Acuerdo de tratamiento de datos

El presente acuerdo de tratamiento de datos (“Acuerdo de Tratamiento de Datos”) define las condiciones en las que TravelPerk, S.L.U. ("TravelPerk"), como encargado del tratamiento, trata y protege los datos personales necesarios para la prestación de los Servicios contratados por el Cliente (responsable del tratamiento) con arreglo al Contrato o Contratos suscritos entre TravelPerk y el Cliente ("Contrato").

Al contratar los Servicios, el Cliente acepta y acuerda quedar obligado por el presente Acuerdo de Tratamiento de Datos, que formará parte integrante del Contrato.

RESUMEN DEL ACUERDO DE TRATAMIENTO DE DATOS:

1. DEFINCIONES
2. PAPEL DE LAS PARTES
3. ALCANCE DE LOS SERVICIOS
4. CATEGORÍAS ESPECIALES DE DATOS PERSONALES
5. DETALLES DEL TRATAMIENTO
6. OBLIGACIONES DEL CLIENTE
7. OBLIGACIONES DE TRAVELPERK Y COMUNICACIÓN DE DATOS PERSONALES A PROVEEDORES TERCEROS
8. PREGUNTAS Y COMENTARIOS SOBRE EL PRESENTE ACUERDO DE TRATAMIENTO DE DATOS
9. VALIDEZ LEGAL DEL ACUERDO DE TRATAMIENTO DE DATOS
10. ACUERDO DE TRATAMIENTO DE DATOS COMPLETO Y CAMBIOS ULTERIORES
11. CLÁUSULA SOBRE LA LEY DE PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA
12. LEY APLICABLE Y JURISDICCIÓN COMPETENTE

APÉNDICE 1: INFORMACIÓN RELATIVA AL TRATAMIENTO DE DATOS
APÉNDICE 2: MEDIDAS DE SEGURIDAD ADOPTADAS POR TRAVELPERK

1. DEFINICIONES

1.1 En este Acuerdo de Tratamiento de Datos:

a) "Administrador" hace referencia a los empleados del Cliente de TravelPerk que actúan en representación de dicho Cliente y que tienen derechos de administrador en la plataforma de TravelPerk.

b) "Cláusulas Contractuales Tipo" hace referencia a las cláusulas contractuales tipo de la Comisión Europea que regulan la transferencia de datos personales a encargados del tratamiento establecidos en terceros países de conformidad con la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, o, cuando sea legalmente necesario por los plazos de ejecución establecidos por las autoridades de la UE, de conformidad con la Decisión 2021/914/CE de la Comisión, de 4 de junio de 2021, o de conformidad con cualquier decisión tomada por las autoridades de protección de datos que las modifique o sustituya en cada momento.

c) "Cliente" hace referencia a las empresas, entidades y/o organizaciones que contratan los Servicios de TravelPerk.

d) "Directrices Corporativas Vinculantes" son las políticas de protección de datos personales que permiten a las corporaciones multinacionales, organizaciones internacionales y grupos de sociedades realizar transferencias de datos personales dentro de sus respectivas organizaciones.

e) "EEE" significa el Espacio Económico Europeo.

f) "Filial" hace referencia a cualquier entidad que, directa o indirectamente, controle, sea controlada o esté bajo el control común del Cliente —entendiéndose por "control" la propiedad de una parte mayoritaria de las acciones o participaciones sociales, el capital o los derechos de voto de dicha entidad— o cualquier parte con una participación directa o indirecta en el capital del Cliente.

g) "Legislación de Protección de Datos" hace referencia al Reglamento General de Protección de Datos (RGPD), al Real Decreto español 3/2018 de 5 de diciembre y a las regulaciones sobre protección de datos del Estado miembro del EEE aplicables. Para los Clientes con sede en el Reino Unido, también significará las leyes de protección de datos aplicables en el Reino Unido vigentes en cada momento.

