Anexo sobre el tratamiento de datos de Hotelinking

A los efectos del presente Anexo sobre el tratamiento de datos («DPA»), los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se establece en el Acuerdo SaaS, los Términos y condiciones o la Legislación aplicable en materia de protección de datos (tal y como se define a continuación). Los siguientes términos tendrán el significado que se establece a continuación:

1.1. «Afiliado»

Significa cualquier entidad que controle directa o indirectamente, esté controlada por o esté bajo el control común de una parte. «Control» significa la propiedad o el control, directo o indirecto, de más del 50 % de los derechos de voto de la entidad en cuestión.

1.2. «Legislación aplicable en materia de protección de datos»

Se refiere a todas las leyes y reglamentos aplicables relacionados con el tratamiento, la protección, la privacidad y la seguridad de los datos personales, incluidos, entre otros:

• Reglamento (UE) 2016/679 («RGPD»).
• El RGPD tal y como se aplica en el Reino Unido («RGPD del Reino Unido»).
• La Ley Federal Suiza de Protección de Datos («LPD Suiza»).
• La Ley de Privacidad del Consumidor de California de 2018 y la Ley de Derechos de Privacidad de California de 2020 (en conjunto, «CCPA/CPRA»).
• Otras leyes de protección de datos aplicables en las jurisdicciones en las que Hotelinking opera o presta servicios.

1.3. «Responsable del tratamiento»

Se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de los datos personales, tal y como se define en el artículo 4, apartado 7, del RGPD y sus equivalentes en la legislación aplicable en materia de protección de datos.

1.4. «Cliente»

Se refiere al grupo hotelero, entidad u organización que se suscribe a los Servicios de Hotelinking, que celebra el Acuerdo SaaS o los Términos y Condiciones y actúa como Responsable del Tratamiento de los Datos Personales del Cliente.

1.5. «Datos personales del cliente»

Se refiere a cualquier dato personal tratado por Hotelinking en nombre del cliente en virtud del acuerdo, incluyendo, entre otros:

• Datos de los huéspedes recopilados a través de GuestMaker (por ejemplo, correo electrónico, nombre, nacionalidad, dirección MAC).
• Datos de identidad y reserva tratados a través de Deskforce (por ejemplo, fotos de DNI/pasaporte, firma, metadatos de entrada/salida).
• Datos de contacto de empleados o del departamento de TI proporcionados por el Cliente en relación con WiFiBot y los servicios de supervisión de la red.

1.6. «Interesado»

Se refiere a una persona física identificada o identificable cuyos datos personales se tratan en virtud del presente DPA.

1.7. «Datos personales»

Cualquier información relacionada con una persona física identificada o identificable, tal y como se define en el artículo 4, apartado 1, del RGPD y en términos equivalentes en otras legislaciones aplicables en materia de protección de datos, incluyendo, entre otros, los datos de los huéspedes, la información de contacto, los identificadores de dispositivos y la información relacionada con las reservas.

1.8. «Tratamiento» / «Tratar»

Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la recuperación, la consulta, el uso, la divulgación, la supresión o la destrucción.

1.9. «Encargado del tratamiento»

Se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento, tal y como se define en el artículo 4(8) del RGPD y sus equivalentes.

1.10. «Transferencia restringida»

Se refiere a la transferencia de datos personales a un país fuera del EEE, el Reino Unido o Suiza que no está sujeto a una decisión de adecuación en virtud de la legislación aplicable en materia de protección de datos y que, por lo tanto, requiere garantías adecuadas en virtud del artículo 46 del RGPD o sus disposiciones equivalentes.

1.11. «Violación de la seguridad»

Se refiere a cualquier violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos personales del cliente tratados por Hotelinking, de conformidad con el artículo 33 del RGPD.

1.12. «Servicios»

Se refiere a las soluciones de software como servicio proporcionadas por Hotelinking en virtud del Acuerdo, incluyendo:

• GuestMaker: portal cautivo WiFi para hoteles y plataforma de automatización de marketing.
• Deskforce: plataforma digital de automatización de registros de entrada y salida y pagos.
• WiFiBot: Servicios de supervisión de la infraestructura de red y NOC.

1.13. «Cláusulas contractuales tipo (SCC)»

Se refiere a las cláusulas contractuales estándar adoptadas por la Comisión Europea o las autoridades de protección de datos pertinentes como mecanismos legales para las transferencias transfronterizas de datos, incluyendo cualquier anexo aplicable del Reino Unido o Suiza.

1.14. «Subencargado del tratamiento»

Se refiere a cualquier tercero (incluidas las filiales de Hotelinking) contratado por Hotelinking para tratar los datos personales de los clientes en su nombre.

1.15. «Autoridad de control»

Se refiere a una autoridad pública independiente establecida en virtud de la legislación aplicable en materia de protección de datos, como la Agencia Española de Protección de Datos (AEPD), la Oficina del Comisionado de Información del Reino Unido (ICO) o la FDPIC suiza.

2.1. Aplicabilidad

El presente DPA se aplica únicamente en la medida en que Hotelinking procese los Datos personales del cliente en nombre de este en el curso de la prestación de los Servicios en virtud del Acuerdo. Regula el procesamiento de Datos personales cuando dicho procesamiento está sujeto a la Legislación aplicable en materia de protección de datos, incluyendo, entre otras, el RGPD, el RGPD del Reino Unido, la DPA suiza o la CCPA/CPRA.

