Anexo sobre tratamiento de datos de Sojern Inc.

Última actualización: 14 de septiembre de 2022

Este Anexo sobre tratamiento de datos, que incluye el Anexo 1 y el Anexo 2 (“DPA”, por sus siglas en inglés), establece los términos esenciales requeridos por Sojern, Inc., una corporación de Delaware con sede central en 575 Market Street, 4th Floor, San Francisco, CA 94105 EE. UU. (“Sojern”). A los efectos de este DPA, la empresa, que es una de las partes en el Acuerdo (tal como se define a continuación) al que se incorpora este DPA, se denomina “Empresa”.

1. Definiciones

Acuerdo” se refiere a todos y cada uno de los acuerdos entre las partes en virtud de los cuales Sojern recibe, recopila, accede o procesa de algún modo Datos personales para los fines previstos en el acuerdo de proveedor de datos o de servicio correspondiente. Este DPA incluye los términos y condiciones del Acuerdo, según se establecen a continuación. En caso de conflicto entre el DPA y el Acuerdo, prevalecerán los términos de este DPA. Todos los términos que se empleen con mayúscula inicial en el presente que carezcan de definición expresa en el mismo tendrán sus respectivos significados, tal como se establezcan en el Acuerdo.

Datos personales” se refiere a cualquier información relacionada con una persona física identificada o identificable que pueda identificarse de forma directa o indirecta.

Servicio” se refiere a los servicios prestados por Sojern o la Empresa, según corresponda, en virtud del Acuerdo.

2. Aplicación del DPA

A los efectos del tratamiento realizado por Sojern en virtud del Acuerdo, la función de Sojern como encargado o responsable del tratamiento con respecto a los Datos personales sometidos a tratamiento por Sojern se establecerá en el Acuerdo correspondiente.

3. Uso de Datos personales

A menos que se permita expresamente en el presente documento o que la Empresa lo autorice por escrito, Sojern no divulgará, venderá, distribuirá ni transmitirá, de forma directa o indirecta, (a) Datos personales a terceros, ni (b) utilizará Datos personales con ningún fin que no sea proporcionar a la Empresa el Servicio con arreglo al Acuerdo, de conformidad con todas las leyes aplicables en materia de privacidad y protección de datos.

4. Cumplimiento de la ley; otras instrucciones

Cada una de las partes certifica que comprende sus obligaciones conforme a las leyes aplicables en materia de privacidad y protección de datos, y que tratará los Datos personales de acuerdo con lo dispuesto en dichas leyes. Cuando Sojern actúe como encargado del tratamiento, Sojern llevará a cabo el tratamiento tal y como lo documenta e indica la Empresa en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario basándose en que dicho tratamiento no resulta conforme a las leyes aplicables en materia de privacidad y protección de datos, en cuyo caso Sojern notificará inmediatamente a la Empresa por escrito, haciéndole saber dicho aviso normativo, y podrá suspender el tratamiento de los Datos personales hasta que se resuelva la cuestión planteada.

5. Registros; cooperación para el cumplimiento

Cada parte mantendrá un registro escrito o electrónico del tratamiento de los Datos personales. Cada parte cooperará razonablemente con la otra parte en el cumplimiento de las leyes aplicables en materia de privacidad y protección de datos con respecto a las evaluaciones de impacto de los datos, los registros del tratamiento, las solicitudes relacionadas o las consultas a las autoridades de protección de datos, y las auditorías de conformidad con el Acuerdo correspondiente para permitir a la Empresa confirmar que Sojern ha cumplido sus obligaciones, de conformidad con lo dispuesto en las leyes aplicables en materia de privacidad y protección de datos, y en el Acuerdo.

6. Política de privacidad de Sojern

Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos Datos personales se proporcionan a Sojern. Por lo tanto, cuando así lo exijan las leyes aplicables en materia de privacidad y protección de datos, la Empresa pondrá la Política de privacidad de Sojern, disponible en http://www.sojern.com/privacy/privacy-policy/, a disposición de las personas cuyos Datos personales Sojern someta a tratamiento.

