Sojern Inc. Adenda de procesamiento de datos

Última actualización: 14 de septiembre de 2022

Esta Adenda de procesamiento de datos (“DPA”, por sus siglas en inglés), que incluye los Apéndices 1 y 2, establece los términos esenciales que exige Sojern, Inc., una empresa de Delaware con sede principal en 575 Market Street, 4th Floor, San Francisco, CA 94105, EE. UU. (“Sojern”). A los fines de esta DPA, la empresa que es una parte del Acuerdo (tal como se define a continuación) en el que se incorpora esta DPA se denomina la “Empresa”.

1. Definiciones

Acuerdo” se refiere a todos los acuerdos entre las partes, en virtud de los cuales, Sojern recibe Datos Personales, los recopila, accede a estos o los procesa de cualquier manera para fines de conformidad con el Acuerdo de proveedor de datos o de servicio correspondiente. Esta DPA incorpora los términos y condiciones del Acuerdo y según se establece a continuación. En caso de conflicto entre la DPA y el Acuerdo, los términos de esta DPA regirán y prevalecerán. Todos los términos en mayúsculas utilizados, pero no definidos en la presente, tendrán sus respectivos significados según lo establecido en el Acuerdo.

Datos Personales” se refiere a toda la información relacionada con una persona humana identificada o identificable que se puede identificar directa o indirectamente.

Servicio” significa los servicios prestados por Sojern o la Empresa, según corresponda, en virtud del Acuerdo.

2. Aplicación de la DPA

Para los fines del procesamiento llevado a cabo por Sojern en conformidad con el Acuerdo, la función de Sojern como procesador de datos o controlador de datos con respecto a los Datos Personales procesados por Sojern se establece en el Acuerdo correspondiente.

3. Uso de Datos Personales

Excepto según lo permitido expresamente en el presente documento o por escrito por la Empresa, Sojern no divulgará, venderá, distribuirá ni transmitirá directa ni indirectamente los Datos Personales a ningún tercero, ni (b) utilizará los Datos Personales para ningún fin que no sea proporcionar a la Empresa el Servicio en virtud del Acuerdo, y de conformidad con todas las leyes de privacidad y protección de datos aplicables.

4. Cumplimiento de la ley; otras instrucciones

Cada parte declara que comprende sus obligaciones según las leyes de privacidad y protección de datos aplicables y que procesa los Datos Personales de conformidad con todas las leyes de privacidad y protección de datos aplicables. En los casos en que Sojern actúe como procesador de datos, Sojern realizará el procesamiento según lo documentado e indicado por la Empresa en el Acuerdo, a menos que una autoridad reguladora le notifique que dicho procesamiento no cumple con las leyes de privacidad y protección de datos aplicables, en cuyo caso, Sojern notificará a la Empresa inmediatamente y por escrito dicha notificación regulatoria y podría dejar de procesar los Datos Personales hasta que se resuelva el problema regulatorio.

5. Registros; Cooperación para el Cumplimiento

Cada parte llevará un registro escrito o electrónico del procesamiento de Datos Personales. Cada parte cooperará razonablemente con la otra parte en el cumplimiento de las leyes de privacidad y protección de datos aplicables con respecto a evaluaciones de impacto, registros de procesamiento, solicitudes o consultas relacionadas con las autoridades de protección de datos, y auditorías de los datos de conformidad con el Acuerdo correspondiente para permitir a la Empresa confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y del Acuerdo.

6. Política de Privacidad de Sojern

Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos Datos Personales se proporcionan a Sojern. Como tal, cuando lo exijan las leyes de protección de datos y privacidad aplicables, la Empresa pondrá a disposición la Política de Privacidad de Sojern disponible en http://www.sojern.com/privacy/privacy-policy/ a las personas cuyos Datos Personales procese Sojern.

7. Notificación, Consentimiento y Exclusión Voluntaria

La Empresa notificará a las personas y obtendrá el consentimiento de estas según exijan las leyes de protección de datos y privacidad aplicables en relación con la recopilación, el uso y la divulgación de Datos Personales por parte de la Empresa. Si las leyes de privacidad y protección de datos aplicables requieren mecanismos mediante los cuales las personas puedan ejercer derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Empresa (o cualquier otra parte que sea responsable de la recopilación de Datos Personales en nombre de la Empresa), deberá proporcionar dicho mecanismo a las personas. Se presume que la Empresa ha notificado de forma apropiada y ha obtenido el consentimiento apropiado, de ser necesario, de parte de cualquier persona cuyos Datos Personales se proporcionen a Sojern.

8. Derechos de privacidad Individuales

Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de las personas relacionadas con el procesamiento de Datos Personales en virtud del Acuerdo y respecto de los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de una persona, Sojern de inmediato: (a) reenviará la solicitud a la Empresa para que gestione la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Empresa con respecto a la forma en que se gestionará la solicitud.