2.2. Relación entre las partes

Hotelinking actúa como encargado del tratamiento (o subencargado del tratamiento cuando el Cliente es encargado del tratamiento para otro responsable del tratamiento), y el Cliente actúa como responsable del tratamiento (o como encargado del tratamiento en nombre de un tercero responsable del tratamiento) con respecto al tratamiento de los datos personales del Cliente.

2.3. Duración

El presente DPA permanecerá en vigor durante la vigencia del Acuerdo y seguirá vigente tras su rescisión en la medida en que Hotelinking continúe tratando los datos personales del cliente en nombre de este.

2.4. Aplicabilidad específica del producto

El presente DPA se aplica a los siguientes módulos de productos, en función de los servicios contratados por el Cliente:

• GuestMaker: se aplica cuando Hotelinking trata datos personales obtenidos a través de portales cautivos WiFi, incluyendo la identificación de los huéspedes, las direcciones MAC y los metadatos de las reservas vinculados al PMS.
• Deskforce: se aplica cuando Hotelinking procesa datos de huéspedes para el check-in digital, incluyendo imágenes de documentos de identidad, firmas electrónicas y credenciales de pago procesadas a través de pasarelas de pago integradas.
• WiFiBot: se aplica solo en la medida en que Hotelinking procese metadatos operativos que puedan incluir información identificable de empleados o administradores de red (por ejemplo, inicio de sesión, alertas, registros de supervisión de dispositivos). WiFiBot no procesa datos personales de huéspedes.

2.5. Conflicto de términos

En caso de conflicto entre este DPA y otros acuerdos entre las partes (incluido el Acuerdo o los Términos y condiciones), prevalecerán las disposiciones de este DPA en la medida en que exista dicho conflicto en materia de protección de datos y privacidad.

2.6. Incorporación por referencia

El presente DPA forma parte integrante del Acuerdo entre las partes. Al continuar utilizando los Servicios después de la Fecha de entrada en vigor del presente DPA, el Cliente acepta los términos del mismo, incluidas las Cláusulas contractuales tipo pertinentes incorporadas por referencia.

3.1. Funciones de las partes

En el contexto del presente DPA y de los Servicios prestados:

• El Cliente actúa como Responsable del tratamiento (o, cuando proceda, como Encargado del tratamiento que actúa en nombre de un tercero Responsable).
• Hotelinking actúa como encargado del tratamiento, tratando los datos personales del cliente únicamente siguiendo las instrucciones documentadas de este, salvo que la ley exija lo contrario.

Para módulos de productos específicos:

• GuestMaker y Deskforce: Hotelinking actúa como encargado del tratamiento con respecto a los datos personales recopilados de los huéspedes del hotel en nombre del Cliente.
• WiFiBot: Hotelinking actúa como encargado del tratamiento únicamente en la medida en que se procesan los identificadores de usuario relacionados con los administradores de red o el personal de TI. WiFiBot no recopila ni procesa datos de los huéspedes.

3.2. Instrucciones del cliente

Hotelinking tratará los datos personales del cliente únicamente:

• Para prestar los Servicios y cumplir con sus obligaciones en virtud del Acuerdo.
• Según lo documentado en este DPA u otras instrucciones escritas proporcionadas por el Cliente.
• Según sea necesario para cumplir con la legislación aplicable (en cuyo caso Hotelinking, en la medida en que lo permita la ley, informará al cliente antes del tratamiento).

3.3. Legalidad de las instrucciones

El Cliente se asegurará de que sus instrucciones:

• Cumplan con todas las leyes de protección de datos aplicables.
• Son coherentes con el Acuerdo y este DPA.
• No provoquen que Hotelinking incumpla ninguna ley aplicable al actuar en virtud de dichas instrucciones.

Hotelinking informará al Cliente sin demora injustificada si, en su opinión, una instrucción infringe la legislación aplicable en materia de protección de datos.

3.4. Instrucciones adicionales

Cualquier instrucción adicional (más allá de las necesarias para la prestación del servicio y descritas en el presente documento) deberá:

• Presentarse por escrito.
• Acordadas mutuamente entre las partes.
• Tener un alcance razonable y ser viables en el entorno de Hotelinking.

Las solicitudes que se desvíen sustancialmente de la funcionalidad del servicio o de los flujos de trabajo de procesamiento estándar pueden requerir una solicitud de cambio formal y estar sujetas a costes adicionales.

4.1. Limitación de uso

Hotelinking tratará los Datos personales del cliente únicamente con los siguientes fines:

• Proporcionar, mantener y dar soporte a los Servicios a los que se ha suscrito el Cliente.
• Cumplir con sus obligaciones en virtud del Acuerdo y del presente DPA.
• Cumplir con las obligaciones legales aplicables (por ejemplo, las leyes de protección de datos españolas, de la UE u otras).

Hotelinking no tratará los Datos personales del cliente para ningún fin distinto de los expresamente establecidos en el presente DPA o documentados por el cliente, salvo que así lo exija la legislación aplicable.

