Saltar al contenido principal

Acuerdo de Procesamiento de Datos

1.1. En este DPA de C2C, se asignarán los siguientes significados a los términos en mayúscula a continuación:

 

Acuerdo

tiene el significado que se establece en el preámbulo.

 

Centro

tiene el significado dispuesto en el Código Civil de California § 1798.140.

 

Controlador

se refiere a la parte que determina los propósitos y medios del Procesamiento de Datos personales dentro del significado del artículo 4 del Reglamento General de Protección de Datos o RGPD.

 

Ley de
Protección de Datos

se refiere a todas las leyes de privacidad y seguridad de datos aplicables relacionadas con el Procesamiento de Datos personales que puedan existir en cualquier jurisdicción relevante, incluidas (entre otras): (i) la Ley de Protección de la Información Personal y Documentos Electrónicos (Canadá) y las leyes provinciales sustancialmente similares; (ii) la Ley de Privacidad del Consumidor de California de 2018, el Código Civil de California § 1798.100 et seq. con sus enmiendas por la Ley de Derechos de Privacidad de California de 2020, el Código Civil de California § 1798.100 et seq. (en conjunto "CCPA") y cualquier otra ley de privacidad federal o estatal; (iii) el Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD"); (iv) con respecto al Reino Unido, la Ley de Protección de Datos de 2018, así como el RGPD, ya que forma parte de la ley de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retiro) de 2018 y según lo enmendado por las Regulaciones de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (SI 2019/419) ("Ley de Protección de Datos del Reino Unido"); (ix) la Directiva Europea de Privacidad Electrónica 2002/58/CE; y (x) Lei Geral de Proteção de Dados, en cada caso, incluida cualquier regulación, pauta y opinión emitida por cualquier autoridad competente y según pueda ser enmendada, reemplazada, complementada o reemplazada.

 

Funcionario de protección de datos o DPO

se refiere a la persona designada por un Controlador o un Procesador en cumplimiento con el artículo 37 del RGPD.

 

Sujeto de datos

significa una persona física identificada o identificable.

 

EEE

significa el Espacio Económico Europeo, que une, a la fecha de entrada en vigencia de este Acuerdo, los Estados miembros de la UE y los tres Estados de la Asociación Europea de Libre Comercio del EEE (Islandia, Liechtenstein y Noruega) en un Mercado Interno regido por las mismas reglas básicas.

 

RGPD

se refiere al Reglamento General de Protección de Datos (Reglamento [EU] 2016/679).

 

País no adecuado

se refiere a un país fuera del EEE que no ha sido declarado país que ofrece un nivel adecuado de protección a través de una decisión de adecuación de la Comisión Europea.

 

Datos personales

se refiere a cualquier información relacionada con un Sujeto de datos; una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. 

 

Proceso,
Procesamiento o
Procesado

significa cualquier operación o conjunto de operaciones que se realiza sobre Datos personales o conjuntos de Datos personales, ya sea por medios automatizados o no, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, eliminación o destrucción.

 

Descuento

 

tiene el significado dispuesto en el Código Civil de California § 1798.140.

Cláusulas contractuales

significa cualquier infracción de seguridad presunta o real que lleve, o se crea razonablemente que ha llevado, a la destrucción, pérdida o alteración accidental o ilegal, o divulgación, uso o acceso no autorizados a los Datos personales, o cualquier otra infracción o intento de infracción, por parte de cualquier persona en la protección de los Datos personales.

 

Cláusulas contractuales estándar o SCC

se refiere a la Decisión de la Comisión del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el RGPD.

 

Autoridad
de supervisión

se refiere a una autoridad pública independiente a cargo de la aplicación del RGPD que es establecida por un Estado miembro de conformidad con el artículo 51 del RGPD.

 

Medidas
Complementarias

se refiere a cualquier medida de seguridad contractual, técnica y organizativa relevante que pueda implementarse a fin de complementar las medidas de seguridad establecidas en las Cláusulas Contractuales Estándar.

