1.2. Para otros términos que no estén definidos en este artículo 1 ni en ninguna otra parte de este DPA de C2C, se hará referencia a la definición proporcionada por la Ley de Protección de Datos.
1.3. En caso de conflicto entre el DPA de C2C o cualquier anexo al presente y el Acuerdo, prevalecerán el DPA de C2C y el anexo.
1.4. En caso de conflicto entre este DPA de C2C y cualquier anexo a este DPA de C2C (incluidos las SCC), prevalecerá la disposición más estricta.
2. Propósito del procesamiento
2.1. A menos que se acuerde lo contrario en el Acuerdo o en este DPA de C2C o que una Parte haya obtenido el consentimiento válido del Sujeto de datos, cada Parte solo procesará los Datos personales que haya recibido de la otra Parte en la medida en que sea necesario para cumplir con sus obligaciones en virtud del Acuerdo y este DPA de C2C (incluidos las SCC).
3. Duración
3.1. El DPA de C2C entra en vigencia en la fecha de entrada en vigor del Acuerdo y es válido durante la vigencia del Acuerdo.
3.2. Sin embargo, todas las cláusulas de este DPA de C2C seguirán vigentes tras el vencimiento y la rescisión del Acuerdo en la medida en que se relacionen con los Datos personales procesados durante el plazo del Acuerdo.
4. Obligación de las Partes
4.1. En el contexto de la implementación de este DPA de C2C, cada Parte seguirá siendo un Controlador independiente entre sí. A los fines de la CCPA y solo en la medida en que corresponda, las Partes acuerdan que (i) cada parte actúa como Tercero y el otro actúa como Empresa y (ii) la transferencia de Datos personales entre las partes no es una Venta porque no implica una consideración monetaria o de valor y cumple con la excepción en California. Código Civil de California § 1798.140(ad)(2)(A).
4.2. En ese sentido, cada una de las Partes se compromete a Procesar los Datos personales de acuerdo con esta Ley de Protección de Datos y DPA de C2C, en particular al informar a los Sujetos de datos y garantizar la protección de sus derechos, garantizar la seguridad y confidencialidad de los Datos personales procesados, entre otras cosas, mediante la introducción de medidas internas de organización y seguridad, y asegurando la legalidad del Procesamiento, obtener un consentimiento válido del Sujeto de datos para el Procesamiento de Datos personales canadienses y conservar evidencia de dicho consentimiento.
4.3. Cada parte (i) tiene derecho a tomar medidas razonables para garantizar que la otra parte utilice los Datos personales de una manera coherente con las obligaciones de la parte en virtud de la Ley de Protección de Datos, (ii) notificará a la otra parte si determina que ya no puede cumplir con sus obligaciones en virtud de la Ley de Protección de Datos, y (iii) tiene derecho, previa notificación a la otra parte, a tomar medidas razonables y adecuadas para detener y corregir el uso no autorizado de los Datos personales.
4.4. Cada Parte informará a la otra Parte sobre cualquier queja, solicitud o consulta recibida de los Sujetos de datos en relación con los Datos personales que haya recibido de la otra Parte, incluidas, entre otras, las solicitudes para ejercer sus derechos de acceso, rectificación, eliminación, restricción, información, portabilidad de los datos, retiro del consentimiento o para proporcionar observación en el caso del sistema automatizado de toma de decisiones. La Parte que recibe una queja, solicitud o consulta responderá a los Sujetos de datos de acuerdo con los SCC y la Ley de Protección de Datos. La otra Parte proporcionará toda la información y asistencia solicitadas razonablemente.
4.5. Cada Parte notificará a la otra Parte sin demora de cualquier Incidente de seguridad. En el caso de un Incidente de seguridad, la Parte que lo experimenta tomará de inmediato las medidas correctivas adecuadas. Cada Parte proporcionará a la otra Parte toda la cooperación razonablemente requerida para manejar el Incidente de seguridad de acuerdo con los SCC y la Ley de Protección de Datos, como informar adecuadamente a las Autoridades de supervisión, o a cualquier otro comisionado o autoridad de privacidad competente, y a los Sujetos de datos afectados.
5. Transferencia de Datos personales
5.1. Las Partes reconocen que la Ley de Protección de Datos contiene restricciones sobre la Transferencia de Datos personales. En la medida en que corresponda, cada Parte solo transferirá Datos personales en relación con este Acuerdo en virtud de los establecido por la Ley de Protección de Datos aplicable y sujeto a este artículo 5.
