Acuerdo de encargado del tratamiento de datos de carácter personal

Introducción

  • AvaiBook deberá acceder a datos de carácter personal responsabilidad del Propietario o gestor, Portal y/o Partner (según corresponda en cada caso) (el “Cliente”) como parte de los servicios contratados (el “Contrato”). Como consecuencia de las nuevas obligaciones impuestas por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (“RGPD”) resulta necesario modificar las obligaciones asumidas en el Contrato en materia de protección de datos.
  • A partir del 25 de mayo de 2018, la regulación de protección de datos del Contrato se entenderá sustituida por el presente acuerdo de encargado de tratamiento (el “Acuerdo”) que se regirá por lo establecido en el artículo 28 del RGPD, y especialmente por las siguientes cláusulas

Objeto

El Cliente, como responsable de tratamiento de los datos de carácter personal, pone a disposición de AvaiBook:

  • Datos identificativos de los viajeros (nombres, apellidos, domicilios, teléfonos, direcciones de email u otros datos que configure para registrar de sus clientes)
  • Información relativa a las operaciones de pago procesadas a través de AvaiBook (si el cliente usa AvaiBook para gestionar dichas operaciones)

Asimismo, la prestación de servicios por parte de AvaiBook implica la realización de los siguientes tratamientos: recogida, registro, estructuración, conservación, consulta, comunicación, difusión, interconexión, supresión, destrucción, conservación.

Duración

El Acuerdo entrará en vigor el 25 de mayo de 2018 (o en la fecha de su aceptación, si es posterior) y permanecerá en vigor en tanto permanezca en vigor el Contrato.

Obligaciones de AvaiBook en calidad de encargado del tratamiento

AvaiBook declara que:

  • Cuenta con suficiente capacidad técnica para cumplir sus obligaciones derivadas del Contrato en relación con la normativa en materia de protección de datos de carácter personal, pudiéndose comprometer, en la medida en que la prestación de los servicios lo requiera, al cumplimiento de las exigencias del RGPD.
  • Mantendrá el secreto y la confidencialidad de los datos de carácter personal responsabilidad del cliente a los que tendrá acceso y tratará los mismos exclusivamente por cuenta del Cliente.
  • Destinará los citados datos únicamente a la prestación de los servicios y a no utilizarlos o aplicarlos de ninguna forma que exceda dicha finalidad. En caso de que el cliente solicite algún tratamiento que exceda de la prestación del servicio, lo detallará por escrito a través de las correspondientes instrucciones.
  • No comunicará a terceros, ni siquiera para su conservación, los datos a los que tenga acceso en virtud de la prestación de los servicios, ni tampoco las elaboraciones, evaluaciones o procesos similares que lleve a cabo con dichos datos, ni duplicará o reproducirá toda o parte de la información, resultados o relaciones sobre dichos datos, exceptuando aquellos supuestos en que legalmente resulte exigible.
  • Pondrá a disposición del cliente la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que razonablemente realice el cliente, u otro auditor en su nombre.
  • De ser legalmente necesario, tendrá designado un delegado de protección de datos, o un responsable de la llevanza de esta área y cumplimiento de la legislación de protección de datos, y comunicará su identidad y datos de contacto al cliente.
  • Las personas autorizadas en AvaiBook para tratar datos personales se comprometerán, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. AvaiBook proporcionará la formación necesaria en materia de protección de datos personales a las personas autorizadas.
  • Dará el apoyo necesario al cliente en la realización de las evaluaciones de impacto y de las consultas previas a la autoridad de control, cuando proceda y sea razonablemente necesario.
  • En caso de que AvaiBook considere que el cumplimiento de una determinada instrucción del cliente pudiese comportar un incumplimiento del RGPD o de cualesquiera otras normas aplicables que lo modifiquen o complementen, AvaiBook lo comunicará inmediatamente al cliente y solicitará que retire, enmiende o confirme la instrucción pertinente. AvaiBook podrá suspender la aplicación de la instrucción pertinente a la espera de la decisión del cliente que corresponda respecto a la retirada, enmienda o confirmación de la instrucción correspondiente.
  • Al finalizar la prestación de los servicios, y a petición del cliente, destruirá, según el cliente le indique y sea técnicamente posible, los datos de carácter personal a los que haya tenido acceso, así como los documentos o soportes en que cualquiera de estos datos consten. En especial, a devolver: (i) los datos incluidos en ficheros responsabilidad del cliente, que éste hubiera puesto a disposición de AvaiBook como consecuencia de la prestación de los servicios; (ii) aquellos que, en su caso, hubiesen sido generados a raíz del tratamiento por parte de AvaiBook de los datos responsabilidad del cliente; y (iii) todos los soportes o documentos en que cualquiera de estos datos consten. No procederá la destrucción de los datos cuando exista una obligación legal de conservación, en cuyo caso AvaiBook devolverá al cliente, los datos, debiendo garantizar este último dicha conservación.
  • Implantará los mecanismos para: (i) garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (ii) restaurar la disponibilidad y el acceso a los datos de forma rápida, en caso de incidente físico o técnico; (iii) verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; y (iv) seudonimizar y cifrar los datos, en su caso.
  • Notificará, como encargado del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de correo electrónico, cualquier incidente, sospechado o confirmado, relativo a la protección de los datos, cualquier tratamiento de datos que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño de datos de carácter personal dentro del área de responsabilidad de AvaiBook (causada por AvaiBook, su personal, agentes o subcontratistas) y cualquier incidente que pueda ser considerado una vulneración de seguridad de los datos, junto con toda la información relevante para la documentación y comunicación de la incidencia a las autoridades o a los interesados afectados. Asimismo, asistirá al cliente, en caso de producirse una violación de la seguridad de los datos personales, de manera que se garantice el cumplimiento de las obligaciones de notificación de una violación de la seguridad de los datos personales de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y de cualesquiera otras normas aplicables que lo modifiquen, complementen o que en el futuro puedan promulgarse.
  • Asistirá al Cliente cuando éste le requiera mediante solicitud razonable, proporcionándole información y/o documentación que precise para la adecuada respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad de datos que pudiera recibir de los interesados, todo ello en plazos razonables.
  • En aquellos supuestos que AvaiBook recibiera directamente una solicitud de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad por el afectado, titular de los datos objeto de tratamiento, se compromete a dar traslado de dicha solicitud al cliente inmediatamente, al objeto de que éste pueda atenderla en los plazos legalmente establecidos.
  • No subcontratará los servicios a tercera parte alguna, salvo que sean servicios auxiliares que AvaiBook necesita para prestar sus servicios de manera correcta, como el procesamiento de pagos a través de una pasarela de pago. En caso de que AvaiBook necesite subencargar un tratamiento, informará al cliente de los servicios y tratamientos que pretende subcontratar, de la identidad del subcontratista y de sus datos de contacto. Esta notificación deberá realizarse por escrito por AvaiBook con al menos dos semanas de antelación a la firma de la subcontratación.
  • No llevará a cabo transferencias internacionales de los datos de carácter personal a los que tenga acceso responsabilidad del cliente, salvo que cuente con la autorización previa y por escrito del cliente o se encuentren debidamente regularizadas.
  • Dispondrá de una descripción general de las medidas técnicas y organizativas de seguridad relativas a (i) la seudonimización y el cifrado de datos personales, en su caso; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; y (iv) el proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • Implementará todas aquellas medidas técnicas y organizativas en materia de seguridad que resulten aplicables de conformidad con lo previsto en el RGPD (en particular y con carácter no limitativo, las previstas en su artículo 32) y en cualesquiera otras normas aplicables que lo modifiquen, complementen o sustituyan. Las medidas de seguridad podrán actualizarse si fuera obligatorio por cualquier norma que en el futuro pudiera promulgarse, si ello afectase de forma relevante a los costes de los servicios contratados, las partes acordarán las medidas oportunas para solventar dicha situación.

Prohibición de otros usos

AvaiBook será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del Acuerdo, respondiendo de las infracciones en que hubiera incurrido personalmente.

Información a los firmantes

AvaiBook tratará los datos de carácter personal referentes a la persona firmante del contrato sobre la base de su interés legítimo, y con la única finalidad de garantizar el mantenimiento de nuestra relación contractual y por el período que dure la misma, pudiendo conservarlos posteriormente bloqueados durante los plazos que se deriven de la prescripción de las acciones legales relacionadas con este tratamiento. Los interesados podrán ejercitar en cualquier momento sus derechos de acceso, rectificación, supresión, limitación al tratamiento y oposición dirigiéndose a AvaiBook a la dirección de email privacy@avaibook.com. Además, también podrá dirigirse a la autoridad competente para reclamar sus derechos. Los datos de los firmantes no serán cedidos a ningún tercero y podrán acceder a ellos prestadores de servicios de los sectores de tecnología y sistemas de AvaiBook.

Entrada en vigor

El presente Acuerdo entrará en vigor el 25 de mayo de 2018, o en la fecha de su aceptación, si ésta fuera posterior.