7. Aviso, consentimiento y exclusión

La Empresa deberá avisar a los particulares afectados y obtener su consentimiento, según lo requieran las leyes aplicables en materia de privacidad y protección de datos, en relación con la recopilación, el uso y la divulgación de Datos personales por parte de la Empresa. Si las leyes aplicables en materia de privacidad y protección de datos exigen mecanismos por los que las personas implicadas puedan ejercer derechos, incluidos, entre otros, los derechos de exclusión, la Empresa (o cualquier otra parte responsable de la recopilación de Datos personales en nombre de la Empresa) proporcionará dicho mecanismo a los particulares. Se presumirá que la Empresa ha proporcionado los avisos adecuados y ha obtenido el consentimiento correspondiente, si es necesario, de cualquier persona cuyos Datos personales se proporcionen a Sojern.

8. Derechos de privacidad individuales

Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o reclamación particular relacionada con el tratamiento de Datos personales de conformidad con el Acuerdo y concerniente a los derechos de privacidad otorgados por las leyes aplicables en materia de privacidad y protección de datos. Si Sojern recibe una solicitud de un particular, de forma inmediata, Sojern: (a) reenviará la solicitud a la Empresa para que la gestione; y (b) cuando Sojern sea el encargado del tratamiento, aplicará la decisión de la Empresa con respecto a cómo se gestionará la solicitud.

9. Datos personales de la UE

En la medida en que Datos personales procedentes de fuera de EE. UU. (incluidos el Espacio Económico Europeo [EEE], el Reino Unido o Suiza) se transfieran a Sojern, el tratamiento de los datos requiera la adecuación en virtud de las leyes del país de la Empresa y la adecuación requerida pueda cumplirse según los términos de este DPA, las partes acuerdan que este DPA incorpora, a modo de referencia y según corresponda, las cláusulas contractuales tipo de la Comisión Europea (UE) 2021/914 para la transferencia de Datos personales a terceros países de conformidad con el Reglamento (UE) 2016-679 de responsables del tratamiento de la UE o el EEE a encargados del tratamiento establecidos fuera de la UE o el EEE (“Módulo 2”), o de responsables del tratamiento de la UE o el EEE a responsables del tratamiento establecidos fuera de la UE o el EEE (“Módulo 1”), y en la medida en que la Comisión Europea las modifique o sustituya de vez en cuando (colectivamente, las “Cláusulas”). Para mayor comodidad, las anteriores Cláusulas con hiperenlace se generan en función de text, que la Comisión Europea pone a disposición con el único fin de incorporar las Cláusulas al Acuerdo, seleccionar los Módulos correspondientes y añadir información al Apéndice según lo permitido por las Cláusulas. A los efectos de las transferencias de Datos personales, la Empresa será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Empresa es una entidad ubicada fuera de la UE o el EEE, siempre y cuando la Empresa cumpla de algún otro modo el Reglamento [UE] 2016-679). Cuando las Cláusulas sean aplicables, se considerará que la Empresa y Sojern han suscrito las mismas en sus respectivos nombres y en su propia representación, y los nombres, direcciones, datos de contacto, funciones y actividades de las partes relacionados con los Datos personales transferidos en virtud de estas Cláusulas se proporcionarán en el Acuerdo. La ejecución del Acuerdo se considerará la ejecución de las Cláusulas, especialmente la ejecución del Anexo I.A de las Cláusulas. En la medida en que exista un conflicto entre los términos de este DPA y las Cláusulas, prevalecerán las Cláusulas aplicables.