h) "País tercero" significa un país radicado fuera del EEE o un país que no garantice un nivel de protección adecuado conforme a los estándares del EEE.

i) "RGPD" son las siglas del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

j) "RGPD del Reino Unido" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, al ser parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) de 2018.

k) "Servicios" hace referencia a los servicios de viajes de negocios prestados por TravelPerk al Cliente con arreglo al Contrato suscrito, donde el Cliente es el responsable del tratamiento y TravelPerk el encargado del tratamiento. El alcance de los Servicios se describe más ampliamente en la cláusula 3 del presente Acuerdo.

l) "Servicios de Viaje" hace referencia a los servicios relacionados con viajes prestados por terceros, como compañías aéreas, operadores ferroviarios, agencias de alquiler de vehículos, hoteles u otros proveedores de alojamiento ("Proveedores de Servicios de Viaje").

m) "Subencargado" hace referencia a cualquier persona física o jurídica contratada por TravelPerk y autorizada en virtud del presente Acuerdo de Tratamiento de Datos para acceder a datos personales y tratarlos con fines de prestación de los Servicios contratados.

n) "Tarifas de suscripción" hace referencia a las tarifas que paga el Cliente por usar los Servicios. Para mayor claridad, el coste de los viajes u otro tipo de desembolsos no se consideran "tarifas de suscripción".

o) "Usuario" hace referencia a Viajeros y Administradores.

p) "Viajero" hace referencia a los empleados y, si procede, contratistas del Cliente que tienen una cuenta de viajero en la plataforma de TravelPerk y que viajan por motivos de trabajo con viajes reservados a través de dicha plataforma.

q) "Violación de la seguridad de los datos personales" hace referencia a toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma por TravelPerk en relación con la prestación de los Servicios, o la comunicación o acceso no autorizados a dichos datos.

1.2 Los términos "datos personales", "categorías especiales de datos", "tratar/tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control", así como cualquier otro término no definido expresamente en el presente Acuerdo de Tratamiento de Datos, tendrán el mismo significado que el recogido en el RGPD.

2. PAPEL DE LAS PARTES

Las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales con arreglo al presente Acuerdo de Tratamiento de Datos, el Cliente es el Responsable del Tratamiento y TravelPerk es el Encargado del Tratamiento. Cada Parte será responsable del cumplimiento de las obligaciones que respectivamente le correspondan con arreglo a la Legislación de Protección de Datos.

3. ALCANCE DE LOS SERVICIOS

3.1 Descripción general

Los Servicios prestados por TravelPerk a través de su plataforma, que permiten a las empresas buscar, reservar, gestionar, registrar y controlar los gastos de sus viajes de negocios, podrán incluir las siguientes actividades en función de los Servicios contratados por cada Cliente:

a) Crear, mantener y actualizar cuentas de usuario.

b) Gestionar reservas de viajes, procesar pedidos y pagos, proporcionar confirmaciones de reserva, modificar y cancelar reservas.

c) Enviar avisos al Usuario en caso de cancelación, modificación o no presentación.

d) Prestar soporte al Cliente, responder a preguntas, consultas y reclamaciones y gestionar solicitudes especiales.

e) Hacer recomendaciones de reserva a los Usuarios en función de su historial de búsqueda y reservas anteriores.

f) Enviar avisos para recordar a los Usuarios los procesos de reserva no finalizados.

g) Informar a Clientes y Viajeros sobre cualquier actualización de los Servicios, incluyendo nuevas características y funcionalidades.

h) Prestar todos los Servicios contratados por el Cliente en cada momento, como la gestión de viajes de negocios, servicios Premium, PRO y de cancelación flexible, acceso a la API, servicios relacionados con la compensación de CO2, servicios dirigidos a informar al Cliente sobre situaciones de emergencia o riesgo en diferentes países o cualquier otro servicio futuro que pueda contratar el Cliente.