4.2. Finalidades de tratamiento específicas del producto

• GuestMaker
  Hotelinking trata los datos de los huéspedes para permitir un acceso WiFi personalizado y verificado, generar audiencias de marketing, enriquecer los perfiles CRM, validar los datos de contacto y sincronizar los metadatos de las reservas de los sistemas PMS conectados.
• Deskforce
  Hotelinking procesa los datos con fines de registro digital de huéspedes, verificación de identidad (por ejemplo, escaneo y eliminación automática de documentos de identidad), obtención del consentimiento de los huéspedes, habilitación de pagos digitales y generación de registros de entrada y salida.
• WiFiBot
  Hotelinking procesa metadatos de red operativos (por ejemplo, MAC/IP/estado del dispositivo) con el único fin de supervisar de forma proactiva la infraestructura, detectar fallos, alertar y garantizar la fiabilidad de la red. No se recopilan ni almacenan datos personales a nivel de huésped.

4.3. Prohibición de uso secundario

Hotelinking no:

• Utilizar los datos personales de los clientes para sus propios fines comerciales o de marketing.
• Vender, licenciar o divulgar de cualquier otra forma los datos personales de los clientes a terceros para fines no relacionados.
• Combinar los datos personales de los clientes con datos personales recopilados de forma independiente por Hotelinking, a menos que el cliente lo autorice explícitamente.

4.4. Datos agregados y anonimizados

Hotelinking puede agregar o anonimizar los datos personales del cliente para crear estadísticas o comparativas, siempre que:

• Dichos datos no puedan utilizarse para identificar o volver a identificar a ningún interesado.
• Los resultados se utilicen exclusivamente para mejoras internas, desarrollo de productos o análisis de mercado.

5.1. Obligaciones generales de cumplimiento del cliente

El cliente acepta y declara que:

• Ha obtenido todos los derechos, autorizaciones y bases legales necesarios en virtud de la legislación aplicable en materia de protección de datos para transferir los datos personales del cliente a Hotelinking para su tratamiento.
• Cumplirá con todas las leyes de privacidad y protección de datos aplicables en su uso de los Servicios y en la provisión de instrucciones a Hotelinking.
• Es el único responsable de determinar la legalidad de las actividades de tratamiento realizadas bajo sus instrucciones.

5.2. Transparencia y recogida lícita

El Cliente es responsable de garantizar que:

• Los interesados (por ejemplo, huéspedes del hotel, empleados u otras personas) hayan sido informados de las actividades de tratamiento, incluida la función de Hotelinking como encargado del tratamiento.
• Todas las notificaciones requeridas en virtud del artículo 13/14 del RGPD u otras leyes aplicables se proporcionen a los interesados de forma transparente, clara y oportuna.
• Se disponga y documente de todos los consentimientos necesarios u otras bases legales válidas para el tratamiento.

5.3. Exactitud y minimización

El Cliente se asegurará de que:

• Los datos personales del cliente compartidos con Hotelinking sean exactos, estén actualizados y sean pertinentes para los fines para los que se tratan.
• No se transfieran datos innecesarios o excesivos a Hotelinking a través de integraciones, cargas o el uso de los Servicios.

5.4. Uso de los Servicios por parte del Cliente

El Cliente se compromete a:

• Utilizar los Servicios de manera que no infrinja la legislación aplicable en materia de protección de datos ni los Términos y condiciones de Hotelinking.
• Configurar y utilizar las funciones de Hotelinking (por ejemplo, formularios de captura de datos, integraciones PMS, herramientas de correo electrónico) de acuerdo con las mejores prácticas de privacidad y la normativa aplicable (por ejemplo, opciones de marketing, registros de consentimiento).
• Gestionar y restringir el acceso de los usuarios a la cuenta de Hotelinking del Cliente según corresponda, incluyendo la implementación de controles de acceso basados en roles y el uso de métodos de autenticación sólidos.

5.5. Cooperación con Hotelinking

El Cliente se compromete a cooperar de buena fe con Hotelinking en relación con:

• Responder a las solicitudes de los interesados (véase la sección 13).
• Realizar evaluaciones de impacto en materia de protección de datos (EIPD), auditorías o consultas con las autoridades de control, según lo exija la ley.
• Investigar o mitigar cualquier incidente de seguridad o violación de datos real o sospechado que afecte a los datos personales del cliente.

5.6. Uso de subencargados del tratamiento por parte del Cliente

Cuando el Cliente comparta Datos personales del cliente con sistemas, integraciones o proveedores externos que no sean gestionados por Hotelinking (por ejemplo, su propio CRM, proveedor de pagos, PMS, etc.), el Cliente será el único responsable de garantizar que dichos terceros cumplan con las obligaciones de protección de datos aplicables.

6.1. Obligaciones de confidencialidad del personal de Hotelinking

Hotelinking se asegurará de que todos los empleados, contratistas y demás personal autorizado para tratar los Datos personales del cliente:

• Estén sujetos a una obligación de confidencialidad por escrito, ya sea a través de contratos de trabajo, condiciones de contratación o acuerdos de confidencialidad independientes.
• Reciban la formación adecuada sobre sus responsabilidades en virtud del presente DPA y la legislación aplicable en materia de protección de datos, incluidas las obligaciones de tratamiento seguro de los datos y de notificación.
• Tienen acceso a los datos personales de los clientes estrictamente en función de la necesidad de conocerlos, en consonancia con su función y sus responsabilidades.

6.2. Información confidencial

Cada parte se compromete a tratar los Datos personales del cliente como Información confidencial en virtud del Acuerdo, y a:

• Protegerla con el mismo nivel de cuidado que su propia información confidencial, pero sin bajar de un nivel de cuidado razonable.
• Abstenerse de revelarlos a terceros, salvo en los casos permitidos en virtud del presente DPA (por ejemplo, a subencargados del tratamiento autorizados en virtud de la sección 7 o según lo exija la ley en virtud de la sección 6.4).
• No utilizar los Datos personales del cliente para ningún fin fuera del ámbito del Acuerdo y del presente DPA.

