Política de procesamiento y transferencia de datos para socios, abril de 2021

Versión: 1.1, Fecha de entrada en vigor: 9 de octubre de 2019

El presente Anexo de procesamiento de datos ("Anexo") forma parte integrante del acuerdo de cooperación, de los Términos y condiciones generales disponibles en https://www.mews.com/en/terms-conditions/partners-july-2020 ("Términosy condiciones generales") o de cualquier otro acuerdo (Términos y condiciones generales o cualquier otro acuerdo en lo sucesivo también denominado "Acuerdo") celebrado entre Mews' Afiliado, tal y como se define en el Acuerdo respectivo ("Mews") y tú ("Socio"). Este Apéndice complementa los periodos de validez del Acuerdo concluido entre Mews y el Socio; en caso de conflicto entre los periodos de validez del Acuerdo y del presente Apéndice, prevalecerá el presente Apéndice, a menos que las Partes acuerden explícitamente por escrito en el Acuerdo excepciones específicas al presente Apéndice.

A efectos del presente Apéndice, los términos en mayúsculas tendrán los siguientes significados.  Los términos en mayúsculas no definidos de otro modo en este documento tendrán el significado que se les da en el Acuerdo o en los Términos y condiciones generales.

"Afiliada(s)" significa, con respecto a una entidad, que la "Afiliada" es cualquier otra entidad que directa o indirectamente controle, esté controlada por, o bajo control común directo o indirecto de la entidad inicial. Una entidad controla a otra entidad si ésta, directa o indirectamente, posee (i) el 20% o más de las acciones con derecho de voto ordinario para la elección de consejeros de dicha entidad; o (ii) el poder de dirigir o provocar la dirección de la gestión o las políticas de la otra entidad, ya sea mediante la propiedad de valores con derecho a voto, por contrato o de otro modo;

"Usuario autorizado" significa una persona autorizada por el Socio a tener acceso a la Plataforma Mews y/o a la Cuenta Mews y a proporcionar instrucciones y recibir comunicaciones de Mews, independientemente de que sea a través de la Plataforma Mews , la Cuenta Mews , por correo electrónico o de cualquier otro modo;

"Controlador" significa una persona o entidad que determina los fines y medios del Tratamiento de Datos Personales;

"Legislación sobre protección de datos" significa el RGPD, y/o cualquier otra legislación sobre privacidad de datos aplicable del país de registro del Afiliado de Mews , tal y como se define en el Contrato;

"Sujeto de los datos" significa la persona identificada o identificable a la que se refieren los datos personales;

"RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);

"Datos Personales" significa cualquier información relacionada con (i) una persona física identificada o identificable y/o, (ii) una entidad jurídica identificada o identificable (cuando dicha información esté protegida por la Legislación de Protección de Datos de forma similar a los datos que identifican a una persona viva); que, a efectos de este Anexo, incluirá datos personales de los Huéspedes, es decir, datos contenidos en los formularios de contacto, información de contacto e identificación, incluyendo nombre, cargo, dirección de correo electrónico y dirección, números de DNI y/o pasaporte, detalles de pago, preferencias de los Huéspedes y detalles de los servicios del Socio y datos de conexión y ubicación limitados (ciudad). Los Datos Personales no contienen categorías de datos especiales.

Por "Tratamiento" se entiende cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción; para evitar dudas, el tratamiento de información distinta de los Datos Personales (por ejemplo, datos anonimizados) con el fin de mejorar los servicios de Mews no entra en el ámbito de aplicación del presente Anexo;

"Encargado del tratamiento" o "Subencargado del tratamiento" significa una persona o entidad que trata Datos Personales por cuenta de un Controlador y/o Encargado del tratamiento, según proceda;

"Servicios" , a efectos del presente Anexo, significa los servicios prestados por Mews al Socio en virtud del Contrato;

"Cláusulas Contractuales Tipo" se refiere a las cláusulas contractuales tipo (procesadores) para la transferencia de datos personales establecidas en la Decisión de la Comisión de la UE de 5 de febrero de 2010 (2010/87/CE), tal y como se establece en el Anexo nº 1 del presente documento o cualquier otra cláusula contractual tipo que adopte la Comisión Europea en el futuro (si procede);

"Autoridad de Control": una autoridad pública independiente establecida por un Estado miembro de la UE u otro país en virtud del RGPD o de una ley correspondiente.

