Saltar al contenido principal

Adenda de procesamiento de datos de Sojern Inc.

Última actualización: 1 de noviembre de 2023

Este Anexo de Procesamiento de Datos, que incluye los Anexos 1 y 2 (“DPA”) establece los términos esenciales requeridos por Sojern, Inc., una corporación de Delaware con su sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (“Sojern”). Para los efectos de este DPA, la empresa que es parte del Acuerdo (como se define a continuación) en el que se incorpora este DPA se denomina “Compañía”.

1. Definiciones

Acuerdo” significa todos y cada uno de los acuerdos entre las partes en virtud del cual Sojern recibe, recopila, accede o procesa de otro modo los Datos Personales para los fines de conformidad con el proveedor de datos o el acuerdo de servicio aplicable. Este DPA incorpora los términos y condiciones del Acuerdo y como se establece a continuación. En caso de conflicto entre el DPA y el Acuerdo, los términos de este DPA regirán y prevalecerán. Todos los términos en mayúscula utilizados pero no definidos en el presente documento tendrán sus respectivos significados según lo establecido en el Acuerdo.

Datos Personales” significa cualquier información relativa a una persona física identificada o identificable que pueda ser identificada directa o indirectamente.

Servicio” significa los servicios prestados por Sojern o Compañía, según corresponda, en virtud del Acuerdo.

2. Aplicación de DPA

A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, el papel de Sojern como procesador de datos o controlador de datos con respecto a los Datos Personales procesados por Sojern se establecerá en el Acuerdo aplicable.

3. Uso de datos personales

Salvo lo expresamente permitido aquí o por escrito por la Compañía, Sojern no revelará, venderá, distribuirá o transmitirá datos personales a terceros, ni (b) utilizará los Datos personales para ningún otro propósito que no sea proporcionar a la Compañía el Servicio bajo el Acuerdo, y de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Sojern se asegurará de que cada persona autorizada para procesar Datos Personales esté sujeta a un deber de confidencialidad con respecto a esos Datos Personales.

4. Cumplimiento de la ley; otras instrucciones

Cada parte certifica que entiende sus obligaciones bajo las leyes de privacidad y protección de datos aplicables y procesará los Datos Personales de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Cuando Sojern actúe como procesador de datos, Sojern llevará a cabo el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario de que dicho procesamiento no cumple con las leyes aplicables de privacidad y protección de datos, en cuyo caso Sojern proporcionará de inmediato a la Compañía un aviso por escrito de ese aviso reglamentario y podrá dejar de procesar Datos Personales hasta que se resuelva el problema reglamentario.

En la medida en que lo exija la Ley de Protección de Datos aplicable, la Compañía solo instruirá a Sojern para que procese los datos personales para los fines permitidos por las leyes de privacidad y protección de datos aplicables y revelará Datos Personales a Sojern solo para los fines limitados y especificados especificados en el Acuerdo. La Compañía se reserva el derecho, previa notificación razonable, de tomar medidas razonables y apropiadas para ayudar a garantizar que Sojern utilice los Datos Personales transferidos de manera consistente con las obligaciones de Sojern en virtud de las leyes de privacidad y protección de datos aplicables, incluidas las medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales. Sojern notificará a la Compañía si determina que ya no puede cumplir con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables.

5. Registros; Cooperación para el Cumplimiento

Cada una de las partes mantendrá un registro escrito o electrónico del procesamiento de Datos Personales. Cada parte cooperará razonablemente con la otra parte en el cumplimiento de las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones de impacto de datos, registros de procesamiento, solicitudes relacionadas o consultas con las autoridades de protección de datos, y auditorías de acuerdo con el Acuerdo aplicable para permitir a la Compañía confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y el Acuerdo.

6. Política de Privacidad de Sojern

Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos Datos Personales se proporcionan a Sojern. Como tal, cuando así lo exijan las leyes de privacidad y protección de datos aplicables, la Compañía pondrá a disposición la Política de privacidad de Sojern disponible en https://www.sojern.com/privacy/privacy-policy/ a las personas cuyos Datos Personales sean procesados por Sojern.

