Adenda de procesamiento de datos de Sojern Inc.

Última actualización: 14 de septiembre de 2022

Este Anexo de Procesamiento de Datos, que incluye los Anexos 1 y 2 (“DPA”) establece los términos esenciales requeridos por Sojern, Inc., una corporación de Delaware con su sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (“Sojern”). Para los efectos de este DPA, la empresa que es parte del Acuerdo (como se define a continuación) en el que se incorpora este DPA se denomina “Compañía”.

1. Definiciones

Acuerdo” significa todos y cada uno de los acuerdos entre las partes en virtud del cual Sojern recibe, recopila, accede o procesa de otro modo los Datos Personales para los fines de conformidad con el proveedor de datos o el acuerdo de servicio aplicable. Este DPA incorpora los términos y condiciones del Acuerdo y como se establece a continuación. En caso de conflicto entre el DPA y el Acuerdo, los términos de este DPA regirán y prevalecerán. Todos los términos en mayúscula utilizados pero no definidos en el presente documento tendrán sus respectivos significados según lo establecido en el Acuerdo.

Datos Personales” significa cualquier información relativa a una persona física identificada o identificable que pueda ser identificada directa o indirectamente.

Servicio” significa los servicios prestados por Sojern o Compañía, según corresponda, en virtud del Acuerdo.

2. Aplicación de DPA

A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, el papel de Sojern como procesador de datos o controlador de datos con respecto a los Datos Personales procesados por Sojern se establecerá en el Acuerdo aplicable.

3. Uso de datos personales

Salvo lo expresamente permitido aquí o por escrito por la Compañía, Sojern no revelará, venderá, distribuirá o transmitirá, directa o indirectamente (a) los Datos Personales a terceros, o (b) utilizará los Datos Personales para ningún otro propósito que no sea proporcionar a la Compañía el Servicio en virtud del Acuerdo, y de acuerdo con todas las leyes de privacidad y protección de datos aplicables.

4. Cumplimiento de la ley; otras instrucciones

Cada parte certifica que entiende sus obligaciones bajo las leyes de privacidad y protección de datos aplicables y procesará los Datos Personales de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Cuando Sojern actúe como procesador de datos, Sojern llevará a cabo el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario de que dicho procesamiento no cumple con las leyes aplicables de privacidad y protección de datos, en cuyo caso Sojern proporcionará de inmediato a la Compañía un aviso por escrito de ese aviso reglamentario y podrá dejar de procesar Datos Personales hasta que se resuelva el problema reglamentario.

5. Registros; Cooperación para el Cumplimiento

Cada una de las partes mantendrá un registro escrito o electrónico del procesamiento de Datos Personales. Cada parte cooperará razonablemente con la otra parte en el cumplimiento de las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones de impacto de datos, registros de procesamiento, solicitudes relacionadas o consultas con las autoridades de protección de datos, y auditorías de acuerdo con el Acuerdo aplicable para permitir a la Compañía confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y el Acuerdo.

6. Política de Privacidad de Sojern

Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos Datos Personales se proporcionan a Sojern. Como tal, cuando así lo exijan las leyes de privacidad y protección de datos aplicables, la Compañía pondrá a disposición la Política de privacidad de Sojern disponible en http://www.sojern.com/privacy/privacy-policy/ a las personas cuyos Datos Personales son procesados por Sojern

7. Notificación, consentimiento y exclusión voluntaria

La Compañía notificará y obtendrá el consentimiento de las personas según lo requieran las leyes de privacidad y protección de datos aplicables con respecto a la recopilación, uso y divulgación de Datos Personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicables requieren mecanismos por los cuales las personas pueden ejercer derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o cualquier otra parte que sea responsable de la recopilación de Datos Personales en nombre de la Compañía), proporcionará dicho mecanismo a las personas. Se presumirá que la Compañía ha proporcionado los avisos apropiados y ha obtenido los consentimientos apropiados, si es necesario, de cualquier persona física cuyos Datos Personales se proporcionen a Sojern.

8. Derechos de Privacidad Individuales

Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de individuos en relación con el procesamiento de Datos Personales en virtud del Acuerdo y en relación con los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de un individuo, Sojern rápidamente: (a) remitirá la solicitud a la Compañía para gestionar la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se administrará la solicitud.