Todos los nuevos servicios ofrecidos por TravelPerk y contratados por el Cliente en los que TravelPerk sea el Encargado del Tratamiento y el Cliente el Responsable del Tratamiento se presumirán incluidos en la definición de "Servicios". TravelPerk tratará los datos personales con las finalidades indicadas arriba, así como con cualquier otra finalidad que se considere necesaria para prestar los Servicios contratados por el Cliente.

3.2 Uso de los Servicios por parte de Menores

3.2.1 Los Servicios no están previstos ni van dirigidos a menores de 18 años ("Menores"). Los Menores no están autorizados a crear una cuenta en TravelPerk ni a reservar Servicios. No obstante lo anterior, en circunstancias excepcionales, los Usuarios autorizados (empleados del Cliente) que necesiten viajar junto con sus hijos podrán también facilitar los datos personales pertinentes de dichos Menores, aunque únicamente en la medida estrictamente necesaria para contratar los Servicios, con la condición de que:

(i) en el caso de menores de 14 años, los Usuarios autorizados pertinentes (adultos) tengan capacidad legal para prestar el consentimiento en nombre de los primeros; y 

(ii) en el caso de menores entre 14 y 18 años, los Usuarios autorizados pertinentes (adultos) obtengan y puedan acreditar el consentimiento dado por los primeros.

3.2.2 El Cliente se compromete a indemnizar y a eximir de responsabilidad a TravelPerk frente a cualquier acción legal y/o extrajudicial derivada de cualquier tratamiento ilegal de los datos personales del Menor.

4. CATEGORÍAS ESPECIALES DE DATOS PERSONALES

4.1 TravelPerk no solicita al Usuario que revele ninguna categoría especial de datos (es decir, datos personales relativos a la salud, vida u orientación sexual, origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical o datos biométricos y genéticos). Los Clientes deberán instruir adecuadamente a los Usuarios para que estos solo revelen a TravelPerk categorías especiales de datos cuando sea estrictamente necesario para que TravelPerk pueda prestar los Servicios.

4.2 TravelPerk puede acceder ocasionalmente a categorías especiales de datos (salud) para gestionar determinadas solicitudes de los Usuarios. Cuando un Usuario revele categorías especiales de datos, la revelación de dichos datos constituirá en sí una acción afirmativa de consentimiento. 

5. DETALLES DEL TRATAMIENTO

5.1 El Apéndice 1 establece la naturaleza, duración y finalidades del tratamiento, los tipos de datos personales que TravelPerk trata y las categorías de interesados cuyos datos personales se tratan.

6. OBLIGACIONES DEL CLIENTE

6.1 Dentro del alcance del Contrato y del uso de los Servicios, el Cliente será responsable de garantizar que el tratamiento de los datos personales tenga lugar en cumplimiento de la Legislación de Protección de Datos aplicable y del presente Acuerdo de Tratamiento de Datos. El Cliente será responsable de garantizar que el tratamiento de los datos personales se efectúa de conformidad con las leyes aplicables y, si procede, de que se ha obtenido el consentimiento necesario por parte de los interesados.

6.2 Para posibilitar la prestación de los Servicios, el Cliente se compromete a poner a disposición de TravelPerk todos los datos personales necesarios para el adecuado funcionamiento de las actividades de tratamiento.

6.3 El Cliente garantiza la exactitud y la calidad de los datos personales facilitados a TravelPerk, así como que han sido recopilados cumpliendo todas las condiciones exigibles de transparencia y legalidad con arreglo a la Legislación de Protección de Datos aplicable, inclusive la obtención de los consentimientos y autorizaciones necesarios.

7. OBLIGACIONES DE TRAVELPERK Y COMUNICACIÓN DE DATOS PERSONALES A PROVEEDORES TERCEROS

7.1 Instrucciones del Cliente

7.1.1 TravelPerk tratará los datos personales únicamente para prestar los Servicios contratados y siguiendo las instrucciones documentadas del Cliente (salvo que alguna regulación aplicable requiera otras actividades de tratamiento complementarias).