 

Tercero

tiene el significado dispuesto en el Código Civil de California § 1798.140.

 

Transferir

se refiere a cualquier transferencia de Datos personales (a) fuera de Quebec, o (b) a un País u organización No adecuados fuera del EEE, lo que incluye, entre otros: (i) almacenar Datos personales en dicho País No adecuado; (ii) proporcionar a los destinatarios (incluidos empleados, empresas del grupo, sucursales o subcontratistas del Hotel) en dicho País No adecuado acceso remoto a Datos personales; (iii) transferir Datos personales de una entidad en un País No adecuado a otra entidad en un País No adecuado (transferencias posteriores).

 

Evaluación del impacto de transferencia o TIA

se refiere a la evaluación de si las leyes y prácticas aplicables en el País No adecuado, o el Estado de destino que no sea Quebec, impiden o pueden impedir que el Hotel, respectivamente, el importador de datos pertinente cumpla con sus obligaciones en virtud de las Cláusulas contractuales estándar, o este DPA de C2C, teniendo en cuenta, entre otras, las circunstancias específicas de la Transferencia, las leyes y prácticas del País o Estado de destino No adecuado, este DPA de C2C y cualquier Medida complementaria.

 

Anexo de Transferencia del Reino Unido

 

 

se refiere al Anexo de transferencia internacional de datos de las cláusulas contractuales tipo de la Comisión Europea emitidas por la Oficina del Comisionado de Información del Reino Unido presentadas ante el Parlamento de conformidad con la sección s119A de la Ley de Protección de Datos del Reino Unido el 28 de enero de 2022, según se establece actualmente en https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf.

 

 

 1.2. Para otros términos que no estén definidos en este artículo 1 ni en ninguna otra parte de este DPA de C2C, se hará referencia a la definición proporcionada por la Ley de Protección de Datos.

 

 1.3. En caso de conflicto entre el DPA de C2C o cualquier anexo al presente y el Acuerdo, prevalecerán el DPA de C2C y el anexo.

 

 1.4. En caso de conflicto entre este DPA de C2C y cualquier anexo a este DPA de C2C (incluidos las SCC), prevalecerá la disposición más estricta.

 

2. Propósito del procesamiento

 

 2.1. A menos que se acuerde lo contrario en el Acuerdo o en este DPA de C2C o que una Parte haya obtenido el consentimiento válido del Sujeto de datos, cada Parte solo procesará los Datos personales que haya recibido de la otra Parte en la medida en que sea necesario para cumplir con sus obligaciones en virtud del Acuerdo y este DPA de C2C (incluidos las SCC).

 

3. Duración

 

 3.1. El DPA de C2C entra en vigencia en la fecha de entrada en vigor del Acuerdo y es válido durante la vigencia del Acuerdo.

 

 3.2. Sin embargo, todas las cláusulas de este DPA de C2C seguirán vigentes tras el vencimiento y la rescisión del Acuerdo en la medida en que se relacionen con los Datos personales procesados durante el plazo del Acuerdo.

 

4. Obligación de las Partes

 

 4.1. En el contexto de la implementación de este DPA de C2C, cada Parte seguirá siendo un Controlador independiente entre sí. A los fines de la CCPA y solo en la medida en que corresponda, las Partes acuerdan que (i) cada parte actúa como Tercero y el otro actúa como Empresa y (ii) la transferencia de Datos personales entre las partes no es una Venta porque no implica una consideración monetaria o de valor y cumple con la excepción en California. Código Civil de California § 1798.140(ad)(2)(A).

 

 4.2. En ese sentido, cada una de las Partes se compromete a Procesar los Datos personales de acuerdo con esta Ley de Protección de Datos y DPA de C2C, en particular al informar a los Sujetos de datos y garantizar la protección de sus derechos, garantizar la seguridad y confidencialidad de los Datos personales procesados, entre otras cosas, mediante la introducción de medidas internas de organización y seguridad, y asegurando la legalidad del Procesamiento, obtener un consentimiento válido del Sujeto de datos para el Procesamiento de Datos personales canadienses y conservar evidencia de dicho consentimiento.