2.1 Tratamiento de datos personales

Mews y el Socio reconocen que el Socio es el Controlador o el Procesador principal con respecto al Procesamiento de los Datos Personales relevantes. Mews tratará los Datos Personales únicamente como procesador o subprocesador (según corresponda al uso de los Servicios por parte del Socio) en nombre del Socio y sólo en la medida y de la manera en que sea necesario para los fines especificados y de conformidad con el presente Anexo, el Contrato o según las instrucciones del Socio en cada momento. Cuando Mews considere razonablemente que una instrucción de un Socio es contraria a: (i) las leyes y reglamentos aplicables o (ii) las disposiciones del Contrato o del Addendum, Mews hará todo lo razonablemente posible para informar al Socio y está autorizado a aplazar la ejecución de la instrucción pertinente hasta que haya sido modificada por el Socio en la medida requerida por Mews para satisfacer que dicha instrucción es legal, o sea mutuamente acordada por el Socio y Mews como legal.

3.1 Mews' Tratamiento de Datos Personales

Mews tratará los Datos Personales como Información Confidencial y sólo Procesará Datos Personales en nombre del Socio y de acuerdo con sus instrucciones documentadas para los siguientes fines: (i) Procesamiento de acuerdo con el Contrato; (ii) Procesamiento iniciado por Usuarios Autorizados en su uso de los Servicios; y (iii) Procesamiento para cumplir con otras instrucciones razonables documentadas proporcionadas por el Socio (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con los periodos de validez del Contrato. Por la presente, el Socio da instrucciones a Mews para que informe a los Sujetos de los Datos sobre el Tratamiento de sus Datos Personales en nombre del Socio por correo electrónico y sobre la posibilidad de utilizar los servicios de Mews para gestionar los datos, reservas y servicios vinculados de los Sujetos de los Datos. Mews llevará un registro de las operaciones de Tratamiento realmente realizadas.

3.2 Medidas técnicas y organizativas

Mews mantendrá e implementará medidas técnicas y organizativas razonables y adecuadas destinadas a proteger los Datos Personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, y en relación con la seguridad de los Datos Personales y las plataformas utilizadas para prestar los Servicios, tal y como se describe en la Legislación de Protección de Datos. En la implementación de dichas medidas, Mews tendrá derecho a tener en cuenta la práctica estándar actual para determinar lo que es razonable, así como la proporcionalidad del coste de implementación de dichas medidas cuando se sopesa con el daño potencial a los Sujetos de los datos relevantes contra los que se pretende proteger con la implementación de dichas medidas.

3.3 Personal

Mews se asegurará de que su Personal involucrado en el Tratamiento de Datos Personales esté informado de sus obligaciones y responsabilidades en virtud del presente documento, haya recibido la formación adecuada y esté informado de la naturaleza confidencial de los Datos Personales.  Por "Personal" se entenderá aquellos empleados y/o agentes, consultores, subcontratistas u otros terceros: (i) contratados por Mews para que pueda cumplir sus obligaciones para con el Socio en virtud del Acuerdo o el Addendum, y (ii) sujetos a obligaciones de confidencialidad en un grado sustancialmente idéntico al establecido en el Acuerdo y el Addendum. Mews se asegurará de que el acceso del Personal a los Datos Personales se limite a aquellos que presten Servicios de conformidad con el Acuerdo, y las obligaciones de confidencialidad del Personal seguirán vigentes tras la finalización del engagement del Personal.

3.4 Notificaciones.

Mews lo notificará por escrito al Socio tan pronto como sea comercialmente razonable:

3.4.4.1 de cualquier comunicación recibida de un individuo relacionada con (i) los derechos de un individuo a acceder, modificar, corregir, borrar o bloquear sus Datos Personales; (ii) el derecho de un individuo a rectificar, restringir o borrar sus Datos Personales, a la portabilidad de los datos, a oponerse al Tratamiento y a no estar sujeto a la toma de decisiones automatizada; y (iii) cualquier queja sobre el Tratamiento de Datos Personales por parte del Socio; en la medida en que no lo prohíba la ley, de cualquier citación u otra orden o procedimiento judicial o administrativo que solicite el acceso a, o la divulgación de Datos Personales; 3.4.2 en la medida en que no lo prohíba la ley, de cualquier queja, notificación u otra comunicación relacionada con el cumplimiento por parte del Socio de la ley de protección de datos y privacidad y el Tratamiento de Datos Personales. Mews proporcionará al Socio cooperación y asistencia comercialmente razonables (a expensas del Socio) en relación con dicha queja, notificación o comunicación; y 3.4.3 de una violación material de la seguridad de los Servicios que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a Datos Personales de los que tengamos conocimiento, de conformidad con la legislación aplicable ("Violación de la seguridad"). Mews hará esfuerzos razonables para identificar la causa de dicha Violación de la Seguridad y tomará las medidas que sean necesarias y razonables, y que sean aceptables para el Socio, con el fin de remediar la causa de dicha Violación de la Seguridad en la medida en que el remedio esté dentro del control razonable de Mews. Las presentes obligaciones no se aplicarán a los incidentes causados por el Socio.