6.3. Conservación de las obligaciones de confidencialidad

Las obligaciones de confidencialidad de Hotelinking:

• Sobrevivir a la rescisión o expiración del Acuerdo o del presente DPA; y…
• Continuarán hasta que todos los Datos personales del cliente hayan sido eliminados o devueltos de conformidad con la Sección 10 (Devolución o eliminación de datos).

6.4. Divulgación exigida por ley

Si Hotelinking se ve obligado por ley, orden judicial o autoridad gubernamental a divulgar cualquier dato personal del cliente, deberá:

• Notificarlo inmediatamente al Cliente (a menos que se le prohíba legalmente hacerlo).
• Limitará la divulgación al mínimo necesario.
• Cooperar con el cliente, a cargo de este, en la búsqueda de una orden de protección u otra solución adecuada para impedir o limitar dicha divulgación.

6.5. Verificación de antecedentes

Cuando lo permita la ley y sea aplicable al puesto, Hotelinking podrá realizar verificaciones de antecedentes de los empleados que vayan a acceder a los sistemas de producción que contengan datos personales de los clientes.

7.1. Autorización para el subtratamiento

Por la presente, el Cliente otorga a Hotelinking una autorización general por escrito para contratar subencargados del tratamiento para el tratamiento de los datos personales del cliente, siempre que:

• Hotelinking se asegure de que los subencargados del tratamiento estén sujetos a obligaciones de protección de datos que no sean menos protectoras que las establecidas en el presente DPA.
• Hotelinking restringirá el acceso de cada subencargado del tratamiento a los datos personales del cliente únicamente a lo estrictamente necesario para prestar los servicios.
• Hotelinking seguirá siendo plenamente responsable de los actos y omisiones de sus subencargados del tratamiento en la misma medida en que lo sería si prestara los servicios por sí mismo.

7.2. Subencargados de tratamiento actuales

Hotelinking mantiene una lista de subencargados del tratamiento aprobados. Esta lista incluye (a la fecha de entrada en vigor):

• Amazon Web Services (AWS): infraestructura en la nube y alojamiento de datos (UE, principalmente en la región de Irlanda).
• Zendesk: sistema de tickets de asistencia utilizado por el equipo de atención al cliente de Hotelinking.
• Otras herramientas de infraestructura o supervisión que puedan aparecer en la lista de vez en cuando.

7.3. Notificación de cambios

Hotelinking notificará al Cliente cualquier cambio previsto en la lista de subencargados del tratamiento mediante:

• El envío de un correo electrónico al contacto designado por el Cliente (o mediante la inclusión del Cliente en una lista de distribución).
• La publicación de una notificación de cambio en la URL del subencargado del tratamiento mencionada anteriormente.

Se avisará al Cliente con al menos 20 días de antelación antes de que un nuevo subencargado del tratamiento comience a tratar los Datos personales del Cliente.

7.4. Derecho de oposición

Si el Cliente tiene una objeción razonable y legítima a la contratación de un nuevo subencargado del tratamiento (basada en motivos de protección de datos), deberá:

• Notificarlo por escrito a Hotelinking en un plazo de 20 días a partir de la recepción de la notificación del cambio previsto.
• Proporcionar razones específicas para la objeción relacionadas con los riesgos de protección de datos.

Tras recibir dicha objeción, Hotelinking colaborará de buena fe con el Cliente para encontrar una alternativa comercialmente razonable. Si no se encuentra una solución mutuamente aceptable en un plazo de 30 días, cualquiera de las partes podrá rescindir la parte afectada de los Servicios (limitada al módulo o función que dependa del nuevo subencargado del tratamiento) mediante notificación por escrito.

7.5. Subencargados de tratamiento internacionales

Si un subencargado del tratamiento se encuentra fuera del EEE, el Reino Unido o Suiza, en un país que no se considera que ofrezca una protección adecuada, Hotelinking se asegurará de que se apliquen las garantías adecuadas para cualquier transferencia de este tipo, de conformidad con la sección 12 (Mecanismos de transferencia).

8.1. Asistencia con las evaluaciones de impacto de la protección de datos (EIPD)

Previa solicitud por escrito del Cliente y cuando lo exija la legislación aplicable en materia de protección de datos, Hotelinking prestará una cooperación y asistencia razonables al Cliente (a cargo de este) en relación con:

• La realización de evaluaciones de impacto relativas a la protección de datos (EIPD) relacionadas con el tratamiento de los datos personales del cliente por parte de Hotelinking.
• La evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales, en particular cuando se introduzcan nuevas tecnologías o servicios.
• La aplicación de medidas de mitigación o salvaguardias identificadas durante el proceso de DPIA que estén razonablemente bajo el control de Hotelinking.

La asistencia puede incluir documentación sobre las prácticas de seguridad de Hotelinking, descripciones generales de la arquitectura, detalles técnicos del tratamiento y informes de auditoría o certificaciones pertinentes (por ejemplo, SOC 2, ISO 27001, materiales de cumplimiento de AWS).