 

 4.3. Cada parte (i) tiene derecho a tomar medidas razonables para garantizar que la otra parte utilice los Datos personales de una manera coherente con las obligaciones de la parte en virtud de la Ley de Protección de Datos, (ii) notificará a la otra parte si determina que ya no puede cumplir con sus obligaciones en virtud de la Ley de Protección de Datos, y (iii) tiene derecho, previa notificación a la otra parte, a tomar medidas razonables y adecuadas para detener y corregir el uso no autorizado de los Datos personales.

 

 4.4. Cada Parte informará a la otra Parte sobre cualquier queja, solicitud o consulta recibida de los Sujetos de datos en relación con los Datos personales que haya recibido de la otra Parte, incluidas, entre otras, las solicitudes para ejercer sus derechos de acceso, rectificación, eliminación, restricción, información, portabilidad de los datos, retiro del consentimiento o para proporcionar observación en el caso del sistema automatizado de toma de decisiones. La Parte que recibe una queja, solicitud o consulta responderá a los Sujetos de datos de acuerdo con los SCC y la Ley de Protección de Datos. La otra Parte proporcionará toda la información y asistencia solicitadas razonablemente.

 

 4.5. Cada Parte notificará a la otra Parte sin demora de cualquier Incidente de seguridad. En el caso de un Incidente de seguridad, la Parte que lo experimenta tomará de inmediato las medidas correctivas adecuadas. Cada Parte proporcionará a la otra Parte toda la cooperación razonablemente requerida para manejar el Incidente de seguridad de acuerdo con los SCC y la Ley de Protección de Datos, como informar adecuadamente a las Autoridades de supervisión, o a cualquier otro comisionado o autoridad de privacidad competente, y a los Sujetos de datos afectados.

 

5. Transferencia de Datos personales

 

 5.1. Las Partes reconocen que la Ley de Protección de Datos contiene restricciones sobre la Transferencia de Datos personales. En la medida en que corresponda, cada Parte solo transferirá Datos personales en relación con este Acuerdo en virtud de los establecido por la Ley de Protección de Datos aplicable y sujeto a este artículo 5.

 

 5.2. Transferencias desde el EEE. Cuando se realiza una transferencia desde el EEE, las cláusulas contractuales estándar o SCC se incorporan a este DPA y se aplican a la transferencia de la siguiente manera:

 

 (i) Se aplica el Módulo Uno;

 

 (ii) En la Cláusula 7, se aplica la cláusula de acoplamiento opcional;

 

 (iii) En la Cláusula 11(a), no se aplica el texto opcional;

 

 (iv) En la Cláusula 17, la Opción 1 se aplica con la ley aplicable de Francia;

 

 (v) En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Francia;

 

 (vi) El Anexo I de las SCC se completa con la información del Anexo I de este DPA;

 

 (vii) El Anexo II de las SCC se completa con la información del Anexo II de este DPA.

 

 5.3. Transferencias desde Suiza. Cuando se realiza una Transferencia desde Suiza, las SCC se incorporan a este DPA y se aplican a la transferencia según se modifica en el Artículo 5.2, excepto que:

 

 (i) las referencias a "Estado miembro" en las SCC aludan a Suiza, y los interesados ubicados en Suiza puedan ejercer y hacer cumplir sus derechos en virtud de las SCC en Suiza; y

 

 (ii) las referencias al "Reglamento General de Protección de Datos", "Reglamento 2016/679" y "RGPD" en las SCC aludan a la Ley Federal Suiza de Protección de Datos (con sus enmiendas o reemplazos).