3.5 Sin acuse de recibo

El Socio acepta que la obligación de Mewsde notificar la Violación de la Seguridad no es ni será interpretada como un reconocimiento por parte de Mews de cualquier culpa o responsabilidad de Mews con respecto a dicha Violación de la Seguridad.

3.6 Devolución y eliminación de datos

Sin perjuicio de las limitaciones establecidas en la legislación aplicable, Mews devolverá al Socio todos los Datos Personales persistentes (si no se han eliminado ya de conformidad con la legislación aplicable) siguiendo procedimientos estandarizados y en plazos comercialmente razonables.

3.7 Mews Cumplimiento de la normativa

Mews cumplirá la Legislación sobre Protección de Datos aplicable a sus propias operaciones y a la prestación de los Servicios en virtud del Contrato, así como sus obligaciones en virtud del presente Addendum.

3.8 Intercambio de datos

Al habilitar o aceptar el intercambio de datos dentro de la cuenta Mews con terceros, el Socio da instrucciones a Mews de conformidad con el Art. 28 (3)a) RGPD de proporcionar acceso a todos los Datos Personales y a cualquier otro dato procesado dentro de la cuenta Mews del Socio a dichos terceros. El Socio es responsable de obtener todos los consentimientos necesarios de los Sujetos de los datos o de cualquier otro tercero con el intercambio de datos, tal y como exige la Legislación de Protección de Datos aplicable. El Socio indemnizará, defenderá y eximirá de toda responsabilidad a Mews y a sus Afiliados frente a cualquier reclamación presentada por el Sujeto de los datos o cualquier tercero, derivada de la violación de esta cláusula, incluidas todas las responsabilidades, daños, pérdidas, costes y gastos.

3.9 Integraciones

Mews La plataforma ofrece varias integraciones. Al conectarse o suscribirse a la integración respectiva a través de la cuenta Mews , el Socio da instrucciones a Mews de conformidad con el Art. 28 (3)a) RGPD para proporcionar acceso a los datos personales procesados en la cuenta Mews del socio al socio de integración respectivo, según sea necesario para la interoperabilidad de los servicios o productos del socio de integración con los servicios de Mews.

3.10 Auditoría

El Socio tendrá derecho a realizar una auditoría para verificar el cumplimiento por parte de Mewsde sus obligaciones establecidas en el Art. 28 RGPD y en este Anexo. Mews permitirá al Socio llevar a cabo la auditoría en las siguientes condiciones:

1. el Socio solicita a Mews que realice la auditoría mediante una notificación por escrito con al menos 30 (treinta) días de antelación;
2. el Socio especificará el orden del día de dicha auditoría en la notificación prevista en (i);
3. la auditoría no tendrá lugar más de una vez al año;
4. todos los costes y gastos vinculados correrán a cargo del Socio y se reembolsarán a Mews previa solicitud; y
5. la auditoría no durará más del equivalente a 1 día laborable (8 horas) del representante de Mews.

En caso de que el Socio solicite la auditoría a través de terceros independientes -auditor externo autorizado-, Mews podrá oponerse a que un auditor externo autorizado designado por el Socio lleve a cabo la auditoría si el auditor, en opinión razonable de Mews, no está debidamente cualificado o no es independiente, es un competidor de Mews, o es manifiestamente inadecuado por cualquier otro motivo. Cualquier objeción de este tipo obligará al Socio a nombrar a otro auditor. En caso de que el Socio requiera más de una auditoría en un año natural, deberá obtener permiso previo por escrito de Mews y correrá con los costes vinculados a dichas auditorías y reembolsará a Mews todos los costes razonablemente incurridos por dichas auditorías. A petición del Socio, Mews le proporcionará el coste estimado en el que espera incurrir durante dicha auditoría, de acuerdo con el alcance especificado en la agenda proporcionada por el Socio.

