acuerdo siga vigente.
    2. Cualquier disposición de este Acuerdo de responsable del tratamiento a responsable del tratamiento que, de forma expresa o implícita, deba entrar o continuar en vigor a la finalización del Acuerdo o con posterioridad a la misma, con el fin de proteger los Datos personales del responsable del tratamiento, permanecerá en pleno vigor y efecto.
    ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT
    MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de ti a nosotros)
    A. LISTA DE PARTES

    Exportadores de datos:

    Parte

    Partes identificadas como "tú", "miembro del TAAP" o algún término equivalente

    Dirección

    Según lo especificado en el Acuerdo

    Nombre, puesto y datos de contacto de la persona encargada para todas las partes de Expedia Group

    Gestor de cuentas que usa la dirección de correo electrónico notificada al contacto de Expedia cada cierto tiempo

    Actividades relacionadas con los datos transferidos en virtud de las CCT

     

    Reservas hechas a través del sitio web del TAAP que ponemos a tu disposición de conformidad con el Acuerdo

    Función

    Responsable del tratamiento

    Importadores de datos: 

    Parte

    Partes no pertenecientes a la UE identificadas como "nosotros" o "Expedia" en el Acuerdo

    Dirección

    Según lo especificado en el Acuerdo

    Nombre, puesto y datos de contacto de la persona encargada

    Gestor de cuentas que usa la dirección de correo electrónico notificada al contacto del miembro del TAAP cada cierto tiempo

    Actividades relacionadas con los datos transferidos en virtud de estas cláusulas

    Reservas hechas a través del sitio web del TAAP que ponemos a tu disposición de conformidad con el Acuerdo

    Función

    Responsable del tratamiento

     

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

     

    Categorías de personas interesadas

    Miembros del TAAP, así como sus usuarios secundarios

    Categorías de datos personales

    Agencia anfitriona / Cuenta gestora:

    Datos de identificación:

    • Razón social de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de empresa registrada

    Datos de contacto:

    • URL del sitio web de la Agencia (obligatorio en Canadá e Italia; opcional en otros países)
    • Dirección (calle, ciudad, estado o provincia, código postal, país)
    • Número de teléfono de la agencia
    • Número de fax (obligatorio solo en Japón)

    Datos financieros:

    • Nombre en la cuenta bancaria
    • Número de cuenta bancaria
    • Datos bancarios
    • Datos de la tarjeta de pago
    • Número de identificación fiscal

    Otra información que el miembro del TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con:

    • Informes, seguimiento y análisis (incluidos los datos de comisiones y reservas)
    • Inicio de sesión único y programas de fidelidad

    Agentes individuales / Usuarios secundarios: 

    Datos de identificación:

    • Nombre y apellidos del agente
    • Nombre comercial de la agencia (la propia agencia del agente, si corresponde)
    • Nombre de la agencia anfitriona (la agencia a la que está afiliado el agente)
    • Razón social de la agencia
    • Tipo y número de acreditación de viaje (IATA/ARC/CLIA/True ID/otra)
    • Número de empresa registrada

    Datos de contacto:

    • Dirección (calle, ciudad, estado o provincia, código postal, país)
    • Número de teléfono de la agencia

    Información de viaje: historial de reservas y preferencias de viaje

    Otra información que el miembro del TAAP solicite y con la que esté de acuerdo, incluidos, entre otros, los datos personales necesarios en relación con:

    • Informes, seguimiento y análisis (incluidos los datos de comisiones y reservas)
    • Inicio de sesión único y programas de fidelidad

    Datos confidenciales

    Ninguno, a menos que una persona los facilite voluntariamente para satisfacer sus necesidades de accesibilidad para viajar

    Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua)

    De forma continua o para casos específicos, según las necesidades del negocio del miembro del TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Objetivos de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    Periodo durante el cual se conservarán los datos personales o, en su defecto, criterios utilizados para determinar dicho periodo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales del TAAP se retengan tras la finalización del Acuerdo por razones legales o de copia de seguridad, Expedia seguirá protegiendo dichos datos personales en virtud del Acuerdo.

    Para las transferencias a procesadores o subprocesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List (actualizado periódicamente)

    Categorías de personas interesadas

    Clientes

    Categorías de datos personales

    Datos de identificación:

    • Nombre y apellidos
    • Programa y número de viajeros frecuentes (vuelos)
    • Número de TSA (vuelos)

    Datos de contacto:

    • Dirección de correo electrónico
    • Números de teléfono (fijo y móvil)
    • Fecha de nacimiento (para vuelos)
    • Nacionalidad (indicada en el pasaporte)

    Información financiera:

    • Datos de la tarjeta de pago
    • Número de identificación fiscal (solo POSa Brasil)

    Datos confidenciales

    Ninguno, a menos que una persona los facilite voluntariamente para satisfacer sus necesidades de accesibilidad para viajar

    Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua)

    De forma continua o para casos específicos, según las necesidades del negocio del miembro del TAAP

    Naturaleza del procesamiento

    Todas las operaciones de procesamiento requeridas para facilitar los propósitos señalados a continuación

    Objetivos de la transferencia de datos y su procesamiento posterior

    Objetivos permitidos, tal como se definen en el Acuerdo

    Periodo durante el cual se conservarán los datos personales o, en su defecto, criterios utilizados para determinar dicho periodo

    De conformidad con la política de retención de Expedia Group, siempre que los Datos personales del TAAP se retengan tras la finalización del Acuerdo por razones legales o de copia de seguridad, Expedia seguirá protegiendo dichos datos personales en virtud del Acuerdo.

    Para las transferencias a procesadores o subprocesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List (actualizado periódicamente)

     

    C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

    Identifica a las autoridades de supervisión competentes de conformidad con la cláusula 13 de las CCT.

    Autoridad irlandesa de protección de datos

     

    MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de nosotros a ti)

    A. LISTA DE PARTES

    Exportadores de datos: 

    Partes identificadas como importadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

     

    Importadores de datos:

    Partes identificadas como exportadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

    B. DESCRIPCIÓN DE LA TRANSFERENCIA
    • Categorías de personas interesadas
    • Categorías de datos personales
    • Datos confidenciales

    De conformidad con el Módulo uno (1)

    • Frecuencia de transferencia
    • Naturaleza del procesamiento
    • Objetivos

    De conformidad con el Módulo uno (1)

    Periodo durante el cual se conservarán los datos personales o, en su defecto, criterios utilizados para determinar dicho periodo

    De conformidad con la política de retención del miembro del TAAP

    Para las transferencias a procesadores o subprocesadores, especifica también el objeto, la naturaleza y la duración del procesamiento

    No aplicable

     

    C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

    De conformidad con el Módulo uno (1)

     

    ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

    A continuación se detallan las medidas técnicas y organizativas aplicables para los objetivos del Módulo uno (1).

    OBJETO

    MEDIDA

    Medidas de seudonimización y cifrado de datos personales

    • Expedia Group admite los protocolos de cifrado estándar del sector para la transferencia de datos basados en la Norma de clasificación y tratamiento de la información de Expedia Group.
    • Los requisitos de tratamiento de los datos se basan en un criterio por categoría. Dependiendo de los datos que se manejen, existen diferentes requisitos de seguridad en Expedia Group. Por ejemplo, los datos de tarjetas de crédito se consideran altamente confidenciales y deben estar cifrados tanto en tránsito como en reposo.
    • Los datos personales del cliente (y sus empleados) son seudonimizados (y anonimizados) por Expedia Group cuando es posible y según se requiere de acuerdo con la Norma de manejo y clasificación de información de EG.
    • Los números de tarjetas de crédito se tokenizan o seudonimizan para eliminar el procesamiento correspondiente en texto sin cifrar.
    • Expedia Group utiliza conexiones cifradas mediante VPN, SSL, etc. y usa mecanismos de autenticación multifactor.

    Medidas para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y los servicios de procesamiento

    • Expedia Group mantiene responsabilidades y procedimientos para la administración y operación de todas las instalaciones de tratamiento de información a fin de asegurar un tratamiento de datos completo, válido y preciso.
    • La supervisión de las instalaciones de procesamiento clave se implementa con un programa SOX sólido, en el que los controles sobre el procesamiento y la integridad de los datos se ponen a prueba y certifican de forma continua.
    • El registro y la supervisión estándar del sector se implementan en los sistemas de EG para garantizar la protección contra el acceso, la modificación y la eliminación no autorizados.
    • Expedia Group mantiene la resiliencia del servicio mediante arquitecturas redundantes, la replicación de los datos y la verificación de la integridad.

    Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de incidentes físicos o técnicos

    • Los sistemas de Expedia Group están diseñados específicamente para impedir o prevenir ataques comunes y garantizar la disponibilidad para el funcionamiento, la supervisión y el mantenimiento. Para lograrlo, Expedia Group realiza pruebas y auditorías simuladas periódicamente a fin de confirmar que sus sistemas mantienen la disponibilidad.
    • Los servidores cuentan con parches de conformidad con la sólida política de parches de Expedia Group y están protegidos mediante programas antivirus y antimalware estándar del sector. Además, se llevan a cabo evaluaciones de vulnerabilidad, pruebas exhaustivas y revisiones de red para garantizar el mantenimiento de los sistemas de EG.
    • Se supervisan la disponibilidad y fiabilidad para garantizar que los sitios de Expedia permanezcan online, con interrupciones mínimas del servicio.
    • Expedia Group mantiene un plan de recuperación ante desastres que tiene en cuenta las emergencias y los planes de contingencia para garantizar que los servicios al cliente no se interrumpan, en función de la gravedad, y se ponen a prueba periódicamente para asegurar la viabilidad.