7.1.2 Mediante el presente Acuerdo de Tratamiento de Datos, el Cliente autoriza expresamente a TravelPerk a utilizar los datos personales con el fin de realizar reservas, cambios, confirmaciones y cancelaciones y prestar los Servicios contratados por el Cliente en cada momento.

7.1.3 A fin de poder prestar los Servicios, TravelPerk necesitará comunicar datos personales a Proveedores de Servicios de Viaje. Debido al tipo de actividad y de tratamiento de datos personales que realizan algunos Proveedores de Servicios de Viaje, estos serán considerados responsables independientes del tratamiento. En el marco de la prestación de los Servicios, TravelPerk también necesitará comunicar datos personales a otros responsables del tratamiento (proveedores de servicios antifraude, procesadores de pagos, compañías de seguros, etc.) El tratamiento de datos personales estará sujeto a las políticas de privacidad de los respectivos Proveedores de Servicios de Viaje. TravelPerk no incurrirá en responsabilidad por ninguna cuestión derivada del tratamiento de datos personales o del cumplimiento de las disposiciones sobre privacidad y protección de datos por parte de dichos Proveedores de Servicios de Viaje.

7.2 Confidencialidad

TravelPerk garantizará que todo el personal autorizado para tratar datos personales en representación de TravelPerk se haya comprometido a respetar la confidencialidad o esté sometido a una obligación de confidencialidad de naturaleza estatutaria adecuada.

7.3 Seguridad de los datos personales

7.3.1 Cuando los datos personales se traten en sistemas o instalaciones de TravelPerk, esta garantizará la aplicación de las medidas técnicas y organizativas apropiadas para alcanzar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los gastos de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas que entraña el tratamiento.

En la evaluación de la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

7.3.2     Para apoyar el cumplimiento de las obligaciones contraídas en virtud del apartado 7.3.1 anterior, TravelPerk aplicará y mantendrá las medidas de seguridad establecidas en el Apéndice 2.

7.3.3  TravelPerk solo recurrirá a Subencargados que ofrezcan las garantías suficientes en relación con la aplicación de las medidas técnicas y organizativas apropiadas, con el fin de alcanzar un nivel de seguridad adecuado al riesgo.

7.4 Violación de la seguridad de los datos personales

7.4.1 TravelPerk informará sin dilación indebida al Cliente de cualquier violación de la seguridad de los datos personales de la que tenga conocimiento y prestará asistencia al Cliente en el caso de que dicha circunstancia deba notificarse a la Agencia Española de Protección de Datos o a otra autoridad de control competente y, en su caso, a los interesados afectados.

7.4.2 En la medida de lo posible, TravelPerk deberá facilitar al Cliente, como mínimo, la siguiente información:

a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de Interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto del que pueda obtenerse más información;

c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d) describir las medidas adoptadas o que se propone que adopte el Cliente para subsanar la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

7.4.3 Si no fuera posible facilitar simultáneamente la información a la que se refiere el apartado 7.4.2 anterior, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

7.4.4 Toda notificación proporcionada con arreglo a la presente cláusula 7 no se interpretará ni se presumirá como una admisión de culpa o responsabilidad por parte de TravelPerk.

7.5 Subencargados

7.5.1 Por la presente, el Cliente otorga una autorización general a TravelPerk para la contratación de Subencargados para la prestación de los Servicios.

7.5.2 La lista en vigor de los Subencargados contratados por TravelPerk puede obtenerse en cualquier momento enviando un correo a personaldata@travelperk.com. Al contratar los Servicios, el Cliente consiente y autoriza la intervención de los Subencargados incluidos en ese momento en la mencionada lista.