4.1 Tratamiento de datos personales por parte del socio

El Socio, en su uso de los Servicios, Procesará los Datos Personales de acuerdo con los requisitos de la Legislación de Protección de Datos. Para evitar cualquier duda, el Socio garantiza que sus instrucciones para el Procesamiento de Datos Personales cumplirán con la Legislación de Protección de Datos y que no realizará ninguna instrucción u orden que ordene a Mews llevar a cabo ninguna acción o curso de acción que sea ilegal o que de otro modo no cumpla con la Legislación de Protección de Datos. El Socio será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Socio adquirió los Datos Personales.

4.2 Cumplimiento del socio

Además de las obligaciones del Socio indicadas en el Contrato, el Socio es responsable de (i) la integridad, seguridad, mantenimiento y protección adecuada de los Datos Personales, y (ii) garantizar su cumplimiento de cualquier ley y normativa aplicable en materia de privacidad, protección de datos y seguridad relativa a: (a) su Tratamiento de los Datos Personales; (b) su uso de los Servicios; y (c) todos y cada uno de los requisitos de registro o notificación del Tratamiento de datos a los que esté sujeto el Socio en virtud de la legislación aplicable.

4.3 Notificaciones

El Socio acepta realizar las notificaciones necesarias y obtener los consentimientos y derechos necesarios de las personas en relación con Mews' aprovisionamiento de cualquier Servicio al Socio. Cuando Mews reciba una comunicación descrita en la subsección 3.4.1 o 3.4.3 y notifique al Socio de dicha comunicación, es responsabilidad del Socio responder y tomar cualquier otra acción apropiada con respecto a la comunicación. El Socio se compromete a notificar inmediatamente a Mews cualquier uso no autorizado de los Servicios o de la cuenta del Socio o cualquier otra violación de la seguridad que afecte a los Servicios.

4.4 Medidas técnicas y organizativas

El Socio es el único responsable de la implementación y el mantenimiento de las medidas de seguridad y otras medidas técnicas y organizativas adecuadas a la naturaleza y el volumen de los Datos Personales que el Socio almacena o procesa de otro modo utilizando los Servicios. El Socio también es responsable del uso de los Servicios por parte de cualquiera de sus empleados, de cualquier persona a la que el Socio autorice a acceder o utilizar los Servicios, y de cualquier persona que obtenga acceso a sus Datos Personales o a los Servicios como resultado de su incumplimiento de las precauciones de seguridad razonables, incluso si dicho uso no fue autorizado por el Socio.

5.1 Cooperación entre socios y Mews

El Socio y Mews acuerdan cooperar de un modo comercialmente razonable según se requiera razonablemente para proteger los Datos Personales conforme a las leyes aplicables, el artículo 35 y 36 del RGPD para llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por parte del Socio, en la medida en que el Socio no tenga acceso de otro modo a la información relevante, y en la medida en que dicha información esté disponible en Mews. El Socio debe cooperar con Mews' en la investigación razonable de las interrupciones del Servicio, problemas de seguridad y cualquier sospecha de Violación de la Seguridad. El socio proporcionará asistencia razonable a Mews en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con esta sección, en la medida en que lo exija el RGPD o la legislación aplicable.

5.2Mews' Ayuda con los requisitos de cumplimiento del socio

Durante el periodo de validez del Acuerdo del Socio con Mews, el Socio puede solicitar que Mews preste asistencia a los esfuerzos del Socio para cumplir con las obligaciones del Socio en virtud de una ley y normativa aplicable sobre protección de datos o privacidad, siempre que (i) dicha asistencia solicitada sea relevante para los Servicios que soportan el Tratamiento de Datos Personales, (ii) dicha asistencia solicitada sea comercialmente razonable y proporcionada al objetivo del ejercicio para el que se solicita la ayuda de Mews , y (iii) si MEWS Systems acepta prestar dicha asistencia, que todos sus costes y gastos vinculados (incluido el coste del tiempo de su personal) correrán a cargo del Socio y se reembolsarán a Mews previa solicitud.