7. Notificación, consentimiento y exclusión voluntaria

La Compañía notificará y obtendrá el consentimiento de las personas según lo requieran las leyes de privacidad y protección de datos aplicables con respecto a la recopilación, uso y divulgación de Datos Personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicables requieren mecanismos por los cuales las personas pueden ejercer derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o cualquier otra parte que sea responsable de la recopilación de Datos Personales en nombre de la Compañía), proporcionará dicho mecanismo a las personas. Se presumirá que la Compañía ha proporcionado los avisos apropiados y ha obtenido los consentimientos apropiados, si es necesario, de cualquier persona física cuyos Datos Personales se proporcionen a Sojern. La Compañía deberá proporcionar sin demora, previa solicitud y en cualquier momento por Sojern, la prueba de que la Compañía ha obtenido los consentimientos apropiados de las personas relevantes.

8. Derechos de Privacidad Individuales

Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de individuos en relación con el procesamiento de Datos Personales en virtud del Acuerdo y en relación con los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de un individuo, Sojern rápidamente: (a) remitirá la solicitud a la Compañía para gestionar la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se administrará la solicitud.

9. Datos personales de la UE

Las partes reconocen que los datos personales que se originan fuera de los Estados Unidos (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) pueden ser transferidos o procesados por Sojern en un país o territorio reconocido como garantía de protección adecuada bajo la ley de privacidad y protección de datos relevante. Las partes también acuerdan que las transferencias de dichos Datos Personales a Sojern pueden realizarse de acuerdo con una solución, distinta de las cláusulas contractuales estándar, que permita la transferencia legal de datos personales a un tercer país de acuerdo con la ley de privacidad y protección de datos aplicable (una “Solución de Transferencia”). Esto incluye, pero no se limita a, un marco de protección de datos aprobado reconocido como garantía de que las entidades participantes brinden una protección adecuada de los Datos Personales.

En la medida en que los Datos Personales que se originan fuera de los Estados Unidos (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiere adecuación según las leyes del país de la Compañía, no se aplica ninguna decisión de adecuación o Solución de Transferencia, y la adecuación requerida puede cumplirse con los términos de este DPA, entonces las partes acuerdan que este DPA incorpore por referencia, según corresponda, el (UE) 2021/914 Cláusulas contractuales tipo de la Comisión Europea para la transferencia de Datos Personales a terceros países de conformidad al Reglamento (UE) 2016-679 por los controladores de la UE/EEE a los procesadores establecidos fuera de la UE/EEE (“Módulo 2”) y/o por los controladores de la UE/EEE a los controladores establecidos fuera de la UE/EEE (“Módulo 1”), y a medida que sean modificados o reemplazados de vez en cuando por la Comisión Europea (colectivamente, las “Cláusulas”). Para fines de conveniencia, las Cláusulas hipervinculadas anteriormente se generan en base a texto puestos a disposición por la Comisión Europea con el único propósito de incorporar las Cláusulas al Acuerdo, seleccionar el/los Módulo (s) apropiado (s), y agregar información en el Apéndice según lo permitan las Cláusulas. A los efectos de las transferencias de Datos Personales, la Compañía será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Compañía es una entidad ubicada fuera de la UE/EEE, siempre que la Compañía esté sujeta al Reglamento (UE) 2016-679). Cuando se apliquen las Cláusulas, se considerará que la Compañía y Sojern han suscrito las Cláusulas en sus respectivos nombres y en su propio nombre, y los nombres, direcciones, datos de contacto, roles y actividades relacionadas con los Datos Personales transferidos bajo estas Cláusulas se proporcionarán en el Acuerdo. La ejecución del Acuerdo se considerará ejecución de las Cláusulas, específicamente ejecución del Anexo I.A de las Cláusulas. En la medida en que exista algún conflicto entre los términos de este DPA y las Cláusulas, regirán y prevalecerán las Cláusulas aplicables.