7.5.3 TravelPerk deberá informar al Cliente de cualquier cambio que pretenda realizar con respecto a la incorporación o sustitución de Subencargados, dando de este modo oportunidad al Cliente de oponerse a dichos cambios. El Cliente deberá suscribirse para recibir notificaciones sobre la incorporación de nuevos Subencargados y sobre otros temas relativos a la protección de datos cumplimentando este formulario o mediante cualquier otro mecanismo que TravelPerk comunique oportunamente al Cliente.

7.5.4 Siempre que TravelPerk contrate a un Subencargado, TravelPerk le transferirá y comunicará las obligaciones asumidas por esta en virtud del presente Acuerdo de Tratamiento de Datos, en particular la aplicación de las medidas técnicas y organizativas adecuadas, de forma que el tratamiento cumpla los requisitos establecidos por las regulaciones aplicables.

7.5.5 TravelPerk seguirá respondiendo plenamente del cumplimiento de las obligaciones por parte de los Subencargados, con sujeción a la responsabilidad limitada estipulada en las Condiciones de Uso disponibles en la página web de TravelPerk en su versión vigente en cada momento.

7.6 Transferencias internacionales de datos

7.6.1 TravelPerk o sus Subencargados podrán almacenar y tratar datos personales en terceros países con sujeción a las obligaciones establecidas en el apartado 7.6.2 siguiente para TravelPerk.

7.6.2 Cuando el tratamiento de los datos personales implique el almacenamiento y/o la transferencia de dichos datos a países terceros, TravelPerk establecerá cuantas garantías sean necesarias con arreglo a la Legislación de Protección de Datos para la transferencia legal de datos personales a países terceros, mediante la aplicación de Directrices Corporativas Vinculantes, Cláusulas Contractuales Tipo o cuando la transferencia correspondiente haya sido autorizada por la autoridad de control competente o sea necesaria para la ejecución del Contrato.

7.7 Derechos del interesado

7.7.1 Teniendo en cuenta la naturaleza del tratamiento, TravelPerk asistirá al Cliente proporcionando información y medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, para que el Cliente pueda cumplir su obligación de responder a las solicitudes de los interesados para el ejercicio de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición, portabilidad de los datos y no ser sometido a decisiones automatizadas (incluida la generación de perfiles).

7.7.2  En caso de que un interesado ejerza sus derechos directamente ante TravelPerk y/o un Subencargado autorizado, estos notificarán al Cliente al respecto sin dilación indebida. TravelPerk no responderá al interesado a menos que haya obtenido autorización previa del Cliente. Como excepción a lo anterior, TravelPerk podrá responder a los interesados en el caso de que TravelPerk no haya recibido ninguna instrucción o respuesta del Cliente dentro de los 30 días siguientes a la notificación al Cliente por parte de TravelPerk.

7.7.3  A estos efectos, el Cliente facilitará a TravelPerk un correo electrónico específico para que TravelPerk pueda remitir las eventuales solicitudes de interesados. Esto se deberá efectuar por medio del formulario indicado en el apartado 7.5.3. En caso de que el Cliente no haya indicado a TravelPerk una persona de contacto, TravelPerk notificará la solicitud del interesado a un Administrador.

7.8 Supresión o devolución de datos personales

Una vez finalizada la prestación de los Servicios, TravelPerk, a elección del Cliente, suprimirá, devolverá o anonimizará de forma adecuada todos los datos personales del Cliente y eliminará todas las copias existentes salvo que la ley obligue o autorice a la conservación de dichos datos.

7.9 Cumplimiento, auditorías e inspecciones

TravelPerk pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo de Tratamiento de Datos, así como para permitir y facilitar la realización de auditorías, incluidas inspecciones, por parte del Cliente o de un tercero autorizado por este. Las auditorías e inspecciones correrán por cuenta y cargo del Cliente, excepto cuando tengan un impacto insignificante en el trabajo diario de TravelPerk.