 

 5.4. Transferencias desde el Reino Unido. Cuando se realiza una Transferencia desde el Reino Unido, el Anexo de Transferencia del Reino Unido se incorpora a este DPA y se aplica a la transferencia. La Tabla 1 se completa con la información proporcionada en el Anexo I. La Tabla 2 se completa con la información del Artículo 5.2. La tabla 3 se completa con la información proporcionada en los Anexos I y II. La tabla 4 se completa con el "Importador" y el "Exportador" seleccionados. Se selecciona la Parte 2.

 

 5.5. A menos que se acuerde lo contrario, en la medida requerida por la Ley de Protección de Datos, el Hotel proporcionará al Grupo toda la asistencia e información razonablemente requerida para permitir que el Grupo realice una Evaluación del Impacto de la Transferencia. Las Partes acuerdan que el resultado de una Evaluación del Impacto de la Transferencia puede requerir la enmienda de este DPA de C2C. Las obligaciones del Hotel en virtud de este artículo son sin perjuicio de las garantías y obligaciones del Hotel en virtud de la Cláusula 14 de las SCC.

 

 5.6. Si, en función de la evaluación del impacto de la transferencia, el Grupo considera que las leyes o prácticas del País No adecuado impiden o pueden impedir que el Hotel cumpla con sus obligaciones en virtud de las SCC o el Anexo de transferencia del Reino Unido, y el Grupo considera que no existen Medidas complementarias que garanticen lo suficiente un nivel esencialmente equivalente de protección para la Transferencia específica o que dichas medidas no sean aceptables (p. ej., debido a sus costos o al efecto adverso que puedan tener en el Grupo), el Grupo puede rechazar o suspender la Transferencia mediante una notificación por escrito al Hotel. En tal caso, se aplicará el artículo 5.8.

 

 5.7. Si el Hotel notifica al Grupo que, de acuerdo con las SCC o el Anexo de Transferencia del Reino Unido, tiene motivos para creer que ha pasado a ser sujeto de leyes o prácticas que impiden que el Hotel cumpla con sus obligaciones en virtud de las SCC o el Anexo de Transferencia del Reino Unido, el Hotel proporcionará de inmediato al Grupo toda la asistencia e información razonablemente requerida para permitir que el Grupo evalúe si el Grupo o el Hotel pueden implementar Medidas complementarias para abordar la situación. Si el Grupo determina que no hay Medidas complementarias que puedan garantizar lo suficiente un nivel esencialmente equivalente de protección para la Transferencia específica o que dichas medidas no son aceptables (p. ej., debido a los costos de estas medidas o al impacto adverso que puedan tener en el Grupo), el Grupo puede suspender la Transferencia proporcionando al Hotel una notificación por escrito. En tal caso, se aplicará el artículo 5.8. Al recibir la notificación, el Hotel tomará inmediatamente todas las medidas para efectuar dicha suspensión. Este artículo se aplica mutatis mutandis si el Grupo tiene motivos para creer que el Hotel ya no puede cumplir con los SCC o el Anexo de Transferencia del Reino Unido.

 

 5.8. Estos derechos del Grupo en virtud de este artículo 5 son sin perjuicio de cualquier otro derecho del Grupo en virtud del Acuerdo, este DPA de C2C o por ley.

 

6. Medidas de seguridad

 

 6.1. Cada Parte mantendrá un programa de seguridad de la información integral y por escrito que contenga medidas de seguridad administrativas, técnicas y físicas que sean apropiadas para (a) el tamaño, alcance y tipo de negocio de cada Parte; (b) el tipo y nivel de confidencialidad de la información que las Partes procesarán; y (c) la necesidad de seguridad y confidencialidad de dicha información ("Programa de seguridad"). Con respecto al Programa de seguridad del Hotel, incluirá las medidas detalladas en el Anexo II y estará diseñado para: (a) proteger la confidencialidad, integridad, y disponibilidad de la Información personal; (b) proteger contra cualquier amenaza anticipada o peligro para la confidencialidad, integridad, y disponibilidad de la Información personal; (c) proteger contra el acceso no autorizado o ilegal, uso, divulgación, alteración, o destrucción de la Información personal; (d) proteger contra la pérdida o destrucción accidental de, o daños a, la Información personal; y (e) proteger la Información personal de acuerdo con la Ley de Protección de Datos.