  1. Controlador a Controlador. A los efectos del Módulo 1, (i) el Anexo 1 de este DPA ocupará el lugar del Anexo I.B del Módulo 1; (ii) el Anexo 2 de este DPA tomará lugar del Anexo II del Módulo 1; y (iii) bajo la Cláusula 11 (a) del Módulo 1, se selecciona el texto opcional proporcionado; (iv) bajo la Cláusula 17 del Módulo 1, se selecciona la OPCIÓN 1, y el Estado miembro de la UE es Irlanda; y (v)) en virtud de la Cláusula 18 (b) del Módulo 1, se seleccionan los tribunales de Irlanda.
  2. Controlador a procesador. Para los efectos del Módulo 2, (i) El Anexo 1 de este DPA ocupará el lugar del Anexo I.B del Módulo 2; (ii) el Anexo 2 de este DPA tomará lugar del Anexo II del Módulo 2; (iii) en virtud de la Cláusula 9 (a) del Módulo 2, OPCIÓN 2: Se selecciona la AUTORIZACIÓN GENERAL POR ESCRITO, y el plazo de notificación anticipada es de treinta (30) días; (iv) bajo la Cláusula 11 (a) Módulo del Módulo 2, se selecciona el texto opcional proporcionado; (v) en virtud de la Cláusula 17 del Módulo 2, se selecciona la OPCIÓN 1, y el Estado miembro de la UE es Irlanda; y (vi) en virtud de la Cláusula 18 (b) del Módulo 2, se seleccionan los tribunales de Irlanda.
  3. Sección 702 de la FISA y Orden Ejecutiva 12333. Sojern notificará a la Compañía inmediatamente y dejará de aceptar Datos Personales si Sojern se entera de que ha quedado sujeto a los requisitos de intercambio o divulgación de datos según lo previsto en la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y/o la Orden Ejecutiva 12333 de los Estados Unidos. Si la Junta Europea de Protección de Datos u otra autoridad reguladora por la que la Compañía está regulada por la Compañía, da más orientación sobre qué otras medidas adecuadas se requieren para la exportación internacional de Datos Personales, Sojern implementará sin demora cualquier otra medida adecuada.

10. Salvaguardias de seguridad

Cada parte implementará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los Datos Personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño.

  1. Violación de datos personales. Al darse cuenta de una violación de datos personales en virtud de las leyes de privacidad y protección de datos aplicables, cada parte notificará a la otra por escrito sin demora indebida y dentro del plazo requerido por las leyes de privacidad y protección de datos aplicables. Cada una de las partes cooperará razonablemente con la otra para mitigar, cuando sea posible, los efectos adversos de una violación de datos personales.
  2. Almacenamiento de datos; eliminación de datos personales después de la terminación. Sojern implementa medidas técnicas de seguridad para protegerse contra el acceso no autorizado a los Datos Personales, incluido el cifrado de Datos Personales en forma electrónica mientras están en tránsito y en reposo en almacenamiento en redes o sistemas Sojern. Las obligaciones de Sojern con respecto a los Datos Personales en caso de rescisión del Acuerdo se establecen en la sección de Plazo y Terminación del Acuerdo, sujeto a los términos de retención de datos del Acuerdo aplicable. Bajo las instrucciones de la Compañía, Sojern eliminará o devolverá todos los datos personales a la Compañía según lo solicitado al final de la prestación de servicios, a menos que la ley exija la retención de los datos personales.

11. Subprocesadores

La Compañía otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de Datos Personales (“Subprocesadores”), que están sujetos a obligaciones de confidencialidad y protección de datos consistentes con este DPA y las leyes de privacidad y protección de datos aplicables, enumeradas en www.sojern.com/legal/lista-socia/. Cuando lo requiera el Acuerdo o cuando Sojern actúe como procesador de datos, Sojern informará a la Compañía de cualquier cambio relacionado con la adición o reemplazo de Subprocesadores actualizando la lista mencionada anteriormente, dando así a la Compañía la oportunidad de oponerse a dichos cambios, y las instrucciones para las objeciones se proporcionan en la misma URL. Si la Compañía se opone razonablemente a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y el DPA.