7.10 Otras obligaciones

TravelPerk se compromete a:

a) Ayudar al Cliente a garantizar el cumplimiento de sus obligaciones legales en materia de seguridad del tratamiento, evaluaciones de impacto relativas a la protección de datos y consultas previas.

b) Mantener un registro de las actividades de tratamiento realizadas por cuenta del Cliente.

c) Cooperar, previa petición, con la Agencia Española de Protección de Datos o cualquier otra autoridad de protección de datos en el cumplimiento de sus tareas.

8. PREGUNTAS Y COMENTARIOS SOBRE EL PRESENTE ACUERDO DE TRATAMIENTO DE DATOS

Para cualquier pregunta o comentario sobre este Acuerdo de Tratamiento de Datos, TravelPerk pone a disposición del Cliente la siguiente dirección de correo electrónico: personaldata@travelperk.com.

TravelPerk tiene designado un Delegado de Protección de Datos con el que se puede contactar a través del correo electrónico dpo@travelperk.com

9. VALIDEZ LEGAL DEL ACUERDO DE TRATAMIENTO DE DATOS

El presente Acuerdo de Tratamiento de Datos constituye un acto jurídico válido en el sentido indicado por el art. 28 del RGPD.

Las partes reconocen y acuerdan que el Cliente suscriba el presente Acuerdo de Tratamiento de Datos de forma que sea también aplicable a las Filiales registradas en la cuenta del Cliente en TravelPerk. El Cliente se compromete a informar a las Filiales a este respecto.

El Cliente confirma que cuenta con la autorización de sus Filiales para proporcionar a TravelPerk acceso a datos personales con el fin de que estos sean tratados de acuerdo con el presente Acuerdo de Tratamiento de Datos. El Cliente reconoce que las Filiales estarán en todo caso sujetas a la Política de Privacidad de TravelPerk y al presente Acuerdo de Tratamiento de Datos en su versión vigente en cada momento. El Cliente se compromete a informar a las Filiales a este respecto.

10. ACUERDO DE TRATAMIENTO DE DATOS COMPLETO Y CAMBIOS ULTERIORES

El presente Acuerdo de Tratamiento de Datos contiene y constituye el acuerdo y el entendimiento completo de las partes en cuanto a la función de TravelPerk como Encargado del Tratamiento y, a menos que se haya acordado de otro modo por escrito con el Cliente, sustituye cualquier otro término o acuerdo previo incluido en versiones anteriores de las políticas de privacidad de TravelPerk en relación con el objeto del presente acuerdo.

En el caso de que el Cliente no esté de acuerdo con alguno de los términos establecidos en el presente Acuerdo de Tratamiento de Datos, puede enviar un correo a personaldata@travelperk.com exponiendo sus motivos o propuestas para que TravelPerk pueda valorarlas. Si después de valorar la situación TravelPerk concluye que no puede aceptar la propuesta del Cliente, se pedirá al Cliente que no utilice los Servicios. Este Acuerdo de Tratamiento de Datos puede estar sujeto a actualizaciones periódicas. TravelPerk notificará cualquier cambio o actualización en el Acuerdo de Tratamiento de Datos conforme a lo dispuesto por ley e indicará la fecha de la última revisión al pie del mismo. Puedes solicitar en cualquier momento a TravelPerk una copia de las versiones anteriores del Acuerdo de Tratamiento de Datos.

11. CLÁUSULA SOBRE LA LEY DE PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA

Esta cláusula complementa el presente Acuerdo de Tratamiento de Datos y solo aplica a los residentes en el estado de California (Estados Unidos) en la medida en la que la Ley de Privacidad del Consumidor de California (CCPA) pueda ser aplicable en un momento dado a TravelPerk. Para mayor claridad, TravelPerk procesará los datos personales de los residentes en California de conformidad con lo estipulado en la presente cláusula y en el Acuerdo de Tratamiento de Datos en su conjunto.

"No vender mis datos personales" TravelPerk no vende datos personales a terceros (en el sentido de la Ley de Privacidad del Consumidor de California). Los residentes de California pueden enviar su solicitud a personaldata@travelperk.com.