5.2. Transferencias desde el EEE. Cuando se realiza una transferencia desde el EEE, las cláusulas contractuales estándar o SCC se incorporan a este DPA y se aplican a la transferencia de la siguiente manera:
(i) Se aplica el Módulo Uno;
(ii) En la Cláusula 7, se aplica la cláusula de acoplamiento opcional;
(iii) En la Cláusula 11(a), no se aplica el texto opcional;
(iv) En la Cláusula 17, la Opción 1 se aplica con la ley aplicable de Francia;
(v) En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Francia;
(vi) El Anexo I de las SCC se completa con la información del Anexo I de este DPA;
(vii) El Anexo II de las SCC se completa con la información del Anexo II de este DPA.
5.3. Transferencias desde Suiza. Cuando se realiza una Transferencia desde Suiza, las SCC se incorporan a este DPA y se aplican a la transferencia según se modifica en el Artículo 5.2, excepto que:
(i) las referencias a "Estado miembro" en las SCC aludan a Suiza, y los interesados ubicados en Suiza puedan ejercer y hacer cumplir sus derechos en virtud de las SCC en Suiza; y
(ii) las referencias al "Reglamento General de Protección de Datos", "Reglamento 2016/679" y "RGPD" en las SCC aludan a la Ley Federal Suiza de Protección de Datos (con sus enmiendas o reemplazos).
5.4. Transferencias desde el Reino Unido. Cuando se realiza una Transferencia desde el Reino Unido, el Anexo de Transferencia del Reino Unido se incorpora a este DPA y se aplica a la transferencia. La Tabla 1 se completa con la información proporcionada en el Anexo I. La Tabla 2 se completa con la información del Artículo 5.2. La tabla 3 se completa con la información proporcionada en los Anexos I y II. La tabla 4 se completa con el "Importador" y el "Exportador" seleccionados. Se selecciona la Parte 2.
5.5. A menos que se acuerde lo contrario, en la medida requerida por la Ley de Protección de Datos, el Hotel proporcionará al Grupo toda la asistencia e información razonablemente requerida para permitir que el Grupo realice una Evaluación del Impacto de la Transferencia. Las Partes acuerdan que el resultado de una Evaluación del Impacto de la Transferencia puede requerir la enmienda de este DPA de C2C. Las obligaciones del Hotel en virtud de este artículo son sin perjuicio de las garantías y obligaciones del Hotel en virtud de la Cláusula 14 de las SCC.
5.6. Si, en función de la evaluación del impacto de la transferencia, el Grupo considera que las leyes o prácticas del País No adecuado impiden o pueden impedir que el Hotel cumpla con sus obligaciones en virtud de las SCC o el Anexo de transferencia del Reino Unido, y el Grupo considera que no existen Medidas complementarias que garanticen lo suficiente un nivel esencialmente equivalente de protección para la Transferencia específica o que dichas medidas no sean aceptables (p. ej., debido a sus costos o al efecto adverso que puedan tener en el Grupo), el Grupo puede rechazar o suspender la Transferencia mediante una notificación por escrito al Hotel. En tal caso, se aplicará el artículo 5.8.
5.7. Si el Hotel notifica al Grupo que, de acuerdo con las SCC o el Anexo de Transferencia del Reino Unido, tiene motivos para creer que ha pasado a ser sujeto de leyes o prácticas que impiden que el Hotel cumpla con sus obligaciones en virtud de las SCC o el Anexo de Transferencia del Reino Unido, el Hotel proporcionará de inmediato al Grupo toda la asistencia e información razonablemente requerida para permitir que el Grupo evalúe si el Grupo o el Hotel pueden implementar Medidas complementarias para abordar la situación. Si el Grupo determina que no hay Medidas complementarias que puedan garantizar lo suficiente un nivel esencialmente equivalente de protección para la Transferencia específica o que dichas medidas no son aceptables (p. ej., debido a los costos de estas medidas o al impacto adverso que puedan tener en el Grupo), el Grupo puede suspender la Transferencia proporcionando al Hotel una notificación por escrito. En tal caso, se aplicará el artículo 5.8. Al recibir la notificación, el Hotel tomará inmediatamente todas las medidas para efectuar dicha suspensión. Este artículo se aplica mutatis mutandis si el Grupo tiene motivos para creer que el Hotel ya no puede cumplir con los SCC o el Anexo de Transferencia del Reino Unido.