9. Datos personales de la UE

En la medida en que los Datos Personales originados fuera de los EE.UU. (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiere adecuación según las leyes del país de la Compañía, y la adecuación requerida puede cumplirse con los términos de este DPA, entonces las partes acuerdan que este DPA incorpore por referencia, según corresponda, la (UE) 2021/914 de la Comisión Europea para cláusulas contractuales la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016-679 por parte de los controladores de la UE/EEE a procesadores establecidos fuera de la UE/EEE (”Módulo 2”) y/o por los controladores de la UE/EEE a los controladores establecidos fuera de la UE/EEE (”Módulo 1”), y a medida que sean modificadas o sustituidas de vez en cuando por la Comisión Europea (colectivamente, las “Cláusulas”). Para fines de conveniencia, las Cláusulas hipervinculadas anteriormente se generan en función de texto puestos a disposición por la Comisión Europea con el único propósito de incorporar las Cláusulas al Acuerdo, seleccionar el/los Módulo (s) apropiado (s), y agregar información en el Apéndice según lo permitan las Cláusulas. A los efectos de las transferencias de Datos Personales, la Compañía será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Compañía es una entidad ubicada fuera de la UE/EEE, siempre que la Compañía esté sujeta al Reglamento (UE) 2016-679). Cuando se apliquen las Cláusulas, se considerará que la Compañía y Sojern han suscrito las Cláusulas en sus respectivos nombres y en su propio nombre, y los nombres, direcciones, datos de contacto, roles y actividades relacionadas con los Datos Personales transferidos bajo estas Cláusulas se proporcionarán en el Acuerdo. La ejecución del Acuerdo se considerará ejecución de las Cláusulas, específicamente ejecución del Anexo I.A de las Cláusulas. En la medida en que exista algún conflicto entre los términos de este DPA y las Cláusulas, regirán y prevalecerán las Cláusulas aplicables.

  1. Controlador a Controlador. A los efectos del Módulo 1, (i) el Anexo 1 de este DPA ocupará el lugar del Anexo 1.B del Módulo 1; (ii) el Anexo 2 de este DPA tomará lugar del Anexo II del Módulo 1; y (iii) en virtud de la Cláusula 11 (a) del Módulo 1, se selecciona el texto opcional proporcionado; (iv) en virtud de la Cláusula 17 del Módulo 1, se selecciona la OPCIÓN 1, y el Estado miembro de la UE es Irlanda; y (v)) en virtud de la Cláusula 18 (b) del Módulo 1, se seleccionan los tribunales de Irlanda.
  2. Controlador a procesador. A los efectos del Módulo 2, (i) El Anexo 1 de este DPA tomará el lugar del Anexo 1.B del Módulo 2; (ii) el Anexo 2 de este DPA tomará lugar del Anexo II del Módulo 2; (iii) en virtud de la Cláusula 9 (a) del Módulo 2, OPCIÓN 2: Se selecciona la AUTORIZACIÓN GENERAL POR ESCRITO, y el plazo de notificación anticipada es de treinta (30) días; (iv) bajo la Cláusula 11 (a) Módulo de 2, se selecciona el texto opcional proporcionado; (v) bajo la Cláusula 17 del Módulo 2, se selecciona la OPCIÓN 1, y el Estado miembro de la UE es Irlanda; y (vi) en virtud de la Cláusula 18 (b) del Módulo 2, se seleccionan los tribunales de Irlanda.
  3. Sección 702 de la FISA y Orden Ejecutiva 12333. Sojern notificará a la Compañía inmediatamente y dejará de aceptar Datos Personales si Sojern se entera de que ha quedado sujeto a los requisitos de intercambio o divulgación de datos según lo previsto en la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y/o la Orden Ejecutiva 12333 de los Estados Unidos. Si la Junta Europea de Protección de Datos u otra autoridad reguladora por la que la Compañía está regulada por la Compañía, da más orientación sobre qué otras medidas adecuadas se requieren para la exportación internacional de Datos Personales, Sojern implementará sin demora cualquier otra medida adecuada.

10. Salvaguardias de seguridad

Cada parte implementará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los Datos Personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño.

  1. Violación de datos personales. Al darse cuenta de una violación de datos personales en virtud de las leyes de privacidad y protección de datos aplicables, cada parte notificará a la otra por escrito sin demora indebida y dentro del plazo requerido por las leyes de privacidad y protección de datos aplicables. Cada una de las partes cooperará razonablemente con la otra para mitigar, cuando sea posible, los efectos adversos de una violación de datos personales.
  2. Almacenamiento de datos; eliminación de datos personales después de la terminación. Sojern implementa medidas técnicas de seguridad para protegerse contra el acceso no autorizado a los Datos Personales, incluido el cifrado de Datos Personales en forma electrónica mientras están en tránsito y en reposo en almacenamiento en redes o sistemas de Sojern. Las obligaciones de Sojern con respecto a los Datos Personales en caso de rescisión del Acuerdo se establecen en la sección de Plazo y Terminación del Acuerdo, sujeto a los términos de retención de datos del Acuerdo aplicable.