12. Aplicación de DPA

Este DPA permanecerá en pleno vigor y efecto hasta que el último de (a) el (los) Acuerdo (s) permanezca (s) vigente (s) y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA inmediatamente después de una violación material de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determina que el procesamiento de Datos Personales por las partes viola materialmente las leyes de privacidad y protección de datos aplicables, siempre que la parte no infrinja deba notificar el presunto incumplimiento, y dicho incumplimiento no se habrá curado durante un período de quince (15) días después de dicha notificación.

13. Ley aplicable

Este DPA se considerará realizado y se interpretará de conformidad con las leyes del Estado de California, EE. UU., sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.

HORARIO 1

Descripción de Transferencia

Categorías de sujetos de datos cuyos datos personales se transfieren

Viajeros y otros clientes de la Compañía.

Categorías de datos personales transferidos

Los Datos Personales transferidos por la Compañía se proporcionan de acuerdo con el Acuerdo, y pueden incluir, pero no se limitan a:

  • Información relacionada con un identificador único en línea, como un ID de cookie, ID de dispositivo móvil, dirección de correo electrónico con hash, ID de publicidad y números de identificación de cliente asignados por la compañía.
  • Información relacionada con el dispositivo de una persona, como la dirección IP, el tipo de dispositivo, el tipo de navegador, la fecha y hora de los clics y las visitas web, las URL visitadas y otra información técnica.
  • Información relacionada con el viaje de una persona, como el número y los tipos de viajeros, la divisa/tarifas, la información de búsqueda y reserva (como la fecha de salida y llegada, y el país o ciudad de destino), la información del programa de recompensas o fidelización y las preferencias de alojamiento o servicio (como habitación, asiento de vuelo o tipo de automóvil, y preferencias de instalaciones y servicios).
Los datos sensibles transferidos (si corresponde) y se aplican restricciones o salvaguardas que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados, como por ejemplo una estricta limitación de propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido capacitación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Ninguno

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Base continua, por la duración del Acuerdo aplicable.

Naturaleza del tratamiento

Recogida de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.

Finalidad (s) de la transferencia de datos y posterior procesamiento

Para cualquier propósito legal relacionado con los Servicios prestados en virtud del Acuerdo entre el exportador de datos y el importador de datos, en particular publicidad dirigida basada en información de navegación en línea. No se permite ningún procesamiento adicional.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar dicho período

Durante la vigencia del Acuerdo aplicable, a menos que, a elección del exportador de datos, se eliminen o devuelvan Datos personales.

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento

Los subprocesadores se enumeran en www.sojern.com/legal/lista-socia/ según lo permitido por el Modelo 1 Cláusula 9 a).

  • Objeto del procesamiento: Los subprocesadores proporcionan infraestructura y servicios de alojamiento, almacenamiento de información y procesamiento para permitir que Sojern preste servicios a sus clientes. Además, los subprocesadores ofrecen anuncios digitales en sitios web, aplicaciones móviles y otras propiedades conectadas a Internet, emiten informes sobre el desempeño de las campañas publicitarias y proporcionan una plataforma que facilita la venta de impresiones/inventario en línea a través de subastas en tiempo real.
  • Naturaleza del procesamiento: Los proveedores de alojamiento en la nube almacenan y procesan datos proporcionados por los clientes de Sojern, y las plataformas del lado de la demanda procesan datos para compras programáticas de medios y servicios publicitarios.
  • Duración del tratamiento: Por la duración del acuerdo entre Sojern y los subencargados del tratamiento, sujeto a los plazos de retención en el mismo.
Autoridad Supervisora Competente

La autoridad de control de uno de los Estados miembros en el que se encuentren los sujetos de datos cuyos Datos Personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea supervisado, como se indica en el Anexo I.C, actuará como autoridad supervisora competente.