5.8. Estos derechos del Grupo en virtud de este artículo 5 son sin perjuicio de cualquier otro derecho del Grupo en virtud del Acuerdo, este DPA de C2C o por ley.
6. Medidas de seguridad
6.1. Cada Parte mantendrá un programa de seguridad de la información integral y por escrito que contenga medidas de seguridad administrativas, técnicas y físicas que sean apropiadas para (a) el tamaño, alcance y tipo de negocio de cada Parte; (b) el tipo y nivel de confidencialidad de la información que las Partes procesarán; y (c) la necesidad de seguridad y confidencialidad de dicha información ("Programa de seguridad"). Con respecto al Programa de seguridad del Hotel, incluirá las medidas detalladas en el Anexo II y estará diseñado para: (a) proteger la confidencialidad, integridad, y disponibilidad de la Información personal; (b) proteger contra cualquier amenaza anticipada o peligro para la confidencialidad, integridad, y disponibilidad de la Información personal; (c) proteger contra el acceso no autorizado o ilegal, uso, divulgación, alteración, o destrucción de la Información personal; (d) proteger contra la pérdida o destrucción accidental de, o daños a, la Información personal; y (e) proteger la Información personal de acuerdo con la Ley de Protección de Datos.
7. Retención
7.1. A menos que se acuerde explícitamente lo contrario en el Acuerdo o en este DPA de C2C, cada Parte conservará los Datos personales que haya recibido de la otra Parte solo durante el tiempo que sea necesario para cumplir con sus obligaciones en virtud del Acuerdo. Con respecto a dichos Datos personales retenidos después de la rescisión del Acuerdo, esa Parte continuará protegiendo dichos Datos personales de conformidad con los términos del Acuerdo y este DPA de C2C.
8. Avisos
8.1. Todas las notificaciones, solicitudes, demandas y determinaciones en virtud de este DPA de C2C (que no sean comunicaciones operativas de rutina) se realizarán por escrito y se enviarán al DPO, si se han designado de acuerdo con la Ley de Protección de Datos, o cualquier otra persona a cargo de la protección de Datos personales en la compañía a las direcciones establecidas en el Acuerdo (incluida cualquier designación de notificación de CC).
8.2. Una Parte puede cambiar ocasionalmente su dirección o persona designada para fines de notificación mediante notificación por escrito a la otra Parte de la nueva dirección o persona designada, y la fecha en la que entrará en vigencia. Dicha notificación de cambio de dirección o persona designada se realizará de acuerdo con las disposiciones de esta cláusula.
9. Cambios en la Ley de Protección de Datos
9.1. Las Partes acuerdan negociar de buena fe en caso de que se deban presentar cambios a este DPA de C2C para cumplir con la Ley de Protección de Datos, para abordar la interpretación legal de la Ley de Protección de Datos o para abordar los cambios a la Ley de Protección de Datos.
10. Ley aplicable
10.1. Este DPA de C2C se regirá por la ley francesa.
ANEXO I
A. LISTA DE PARTES
Exportador de datos
Nombre
| GRUPO
|
Como se especifica en el Acuerdo
| Como se especifica en el Acuerdo
|
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas
| Reserva de habitaciones y solicitudes de alojamiento y estadías en un hotel.
|
Función (controlador/procesador)
| Controlador
|
Importador de datos
Nombre
| Hotel
|
Como se especifica en el Acuerdo
| Como se especifica en el Acuerdo
|
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas
| Procesamiento de Datos personales para gestionar la reserva de habitaciones y solicitudes de alojamiento y para proporcionar servicios de hotel.