11. Subprocesadores

La Compañía otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de Datos Personales (“Subprocesadores”), que están obligados por las obligaciones de confidencialidad y protección de datos consistentes con este DPA, que se enumeran en www.sojern.com/legal/lista-socia/. Cuando lo requiera el Acuerdo o cuando Sojern actúe como procesador de datos, Sojern informará a la Compañía de cualquier cambio relacionado con la adición o reemplazo de Subprocesadores actualizando la lista mencionada anteriormente, dando así a la Compañía la oportunidad de oponerse a dichos cambios, y las instrucciones para las objeciones se proporcionan en la misma URL. Si la Compañía se opone razonablemente a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y el DPA.

12. Aplicación de DPA

Este DPA permanecerá en pleno vigor y efecto hasta que el último de (a) el (los) Acuerdo (s) permanezca (s) vigente (s) y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA inmediatamente después de una violación material de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determina que el procesamiento de Datos Personales por las partes viola materialmente las leyes de privacidad y protección de datos aplicables, siempre que la parte no infrinja deba notificar el presunto incumplimiento, y dicho incumplimiento no se habrá curado durante un período de quince (15) días después de dicha notificación.

13. Ley aplicable

Este DPA se considerará realizado y se interpretará de conformidad con las leyes del Estado de California, EE. UU., sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.

HORARIO 1

Descripción de Transferencia

Categorías de sujetos de datos cuyos datos personales se transfieren

Viajeros y otros clientes de la Compañía.

Categorías de datos personales transferidos

Los Datos Personales transferidos por la Compañía se proporcionan de acuerdo con el Acuerdo, y pueden incluir, pero no se limitan a:

  • Información relacionada con un identificador único en línea, como un ID de cookie, ID de dispositivo móvil, dirección de correo electrónico con hash, ID de publicidad y números de identificación de cliente asignados por la compañía.
  • Información relacionada con el dispositivo de una persona, como la dirección IP, el tipo de dispositivo, el tipo de navegador, la fecha y hora de los clics y las visitas web, las URL visitadas y otra información técnica.
  • Información relacionada con el viaje de una persona, como el número y los tipos de viajeros, la divisa/tarifas, la información de búsqueda y reserva (como la fecha de salida y llegada, y el país o ciudad de destino), la información del programa de recompensas o fidelización y las preferencias de alojamiento o servicio (como habitación, asiento de vuelo o tipo de automóvil, y preferencias de instalaciones y servicios).
Los datos sensibles transferidos (si corresponde) y se aplican restricciones o salvaguardas que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados, como por ejemplo una estricta limitación de propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido capacitación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Ninguno

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Base continua, por la duración del Acuerdo aplicable.

Naturaleza del tratamiento

Recogida de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.

Finalidad (s) de la transferencia de datos y posterior procesamiento

Para cualquier propósito legal relacionado con los Servicios prestados en virtud del Acuerdo entre el exportador de datos y el importador de datos, en particular publicidad dirigida basada en información de navegación en línea. No se permite ningún procesamiento adicional.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar dicho período

Durante la vigencia del Acuerdo aplicable, a menos que, a elección del exportador de datos, se eliminen o devuelvan Datos personales.

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento

Los subprocesadores se enumeran en www.sojern.com/legal/lista-socia/ según lo permitido por el Modelo 1 Claula 9 a).