6.1 En relación con terceros o la subcontratación del Tratamiento de Datos Personales, Mews sólo podrá autorizar a un tercero (Subencargado del Tratamiento) a Tratar los Datos Personales con el consentimiento previo del Socio y siempre que las disposiciones relacionadas con el tratamiento de datos y la protección de datos en el contrato del Subencargado del Tratamiento con respecto a los Datos Personales sean en términos sustancialmente iguales a los establecidos en este Anexo, siempre que el contrato del Subencargado del Tratamiento con respecto a los Datos Personales termine automáticamente al rescindirse el Acuerdo por cualquier motivo. A efectos del presente documento, el Socio aprueba a las siguientes personas mediante la firma de este Anexo: (i) los Subprocesadores enumerados en el Anexo nº 2 del presente documento, (ii) las Filiales de Mewsy (iii) cualquier Subprocesador autorizado por el Socio a través de su Usuario Autorizado mediante la autorización de una integración con los Servicios de Mews a través de la Cuenta de MEWS o de otro modo. Mews podrá, durante el periodo de validez del acuerdo, implicar a nuevos Subencargados en el Tratamiento, siempre que dichos Subencargados sólo accedan y utilicen los Datos Personales en la medida necesaria para cumplir las obligaciones que le hayan sido subcontratadas.

6.2 Derecho de oposición para nuevos subprocesadores

El Socio puede oponerse a que Mewsutilice un nuevo Subprocesador notificándolo por escrito a Mews dentro de los diez (10) días laborales siguientes a la recepción de la notificación de Mewsy especificando las deficiencias. En caso de que el Socio se oponga a un nuevo Subencargado del tratamiento, Mews se esforzará por añadir salvaguardas adicionales (que cubran las deficiencias especificadas) o cambiar el Subencargado del tratamiento (frente al Subencargado); si Mews Systems no pudiera hacerlo, Mews realizará esfuerzos razonables para poner a disposición del Socio un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o uso de los Servicios por parte del Socio para evitar el Tratamiento de Datos Personales por parte del nuevo Subencargado objetado, sin que ello suponga una carga injustificada para el Socio. Si Mews no puede poner a disposición dicho cambio en un periodo de tiempo razonable, que no excederá de treinta (30) días, el Socio podrá rescindir únicamente la parte de los Servicios que Mews no pueda prestar sin utilizar el nuevo Subprocesador objetado, notificándolo por escrito a Mews. Mews reembolsará al Socio cualquier tasa prepagada que cubra el resto del periodo de validez del Contrato tras la fecha efectiva de rescisión con respecto a dicha parte de Servicios rescindida, lo que representará el único y exclusivo recurso del Socio en relación con la introducción de un nuevo Subprocesador.

6.3 Responsabilidad civil

Mews será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que Mews sería responsable si realizara los servicios de cada Subprocesador directamente en virtud de los términos de este Apéndice, salvo que se establezca lo contrario en el Acuerdo.

7.1 Transferencia de datos

Las Partes acuerdan que los Datos Personales pueden transferirse de la Unión Europea/Espacio Económico Europeo a un tercer país, sólo si se da una de las siguientes condiciones: (a) existe una decisión aplicable de la Comisión Europea que establezca que el tercer país garantiza un nivel de protección adecuado; o (b) la transferencia puede tener lugar porque Mews ha proporcionado las garantías adecuadas de acuerdo con el Art. 46 del RGPD, y a condición de que se disponga de derechos exigibles de los sujetos de los datos y de recursos jurídicos efectivos para los mismos; o (c) las excepciones para situaciones específicas en virtud del Art. Se aplica el artículo 49 del RGPD. A efectos del Art. 7.1 de este Addendum, las Cláusulas Contractuales Tipo, que constituyen el Anexo nº 1 (Cláusulas Contractuales Tipo) de este Addendum se consideran garantías adecuadas. Por la presente, el Socio autoriza a Mews a suscribir las Cláusulas Contractuales Tipo con el fin de transferir Datos Personales a terceros países.

7.2 Cláusulas contractuales tipo

Para permitir la transferencia de datos desde/hacia terceros países a/desde la Unión Europea/Espacio Económico Europeo, las Cláusulas Contractuales Tipo (Anexo nº 1 a este Addendum) se incorporan a este Addendum y formarán parte inseparable del mismo.

8.1 El Socio acepta que cualquier Usuario Autorizado del Socio pueda ser contactado y tendrá derecho a recibir cualquier comunicación relacionada con este Anexo.

9.1 Mews reconoce que actúa como Proveedor de servicios con respecto a cualquier Información personal del socio que procese en virtud del presente documento.

9.2 Salvo que lo prescriba la legislación aplicable o lo acuerden expresamente las Partes, Mews no podrá:

• vender información personal del socio;
• retener, utilizar o revelar los Datos Personales del Socio para cualquier fin que no sea el fin específico de prestar los Servicios de conformidad con el Contrato;
• conservar, utilizar o divulgar los Datos Personales del Socio para un fin comercial distinto del especificado en el Contrato; o
• conservar, utilizar o divulgar los Datos Personales del Socio fuera de la relación comercial directa entre Mews y el Socio.