    Procesos para poner a prueba y evaluar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento

    • Las medidas técnicas y organizativas de Expedia Group son auditadas cada año por asesores externos, así como mediante sólidas pruebas internas.
    • EG realiza evaluaciones anuales del sector de las tarjetas de pago (PCI, por sus siglas en inglés) mediante un evaluador externo y garantiza el cumplimiento continuo de las normas del PCI.
    • La función integral de pruebas internas de EG se compone de pruebas de vulnerabilidad trimestrales, pruebas de penetración internas y externas, y análisis y revisiones de redes, sistemas y firewalls. Además, un departamento interno de auditoría realiza evaluaciones de riesgo anuales para priorizar las auditorías operativas.

    Medidas para la identificación y la autorización de usuarios; medidas para la protección de datos durante la transferencia; medidas para la protección de datos durante el almacenamiento

    • Los sistemas de Expedia Group siguen las prácticas recomendadas del sector y cuentan con prácticas de comunicación tales como sesiones de tiempo de espera, protocolos de bloqueo y controles sólidos de verificación y contraseña.
    • Expedia Group aplica requisitos para el aprovisionamiento y la supervisión de las cuentas a fin de impedir el acceso no autorizado o el uso indebido de la información de Expedia Group. Asimismo, utiliza las prácticas recomendadas del sector según sea necesario, como el principio de acceso con privilegios mínimos, los identificadores únicos y la autenticación multifactor, para lograr una verificación sólida.

    Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan datos personales

    • Un centro de operaciones de seguridad brinda cobertura las 24 horas del día, los 7 días de la semana, con un plan formal de respuesta a incidentes que se revisa y se prueba al menos una vez al año.
    • Todos los sistemas están sometidos a control y a pruebas que efectúan periódicamente proveedores de servicios externos.
    • Cada cliente de Expedia Group recibe su propio identificador de cliente. Todos los conjuntos de datos de cada cliente se almacenan bajo este identificador y dichos datos se segregan de forma lógica. Debido a los derechos de administración y las estructuras de base de datos, el cliente solo puede acceder a conjuntos de datos que están asignados a ese identificador de usuario y centros de datos o controles de AWS.
    • Solo las personas expresamente autorizadas por Expedia que deban conocer cierta información tienen acceso a los datos personales. Se implementan controles y supervisión para garantizar el acceso con privilegios mínimos y proteger contra los intentos de acceso no autorizado al sistema.

    Medidas para garantizar el registro de eventos

    		Expedia Group aplica requisitos sólidos de registro y supervisión para dar cuenta de quién ha dado origen a determinado evento, cuál ha sido este evento, dónde y cuándo ha ocurrido, su finalidad, su origen y si ha tenido éxito o ha sido infructuoso.

    Medidas para garantizar la configuración del sistema, como la configuración predeterminada; medidas para la gobernanza y la administración internas de tecnologías de información y de la seguridad de estas; medidas para la certificación o la garantía de procesos y productos

    • El programa de seguridad de la información de Expedia Group (EG) se ajusta a los marcos y normas del sector, y utiliza su programa de gestión de riesgos para garantizar una postura de seguridad sólida e integral. Expedia Group aplica procesos operativos seguros para fomentar la seguridad, la disponibilidad, la integridad y la confidencialidad del entorno y de los datos de los clientes.
    • Las normas de compilación de Expedia Group solo habilitan los componentes del sistema, los servicios y los protocolos que sirven para un requisito comercial determinado. Los sistemas operativos, las bases de datos y las aplicaciones listas para usar deben ser detectables para cumplir con los requisitos jurídicos y normativos de auditoría, admitir herramientas de administración de configuración o implementar una administración de configuración que aplique correctamente los controles de seguridad. Además, deben habilitar el cifrado para todos los accesos administrativos remotos a un sistema y mostrar el uso adecuado del sistema, a la vez que el sistema se supervisa para detectar usos inapropiados y demás actividades ilícitas, así que no hay expectativa de privacidad mientras se usa el sistema.
    • Expedia Group aplica a la seguridad una estrategia en capas o de defensa en profundidad. Se implementan capacidades y controles de importancia capital en toda la empresa (por ejemplo, antimalware, firewall de aplicaciones web o WAF, segmentación de red y prevención de pérdida de datos) mediante un conjunto de políticas, operaciones y tecnologías para garantizar que el entorno se supervise a través de una organización central de seguridad y alertas a las que se responda debidamente.
    • Los sistemas de Expedia se alojan en Amazon Web Services (AWS) y en centros de datos que facilitan a Expedia Group informes anuales de auditoría SOC 2 para garantizar el cumplimiento.