 

7. Retención

 

 7.1. A menos que se acuerde explícitamente lo contrario en el Acuerdo o en este DPA de C2C, cada Parte conservará los Datos personales que haya recibido de la otra Parte solo durante el tiempo que sea necesario para cumplir con sus obligaciones en virtud del Acuerdo. Con respecto a dichos Datos personales retenidos después de la rescisión del Acuerdo, esa Parte continuará protegiendo dichos Datos personales de conformidad con los términos del Acuerdo y este DPA de C2C.

 

8. Avisos

 

 8.1. Todas las notificaciones, solicitudes, demandas y determinaciones en virtud de este DPA de C2C (que no sean comunicaciones operativas de rutina) se realizarán por escrito y se enviarán al DPO, si se han designado de acuerdo con la Ley de Protección de Datos, o cualquier otra persona a cargo de la protección de Datos personales en la compañía a las direcciones establecidas en el Acuerdo (incluida cualquier designación de notificación de CC).

 

 8.2. Una Parte puede cambiar ocasionalmente su dirección o persona designada para fines de notificación mediante notificación por escrito a la otra Parte de la nueva dirección o persona designada, y la fecha en la que entrará en vigencia. Dicha notificación de cambio de dirección o persona designada se realizará de acuerdo con las disposiciones de esta cláusula.

 

9. Cambios en la Ley de Protección de Datos

 

 9.1. Las Partes acuerdan negociar de buena fe en caso de que se deban presentar cambios a este DPA de C2C para cumplir con la Ley de Protección de Datos, para abordar la interpretación legal de la Ley de Protección de Datos o para abordar los cambios a la Ley de Protección de Datos.

 

10. Ley aplicable

 

 10.1. Este DPA de C2C se regirá por la ley francesa.

 

                                                                                                        ANEXO I

 

A.   LISTA DE PARTES

 

Exportador de datos

 

Nombre

 

GRUPO

Como se especifica en el Acuerdo

Como se especifica en el Acuerdo

 

Actividades relevantes para los datos transferidos en virtud de estas Cláusulas

Reserva de habitaciones y solicitudes de alojamiento y estadías en un hotel.

 

Función (controlador/procesador)

Controlador

 

 

 

Importador de datos

 

Nombre

 

Hotel

Como se especifica en el Acuerdo

Como se especifica en el Acuerdo

 

Actividades relevantes para los datos transferidos en virtud de estas Cláusulas

Procesamiento de Datos personales para gestionar la reserva de habitaciones y solicitudes de alojamiento y para proporcionar servicios de hotel.

 

Función (controlador/procesador)

Controlador

 

 

B.   DESCRIPCIÓN DE LA TRANSFERENCIA

 

Naturaleza de las operaciones de Procesamiento
[especifique las operaciones de Procesamiento que realizará el Procesador de datos]

 

Proporcionar datos para organizar las actividades de alojamiento o estancia en un hotel

Propósito o propósitos del procesamiento:
[especifique todos los fines para los cuales el Procesador de datos procesará los Datos personales]

 

 

Facilitar las reservas de los huéspedes y los servicios del hotel

Categorías de Datos personales
datos no confidenciales: nombre, apellido, fecha de nacimiento, fecha de viaje, género, número de pasaporte, dirección de correo electrónico, etc.;
datos confidenciales: origen racial o étnico, opinión política, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos utilizados para identificar de manera única a una persona física, datos relacionados con la salud o afección física o mental de una persona natural, vida sexual u orientación sexual

 

Los Datos personales que recopila el Hotel pueden incluir los siguientes:

Detalles de contacto (por ejemplo, apellido, nombre, número de teléfono, correo electrónico)