Los residentes de California pueden ejercer los siguientes derechos:

• Solicitar una copia de la información personal que TravelPerk haya recopilado sobre ellos o revelado en los últimos 12 meses (incluidas categorías de datos personales que TravelPerk haya comunicado a terceros con fines empresariales y categorías de destinatarios de dichos datos). Para atender este tipo de solicitudes TravelPerk procederá primero a verificar la identidad del solicitante.
• Solicitar la supresión de los datos. Los residentes de California tienen derecho a solicitar la supresión de los datos personales que TravelPerk haya recopilado sobre ellos (con sujeción a determinadas excepciones según la CCPA).
• Oponerse a la venta de sus datos personales. Los residentes de California tienen derecho a ordenar a TravelPerk que no venda a terceros, ni ahora ni en el futuro, la información personal que TravelPerk haya podido recopilar sobre ellos.

Los residentes de California tienen derecho a recibir un trato no discriminatorio al ejercer los derechos mencionados arriba.

Para ejercer estos derechos, los residentes de California pueden enviar un correo a personaldata@travelperk.com con el asunto "Solicitud de ejercicio de derechos CCPA". 

12. LEY APLICABLE Y JURISDICCIÓN COMPETENTE

El presente Acuerdo de Tratamiento de Datos se rige por las disposiciones legales españolas y europeas relativas a la protección de datos personales, así como por las resoluciones y directrices de la Agencia Española de Protección de Datos o cualquier otra autoridad de control competente en esta materia. A fin de resolver cualquier controversia surgida en relación con la interpretación y/o aplicación de las disposiciones contenidas en el presente Acuerdo de Tratamiento de Datos, el Cliente y TravelPerk se someten a la jurisdicción exclusiva de los juzgados y tribunales de la ciudad de Barcelona (España), con renuncia expresa a cualquier otra legislación o jurisdicción que pueda corresponder.

APÉNDICE 1: INFORMACIÓN RELATIVA AL TRATAMIENTO DE DATOS

Categorías de interesados:

Los datos personales tratados afectan a las siguientes categorías de interesados:

• Usuarios

Categorías de datos:

Los datos personales tratados afectan a las siguientes categorías de datos:

• Datos identificativos como nombre y apellidos, datos del DNI o pasaporte, datos de contacto, fecha de nacimiento, dirección profesional, país de residencia, nacionalidad, dirección de correo electrónico profesional, nacionalidad
• Tarjetas de afiliación de viaje
• Comidas especiales, necesidades especiales, si las hubiera
• Medios de pago
• Información sobre reservas y viajes y solicitudes asociadas
• Quejas, reclamaciones o solicitudes dirigidas al servicio de atención al cliente

Categorías especiales de datos:

Véase la cláusula 4 anterior

Operaciones de tratamiento:
TravelPerk recopilará, almacenará, utilizará, registrará, estructurará, consultará, modificará, transmitirá, organizará y realizará cualquier operación necesaria con el fin de prestar los Servicios (las finalidades específicas se encuentran descritas en la cláusula 3 anterior). Los datos personales tratados serán objeto de las actividades de tratamiento necesarias para la correcta prestación de los Servicios.

Duración del tratamiento:
Los datos personales serán tratados durante la vigencia de la relación contractual entre TravelPerk y el Cliente y, tras la finalización de dicha relación por cualquier causa, durante los plazos legales de conservación aplicables en cada caso. Los datos personales se eliminarán o, en su defecto, se anonimizarán una vez transcurridos estos plazos.