9. Datos Personales en la UE

En la medida en que los Datos Personales que se originan fuera de los EE. UU. (incluido el espacio Económico Europeo [EEE], Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiere adecuación según las leyes del país de la Empresa, y los términos de esta DPA pueden cumplir con la adecuación requerida. Luego, las partes acuerdan que esta DPA incorpora como referencia, según corresponda, las cláusulas contractuales estándar (UE) 2021/914 de la Comisión Europea para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016-679 de controladores de la UE/EEE a procesadores establecidos fuera de la UE/EEE (“Módulo 2”), o de controladores de la UE/EEE a controladores establecidos fuera de la UE/EEE (“Módulo 1”), según las modificaciones o reemplazos realizados ocasionalmente por la Comisión Europea (en conjunto, las “Cláusulas”). Para mayor conveniencia, las Cláusulas incluidas en el hipervínculo anterior se generan según el texto que pone a disposición la Comisión Europea con el solo fin de incorporar las Cláusulas en el Acuerdo, seleccionar los Módulos correspondientes y agregar información en el Anexo según lo permitan las Cláusulas. A los fines de las transferencias de Datos Personales, la Empresa será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Empresa fuera una entidad ubicada fuera de la UE/EEE, siempre y cuando la Empresa esté sujeta al Reglamento [UE] 2016-679). En caso que se apliquen las Cláusulas, se considerará que la Empresa y Sojern ejecutaron las Cláusulas en su propio nombre, y que los nombres, las direcciones, los detalles de contacto, las funciones y las actividades de las partes relacionadas con los Datos Personales transferidos en virtud de estas Cláusulas se proporcionarán en el Acuerdo. La firma del Acuerdo se considerará la firma de las Cláusulas, específicamente la firma del Adjunto I.A de las Cláusulas. En la medida en que haya algún conflicto entre los términos de esta DPA y las Cláusulas, las Cláusulas aplicables regirán y prevalecerán.

  1. Controlador a Controlador. A los fines del Módulo 1, (i) el Apéndice 1 de esta DPA reemplazará al Adjunto 1.B del Módulo 1; (ii) el Apéndice 2 de esta DPA reemplazará al Apéndice II del Módulo 1; (iii) en virtud de la Cláusula 11(a) del Módulo 1, se selecciona el texto opcional proporcionado; (iv) en virtud de la Cláusula 17 del Módulo 1, se selecciona la OPCIÓN 1, y el Estado miembro de la UE es Irlanda, y (v) en virtud de la Cláusula 18(b) del Módulo 1, se seleccionan los tribunales de Irlanda.
  2. Controlador a Procesador. A los fines del Módulo 2, (i) el Apéndice 1 de esta DPA reemplazará al Adjunto 1.B del Módulo 2; (ii) el Apéndice 2 de esta DPA reemplazará al Adjunto II del Módulo 2; (iii) en virtud de la Cláusula 9(a) del Módulo 2, se selecciona la OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO, y el período para la notificación por adelantado es de treinta (30) días; (iv), en virtud de la Cláusula 11(a) del Módulo 2, se selecciona el texto opcional proporcionado; (v) en virtud de la Cláusula 17 del Módulo 2, se selecciona la OPCIÓN 1 y el Estado miembro de la UE es Irlanda, y (vi) en virtud de la Cláusula 18(b) del Módulo 2, se seleccionan los tribunales de Irlanda.
  3. Sección 702 de FISA y Decreto ejecutivo 12333. Sojern notificará a la Empresa de inmediato y dejará de aceptar Datos Personales si Sojern toma conocimiento de que está sujeta a los requisitos de intercambio o divulgación de datos según lo previsto en la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA, por sus siglas en inglés) o el Decreto ejecutivo 12333 de los Estados Unidos. Si el Comité Europeo de Protección de Datos u otra autoridad reguladora de la Empresa publica pautas adicionales sobre las medidas adecuadas para la exportación internacional de Datos Personales, Sojern implementará inmediatamente cualquier medida adicional adecuada.

10. Mecanismos de protección de seguridad

Cada parte implementará y mantendrá medidas técnicas, físicas y organizativas adecuadas para proteger los Datos Personales contra el procesamiento no autorizado o ilegal y contra pérdidas, destrucción o daños accidentales.