8.2. Consulta con las autoridades de control

Si el Cliente está obligado a consultar a una autoridad de control antes de determinadas actividades de tratamiento en virtud del artículo 36 del RGPD (o disposiciones equivalentes), Hotelinking:

• Ayudar al Cliente a cumplir con cualquier solicitud de información de las autoridades de protección de datos en relación con las actividades de tratamiento bajo la responsabilidad de Hotelinking.
• Cooperar de buena fe con dichas autoridades proporcionando la información y la documentación pertinentes.
• Poner a disposición del personal pertinente de Hotelinking, cuando lo requiera la autoridad o el Cliente para consultas oficiales o seguimiento.

8.3. Asignación de costes

Hotelinking prestará la asistencia mencionada en la medida de lo razonable, teniendo en cuenta la naturaleza del tratamiento y la información disponible. Cuando dichas solicitudes sean extensas, requieran un apoyo no estándar o den lugar a costes materiales o cargas operativas, Hotelinking podrá cobrar una tarifa razonable, previa notificación por escrito y acuerdo con el Cliente.

9.1. Compromiso con el programa de seguridad

Hotelinking implementará y mantendrá un Sistema de Gestión de Seguridad de la Información (SGSI) completo y por escrito, alineado con las normas ISO/IEC 27001 y SOC 2. El SGSI incluye medidas de seguridad administrativas, técnicas y físicas diseñadas para:

• Garantizar la confidencialidad, integridad y disponibilidad de los datos personales del cliente.
• Proteger contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño.
• Detectar, prevenir y responder a las amenazas y vulnerabilidades de seguridad.

9.2. Medidas técnicas y organizativas

Las medidas de seguridad de Hotelinking incluyen, entre otras, las siguientes categorías (tal y como se detalla en el Anexo 2 del presente DPA):

• Cifrado de datos: cifrado AES-256 en reposo y cifrado TLS 1.2+ en tránsito.
• Controles de acceso: acceso basado en roles, conexiones solo VPN, MFA para sistemas críticos.
• Copias de seguridad: copias de seguridad cifradas diarias, instantáneas mensuales, procedimientos de recuperación ante desastres probados.
• Gestión de vulnerabilidades: análisis internos periódicos, pruebas de penetración externas, gestión de parches.
• Supervisión y auditoría: registro centralizado (por ejemplo, AWS CloudTrail), detección de amenazas (por ejemplo, GuardDuty), alertas en tiempo real (por ejemplo, JOOPbox).
• Formación del personal: formación sobre el RGPD y concienciación sobre seguridad para todo el personal con acceso a datos personales.

Todos los detalles están disponibles en la documentación de seguridad de Hotelinking y en las políticas de apoyo, tales como:

• Política de control de acceso.
• Seguridad de las operaciones y procedimientos de copia de seguridad.
• Plan de respuesta ante incidentes.
• Política de continuidad del negocio y recuperación ante desastres.

9.3. Mejora continua

Hotelinking supervisa, evalúa y mejora continuamente sus medidas de seguridad. Las actualizaciones o mejoras no reducirán el nivel general de protección de los datos personales de los clientes.

9.4. Confidencialidad del tratamiento

Todas las personas que actúen bajo la autoridad de Hotelinking y tengan acceso a los datos personales de los clientes estarán sujetas a las obligaciones de confidencialidad establecidas en la sección 6 del presente DPA.

9.5. Notificación de violaciones de seguridad

En caso de que se produzca una violación de la seguridad que afecte a los datos personales del cliente, Hotelinking:

• Notificará al cliente sin demora indebida tan pronto como tenga conocimiento de la violación.
• Proporcionará todos los detalles pertinentes, tal y como exige el artículo 33, apartado 3, del RGPD, incluyendo:
  • La naturaleza y el alcance de la violación.
  • Las categorías y el número aproximado de interesados y registros afectados.
  • Las posibles consecuencias y repercusiones.
  • Las medidas de mitigación y corrección adoptadas o previstas.
• Cooperará con el cliente para facilitar cualquier notificación legalmente requerida a los interesados o a las autoridades de control.

El protocolo interno de respuesta a infracciones de Hotelinking se ajusta a su Procedimiento de notificación de infracciones de datos personales.

9.6. No admisión de culpa

Ninguna notificación realizada en virtud de la presente sección se interpretará como un reconocimiento por parte de Hotelinking de culpa o responsabilidad en relación con la violación de la seguridad.

9.7. Responsabilidades del cliente

El cliente es el único responsable de:

• Configurar y proteger adecuadamente el uso de los Servicios.
• Proteger las credenciales de acceso, los puntos finales y las integraciones.
• Realizar copias de seguridad de sus propios datos y revisar los plazos de conservación de Hotelinking.
• Evaluar el nivel adecuado de seguridad requerido para su caso de uso y garantizar el cumplimiento de cualquier obligación específica del sector (por ejemplo, leyes de turismo, normativas de pago).

10.1. Eliminación o devolución tras la rescisión

Tras la rescisión o expiración del Acuerdo, Hotelinking, a elección por escrito del Cliente:

• (a) Eliminar permanentemente todos los datos personales del cliente que obren en su poder o estén bajo su control, o
• (b) Devolver dichos datos al cliente en un formato estructurado, de uso común y legible por máquina (por ejemplo, CSV o JSON), seguido de su eliminación.

Si el cliente no solicita la devolución o la eliminación en un plazo de 30 días tras la rescisión, Hotelinking procederá a la eliminación de conformidad con la sección 10.3 siguiente.