  1. De responsable del tratamiento a responsable del tratamiento. A los efectos del Módulo 1, (i) el Anexo 1 del presente DPA reemplazará al Anexo 1.B del Módulo 1; (ii) el Anexo 2 del presente DPA reemplazará al Anexo II del Módulo 1; y (iii) en la Cláusula 11(a) del Módulo 1, está seleccionado el texto opcional proporcionado; (iv) en la Cláusula 17 del Módulo 1, está seleccionada la OPCIÓN 1 y el Estado miembro de la UE es Irlanda; y (v) en la Cláusula 18(b) del Módulo 1 están seleccionados los Tribunales de Irlanda.
  2. De responsable del tratamiento a encargado del tratamiento. A los efectos del Módulo 2, (i) el Anexo 1 del presente DPA reemplazará al Anexo 1.B del Módulo 2; (ii) el Anexo 2 del presente DPA reemplazará al Anexo II del Módulo 2; (iii) en la Cláusula 9(a) del Módulo 2, se selecciona la OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO y el plazo de notificación anticipada es de treinta (30) días; iv) en la Cláusula 11(a) del Módulo 2, está seleccionado el texto opcional proporcionado; (v) en la Cláusula 17 del Módulo 2, está seleccionada la OPCIÓN 1 y el Estado miembro de la UE es Irlanda; y (vi) en la Cláusula 18(b) del Módulo 2, están seleccionados los Tribunales de Irlanda.
  3. Sección 702 de la FISA y Orden Ejecutiva 12333. Sojern avisará a la Empresa inmediatamente y dejará de aceptar Datos personales si observa que estos quedan vinculados a un requisito de divulgación o uso compartido de datos, tal como se prevé en la sección 702 de la Ley de vigilancia de inteligencia extranjera (FISA, por sus siglas en inglés) o la Orden ejecutiva 12333 de los Estados Unidos. Si el Comité Europeo de Protección de Datos u otra autoridad reguladora que regule la Empresa proporcionan directrices adicionales sobre las medidas adecuadas que se requieren para la exportación internacional de Datos personales, Sojern aplicará inmediatamente cualquier medida adicional que resulte apropiada.

10. Medidas de seguridad

Cada parte aplicará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los Datos personales frente a un tratamiento no autorizado o ilegal, y frente a pérdidas, destrucciones o daños accidentales.

  1. Filtración de Datos personales. Cuando se observe una filtración de Datos personales de conformidad con las leyes aplicables en materia de privacidad y protección de datos, cada parte avisará a la otra por escrito sin demora indebida y dentro del plazo requerido por las leyes aplicables en materia de privacidad y protección de datos. Cada parte cooperará razonablemente con la otra para mitigar, cuando sea posible, los efectos adversos de una filtración de Datos personales.
  2. Almacenamiento de datos; eliminación de Datos personales tras la extinción. Sojern aplica medidas técnicas de seguridad para protegerse del acceso no autorizado a los Datos personales, entre las que se incluye el cifrado de los Datos personales en formato electrónico mientras se encuentran en tránsito y en reposo en el almacenamiento en redes o sistemas de Sojern. Las obligaciones de Sojern con respecto a los Datos personales en caso de extinción del Acuerdo se establecen en la sección “Duración y extinción” del Acuerdo, con sujeción a los términos de conservación de datos del Acuerdo correspondiente.

11. Subencargados del tratamiento

La Empresa concede una autorización general a Sojern para utilizar otros encargados del tratamiento para el tratamiento de los Datos Personales (“Subencargados del tratamiento”), que están sujetos a obligaciones de confidencialidad y protección de datos conforme a este DPA, y que se enumeran en http://sojern.com/legal/partner-list/. Cuando así lo exija el Acuerdo o cuando Sojern actúe como encargado del tratamiento, Sojern informará a la Empresa de cualquier cambio relacionado con la adición o sustitución de Subencargados del tratamiento actualizando la lista mencionada anteriormente, lo que dará a la Empresa la oportunidad de oponerse a dichos cambios. Las instrucciones para oponerse se proporcionan en la misma URL. Si la Empresa se opone razonablemente a un cambio y Sojern no puede remediar dicha oposición, la Empresa podrá rescindir el Acuerdo y el DPA.