HORARIO 2

Medidas técnicas y organizativas, incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos

1. General. Sojern establecerá, implementará y mantendrá las medidas administrativas, técnicas y organizativas adecuadas que estén diseñadas para proteger contra el procesamiento no autorizado o ilegal de Datos Personales y contra la pérdida accidental o destrucción o daño de los Datos Personales. Estas medidas serán adecuadas para cumplir con las leyes de protección de datos aplicables y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y programa de seguridad de la información.

2. Políticas y Estándares de Seguridad de la Información. Sojern mantendrá políticas, estándares y procedimientos de seguridad de la información. Estas políticas, normas y procedimientos se mantendrán actualizadas y revisadas siempre que se realicen cambios relevantes en los sistemas de información que utilizan o almacenan Datos Personales.

3. Administración de Vulnerabilidades. Sojern mantendrá un programa de administración de vulnerabilidades para todos los sistemas que procesan Datos Personales que incluye, sin limitación, análisis de vulnerabilidades internas y externas con hallazgos de calificación de riesgo y planes formales de remediación para abordar cualquier vulnerabilidad identificada.

4. Evaluación de Riesgos. Sojern llevará a cabo evaluaciones periódicas de riesgos para identificar y evaluar los riesgos razonablemente previsibles para la seguridad, confidencialidad e integridad de los registros que contienen Datos Personales y evaluará y mejorará, cuando sea necesario, la efectividad de sus salvaguardias para limitar esos riesgos.

5. Clasificación de datos. Sojern mantendrá políticas y procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la conciencia para todos los empleados.

6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado fuertes (se recomienda AES de 256 bits) para almacenamiento y transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).

7. Seguridad de la red. Sojern asegurará su red mediante el empleo de un enfoque de defensa en profundidad que utiliza equipos disponibles comercialmente y técnicas estándar de la industria, incluyendo, sin limitación, firewalls, sistemas de detección de intrusiones, listas de control de acceso y protocolos de enrutamiento.

8. Controles de virus y malware. Sojern protegerá los Datos Personales del código malicioso e instalará y mantendrá software de protección antivirus y malware en cualquier sistema que maneje Datos Personales.

9. Control de acceso. Sojern practicará el principio de privilegio mínimo donde el acceso a los Datos Personales solo se otorgue a aquellos dentro de la organización que tengan una necesidad comercial de dicho acceso y los permisos se limitarán a la cantidad mínima requerida para realizar la función laboral específica.

10. Ubicación de procesamiento. Los datos personales serán procesados por Sojern en los Estados Unidos, sujeto a las leyes de protección de datos aplicables que puedan requerir lo contrario.

11. Respuesta a incidentes. Sojern mantendrá un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes sospechosos de seguridad de datos. Sojern investigará cualquier incidente de seguridad de datos y tomará todas las medidas necesarias para eliminar o contener el incidente de seguridad de datos.

12. Personal. Sojern mantendrá un programa de concientización y capacitación sobre seguridad de la información y capacitará al personal crítico de Sojern en medidas de protección de datos y protecciones generales de ciberseguridad.

13. Proveedor. Sojern mantendrá un programa de administración de proveedores que evaluará a todos los proveedores con los que Sojern intercambia Datos personales. Dichos proveedores estarán bajo estándares de seguridad de datos no menos restrictivos que los establecidos en este documento.

Gracias por suscribirse a nuestro Newsletter.
¡Ups! Algo salió mal al enviar el formulario. Por favor, intención de nuevo.
Producto
Plataforma de Marketing para ViajerosSoluciones de experiencia del huéspedPrivacy and Data
Soluciones
HoteleDestinosAtraccionesAerolíneas
Recursos
Perspectivas de viajeBlogReportesHistorias de éxitoPreguntas frecuentes sin cookies
Empresa
Por qué SojernAsóciate con nosotrosCarrerasPrensaCentro de privacidad