  1. Vulneración de los Datos Personales. Al conocer una vulneración de los Datos Personales en virtud de las leyes de privacidad y protección de datos aplicables, cada parte notificará por escrito a la otra sin demora y dentro del plazo requerido en virtud de las leyes de privacidad y protección de datos aplicables. Cada parte cooperará razonablemente con la otra para mitigar, cuando sea posible, los efectos adversos de una vulneración de Datos Personales.
  2. Almacenamiento de datos; eliminación de Datos Personales luego de la rescisión. Sojern implementa medidas de seguridad técnicas para proteger los Datos Personales contra el acceso no autorizado, como el cifrado de los Datos Personales en formato electrónico durante la transferencia y una vez almacenados en redes o sistemas de Sojern. Las obligaciones de Sojern con respecto a los Datos Personales en caso de rescisión del Acuerdo se establecen en la sección de Plazo y Rescisión del Acuerdo, sujeto a los términos de retención de datos del Acuerdo correspondiente.

11. Procesadores Secundarios

La Empresa otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de Datos Personales (“Procesadores Secundarios”), que están sujetos a obligaciones de confidencialidad y protección de datos en consonancia con esta DPA, que se mencionan en http://sojern.com/legal/partner-list. Cuando el Acuerdo lo requiera o cuando Sojern actúe como procesador de datos, Sojern informará a la Empresa sobre los cambios relacionados con la incorporación o sustitución de Procesadores Secundarios mediante la actualización de la lista antes mencionada, lo que le dará a la Empresa la oportunidad de oponerse a dichos cambios, y las instrucciones para las objeciones se proporcionan en la misma URL. Si la Empresa objeta razonablemente un cambio y Sojern no puede resolver dicha objeción, la Empresa puede rescindir el Acuerdo y la DPA.

12. Aplicación de la DPA

Esta DPA permanecerá en plena vigencia y efecto mientras (a) los Acuerdos permanezcan vigentes o (b) Sojern conserve copias de los Datos Personales, lo que ocurra más tarde. Cualquiera de las partes podrá rescindir la DPA de inmediato ante un incumplimiento de esta DPA o si una autoridad reguladora, un tribunal o una corte con jurisdicción encuentra que el procesamiento de Datos Personales por parte de las partes infringe las leyes de privacidad y protección de datos aplicables, siempre y cuando la parte que no incumpla notifique el supuesto incumplimiento, y dicho incumplimiento haya permanecido sin corregirse durante un período de quince (15) días posteriores a tal aviso.

13. Ley aplicable

Se considerará que la DPA se elaboró en el marco de las leyes del estado de California, EE. UU., y se interpretará de acuerdo con estas sin tener en cuenta los conflictos de las disposiciones legales.

APÉNDICE 1

Descripción de la transferencia

Categorías de sujetos de datos cuyos datos personales se transfieren

Viajeros y otros clientes de la Empresa.

Categorías de datos personales transferidos

Los Datos Personales transferidos por la Empresa se proporcionan de conformidad con el Acuerdo, y pueden incluir, entre otros:

  • Información relacionada con un identificador en línea único, como la ID de una cookie, la ID de un dispositivo móvil, la dirección de correo electrónico encriptado, la ID de publicidad y los números de ID de clientes asignados por la Empresa.
  • Información relacionada con el dispositivo de una persona, como la dirección IP, el tipo de dispositivo, el tipo de navegador, la fecha y la hora de registro de los clics y las visitas web, las URL visitadas y otra información técnica.
  • Información relacionada con el viaje de una persona, como la cantidad y los tipos de viajeros, la moneda, las tarifas, los costos, los cargos, la información de búsqueda y reserva (como la fecha de salida y llegada, el país o la ciudad de destino), la información del programa de lealtad o recompensas y las preferencias de alojamiento o servicio (como habitación, asiento de vuelo o tipo de automóvil, y las preferencias de instalaciones y amenidades).
Datos confidenciales transferidos (si corresponde) y restricciones o protecciones aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos involucrados, como limitación estricta de fin, restricciones de acceso (incluido el acceso solo para el personal que realizó una formación especializada), elaboración de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales

Ninguno

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren una sola vez o de forma continua)

Transferencia continua, durante el período de vigencia del Acuerdo aplicable.

Naturaleza del procesamiento

Recopilación de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.

Fines de la transferencia de datos y procesamiento adicional
Para cualquier fin legal relacionado con los Servicios proporcionados en virtud del Acuerdo entre el exportador de datos y el importador de datos, sobre todo publicidad dirigida según la información de navegación en línea. No se permite procesamiento adicional.
El período durante el que se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período

Durante el período de vigencia del Acuerdo aplicable, a menos que se eliminen o devuelvan los Datos Personales a criterio del exportador de datos.

Para transferencias a procesadores (secundarios), indicar también asunto, naturaleza y duración del procesamiento

Los procesadores secundarios se mencionan aquí http://sojern.com/legal/partner-list según lo permitido por el Módulo 1, Cláusula 9(a).