10.2. Asistencia para la exportación de datos

Hotelinking proporcionará asistencia razonable, previa solicitud por escrito realizada antes de la rescisión o dentro del plazo de retención, para exportar los datos personales del cliente. Cualquier asistencia que requiera un esfuerzo personalizado (por ejemplo, reformateo de datos, transferencias masivas o creaciones de API) puede estar sujeta a una tarifa de servicios profesionales acordada mutuamente.

10.3. Plazos de eliminación por defecto

• Sistemas activos: los datos personales del cliente se eliminarán de los sistemas de producción de Hotelinking en un plazo máximo de 30 días tras la finalización del Acuerdo, a menos que la retención sea requerida por ley.
• Copias de seguridad: los datos de las copias de seguridad que contengan datos personales del cliente se eliminarán de forma segura en un plazo de 14 días a partir de su eliminación de los sistemas activos, utilizando las políticas de ciclo de vida de AWS y las prácticas de limpieza de soportes alineadas con las normas NIST SP 800-88.
• Datos anonimizados: los datos no identificables y totalmente anonimizados podrán conservarse indefinidamente con fines analíticos o estadísticos, siempre que no puedan volver a identificarse.

10.4. Conservación exigida por la ley

Si Hotelinking está obligado por ley, reglamento, orden judicial u obligación legal vinculante a conservar algunos o todos los datos personales del cliente, deberá:

• Conservar únicamente los datos estrictamente necesarios para el cumplimiento.
• Aislarlos de cualquier tratamiento posterior (salvo que lo exija la ley).
• Notificar al cliente la conservación, a menos que se le prohíba hacerlo.

10.5. Certificación de eliminación

Previa solicitud por escrito del Cliente, Hotelinking confirmará por escrito que los Datos personales del cliente han sido eliminados de conformidad con esta sección.

11.1. Derecho de auditoría del cliente

El Cliente (o su auditor externo designado, con sujeción a la sección 11.3) tiene derecho a auditar el cumplimiento por parte de Hotelinking del presente DPA y de la legislación aplicable en materia de protección de datos, en la medida en que lo exija la ley y cuando dicha auditoría no pueda realizarse por otros medios disponibles.

Las auditorías pueden incluir:

• Revisar las medidas técnicas y organizativas de Hotelinking.
• La evaluación de las prácticas de tratamiento de datos.
• Verificar el cumplimiento de las obligaciones de seguridad y confidencialidad en virtud del presente DPA.

11.2. Alcance y proceso

Los derechos de auditoría están sujetos a las siguientes condiciones:

• Las auditorías deben realizarse durante el horario laboral habitual y de manera que no perturben las operaciones de Hotelinking.
• El cliente debe notificar por escrito con al menos 30 días de antelación la auditoría solicitada.
• Las auditorías se limitarán a una vez al año, salvo que:
  • Lo exija la ley o el regulador, o
  • Se produzca una violación de la seguridad confirmada que afecte a los datos personales del cliente.
• El alcance de la auditoría debe acordarse mutuamente y no puede incluir datos privados no relacionados, datos de clientes o propiedad intelectual de Hotelinking o de sus otros clientes.

11.3. Uso de auditores externos

Si el cliente contrata a un auditor externo:

• El auditor deberá estar sujeto a las obligaciones de confidencialidad pertinentes.
• Hotelinking podrá oponerse al nombramiento de un auditor si este es un competidor o carece de las credenciales adecuadas, en cuyo caso el cliente deberá seleccionar a otro auditor.

11.4. Alternativas a la auditoría directa

Para reducir el impacto operativo, el Cliente acepta que sus derechos de auditoría puedan cumplirse, a elección de Hotelinking, mediante una o varias de las siguientes opciones:

• Suministro de los informes de auditoría más recientes de Hotelinking realizados por terceros SOC 2 Tipo II, ISO/IEC 27001 o equivalentes.
• Cumplimentación de un cuestionario detallado sobre protección y seguridad de datos.
• Sesión de auditoría en línea o en persona con el responsable de seguridad de la información de Hotelinking para revisar los controles, las políticas y las certificaciones.

Dicha documentación está disponible a través del Centro de confianza de Hotelinking o previa solicitud.

11.5. Coste de las auditorías

A menos que lo exija una autoridad de protección de datos o en respuesta a una infracción confirmada, el cliente correrá con los gastos de la auditoría. Hotelinking se reserva el derecho de cobrar una tarifa razonable por apoyar las auditorías de los clientes que vayan más allá de la diligencia debida estándar o que supongan una carga significativa.

12.1. Ubicación del tratamiento

Hotelinking almacena y trata los datos personales de los clientes principalmente en los centros de datos de Amazon Web Services (AWS) situados en Irlanda (región, EEE).

Cuando los datos deban transferirse fuera del EEE, el Reino Unido o Suiza a países que no hayan recibido una decisión de adecuación, Hotelinking se asegurará de que dichas transferencias se realicen de conformidad con la legislación aplicable en materia de protección de datos.

12.2. Mecanismos de transferencia legales

Si Hotelinking transfiere datos personales de clientes a un tercer país u organización internacional no cubiertos por una decisión de adecuación, dichas transferencias estarán protegidas por una de las siguientes medidas:

• Las cláusulas contractuales tipo (SCC) de la Comisión Europea, adoptadas en virtud de la Decisión de Ejecución (UE) 2021/914.
• El Anexo sobre transferencias internacionales de datos del Reino Unido (Anexo del Reino Unido) u otro mecanismo de transferencia aplicable del Reino Unido.
• El Anexo suizo aprobado por el Comisionado Federal Suizo de Protección de Datos e Información (FDPIC).
• Normas corporativas vinculantes, certificaciones u otras herramientas de transferencia legales, cuando proceda.