    Medidas para garantizar la minimización de datos; medidas para garantizar la calidad de los datos; medidas para garantizar la retención limitada de datos; medidas para garantizar la rendición de cuentas

    • Minimización: Expedia Group garantiza que solo se recopile, procese y almacene una cantidad mínima de datos. Solo utilizamos el formato identificable cuando es necesario.
    • Retención: la política de retención de datos de Expedia Group establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad.
    • Calidad: Expedia Group tiene un programa de administración de calidad formalizado llamado Administración de la experiencia del cliente (CEM, por sus siglas en inglés). Siempre nos esforzamos por mejorar dentro del entorno de EG y buscamos simplificar los procesos para lograr una mayor eficiencia, lo que da como resultado servicios e interacciones consistentes y de alta calidad con nuestros colaboradores, clientes y viajeros.
    • Rendición de cuentas: Expedia Group garantiza la supervisión de la rendición de cuentas al implementar coherentemente políticas, normas o marcos del sector, y requisitos legales mediante el mantenimiento de un programa de gobernanza formalizado y un departamento jurídico o de privacidad.

    Medidas para permitir la portabilidad de los datos y garantizar el borrado

    • Expedia Group es directamente responsable de garantizar el cumplimiento de las leyes de protección de datos (incluso en relación con las solicitudes de las personas interesadas). Expedia Group responde a todas las solicitudes de las personas interesadas, como las relativas al acceso, la eliminación y la portabilidad de conformidad con las Leyes aplicables en materia de protección de datos.
    • La política de retención de datos de EG establece diferentes periodos de retención y copias de seguridad según la categoría de los datos, incluida cualquier obligación legal u otra exención que requiera que dichos datos se conserven hasta que se hayan cumplido ciertas obligaciones legales, como los impuestos y la contabilidad. En caso de que Expedia Group no pueda destruir los datos personales, Expedia Group seguirá ampliando las protecciones pertinentes del Acuerdo entre las partes que rigen dichos datos personales y pondrá fin a todo procesamiento posterior.

    Para las transferencias a procesadores o subprocesadores, también deberás describir las medidas técnicas y organizativas específicas que el procesador o subprocesador ha de tomar a fin de poder prestar asistencia al responsable del tratamiento y, en el caso de las transferencias de un procesador a un subprocesador, al exportador de datos.

    • Expedia Group lleva a cabo una investigación previa y suficiente de las prácticas de seguridad de la información de sus proveedores, además de exigir a los proveedores que cumplan con determinados requisitos de seguridad integrales, incluidas las obligaciones que requieran que los proveedores implementen y mantengan las medidas técnicas y organizativas adecuadas.
    • Expedia Group ha formalizado un proceso detallado de evaluación del impacto en la seguridad (SIA, por sus siglas en inglés). Todos los nuevos proveedores que acceden a los datos se evalúan antes de la contratación y durante el periodo de vigencia, cuando sea necesario.
    • Además, Expedia Group cuenta con condiciones sólidas en materia de proveedores procesadores que se imponen a todos los proveedores, a fin de garantizar la transmisión de las obligaciones a todos sus subprocesadores.

     

    Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea (Apéndice)

    El Comisionado de Información ha emitido este Apéndice para las partes que realizan transferencias restringidas. Según el Comisionado, el Apéndice ofrece garantías adecuadas para las transferencias restringidas cuando se suscribe como un contrato legalmente vinculante.

    Parte 1 Tablas

    Tabla 1: Partes

    Fecha de inicio

    Fecha de las CCT a las que se adjuntan (CCT de la UE)

    Partes

    Contacto principal

    Exportador: de conformidad con las CCT de la UE

     

    Importador: de conformidad con las CCT de la UE

     

    Tabla 2: CCT seleccionadas, módulos y cláusulas elegidas

    CCT de la UE para el Apéndice

    Versión de las CCT aprobadas de la UE a las que se adjunta este Apéndice

    Tabla 3: Información del Apéndice

    "Información del Apéndice" significa la información que se debe facilitar para los módulos seleccionados como se establece en el Apéndice de las CCT aprobadas de la UE (distintas a las partes) y que, para este Apéndice, se establece en:

    Anexo I.A: Lista de partes

    Anexo I.B: Descripción de la transferencia

    Anexo II: Medidas técnicas y organizativas

    De conformidad con las CCT de la UE

    Tabla 4: Rescisión de este Apéndice cuando se modifique el Apéndice aprobado

    Partes que pueden rescindir este Apéndice según lo establecido en el Apartado 19

    Ninguna de las partes

    Parte 2: Cláusulas obligatorias

    Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con la sección 119A de la Ley de protección de datos de 2018 el 2 de febrero de 2022, según la revisión del Apartado 18 de dichas cláusulas obligatorias.

 

Last updated: 1 January 2026