APÉNDICE 2: MEDIDAS DE SEGURIDAD ADOPTADAS POR TRAVELPERK

Organización de la seguridad de la información	Responsable de la seguridad	TravelPerk ha nombrado a un responsable de seguridad de la información encargado de coordinar y dirigir el programa de seguridad. El programa de seguridad de TravelPerk está supervisado por el equipo directivo.
	Responsabilidad de la protección de datos	TravelPerk ha nombrado a un Delegado de Protección de Datos encargado de coordinar y dirigir el cumplimiento de la protección de datos. El programa de protección de datos de TravelPerk está supervisado por el equipo directivo.
	Sistema de gestión de la seguridad de la información (SGSI)	TravelPerk implementa un SGSI que establece políticas, procedimientos y mejoras continuas del programa de seguridad.
	Funciones y responsabilidades de seguridad	TravelPerk cuenta con un equipo de profesionales especializados en seguridad de la información. Los contratos de trabajo de todos los empleados y contratistas implicados establecen obligaciones de confidencialidad.
	Programa de gestión de riesgos	TravelPerk tiene una política de seguridad de la información basada en el control de riesgo y realiza evaluaciones de riesgo de los activos clave de la compañía.
Gestión de activos	Inventario de activos	TravelPerk lleva un inventario de activos de equipos informáticos y sistemas de tratamiento de la información. El uso de los activos se rige por la Política de Uso Aceptable de TI.
Seguridad de los recursos humanos	Confidencialidad, formación y sensibilización	TravelPerk imparte periódicamente formación personalizada de sensibilización sobre seguridad de la información y protección de datos a todos los empleados y contratistas relevantes. Todos los contratos de empleados y contratistas incluyen cláusulas de confidencialidad.
Seguridad física y medioambiental	Acceso físico a las instalaciones	El entorno de producción de TravelPerk está alojado en centros de datos con certificación ISO 27001 y SOC 2, por lo que cuenta con estrictos controles y un acceso extremadamente limitado.
	Acceso físico a las oficinas	El acceso a las oficinas de TravelPerk está restringido por medios tales como llaves o tarjetas de acceso, CCTV y medidas similares.
Seguridad operativa	Anti Malware	TravelPerk mantiene controles antimalware para puntos de conexión y para su aplicación de viajes de negocios.
	Prevención de pérdida de datos	TravelPerk utiliza mecanismos para detectar, controlar y minimizar lugares de almacenamiento de datos personales. Se realizan copias de seguridad de todos los datos personales y de negocio.
	Encriptación	TravelPerk encripta los datos personales y confidenciales tanto en reposo como en tránsito para preservar la confidencialidad.
	Seguridad de la red	El acceso a la red corporativa está restringido únicamente a los dispositivos corporativos y está protegido por contraseña. Todos los cambios en la configuración de seguridad de la red están sujetos a procedimientos de control de cambios.
Control de acceso	Política de acceso	El acceso se proporciona exclusivamente en la medida necesaria para el desempeño de la función correspondiente.
	Principio de mínimo privilegio	Se otorga el nivel de privilegios mínimo necesario para que el personal autorizado pueda desempeñar sus funciones y evitar así privilegios excesivos.
	Gestión de identidades y accesos	TravelPerk adopta un sistema IAM para centralizar, limitar y gestionar rápidamente el acceso de empleados y contratistas.
Gestión de incidentes	Detección, notificación y respuesta a incidentes	TravelPerk cuenta con un método definido y repetible de respuesta a incidentes conforme a las mejores prácticas y en cumplimiento de las obligaciones legales aplicables. Se han establecido medidas técnicas y operativas para detectar y notificar a tiempo cualquier incidente.
Gestión de riesgos de terceros	Proveedores	Los proveedores de TravelPerk son analizados por los equipos jurídicos y de seguridad, utilizándose medidas adecuadas como el establecimiento de obligaciones contractuales y la supervisión técnica.
	Subencargados del tratamiento de datos	TravelPerk realiza una auditoría de seguridad de todos los subencargados del tratamiento de datos, y la decisión final de designación de un posible subencargado toma en consideración todos los riesgos identificados. TravelPerk supervisa constantemente la seguridad técnica de los subencargados del tratamiento de datos y trabaja con el subencargado correspondiente para subsanar cualquier cuestión a la que se deba prestar atención.