  • Asunto del procesamiento:  los procesadores secundarios ofrecen servicios e infraestructura de alojamiento, almacenamiento y procesamiento para que Sojern pueda prestar servicios a sus clientes. Además, los procesadores secundarios realizan anuncios digitales en sitios web, aplicaciones móviles y otras propiedades conectadas a internet, emiten reportes sobre el rendimiento de las campañas de publicidad y proporcionan una plataforma que facilita la venta de impresiones de anuncios/inventario en línea a través de subastas en tiempo real.
  • Naturaleza del procesamiento:  los proveedores de alojamiento en la nube almacenan y procesan datos proporcionados por los clientes de Sojern, y las plataformas del lado de la demanda procesan datos para la compra programática de medios y servicios de publicidad.
  • Duración del procesamiento:  durante el período de vigencia del acuerdo entre Sojern y los procesadores secundarios, sujeto a los períodos de retención allí estipulados.

Autoridad supervisora competente

La autoridad supervisora de uno de los Estados miembros donde se encuentran los sujetos de datos cuyos Datos Personales se transfieren en virtud de estas Cláusulas en relación con la oferta de bienes o servicios para ellos, o cuyo comportamiento se supervisa, según se indica en el Adjunto I.C, actúa como autoridad supervisora competente.

APÉNDICE 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS AQUELLAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

  1. Generalidades. Sojern establecerá, implementará y mantendrá medidas administrativas, técnicas y organizativas adecuadas diseñadas para proteger a los Datos Personales contra su procesamiento no autorizado o ilegal y contra su destrucción o pérdida accidental, o contra daños a estos. Estas medidas serán adecuadas para cumplir con las leyes de protección de datos aplicables y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y su programa de seguridad de la información.
  2. Políticas y estándares de seguridad de la información. Sojern mantendrá políticas, estándares y procedimientos de seguridad de la información. Estas políticas, estándares y procedimientos se mantendrán actualizados y se revisarán siempre que se realicen cambios pertinentes en los sistemas de información que utilicen o almacenen Datos Personales.
  3. Administración de vulnerabilidades. Sojern mantendrá un programa de administración de vulnerabilidades para todos los sistemas que procesen Datos Personales, incluidos, entre otros, análisis de vulnerabilidades internas y externas con hallazgos para clasificación de riesgos y planes de corrección formales para abordar cualquier vulnerabilidad identificada.
  4. Evaluación de riesgos. Sojern realizará evaluaciones periódicas de riesgos para identificar y evaluar riesgos razonablemente previsibles de seguridad, confidencialidad e integridad de registros que contienen Datos Personales, así como para evaluar y aumentar, cuando sea necesario, la eficacia de sus medidas de seguridad para limitar esos riesgos.
  5. Clasificación de datos. Sojern mantendrá políticas y procedimientos para clasificar los activos de información confidencial, aclarar responsabilidades de seguridad y fomentar la toma de consciencia de todos los empleados.
  6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y sólidos conjuntos de cifrado (se recomienda AES de 256 bits) para el almacenamiento y la transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
  7. Seguridad de red. Sojern protegerá su red mediante el uso de un enfoque de defensa en profundidad que utiliza equipos disponibles en el mercado y técnicas estándar de la industria, incluidos, entre otros, firewalls, sistemas de detección de intrusos, listas de control de acceso y protocolos de enrutamiento.
  8. Controles de virus y malware. Sojern protegerá los Datos Personales contra códigos maliciosos e instalará y mantendrá actualizado software de protección antivirus y antimalware en cualquier sistema que trabaje con Datos Personales.
  9. Control de acceso. Sojern aplicará el principio de menor privilegio, mediante el cual el acceso a los Datos Personales solo se otorga a aquellas personas dentro de la organización que tienen una necesidad comercial de dicho acceso, y los permisos se limitarán a la cantidad mínima requerida para desempeñar una función específica.
  10. Ubicación de procesamiento. Sojern procesará los Datos Personales en los Estados Unidos, sujeto a leyes de protección de datos aplicables que puedan requerir lo contrario.
  11. Respuesta a incidentes. Sojern mantendrá un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes sospechosos relacionados con la seguridad de los datos. Sojern investigará cualquier incidente de seguridad de datos y tomará todas las medidas necesarias para eliminar o contener dicho incidente.
  12. Personal. Sojern mantendrá un programa de formación y concientización sobre seguridad de la información y capacitará al personal crítico de Sojern en medidas de protección de datos y medidas de protección generales de seguridad cibernética.
  13. Proveedores. Sojern mantendrá un programa de gestión de proveedores que evaluará a todos los proveedores con los que Sojern intercambia Datos Personales. Dichos proveedores estarán sujetos a estándares de seguridad de datos no menos estrictos que los establecidos en la presente.