9.3 Mews certifica que comprende y cumplirá las responsabilidades y restricciones impuestas por este Anexo, la CCPA y otras leyes y normativas aplicables sobre protección de datos.

9.4 En esta Cláusula 9:

9.4.1 "CCPA" se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California §§1798.100 y siguientes, incluidas las enmiendas y normativas de implementación que entren en vigor en la fecha de entrada en vigor de este Apéndice o con posterioridad a la misma; y

9.4.2 "Datos Personales del Socio" significa cualquier dato del Socio que comprenda "información personal" tal y como se define en la CCPA;

9.4.3 "Proveedor de servicios" tiene el significado establecido en la sección 1798.140(v) de la CCPA.

10.1 Esta Cláusula 10 sólo se aplica si la Parte contratante del Contrato es Mews con sede social en los Estados Unidos de América.

10.2 COPPA

Proteger la intimidad de los niños es especialmente importante. La Ley de Protección de la Privacidad Infantil en Internet ("COPPA", por sus siglas en inglés) exige que los proveedores de servicios en línea obtengan el consentimiento de los padres antes de recopilar a sabiendas información personal identificable en línea de niños menores de 13 años en los Estados Unidos de América. Mews respeta el rol de los padres o tutores en la supervisión de las actividades en línea de sus hijos. En consecuencia, Mews limita su recopilación de información personal de menores a no más de lo razonablemente necesario para participar en los Servicios y para mejorarlos en el futuro. Mews no recopila ningún Dato Personal de niños que no sea el establecido en el Acuerdo. Mews se reserva el derecho a negarse a Procesar los datos suministrados por el Socio que infrinjan esta Cláusula 10.2.

10.3 Uso de los datos del Socio por parte de terceros

A menos que se acuerde lo contrario, todos los datos proporcionados a Mews por el Socio son Información Confidencial y Mews no utilizará ningún dato para ningún otro fin que no sea el ejercicio de sus derechos y el cumplimiento de sus obligaciones en relación con la prestación de los Servicios. El Socio reconoce que, con el fin de llevar a cabo adecuadamente los Servicios, la información facilitada a Mews por el Socio se pondrá a disposición de terceros con el fin de permitir la prestación de los Servicios. El Socio reconoce que dichos terceros no son representantes de Mews y que Mews no es responsable de los actos y omisiones de dichos terceros. Mews exige a los terceros a los que se ponga a disposición cualquier Dato Personal del Socio que apliquen el mismo nivel de protección de la privacidad que se establece en este Anexo y que exige la legislación aplicable. La forma en que pueden utilizarse los datos de los Socios está cubierta por la política de privacidad de Mews , que se encuentra en https://Mews Systems.com/privacy-policy/.

11.1 Terceros beneficiarios

Los Sujetos de los datos son los únicos terceros beneficiarios de las Cláusulas Contractuales Tipo, y no hay otros terceros beneficiarios del Acuerdo y del presente Apéndice. No obstante lo anterior, el Acuerdo y los periodos de validez de este Apéndice se aplican únicamente a las partes y no confieren ningún derecho a ninguna filial del Socio, usuario final del Socio o cualquier tercero Sujeto de los datos.

11.2 Ley aplicable

Nada de lo dispuesto en el presente Addendum modifica la sección de Legislación Aplicable del Contrato, que, para evitar cualquier duda, regirá todas las reclamaciones presentadas en virtud del Contrato y del presente Addendum. En la medida en que las Cláusulas Contractuales Tipo sean aplicables y en la medida en que un Sujeto de los datos presente una reclamación de conformidad con la cláusula 3.2 de las Cláusulas Contractuales Tipo en relación con el tratamiento de Datos Personales por parte de Mews , las Cláusulas Contractuales Tipo se regirán e interpretarán de conformidad con la Cláusula 9 (Ley aplicable) de las Cláusulas Contractuales Tipo.

11.3 Limitación de responsabilidad

Los recursos del Socio, incluidos los de sus Afiliados, y la responsabilidad de Mews, derivados o relacionados con el presente Addendum y las Cláusulas Contractuales Tipo estarán sujetos a las limitaciones de responsabilidad y exenciones de responsabilidad estipuladas en el Acuerdo o, si no existen limitaciones de responsabilidad estipuladas en el Acuerdo, las Partes acuerdan y declaran que el daño total que pueda derivarse del incumplimiento del presente Addendum y/o de las Cláusulas Contractuales Tipo no superará los diez mil euros.

