Acuerdo de encargado del tratamiento de datos de carácter personal

Versión 23/02/2021

Versión anterior

Introducción

  • AvaiBook deberá acceder a datos de carácter personal responsabilidad del Propietario o gestor, Portal y/o Partner (según corresponda en cada caso) (el “Cliente”) como parte de los servicios contratados (el “Contrato”).
  • En consecuencia, resulta necesario regular las obligaciones asumidas en el Contrato en materia de protección de datos de conformidad con lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (“GPD”) y en Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
  • Para aquellos contratos suscritos antes del 25 de mayo de 2018, la regulación de protección de datos del Contrato se entenderá sustituida por el presente acuerdo de encargado de tratamiento.
  • Para los Contratos suscritos con posterioridad al 25 de mayo de 2018, las obligaciones en materia de protección de datos se regirán por el presente acuerdo de encargado de tratamiento de datos (el “Acuerdo”), por lo establecido en el artículo 28 del RGPD y del LOPD-GDD y especialmente por las siguientes cláusulas

Objeto

El Cliente, como responsable de tratamiento de los datos de carácter personal, pone a disposición de AvaiBook:

  • Datos identificativos de los viajeros titulares de una reserva (nombres, apellidos, domicilios, teléfonos, documentos de identificación (DNI/NIE/pasaporte), fotografías, direcciones de email u otros datos que configure para registrar de sus clientes)
  • Datos identificativos de los huéspedes (nombres, apellidos, domicilios, teléfonos, documentos de identificación (DNI/NIE/pasaporte), fotografías, direcciones de email u otros datos que configure para el registro)
  • Información relativa a las operaciones de pago procesadas a través de AvaiBook (si el cliente usa AvaiBook para gestionar dichas operaciones)
  • Datos de reservas efectuadas en los alojamientos del Cliente por los viajeros y sus huespedes, incluyendo fechas de llegada y salida
  • Firmas digitalizadas de viajeros y huéspedes al realizar el registro de viajeros

Asimismo, la prestación de servicios por parte de AvaiBook implica la realización de los siguientes tratamientos: recogida, registro, estructuración, conservación, consulta, comunicación, difusión, interconexión, supresión, destrucción, conservación.

Duración

Para los Contratos suscritos con carácter previo al 25 de mayo de 2018, el Acuerdo entrará en vigor el 25 de mayo de 2018.

Para los Contratos con fecha posterior, el Acuerdo entrará en vigor en la fecha de su aceptación

En ambos casos permanecerá en vigor en tanto permanezca en vigor el Contrato.

Obligaciones de AvaiBook en calidad de encargado del tratamiento

AvaiBook declara que:

  • Cuenta con suficiente capacidad técnica para cumplir sus obligaciones derivadas del Contrato en relación con la normativa en materia de protección de datos de carácter personal, pudiéndose comprometer, en la medida en que la prestación de los servicios lo requiera, al cumplimiento de las exigencias del RGPD.
  • Mantendrá el secreto y la confidencialidad de los datos de carácter personal responsabilidad del cliente a los que tendrá acceso y tratará los mismos exclusivamente por cuenta del Cliente.
  • Destinará los citados datos únicamente a la prestación de los servicios y a no utilizarlos o aplicarlos de ninguna forma que exceda dicha finalidad. En caso de que el cliente solicite algún tratamiento que exceda de la prestación del servicio, lo detallará por escrito a través de las correspondientes instrucciones.
  • No comunicará a terceros, ni siquiera para su conservación, los datos a los que tenga acceso en virtud de la prestación de los servicios, ni tampoco las elaboraciones, evaluaciones o procesos similares que lleve a cabo con dichos datos, ni duplicará o reproducirá toda o parte de la información, resultados o relaciones sobre dichos datos, exceptuando aquellos supuestos en que legalmente resulte exigible.
  • Pondrá a disposición del cliente la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que razonablemente realice el cliente, u otro auditor en su nombre.
  • De ser legalmente necesario, tendrá designado un delegado de protección de datos, o un responsable de la llevanza de esta área y cumplimiento de la legislación de protección de datos, y comunicará su identidad y datos de contacto al cliente.
  • Las personas autorizadas en AvaiBook para tratar datos personales se comprometerán, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. AvaiBook proporcionará la formación necesaria en materia de protección de datos personales a las personas autorizadas.
  • Dará el apoyo necesario al cliente en la realización de las evaluaciones de impacto y de las consultas previas a la autoridad de control, cuando proceda y sea razonablemente necesario.
  • En caso de que AvaiBook considere que el cumplimiento de una determinada instrucción del cliente pudiese comportar un incumplimiento del RGPD o de cualesquiera otras normas aplicables que lo modifiquen o complementen, AvaiBook lo comunicará inmediatamente al cliente y solicitará que retire, enmiende o confirme la instrucción pertinente. AvaiBook podrá suspender la aplicación de la instrucción pertinente a la espera de la decisión del cliente que corresponda respecto a la retirada, enmienda o confirmación de la instrucción correspondiente.
  • Al finalizar la prestación de los servicios, y a petición del cliente, destruirá, según el cliente le indique y sea técnicamente posible, los datos de carácter personal a los que haya tenido acceso, así como los documentos o soportes en que cualquiera de estos datos consten. En especial, a devolver: (i) los datos incluidos en ficheros responsabilidad del cliente, que éste hubiera puesto a disposición de AvaiBook como consecuencia de la prestación de los servicios; (ii) aquellos que, en su caso, hubiesen sido generados a raíz del tratamiento por parte de AvaiBook de los datos responsabilidad del cliente; y (iii) todos los soportes o documentos en que cualquiera de estos datos consten. No procederá la destrucción de los datos cuando exista una obligación legal de conservación, en cuyo caso AvaiBook devolverá al cliente, los datos, debiendo garantizar este último dicha conservación.
  • Implantará los mecanismos para: (i) garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (ii) restaurar la disponibilidad y el acceso a los datos de forma rápida, en caso de incidente físico o técnico; (iii) verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; y (iv) seudonimizar y cifrar los datos, en su caso.
  • Notificará, como encargado del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de correo electrónico, cualquier incidente, sospechado o confirmado, relativo a la protección de los datos, cualquier tratamiento de datos que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño de datos de carácter personal dentro del área de responsabilidad de AvaiBook (causada por AvaiBook, su personal, agentes o subcontratistas) y cualquier incidente que pueda ser considerado una vulneración de seguridad de los datos, junto con toda la información relevante para la documentación y comunicación de la incidencia a las autoridades o a los interesados afectados. Asimismo, asistirá al cliente, en caso de producirse una violación de la seguridad de los datos personales, de manera que se garantice el cumplimiento de las obligaciones de notificación de una violación de la seguridad de los datos personales de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y de cualesquiera otras normas aplicables que lo modifiquen, complementen o que en el futuro puedan promulgarse.
  • Asistirá al Cliente cuando éste le requiera mediante solicitud razonable, proporcionándole información y/o documentación que precise para la adecuada respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad de datos que pudiera recibir de los interesados, todo ello en plazos razonables.
  • En aquellos supuestos que AvaiBook recibiera directamente una solicitud de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad por el afectado, titular de los datos objeto de tratamiento, se compromete a dar traslado de dicha solicitud al cliente inmediatamente, al objeto de que éste pueda atenderla en los plazos legalmente establecidos.
  • No subcontratará los servicios a tercera parte alguna salvo que sean servicios auxiliares que AvaiBook necesita para prestar sus servicios de manera correcta, tales como:
    1. el procesamiento de pagos a través de una pasarela de pago;
    2. almacenamiento de información en la nube;
    3. la gestión del registro de viajeros de Avaibook / Fast Check-in;