Información personal (por ejemplo, fecha de nacimiento, nacionalidad)

Información relacionada con los niños (por ejemplo, nombre, fecha de nacimiento, edad)

Número de la tarjeta de crédito (con fines de transacciones y reservas)

Información contenida en una forma de identificación (como tarjeta de identificación, pasaporte o licencia de conducir)

Número de membresía del programa de lealtad Accor u otro programa asociado (por ejemplo, un programa de lealtad de una aerolínea) e información relacionada con actividades dentro del contexto del programa de lealtad

Fechas de llegada y de partida

Preferencias e intereses (por ejemplo, habitación para fumadores o no fumadores, piso preferido, tipo de ropa de cama, tipo de periódicos/revistas, deportes, intereses culturales, preferencias de alimentos y bebidas, etc.)

Preguntas/comentarios, durante o después de una estancia en un hotel

Datos técnicos y de ubicación generados como resultado del uso de sitios web y aplicaciones.

 

Categorías de Sujetos de datos

 

Asistentes del grupo

Duración de las Operaciones de procesamiento
[especifique el tiempo durante el cual se llevarán a cabo las actividades de Procesamiento de Datos personales].

El Hotel procesará los Datos personales durante el plazo del Acuerdo y por cualquier período requerido por la ley aplicable.

Frecuencia de la transferencia o las transferencias de datos

Se transfiere de manera continua según sea necesario para prestar los servicios.

 

Período de retención (o criterios de retención) [especifique el período de retención o, si eso no es posible, los criterios utilizados para determinar ese período

El Hotel conservará los Datos personales durante el plazo del Acuerdo y en la medida en que lo exija cualquier ley aplicable.

 

Restricciones/medidas de protección con respecto a los datos confidenciales (si corresponde) especifique las restricciones o protecciones aplicadas que tienen en cuenta completamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta del propósito, restricciones de acceso, mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales

 

NA

 

C.   AUTORIDAD DE SUPERVISIÓN COMPETENTE


Commission Nationale de l'Informatique et des Libertés (CNIL) (autoridad de supervisión francesa)

 

                                                                                                                                        ANEXO II

 

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

 

Las Partes se comprometen, dentro de su respectiva área de responsabilidad y en relación con el asunto del Acuerdo, a implementar todas las medidas técnicas y organizativas estándar necesarias y apropiadas utilizando tecnología de última generación generalmente aceptada y en cumplimiento con las recomendaciones de una Autoridad de supervisión, como todas las medidas enumeradas a continuación (es decir, las recomendaciones de la Autoridad Francesa de Protección de Datos en relación con las medidas estándar de seguridad y confidencialidad). Las medidas definidas e implementadas por el Hotel dependen, en parte, de la ubicación, y pueden variar en consecuencia, sin afectar el nivel de seguridad requerido. Las Partes pueden acordar la implementación de medidas adicionales además de las descritas a continuación.

 

El Hotel también puede implementar medidas adicionales de acuerdo con sus políticas y estándares.

La adhesión del Hotel a un código de conducta aprobado (como se menciona en el Artículo 40 del RGPD) o un mecanismo de certificación aprobado (como se menciona en el Artículo 42 del RGPD) puede utilizarse como un elemento mediante el cual se demuestren garantías suficientes.

 

El Hotel implementará y mantendrá ciertas medidas de seguridad administrativas, técnicas y organizativas diseñadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta su Procesamiento de Datos personales, teniendo en cuenta la tecnología de vanguardia, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos de dicho Procesamiento, y la probabilidad y gravedad del riesgo en relación con los derechos y libertades de los Sujetos de datos. El Hotel proporcionará una descripción general de sus medidas de seguridad técnicas y organizativas a solicitud del Grupo cuando se envíen por correo electrónico a lawdept@accor.com.

 

Para ver esto en francés, haga clic aquí.

Para ver esto en español, haga clic aquí.