Tu confianza es nuestro principal activo Supporting image for section

Tu confianza es nuestro principal activo

Nos comprometemos a procesar tus datos personales con responsabilidad en cada etapa de tu viaje con TravelPerk. Nuestros productos siempre anteponen tu privacidad.

Tus datos. Tus derechos.

Cumplimiento de la legislación de protección de datos
Seguridad
La privacidad como diseño
Tienes el control
Transparencia

Cumplimiento de la legislación de protección de datos

Creemos en la importancia de proteger tu privacidad y respetar el RGPD de la UE y el Reino Unido, la Ley de privacidad del consumidor de California (CCPA) y otras normas de protección de datos aplicables.

  • Nuestro centro de datos se encuentra en la UE (AWS Irlanda – eu-west-1, con un sitio de reserva en AWS Alemania – eu-central-1).
  • Nuestros subencargados situados fuera de la UE/EEE y del Reino Unido cumplen con las últimas Cláusulas Contractuales Tipo (CCT de la UE y del Reino Unido) para la transferencia de datos personales fuera de Europa.
  • Además, establecemos medidas de seguridad adicionales cuando consideramos que las CCT son insuficientes para garantizar la seguridad de las transferencias de datos internacionales.
  • Celebramos Acuerdos de procesamiento de datos con todos los proveedores que tienen acceso a los datos personales que TravelPerk procesa.
  • Te ayudamos a cumplir tus obligaciones con respecto a la protección como responsables de datos personales.
  • Aplicamos medidas técnicas y organizativas con los estándares más exigentes para proteger y asegurar tus datos personales.
  • Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.

Seguridad

Tenemos un programa de seguridad integral especialmente diseñado para garantizar la seguridad de tus datos personales.

  • ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS de Nivel 1 y centro de datos con certificado C5 de BSI (AWS).
  • Cifrado en tránsito y reposo, tanto en la plataforma como en el punto final de TravelPerk.
  • Cortafuegos en la capa de red y de aplicación.
  • Seudonimización de datos cuando es necesario.

Lee nuestro Informe sobre seguridad para recibir más información al respecto. Security Whitepaper.

La privacidad como diseño

Aplicamos estándares de protección de privacidad muy rigurosos en todos los pasos del desarrollo de nuestros productos.

  • olo proporcionamos acceso a los datos personales cuando es «estrictamente necesario».
  • Ofrecemos formación a todos nuestros empleados y contratistas sobre la protección de datos y la seguridad de la información.
  • Recogemos la cantidad mínima de datos personales para posibilitar el uso de nuestra plataforma.
  • Tenemos un equipo que se dedica exclusivamente a revisar la privacidad en TravelPerk.

Tienes el control

Te ponemos fácil mantener tus datos personales siempre actualizados.

  • Ponemos a tu disposición una serie de perfiles de acceso que te permiten controlar el acceso que tienen tus compañeros a tus datos personales.
  • Te ofrecemos las herramientas necesarias para acceder a la información de tu perfil y actualizarla.
  • Te ponemos fácil archivar o borrar los perfiles de usuarios en nuestra plataforma que estén obsoletos.

Transparencia

Siempre te damos toda la información para que tomes la mejor decisión posible.

  • Nuestro Informe sobre privacidad ofrece información detallada sobre cómo procesamos y protegemos tus datos personales. Privacy Whitepaper
  • Nuestro Informe sobre transferencias de datos internacionales resume cómo nuestros clientes pueden utilizar TravelPerk para transferir datos personales fuera de la Unión Europea (UE) o del Espacio Económico Europeo (EEE) de conformidad con la legislación de la UE aplicable, basándose en nuestras bases y medidas de seguridad contractuales, técnicas y organizativas líderes en el sector. International Data Transfers Whitepaper
  • Nuestra documentación relativa a la privacidad es pública para que puedas confiar en nuestras prácticas y procedimientos.
  • Te informaremos puntualmente si nuestras políticas de privacidad sufren modificaciones sustanciales.

Preguntas frecuentes

General
Seguridad técnica, organizativa y física (art. 32 RGPD)
Transferencia de datos
Solicitudes relativas a los datos personales

¿Qué información recopiláis?

Tratamos los siguientes datos para poder ofrecerte nuestros productos y servicios:

  • Datos de identificación, como el nombre completo, la información del documento de identidad o el pasaporte, datos de contacto, fecha de nacimiento, dirección de profesional, nacionalidad/ciudadanía, país de residencia y dirección de correo electrónico, incluyendo los correos electrónicos profesionales con los nombres completos.
  • Tarjetas de afiliación para viajes.
  • Comidas especiales, necesidades especiales, en su caso.
  • Medios de pago.
  • Información sobre reservas y viajes y solicitudes relacionadas.
  • Solicitudes o quejas al servicio de atención al cliente.

Puedes encontrar más información al respecto en nuestro Data Processing Agreement.