12. Aplicación del DPA

Este DPA permanecerá en vigor mientras (a) los Acuerdos sigan vigentes y (b) Sojern conserve copias de los Datos personales, lo que suceda en último lugar. Cualquiera de las partes podrá rescindir este DPA inmediatamente si se produce un incumplimiento material del mismo o si una autoridad reguladora o un tribunal o corte con jurisdicción determina que el tratamiento de los Datos personales llevado a cabo por las partes infringe sustancialmente las leyes aplicables en materia de privacidad y protección de datos, siempre y cuando la parte que no ha incumplido avise del supuesto incumplimiento y dicho incumplimiento no se haya subsanado durante un periodo de quince (15) días a partir de dicho aviso.

13. Legislación aplicable

Este DPA se considerará redactado conforme a las leyes del estado de California (EE. UU.) y se interpretará de acuerdo con las mismas, independientemente de las disposiciones relativas al conflicto de leyes.

ANEXO 1

Descripción de la transferencia

Categorías de interesados cuyos datos personales se transfieren

Viajeros y otros clientes de la Empresa.

Categorías de datos personales transferidos

Los Datos personales transferidos por la Empresa se proporcionan de conformidad con el Acuerdo y pueden incluir, entre otros:

  • Información relacionada con un identificador online único, como un ID de cookie, un ID de dispositivo móvil, una dirección de correo electrónico hash, un ID de publicidad y números de ID de cliente asignados por la Empresa.
  • Información relacionada con el dispositivo de una persona, como la dirección IP, el tipo de dispositivo, el tipo de navegador, la marca de fecha y hora de los clics y las visitas web, las URL visitadas y otra información técnica.
  • Información relacionada con el viaje de una persona, como el número y los tipos de viajeros, las divisas/tarifas/tasas/cuotas, información de búsqueda y reservas (como la fecha de salida y llegada, y el país o la ciudad de destino), información sobre el programa de fidelización o recompensas, y preferencias de alojamiento o servicios (como habitación, asiento de vuelo o tipo de coche, y preferencias de instalaciones y servicios adicionales).
Los datos sensibles transferidos (si procede) y las restricciones o medidas de seguridad aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como, por ejemplo, la limitación estricta del fin, restricciones de acceso (incluido el acceso únicamente para personal con formación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Ninguna

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren una sola vez o de forma continua).

De forma continua, mientras esté vigente el Acuerdo aplicable.

Naturaleza del procesamiento

Recopilación de información de navegación online mediante el uso de cookies y otras tecnologías de seguimiento.

Finalidad de la transferencia de datos y el procesamiento posterior
Para cualquier finalidad legítima en relación con los Servicios prestados en virtud del Acuerdo entre el exportador de datos y el importador de datos, en particular la publicidad dirigida en función de la información de navegación online. No se permite ningún otro procesamiento.
El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese periodo

Mientras esté vigente el Acuerdo aplicable, a menos que, a elección del exportador de datos, se eliminen o devuelvan los Datos personales.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento.

Los subprocesadores se incluyen en http://sojern.com/legal/partner-list/ según lo permitido por la Cláusula 9(a) del Modelo 1.

  • Objeto del tratamiento:  Los subprocesadores proporcionan servicios e infraestructura de alojamiento, almacenamiento y procesamiento para permitir a Sojern prestar servicios a sus clientes. Además, los subprocesadores ofrecen anuncios digitales en sitios web, aplicaciones móviles y otras propiedades conectadas a Internet, emiten informes sobre el rendimiento de las campañas de publicidad y proporcionan una plataforma que facilita la venta de impresiones/inventario online mediante subastas en tiempo real.
  • Naturaleza del procesamiento:  Los proveedores de alojamiento en la nube almacenan y procesan los datos proporcionados por los clientes de Sojern, y las plataformas de demanda procesan los datos para servicios de publicidad y la compra de publicidad programática.
  • Duración del procesamiento:  Mientras esté vigente el acuerdo entre Sojern y los subprocesadores, sujeto a los periodos de retención en él establecidos.