12.3. Incorporación de las SCC

Las SCC se incorporan por referencia al presente DPA y se aplican de la siguiente manera:

• El módulo dos (del responsable al encargado) se aplica cuando el cliente es el responsable y Hotelinking es el encargado.
• El módulo tres (del encargado del tratamiento al subencargado del tratamiento) se aplica cuando el cliente es el encargado del tratamiento y Hotelinking actúa como subencargado del tratamiento.

Personalización de las SCC:

• Cláusula 7 (Cláusula de acoplamiento): se aplica.
• Cláusula 9 (Uso de subencargados del tratamiento): se aplica la opción 2 con un plazo de notificación de 20 días (según la sección 7 del presente DPA).
• Cláusula 11: no se aplica.
• Cláusula 17 (Legislación aplicable): legislación irlandesa, a menos que el Cliente especifique otro Estado miembro de la UE.
• Cláusula 18 (jurisdicción): los tribunales de Irlanda, a menos que el cliente esté establecido en otro Estado miembro de la UE, en cuyo caso se aplicarán los tribunales de dicho Estado miembro.

12.4. Transferencias al Reino Unido y Suiza

Cuando los datos personales del cliente estén sujetos al RGPD del Reino Unido o a la DPA suiza:

• Las CCT se aplican con las modificaciones requeridas por el Anexo del Reino Unido o el Anexo de Suiza, respectivamente.
• En el caso del Reino Unido, las referencias al RGPD se interpretarán como referencias al RGPD del Reino Unido.
• En el caso de Suiza, las referencias a las instituciones de la UE se interpretarán de conformidad con la DPA suiza.
• Las disputas estarán sujetas a la jurisdicción de Inglaterra y Gales (para las transferencias del Reino Unido) o a los tribunales suizos competentes.

12.5. Garantías adicionales

Cuando así lo exige la ley o las buenas prácticas (por ejemplo, tras las recomendaciones posteriores al caso Schrems II), Hotelinking implementa salvaguardas adicionales para las transferencias internacionales, incluyendo:

• Cifrado de datos en tránsito y en reposo.
• Restricciones de acceso basadas en el privilegio mínimo.
• Prácticas seguras de autenticación y gestión de claves.
• Obligaciones contractuales con los subencargados del tratamiento para impugnar las solicitudes de acceso de las autoridades públicas y notificarlas a Hotelinking cuando lo permita la ley.

12.6. Objeciones a los mecanismos de transferencia

Si el Cliente determina razonablemente que cualquier mecanismo utilizado por Hotelinking para las transferencias internacionales de datos ya no es válido o suficiente, las partes colaborarán de buena fe para implementar un mecanismo de transferencia alternativo y legal.

13.1. Solicitudes de los interesados (DSR)

Cuando Hotelinking trate los datos personales del cliente, deberá, teniendo en cuenta la naturaleza del tratamiento, proporcionar al cliente una asistencia razonable para responder a las solicitudes de los interesados de ejercer sus derechos en virtud de la legislación aplicable en materia de protección de datos, entre los que se incluyen:

• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión («derecho al olvido»).
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad de los datos.
• Derecho a oponerse al tratamiento.
• Derecho a no ser objeto de decisiones automatizadas, cuando proceda.

Hotelinking no responderá de forma independiente a dichas solicitudes, salvo que así lo indique el Cliente o lo exija la ley.

13.2. Redireccionamiento de solicitudes

Si Hotelinking recibe una solicitud directamente de un interesado y puede identificar razonablemente al Cliente como el responsable del tratamiento pertinente, Hotelinking:

• Reenviará rápidamente la solicitud al Cliente.
• Informará al interesado de que la solicitud debe dirigirse directamente al Cliente.
• Se abstendrá de responder directamente, a menos que así lo exija la ley.

13.3. Herramientas y automatización

Hotelinking proporciona herramientas de autoservicio y funciones administrativas (a través de su plataforma) que los Clientes pueden utilizar para:

• Ver, exportar, eliminar o restringir los datos de los huéspedes.
• Gestionar el acceso de los usuarios y la configuración de retención de datos.
• Configurar mecanismos de consentimiento y lógica de captura de datos (por ejemplo, para GuestMaker o Deskforce).
• Registrar y gestionar las eliminaciones de documentos de identidad (por ejemplo, límite de 48 horas para el almacenamiento de documentos de identidad escaneados en Deskforce).

13.4. Coste y alcance de la asistencia

Hotelinking proporcionará esta asistencia sin coste adicional cuando dicha asistencia:

• Esté incluida en los Servicios; y
• Tiene un alcance y una frecuencia razonablemente limitados.

Cuando la asistencia supere lo que se proporciona normalmente (por ejemplo, exportaciones de datos personalizadas, análisis manuales, mapeo de datos o correspondencia con terceros), Hotelinking se reserva el derecho de cobrar tarifas administrativas razonables, previa notificación.

13.5. Cooperación normativa

Si el Cliente está obligado a consultar o responder ante una autoridad de control en relación con el tratamiento de Datos Personales del Cliente por parte de Hotelinking, Hotelinking deberá:

• Proporcionar información oportuna y relevante sobre sus actividades de tratamiento.
• Cooperar de buena fe para apoyar los esfuerzos de cumplimiento del Cliente.
• Poner a disposición del personal pertinente, si es necesario, para consultas o reuniones reglamentarias.