¿Eres un encargado o responsable de los datos personales que proporcionamos nosotros, los clientes, durante la prestación de los servicios prestados por tu empresa?

TravelPerk ejerce de encargado de datos cuando procesamos los datos personales de nuestros clientes, ya que organizamos viajes en su nombre.

En el caso de los administradores, visitantes y clientes potenciales, cuando procesamos sus datos directamente, ejercemos de responsables.

¿Dónde almacenáis nuestros datos personales?

Nuestra plataforma está alojada en Amazon Web Services («AWS», con sede en Irlanda, en la Unión Europea). AWS ofrece una disponibilidad y un rango temporal de actividad extremadamente elevados, una amplia gama de funciones y herramientas de seguridad, y está certificado de conformidad con diversas normas, como ISO 27001, ISO 27017 e ISO 27018, SOC 1, SOC 2 y SOC 3, PCI DSS Nivel 1 y C5 de BSI.

¿Cómo puedo conseguir una copia firmada del Acuerdo de procesamiento de datos?

Ponte en contacto con tu administrador de cuentas para pedirle una versión ejecutada del Acuerdo de procesamiento de datos.

¿Está tu organización registrada en la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) o en otras autoridades de protección de datos competentes a efectos de la legislación de protección de datos?

Sí, estamos registrados en las autoridades de control en el Reino Unido (ICO) y España (AEPD), puesto que estamos legalmente obligados a hacerlo.

¿Habéis designado a un Responsable de protección de datos?

Sí. La información de contacto es: Tiffanie Horsfall; dpo@travelperk.com; Avinguda Catedral 6-8 1ª Planta, 08002 Barcelona (España).

¿Qué medidas de seguridad técnicas, organizativas y físicas aplicáis?

Las principales medidas técnicas, organizativas y físicas que se aplican en TravelPerk son:

  1. Cifrado de datos en reposo
  2. Cifrado de datos en tránsito
  3. Escaneo constante de vulnerabilidades
  4. Controles de penetración bianuales
  5. Programa de detección de bugs
  6. Detección avanzada de amenazas a través de AWS GuardDuty
  7. Soporte de SSO basado en SAML
  8. Programas de formación y concienciación
  9. Políticas y procedimientos relacionados con la protección de datos
  10. Control de accesos y gestión de riesgos
  11. CCTV
  12. Control de accesos a los edificios y las salas

Para conocer toda la información actualizada sobre las medidas de seguridad aplicadas en TravelPerk, consulta la siguiente documentación:

¿Los datos se cifran?

Los datos que procesamos se cifran en tránsito y en reposo, tanto en la plataforma como en el punto final dentro de TravelPerk. En este procedimiento se incluye nuestro sitio web, el espacio de trabajo, el cifrado del correo electrónico, las copias de seguridad y el uso de la VPN proporcionada por la empresa TravelPerk para ofrecer acceso en remoto.

¿Los datos se seudonimizan?

La seudonimización se lleva a cabo siempre que se considera necesaria, como para la minimización del tratamiento de datos y la reducción de la duplicación de datos personales.

Puedes encontrar más información al respecto en nuestro Informe sobre privacidad Privacy Whitepaper.

¿Cómo gestionáis las violaciones de datos personales?

Contamos con un procedimiento formal que se aplica junto con el Plan de respuesta a incidentes, pero que es específico exclusivamente para las violaciones de datos personales.

Investigamos, valoramos los riesgos y evaluamos cada situación con las principales partes implicadas para resolver y reducir la probabilidad de que estos vuelvan a producirse. El procedimiento, las violaciones y las valoraciones de riesgos se documentan y se revisan cada 6 meses.

¿Cómo garantizáis que los datos de nuestros clientes sigan siendo confidenciales con aquellos con los que los compartís?

Las personas que procesan datos personales en nombre de TravelPerk están obligadas a firmar contratos que incluyen cláusulas de confidencialidad.

Los terceros que procesan datos personales en nuestro nombre firman acuerdos de protección de datos antes de que empecemos a compartirlos con ellos. Además, se realizan cuestionarios de diligencia debida y evaluaciones de seguridad.

Tenemos un Acuerdo interempresarial de procesamiento de datos con todas nuestras entidades fuera del EEE, para garantizar así que se mantienen la privacidad y la seguridad adecuadas durante el procesamiento de los datos personales.

¿Cuál es vuestra política de conservación de datos?

Nuestra política de conservación de datos describe todas las disposiciones legales al respecto que TravelPerk aplica, como los derechos de obligaciones relativos a los datos de los consumidores. Además, disponemos de calendarios para cada equipo en los que se describen los períodos de conservación de los datos personales procesados para cada una de las actividades empresariales descritas en nuestra Política de privacidad.

Una vez el período de conservación concluye, los correspondientes datos personales se borran.

¿Transferís los datos personales que os proporcionamos nosotros, los clientes, fuera del EEE y a qué países?