|
Función (controlador/procesador)
| Controlador
|
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Naturaleza de las operaciones de Procesamiento
[especifique las operaciones de Procesamiento que realizará el Procesador de datos]
| Proporcionar datos para organizar las actividades de alojamiento o estancia en un hotel
|
Propósito o propósitos del procesamiento:
[especifique todos los fines para los cuales el Procesador de datos procesará los Datos personales]
|
Facilitar las reservas de los huéspedes y los servicios del hotel
|
Categorías de Datos personales
datos no confidenciales: nombre, apellido, fecha de nacimiento, fecha de viaje, género, número de pasaporte, dirección de correo electrónico, etc.;
datos confidenciales: origen racial o étnico, opinión política, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos utilizados para identificar de manera única a una persona física, datos relacionados con la salud o afección física o mental de una persona natural, vida sexual u orientación sexual
|
Los Datos personales que recopila el Hotel pueden incluir los siguientes:
Detalles de contacto (por ejemplo, apellido, nombre, número de teléfono, correo electrónico)
Información personal (por ejemplo, fecha de nacimiento, nacionalidad)
Información relacionada con los niños (por ejemplo, nombre, fecha de nacimiento, edad)
Número de la tarjeta de crédito (con fines de transacciones y reservas)
Información contenida en una forma de identificación (como tarjeta de identificación, pasaporte o licencia de conducir)
Número de membresía del programa de lealtad Accor u otro programa asociado (por ejemplo, un programa de lealtad de una aerolínea) e información relacionada con actividades dentro del contexto del programa de lealtad
Fechas de llegada y de partida
Preferencias e intereses (por ejemplo, habitación para fumadores o no fumadores, piso preferido, tipo de ropa de cama, tipo de periódicos/revistas, deportes, intereses culturales, preferencias de alimentos y bebidas, etc.)
Preguntas/comentarios, durante o después de una estancia en un hotel
Datos técnicos y de ubicación generados como resultado del uso de sitios web y aplicaciones.
|
Categorías de Sujetos de datos
| Asistentes del grupo
|
Duración de las Operaciones de procesamiento
[especifique el tiempo durante el cual se llevarán a cabo las actividades de Procesamiento de Datos personales].
| El Hotel procesará los Datos personales durante el plazo del Acuerdo y por cualquier período requerido por la ley aplicable.
|
Frecuencia de la transferencia o las transferencias de datos
| Se transfiere de manera continua según sea necesario para prestar los servicios.
|
Período de retención (o criterios de retención) [especifique el período de retención o, si eso no es posible, los criterios utilizados para determinar ese período
| El Hotel conservará los Datos personales durante el plazo del Acuerdo y en la medida en que lo exija cualquier ley aplicable.
|
Restricciones/medidas de protección con respecto a los datos confidenciales (si corresponde) especifique las restricciones o protecciones aplicadas que tienen en cuenta completamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta del propósito, restricciones de acceso, mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales
| NA
|
C. AUTORIDAD DE SUPERVISIÓN COMPETENTE
Commission Nationale de l'Informatique et des Libertés (CNIL) (autoridad de supervisión francesa)
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Las Partes se comprometen, dentro de su respectiva área de responsabilidad y en relación con el asunto del Acuerdo, a implementar todas las medidas técnicas y organizativas estándar necesarias y apropiadas utilizando tecnología de última generación generalmente aceptada y en cumplimiento con las recomendaciones de una Autoridad de supervisión, como todas las medidas enumeradas a continuación (es decir, las recomendaciones de la Autoridad Francesa de Protección de Datos en relación con las medidas estándar de seguridad y confidencialidad). Las medidas definidas e implementadas por el Hotel dependen, en parte, de la ubicación, y pueden variar en consecuencia, sin afectar el nivel de seguridad requerido. Las Partes pueden acordar la implementación de medidas adicionales además de las descritas a continuación.
El Hotel también puede implementar medidas adicionales de acuerdo con sus políticas y estándares.
La adhesión del Hotel a un código de conducta aprobado (como se menciona en el Artículo 40 del RGPD) o un mecanismo de certificación aprobado (como se menciona en el Artículo 42 del RGPD) puede utilizarse como un elemento mediante el cual se demuestren garantías suficientes.
El Hotel implementará y mantendrá ciertas medidas de seguridad administrativas, técnicas y organizativas diseñadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta su Procesamiento de Datos personales, teniendo en cuenta la tecnología de vanguardia, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos de dicho Procesamiento, y la probabilidad y gravedad del riesgo en relación con los derechos y libertades de los Sujetos de datos. El Hotel proporcionará una descripción general de sus medidas de seguridad técnicas y organizativas a solicitud del Grupo cuando se envíen por correo electrónico a lawdept@accor.com.
Para ver esto en francés, haga clic aquí.
Para ver esto en español, haga clic aquí.