11.4 Periodo de validez

Tras la finalización del Acuerdo, este Anexo continuará en vigor hasta que Mews deje de procesar Datos Personales en nombre del Socio.

11.5 Terminación

Mews puede rescindir este Anexo si Mews ofrece mecanismos alternativos al Socio que cumplan con las obligaciones de las leyes de privacidad de datos aplicables.

11.6 Contrapartidas

Este Addendum puede firmarse en varios ejemplares, que en conjunto se considerarán un solo original.

A efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE para la transferencia de datos personales a procesadores establecidos en terceros países que no garanticen un nivel adecuado de protección de datos

La entidad socia que es parte del Anexo al que se adjuntan estas Cláusulas Contractuales Tipo. 

Nombre de la organización exportadora de datos:

Dirección:

Tel. …; fax …; correo electrónico: …

Otra información necesaria para identificar a la organización

…

(el exportador de datos)

Y

Nombre de la organización importadora de datos: …

Dirección: …

Tel. …; fax …; correo electrónico: …

Otra información necesaria para identificar a la organización:

…

(el importador de datos o el subprocesador de datos (según proceda))

cada una de ellas una "parte"; conjuntamente "las partes",

HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de establecer garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

Definiciones

A efectos de las Cláusulas:

1. datos personales", "categorías especiales de datos", "proceso/tratamiento", "controlador", "procesador", "sujeto de los datos" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
2. el exportador de datos" significa el controlador que transfiere los datos personales;
3. importador de datos": el procesador que acepta recibir del exportador de datos los datos personales destinados al tratamiento por su cuenta tras la transferencia, de conformidad con sus instrucciones y los términos de las Cláusulas, y que no está sujeto a un sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE;
4. subencargado del tratamiento" significa cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos datos datos personales destinados exclusivamente a actividades de tratamiento que se llevarán a cabo en nombre del exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
5. la ley de protección de datos aplicable' se refiere a la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un controlador de datos en el Estado miembro en el que está establecido el exportador de datos;
6. medidas de seguridad técnicas y organizativas": las medidas destinadas a proteger los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma de tratamiento ilícito.

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

1. El sujeto de los datos puede hacer valer frente al exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12 como tercero beneficiario.
2. El sujeto de los datos puede hacer valer frente al importador de datos la presente Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir de derecho, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de los datos puede hacerlos valer frente a dicha entidad.
3. El sujeto de los datos puede hacer valer frente al subencargado del tratamiento la presente Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de los datos podrá hacerlos valer frente a dicha entidad. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
4. Las partes no se oponen a que un sujeto de los datos sea representado por una asociación u otro organismo si el sujeto de los datos así lo desea expresamente y si lo permite la legislación nacional.

Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

1. que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y continuará realizándose de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades competentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
2. que ha dado instrucciones y, durante toda la duración de los servicios de tratamiento de datos personales, dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y las Cláusulas;
3. que el importador de datos ofrecerá garantías suficientes respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
4. que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma de tratamiento ilícito, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse, habida cuenta del estado de la técnica y del coste de su implementación;
5. que garantizará el cumplimiento de las medidas de seguridad;
6. que, si la transferencia implica categorías especiales de datos, el sujeto de los datos ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible después de la misma, de que sus datos podrían ser transmitidos a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
7. remitir cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de la protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;
8. poner a disposición de los sujetos de los datos que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
9. que, en caso de subtratamiento, la actividad de tratamiento se lleva a cabo de conformidad con la Cláusula 11 por un subencargado que proporciona al menos el mismo nivel de protección de los datos personales y de los derechos del sujeto de los datos que el importador de los datos en virtud de las Cláusulas; y (j) que garantizará el cumplimiento de la Cláusula 4(a) a (i).

Obligaciones del importador de datos

El importador de datos acepta y garantiza:

1. a tratar los datos personales únicamente por cuenta del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
2. que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial sobre las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o resolver el contrato;
3. que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos; d) que notificará sin demora al exportador de datos sobre:
4. 1. cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial,
   2. cualquier acceso accidental o no autorizado, y
   3. cualquier solicitud recibida directamente de los sujetos de los datos, sin responder a dicha solicitud, salvo que haya sido autorizada a hacerlo de otro modo;
5. tratar rápida y adecuadamente todas las consultas del exportador de datos relacionadas con su tratamiento de los datos personales objeto de la transferencia y acatar el consejo de la autoridad supervisora con respecto al tratamiento de los datos transferidos;
6. a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, que será llevada a cabo por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
7. poner a disposición del sujeto de los datos que lo solicite una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el sujeto de los datos no pueda obtener una copia del exportador de datos;
8. que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;
9. que los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de conformidad con la Cláusula 11;
10. enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesador que celebre en virtud de las Cláusulas.