Contamos con determinados terceros de confianza a los que recurrimos para ofreceros nuestros servicios en los que, durante nuestra actividad empresarial, se procesan datos personales fuera del EEE. Los países en cuestión son EE. UU., Filipinas, India, Colombia y El Salvador. Consulta nuestra lista de subencargados, donde podrás encontrar más información.sub-processors list

Nuestros empleados también pueden acceder a los datos en países fuera del EEE. También contamos con acuerdos de confidencialidad y acuerdos de intercambio de datos interempresariales para facilitar las transferencias seguras en estos casos.

Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.

¿Cuál es el mecanismo de transferencia de datos que aplicáis en relación con el Capítulo V del RGPD?

Fundamentalmente, nos basamos en la existencia de Cláusulas Contractuales Tipo en los contratos con nuestros subencargados.

Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.

¿Qué evaluaciones de impacto de las transferencias de datos, si las ha habido, se han realizado para evaluar el riesgo de las mismas cuando estas se realizan a un país tercero?

Enviamos cuestionarios de protección de datos a todos nuestros proveedores para hacer una primera evaluación del riesgo de las transferencias y determinar la eficacia de los mecanismos de transferencia que ponemos en marcha (CCT).

Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.

¿Qué medidas complementarias habéis aplicado tras las Recomendaciones 01/2022 del CEPD?

Con base en las respuestas que el proveedor ofrece en nuestro cuestionario de protección de datos, así como en los riesgos que pueden suponer la legislación y las prácticas del país tercero ante posibles solicitudes de divulgación de datos personales, establecemos medidas de seguridad adicionales, que incluyen tanto medidas técnicas y organizativas como salvaguardias contractuales.

Si el país tercero no ofrece una protección esencialmente equivalente, incluso con la aplicación de medidas complementarias, ¿contáis con procedimientos para detener o suspender dichas transferencias?

Nuestro APD dispone de una cláusula contractual de recurso de rescisión del contrato en caso de que se demuestre su incapacidad para proporcionarnos medidas adecuadas para la transferencia de datos internacional. El proceso de supresión/devolución de datos se lleva a cabo como si se tratara del fin natural del contrato. Para cualquier otro caso, existen cláusulas de suspensión de los servicios/transferencias.

Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.

¿Cómo lleváis a cabo la privacidad como diseño?

Nos aseguramos de que la privacidad forme parte de la cultura de TravelPerk garantizando estas medidas:

  • Un programa de formación para todos aquellos que tienen acceso a datos personales.
  • La protección de datos se dirige de arriba hacia abajo, con empleados que llevan a cabo funciones de protección de datos y supervisan los procedimientos aplicados.
  • El responsable de protección de datos está físicamente en la empresa.
  • En la actualidad, estamos trabajando en la automatización de nuestros procesos para permitir la actualización automática de la asignación de datos, los registros de procesamiento, nuestra Política de privacidad y nuestro flujo de trabajo SAR.
  • De este modo garantizamos la responsabilidad en cada fase del tratamiento de datos, desde su recogida hasta su supresión, identificada mediante nuestro mapa de flujo de datos.

¿Cómo puedo borrar mis datos personales de TravelPerk?

  • Los administradores del cliente pueden borrar los datos en directorio Personas que hay en la plataforma. Puedes encontrar más información al respecto aquí.
  • También puedes presentar la solicitud correspondiente dentro de la plataforma a través de nuestro equipo de atención al cliente o enviando un correo electrónico al equipo de privacidad, a privacy@travelperk.com. Atenderemos tu solicitud en el plazo máximo de un mes natural.
  • Si un cliente expresa su deseo de dejar de utilizar nuestros productos y servicios o de cerrar la cuenta de la empresa, procederemos a hacerlo, eliminando a su vez todos los datos personales que la misma contenga.

Es posible que debamos conservar ciertos datos durante un período de tiempo determinado para cumplir con nuestras obligaciones legales, pero estos se eliminarán permanentemente una vez transcurrido dicho plazo.

¿Cómo gestionáis las solicitudes de acceso a los datos personales (SADP)?

Una vez recibamos una petición SADP, se lo notificaremos a nuestro cliente para que actúe como responsable de datos personales.

Tras verificar la identidad del solicitante, le proporcionamos al mismo copias de los datos personales o de la información solicitada a través de una transferencia cifrada.

¿En qué formato respondéis a las SADP?

Las SADP se facilitan en formato PDF y a través de nuestra plataforma de cifrado de extremo a extremo. También enviamos copias de los datos personales del cliente a través de nuestra plataforma de intercambio de archivos cifrados de extremo a extremo para garantizar la mayor seguridad. Atenderemos tu solicitud en el plazo máximo de un mes natural.

Supporting image for section

Ponte en contacto con nosotros

Si tienes alguna duda con respecto a la privacidad en TravelPerk, mándanos un correo electrónico a privacy@travelperk.com.