    Puedes encontrar la lista actualizada de subencargados del tratamiento aquí

  • En caso de que AvaiBook necesite subencargar un nuevo tratamiento, informará al cliente de los servicios y tratamientos que pretende subcontratar, de la identidad del subcontratista y de sus datos de contacto Esta notificación deberá realizarse por escrito por AvaiBook con al menos veinte días hábiles de antelación a la firma de la subcontratación. La subcontratación podrá realizarse si el Cliente no manifiesta su oposición en el plazo de veinte días desde la notificación.
  • No llevará a cabo transferencias internacionales de los datos de carácter personal a los que tenga acceso responsabilidad del cliente, salvo que cuente con la autorización previa y por escrito del cliente o se encuentren debidamente regularizadas.
  • Dispondrá de una descripción general de las medidas técnicas y organizativas de seguridad relativas a (i) la seudonimización y el cifrado de datos personales, en su caso; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; y (iv) el proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Implementará todas aquellas medidas técnicas y organizativas en materia de seguridad que resulten aplicables de conformidad con lo previsto en el RGPD (en particular y con carácter no limitativo, las previstas en su artículo 32) y en cualesquiera otras normas aplicables que lo modifiquen, complementen o sustituyan. Las medidas de seguridad podrán actualizarse si fuera obligatorio por cualquier norma que en el futuro pudiera promulgarse, si ello afectase de forma relevante a los costes de los servicios contratados, las partes acordarán las medidas oportunas para solventar dicha situación.

    Las medidas de seguridad que dispone AvaiBook son las siguientes:

    • Dispone de un sistema para la designación de usuarios y contraseñas de sus trabajadores, tanto de cara a sus propios sistemas como de cara a sistemas de terceros, por el que están limitados los accesos atendiendo a los perfiles de usuario; mediante asignación de usuarios personalizados y contraseñas de acceso.
    • Ha informado a su personal de los derechos y deberes que les corresponden en cuanto al tratamiento de datos de terceros.
    • Dispone de una relación actualizada de perfiles y permisos de sus usuarios, tanto a sus propios sistemas como los de terceros.
    • Dispone de un sistema de registro de incidencias, así como del protocolo a seguir en caso de que se produzca una incidencia tanto interna como de cara al Cliente, usuarios u organismo supervisor.
    • Adoptará medidas adecuadas para el traslado de soportes, propios o de terceros, en caso de que exista.
    • Dispone de sistemas de identificación de los soportes con los que trabaja.
    • Dispone de un circuito de copias de seguridad de sus sistemas informáticos de forma diaria.
    • Dispone de un circuito de recuperación de datos.
    • Se ha designado a Delegado de Protección de Datos, al cual se puede contactar en la siguiente dirección: dpo@avaibook.com
    • Ha realizado o realiza auditorías cada dos años en materia de protección de datos.
    • Dispone de un sistema de registro de entradas y salidas de soportes que puedan contener datos personales sensibles y que cumpla con los parámetros de la ley.
    • Tiene limitados los accesos no autorizados a sus sistemas informáticos, debido a que tiene áreas seguras, con limitado acceso tanto físico como lógico.
    • En su circuito y registro de incidencias, se permite, además, registrar el proceso de recuperación de datos; de acuerdo con los parámetros de la normativa.

Prohibición de otros usos

AvaiBook será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del Acuerdo, respondiendo de las infracciones en que hubiera incurrido personalmente.

Compromisos y obligaciones del Cliente

El Cliente manifiesta cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad de sus equipos, sistemas, programas en los que almacena o trata los datos objeto de encargo.

El Cliente responde de las garantías de los afectados, como son los derechos de acceso, rectificación, cancelación y oposición.

Información a los firmantes

AvaiBook tratará los datos de carácter personal referentes a la persona firmante del Contrato sobre la base de su interés legítimo, y con la única finalidad de garantizar el mantenimiento de nuestra relación contractual y por el período que dure la misma, pudiendo conservarlos posteriormente bloqueados durante los plazos que se deriven de la prescripción de las acciones legales relacionadas con este tratamiento. Los interesados podrán ejercitar en cualquier momento sus derechos de acceso, rectificación, supresión, limitación al tratamiento y oposición dirigiéndose a AvaiBook a la dirección de email privacy@avaibook.com. Además, también podrá dirigirse a la autoridad competente para reclamar sus derechos. Los datos de los firmantes no serán cedidos a ningún tercero y podrán acceder a ellos prestadores de servicios de los sectores de tecnología y sistemas de AvaiBook.