Responsabilidad

1. Las partes acuerdan que cualquier sujeto de los datos que haya sufrido daños como consecuencia de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del tratamiento tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
2. Si un sujeto de los datos no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por parte del importador de datos o de su subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos acepta que el sujeto de los datos pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el sujeto de los datos podrá hacer valer sus derechos frente a dicha entidad. El importador de datos no puede invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.
3. Si un sujeto de los datos no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por parte del subencargado del tratamiento de cualquiera de sus obligaciones a que se refieren la Cláusula 3 o la Cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento acepta que el sujeto de los datos pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento con arreglo a las Cláusulas como si fuera el exportador o el importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el sujeto de los datos podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.

Mediación y jurisdicción

1. El importador de datos acepta que si el sujeto de los datos invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del sujeto de los datos:
2. 1. someter el litigio a la mediación de una persona independiente o, en su caso, de la autoridad de control;
   2. someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
3. Las partes acuerdan que la elección realizada por el sujeto de los datos no prejuzgará sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones de la legislación nacional o internacional.

Cooperación con las autoridades supervisoras

1. El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad supervisora si ésta así lo solicita o si dicho depósito se exige en virtud de la ley de protección de datos aplicable.
2. Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de los datos, y de cualquier subencargado del tratamiento, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de los datos en virtud de la ley de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Ley aplicable

Las Cláusulas se regirán por la legislación del Estado Miembro en el que esté establecido el Exportador de Datos.

Variación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

Subprocesamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas por cuenta del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, deberá hacerlo únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento incumpla sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento también deberá prever una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el sujeto de los datos no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador o el importador de datos porque hayan desaparecido de facto o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad supervisora de la protección de datos del exportador de datos.

Obligación tras la finalización de los servicios de tratamiento de datos personales

• Las partes acuerdan que a la finalización de la prestación de servicios de procesamiento de datos, el importador de datos y el subencargado del tratamiento deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruir todos los datos personales y certificar al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir todos o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.
• El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.

En nombre del exportador de datos:

Nombre (escrito completo):

Cargo: Dirección:

Otra información necesaria para que el contrato sea vinculante (si la hubiera):

Firma……………………………………….

(sello de la organización)

En nombre del importador de datos:

Nombre (escrito completo):

Cargo: Dirección:

Otra información necesaria para que el contrato sea vinculante (si la hubiera):

Firma……………………………………….

(sello de la organización)

Exportador de datos

El exportador de datos es Mews, un proveedor de Servicios según se especifica en el Acuerdo (si procede).

Importador de datos

El importador de datos es la entidad (un subprocesador) que recibe los Datos Personales fuera del EEE y presta determinados servicios a Mews en relación con los Servicios al Socio.

Sujetos de los datos

Los datos personales transferidos pueden referirse a personas sobre las que el exportador de datos transmite o almacena datos personales a través del sistema alojado y/o los servicios de Mews , que normalmente incluyen personas (huéspedes o clientes potenciales) que utilizan los servicios del Socio.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos: Datos de los Huéspedes contenidos en los formularios de contacto, información de contacto e identificación, incluidos nombre, cargo, correo electrónico y dirección, números de DNI y/o pasaporte, detalles de pago, preferencias de los Huéspedes y detalles de los servicios del Socio y datos limitados de conexión y ubicación (ciudad) en formato electrónico que se transfieren al importador de datos en el contexto de Mews' Servicios (proporcionados por el subprocesador/importador correspondiente).

Operaciones de tratamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento: Recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.Socio consultor debe utilizar precauciones de seguridad razonables en relación con su uso de los servicios, incluida la encriptación adecuada de cualquier dato personal almacenado o transmitido por el sistema alojado.

Este Anexo forma parte de las Cláusulas y debe ser cumplimentado y firmado por las partes

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjunta):

El importador de datos deberá implementar medidas de seguridad equivalentes a las exigidas por el Acuerdo, el Apéndice y cualquier documento auxiliar suscrito en virtud del Acuerdo.

La lista de subprocesadores aprobados de Mews está disponible en https://www.mews.com/en/platform-documentation#subprocessors