Autoridad supervisora competente

La autoridad supervisora de uno de los Estados miembros en el que se encuentren los interesados cuyos Datos personales se transfieran en virtud de estas Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se supervise, según se indica en el Anexo I.C, actuará como autoridad supervisora competente.

ANEXO 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

  1. General. Sojern establecerá, implementará y mantendrá las medidas administrativas, técnicas y organizativas adecuadas diseñadas para proteger contra el procesamiento no autorizado o ilegal de los Datos personales y contra la pérdida o destrucción accidental de los Datos personales o los daños a los mismos. Estas medidas serán adecuadas para cumplir con las leyes de protección de datos aplicables y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y su programa de seguridad de la información.
  2. Estándares y políticas de seguridad de la información. Sojern mantendrá políticas, estándares y procedimientos de seguridad de la información. Estas políticas, estándares y procedimientos se actualizarán y revisarán cada vez que se realicen cambios relevantes en los sistemas de información que utilizan o almacenan Datos personales.
  3. Gestión de vulnerabilidades. Sojern mantendrá un programa de gestión de vulnerabilidades para todos los sistemas que procesan Datos personales que debe incluir, sin limitación; el análisis de vulnerabilidades internas y externas con resultados de clasificación de riesgos y planes de corrección formales para resolver cualquier vulnerabilidad identificada.
  4. Evaluación de riesgos. Sojern llevará a cabo evaluaciones de riesgos periódicas para identificar y evaluar riesgos razonablemente previsibles para la seguridad, confidencialidad e integridad de los registros que contienen Datos personales, así como para evaluar y mejorar, cuando sea necesario, la eficacia de las medidas de seguridad para limitar dichos riesgos.
  5. Clasificación de datos. Sojern mantendrá políticas y procedimientos para clasificar los activos de información confidencial, clarificar las responsabilidades de seguridad y promover la concienciación de todos los empleados.
  6. Cifrado. Sojern implementará mecanismos de cifrado estándar del sector y conjuntos de cifrado sólidos (se recomienda AES de 256 bits) para el almacenamiento y la transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
  7. Seguridad de la red. Sojern asegurará su red mediante un enfoque de defensa en profundidad que utilice equipos disponibles comercialmente y técnicas estándar del sector, incluidos, entre otros, firewalls, sistemas de detección de intrusiones, listas de control de acceso y protocolos de enrutamiento.
  8. Controles de virus y malware. Sojern protegerá los Datos personales del código malicioso e instalará y mantendrá software de protección antivirus y antimalware en cualquier sistema que gestione Datos personales.
  9. Control de acceso. Sojern practicará el principio de mínimo privilegio cuando el acceso a los Datos personales se conceda únicamente a aquellos dentro de la organización que tengan necesidad de acceder para fines empresariales; los permisos se limitarán a la cantidad mínima necesaria para realizar la función laboral específica.
  10. Ubicación de procesamiento. Sojern procesará los Datos personales en Estados Unidos, sujeto a las leyes de protección de datos aplicables que puedan requerir lo contrario.
  11. Respuesta a incidentes. Sojern mantendrá un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes de seguridad de datos sospechosos. Sojern investigará cualquier incidente de seguridad de datos y tomará todas las medidas necesarias para eliminar o contener el incidente de seguridad de datos.
  12. Personal. Sojern mantendrá un programa de concienciación y formación sobre seguridad de la información y capacitará al personal crítico de Sojern sobre medidas de protección de datos y protecciones generales de ciberseguridad.
  13. Proveedor. Sojern mantendrá un programa de gestión de proveedores que evaluará a todos los proveedores con los que Sojern intercambia Datos personales. Dichos proveedores se someterán a estándares de seguridad de datos no menos restrictivos que los establecidos en el presente documento.