14.1. Prohibición de Venta

Hotelinking certifica que no vende los datos personales de los clientes a terceros y que no lo hará bajo ninguna circunstancia, ni siquiera a cambio de una contraprestación monetaria u otra contraprestación valiosa, tal y como se define en la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes estadounidenses o internacionales aplicables.

14.2. Sin Publicidad Conductual entre Contextos

Hotelinking no:

• Compartirá los datos personales de los clientes con fines de publicidad conductual en contextos cruzados, publicidad dirigida o elaboración de perfiles en sitios web o servicios no afiliados.
• Utilizará o divulgará los datos personales de los clientes para crear perfiles de consumidores con fines comerciales no relacionados.

14.3. Prohibido el uso fuera del ámbito acordado

Hotelinking no conservará, utilizará ni divulgará los datos personales de los clientes:

• Para ningún fin que no sea el de prestar los Servicios o según lo permita la ley.
• Fuera de la relación comercial directa entre Hotelinking y el cliente.
• Para combinar los Datos personales del cliente con cualquier otro dato personal recopilado de fuentes ajenas al cliente, salvo que el cliente lo autorice expresamente o lo exija la ley.

14.4. Cumplimiento de las leyes de privacidad de los estados de EE.UU.

En la medida en que el tratamiento de los Datos personales del cliente por parte de Hotelinking esté sujeto a la CCPA, la CPRA o leyes estatales similares en los Estados Unidos (por ejemplo, la Ley de Privacidad de Colorado, la CDPA de Virginia):

• Hotelinking actúa como proveedor de servicios (o procesador) tal y como se define en dichas leyes.
• Hotelinking certifica que comprende y cumplirá las restricciones establecidas en esta sección.
• Hotelinking notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de las leyes de protección de datos aplicables de los Estados Unidos.

14.5. Transmisión de obligaciones a subencargados

Hotelinking se asegurará de que todos los subencargados del tratamiento que traten los datos personales del cliente tengan prohibido contractualmente vender o compartir dichos datos en violación de esta sección o de cualquier ley de privacidad aplicable.

15.1. Orden de prelación

En caso de conflicto o inconsistencia entre el presente DPA y cualquier otro acuerdo entre las partes, incluido el Acuerdo o los Términos y condiciones, el orden de prelación será el siguiente:

• Este DPA.
• El Acuerdo o los Términos y condiciones.
• La Política de privacidad de Hotelinking.

Cuando sea aplicable, las Cláusulas Contractuales Tipo (SCC) incorporadas en la Sección 12 prevalecerán sobre todas las demás disposiciones contradictorias del presente DPA o del Acuerdo en la medida en que lo exija la ley.

15.2. Acuerdo completo

El presente DPA, incluidos sus anexos y las SCC incorporadas, constituye el acuerdo completo entre las partes en relación con el tratamiento de datos en virtud del Acuerdo y sustituye a cualquier término de protección de datos anterior.

15.3. Ausencia de terceros beneficiarios

Salvo que se disponga explícitamente en las SCC o en las leyes de protección de datos aplicables (por ejemplo, en beneficio de los interesados), el presente DPA no concede derechos a terceros.

15.4. Modificaciones

Hotelinking podrá actualizar el presente DPA periódicamente para reflejar:

• Cambios en las leyes de protección de datos.
• Actualizaciones de las SCC, el Anexo del Reino Unido o el DPA suizo.
• Mejoras en las prácticas de seguridad o tratamiento de datos de Hotelinking.

Los cambios sustanciales se comunicarán al Cliente con al menos 20 días de antelación por correo electrónico o por el canal de notificación designado. Si el Cliente se opone razonablemente a una actualización sustancial, las partes trabajarán de buena fe para resolver la cuestión. En ausencia de una resolución, el Cliente podrá rescindir los Servicios afectados mediante notificación por escrito antes de la fecha de entrada en vigor de los cambios.

15.5. Legislación aplicable y jurisdicción

El presente DPA se regirá por la legislación española, sin tener en cuenta los principios de conflicto de leyes.

Cualquier controversia que surja de o en relación con este DPA estará sujeta a la jurisdicción exclusiva de los tribunales de Palma de Mallorca, Illes Balears, España, salvo que las SCC o las leyes de protección de datos aplicables (por ejemplo, el artículo 79 del RGPD) exijan lo contrario.

15.6. Divisibilidad

Si alguna de las disposiciones del presente DPA se considerara inválida, ilegal o inaplicable, las demás disposiciones seguirán siendo plenamente vigentes y efectivas, y la parte inválida se interpretará de la forma que mejor se ajuste a su intención original.

15.7. Fuerza mayor

Ninguna de las partes será responsable del incumplimiento o retraso en el cumplimiento debido a acontecimientos que escapen a su control razonable, incluidos, entre otros, casos de fuerza mayor, desastres naturales, acciones gubernamentales o fallos de la red, siempre que la parte afectada lo notifique inmediatamente a la otra y haga todo lo posible por mitigar el impacto.

15.8. Idioma

El presente DPA puede publicarse en varios idiomas. En caso de conflicto o discrepancia, prevalecerá la versión en inglés, salvo que la legislación aplicable exija lo contrario.