  • Objeto del procesamiento: Los subprocesadores ofrecen infraestructura y servicios de alojamiento, almacenamiento de información y procesamiento para permitir que Sojern preste servicios a sus clientes. Además, los subprocesadores ofrecen anuncios digitales en sitios web, aplicaciones móviles y otras propiedades conectadas a Internet, EMITE INFORMES SOBRE EL DESEMPEÑO DE LAS CAMPAÑAS PUBLICITARIAS Y OFRECE UNA PLATAFORMA QUE FACILITA LA VENTA DE IMPRENES/INVENTARIO EN LÍNEA A TRAVÉS DE SUBASTAS EN TIEMPO REAL.
  • Naturaleza del procesamiento: Los proveedores de alojamiento en la nube Almacenan y manejan datos por los clientes de Sojern, y las plataformas del lado de la demanda Procesan datos para compras programáticas de medios y servicios publicitarios.
  • Duración del tratamiento: Por la duración del acuerdo entre Sojern y los subensores del tratamiento, sujeto a los plazos de retención en el mismo.
Autoridad Supervisora competente

La autoridad de control de uno de los Estados miembros en el que se encuentra los sujetos de datos cuyos Datos Personales se transfereran en virtud de las presentes Claves en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea supervisado, como indica en el Anexo I.C, actuará como autoridad supervisora competente.

HORARIO 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUSO MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

1. General. Sojern se detendrá, implementará y mantendrá las medidas administrativas, técnicas y organizativas que se han diseñado para proteger contra el procesamiento no autorizado o ilegal de Datos Personales y contra la pérdida accidental o destrucción o daño de los Datos Personales. Estas medidas serán aptas para cumplir con las leyes de protección de datos aplicable y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y programa de seguridad de la información.

2. Políticas y Estándares de Seguridad de la Información. Mantiene políticas, estándares y procedimientos de seguridad de la información. Estas políticas, normas y procedimientos se mantendrán actualizadas y revisadas siempre que se van a llevar a cabo cambios relevantes en los sistemas de información que utilizan o mantienen Datos Personales.

3. Administración de Vulnerabilidades. Sojern tiene un programa de administración de vulnerabilidad para todos los sistemas que Procesan Datos Personales que incluye, sin limitación, análisis de vulnerabilidad internas y EXTERNAS con hallazgos de calificación de riesgo y planes formales de remediación para abordar cualquier vulnerabilidad que se le depare.

4. Evaluacion de Riesgos. Sojern se realizará a cabo evaluaciones periódicas de riesgos para identificar y evaluar los riesgos de manera bastante previsibles para la seguridad, confidencialidad e integridad de los registros que contienen Datos Personales y evaluará y ayudará, cuando sea necesario, la efectividad de sus salvaguardias para la conformación de esos riesgos.

5. Data classification. Sojern debe tener políticas y procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la conciencia para todos los empleados.

6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado fuertes (se recomienda AES de 256 bits) para almacenamiento y transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).

7. Seguridad de la red. Sojern aseguró su red mediante el empleo de un enfoque de defensa en profundidad que utiliza equipos disponibles comercialmente y técnicas estándar de la industria, entre ellos, sin limitación, firewalls, sistemas de detección de intrusiones, listas de control de acceso y protocolos de enrutamiento.

8. Controles de virus y malware. Sojern protegerá los Datos Personales del código malicioso e instalará y Mantendrá software de protección antivirus y malware en cualquier sistema que maneje Datos Personales.

9. Control de acceso. Sojern practicará el principio de privilegio mínimo donde el acceso a los Datos Personales solo se otorgue a aquellos dentro de la organización que tienen una necesidad comercial de dicho acceso y los permisos se limitarán a la cantidad mínima requerida realizar para la función laboral específica.

10. Localização de procesamiento. Los datos personales serán trabajados por Sojern en los Estados Unidos, sujeto a las leyes de protección de datos aplicable que pueden requerir lo contrario.

11. Respuesta a incidentes. Sojern Mantiene un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes de seguridad de datos. Sojern investigará cualquier incidente de seguridad de datos y tendrá todas las medidas necesarias para eliminar o contenido el incidente de seguridad de datos.

12. Personal. Sojern tiene un programa de concientización y capacitación sobre seguridad de la información y capacitará al personal crítico de Sojern en medidas de protección de datos y protecciones generales de ciberseguridad.

13. Proveedor. Sojern mantiene un programa de administración de proveedores que evaluará a todos los proveedores con lo que Sojern intercambia Datos personales. Dicho proveedor estarán bajo estándares de seguridad de datos no menos restrictivos que los que se encuentran en este documento.

Gracias por suscribirse a nuestro Newsletter.
¡Ups! Algo salió mal al enviar el formulario. Por favor, intención de nuevo.
Producto
Plataforma de Marketing para ViajerosSoluciones de experiencia del huéspedPrivacy and Data
Recursos
Perspectivas de viajeBlogReportesHistorias de éxitoPreguntas frecuentes sin cookies
Empresa
Por qué SojernAsóciate con nosotrosCarrerasPrensaCentro de privacidad