Tratamiento de datos Ver 3.3

Versión 3.2, Fecha de entrada en vigor: 1 de julio de 2022

Versión 2.2, Fecha de entrada en vigor: 27 de septiembre de 2021

Versión 2.1, Fecha de entrada en vigor: 1 de abril de 2021

Versión: 1.1, Fecha de entrada en vigor: 9 de octubre de 2019

El presente Apéndice, también denominado Acuerdo de procesamiento de datos, forma parte integrante del acuerdo de cooperación, de los Términos y condiciones generales disponibles en https://www.mews.com/es/legal/master ("Términos y condiciones generales") o de cualquier otro acuerdo (Términos y condiciones generales o cualquier otro acuerdo de este tipo denominado en lo sucesivo también el "Acuerdo") celebrado entre Mews' Afiliado, tal y como se define en el Acuerdo respectivo ("Mews") y tú ("Socio"). Este Apéndice complementa los periodos de validez del Acuerdo concluido entre Mews y el Socio; en caso de conflicto entre los periodos de validez del Acuerdo y del presente Apéndice, prevalecerá el presente Apéndice, a menos que las Partes acuerden explícitamente por escrito en el Acuerdo excepciones específicas al presente Apéndice.

A efectos del presente Apéndice, los términos en mayúsculas tendrán los siguientes significados. Los términos en mayúsculas no definidos de otro modo en este documento tendrán el significado que se les da en el Acuerdo o en los Términos y condiciones generales.

"Usuario autorizado" significa una persona autorizada por el Socio a tener acceso a la Plataforma Mews y/o a la Cuenta Mews y a proporcionar instrucciones y recibir comunicaciones de Mews, independientemente de que sea a través de la Plataforma Mews , la Cuenta Mews , por correo electrónico o de cualquier otro modo.

"Controlador" significa una persona o entidad que determina los fines y medios del Tratamiento de Datos Personales.

"Legislación de Protección de Datos" se refiere a las Leyes de Protección de Datos de la UE, Leyes de Protección de Datos del Reino Unido, CCPA y/o cualquier otra legislación de privacidad de datos aplicable del país de registro del Afiliado de Mews , tal y como se define en el Contrato.

"Sujeto de los datos" significa la persona identificada o identificable a la que se refieren los datos personales.

"Leyes de protección de datos de la UE" se refiere al RGPD y a la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE).

"RGPD " significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

"Datos Personales" significa cualquier información relacionada con (i) una persona física identificada o identificable y/o, (ii) una persona jurídica identificada o identificable (cuando dicha información esté protegida por la Legislación de Protección de Datos de forma similar a los datos que identifican a una persona viva); que, a efectos del presente Anexo, incluirá los datos personales de los Huéspedes i.e. datos contenidos en los formularios de contacto, información de contacto e identificación, incluyendo nombre, cargo, dirección de correo electrónico y dirección, números de DNI y/o pasaporte, detalles de pago, preferencias de los Huéspedes y detalles de los servicios del Socio y datos limitados de dispositivo y ubicación (ciudad) y cualesquiera otras categorías de datos personales descritas en el Anexo I. Los Datos Personales pueden incluir categorías especiales de datos, como se describe con más detalle en el Anexo I.

Por "Tratamiento" se entiende cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción; para evitar dudas, el tratamiento de información distinta de los Datos Personales (por ejemplo, datos anonimizados) con el fin de mejorar los servicios de Mews no entra en el ámbito de aplicación del presente Anexo.

"Encargado del tratamiento" o "Subencargado del tratamiento" significa una persona o entidad que trata Datos Personales por cuenta de un Controlador y/o Encargado del tratamiento, según proceda.

Por "violación de datos personales" se entiende una violación de la seguridad de los servicios que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a Datos Personales transmitidos, almacenados o tratados de otro modo por Mews en virtud del presente Anexo.

"Servicios", a efectos del presente Anexo, significa los servicios prestados por Mews al Socio en virtud del Contrato.

"Cláusulas Contractuales Tipo" o "CEC": las cláusulas contractuales tipo anexas a la Decisión de Implementación 2021/914 de la Comisión Europea, de 4 de junio de 2021.

"Autoridad de Control": una autoridad pública independiente establecida por un Estado miembro de la UE u otro país en virtud del RGPD o de una ley correspondiente.

"Leyes de Protección de Datos del Reino Unido" se refiere a todas las leyes relacionadas con la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluyendo el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.

"RGPD del Reino Unido" significa el RGPD guardado en la legislación del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (retirada) del Reino Unido de 2018.

2.1 Tratamiento de datos personales

Mews y el Socio reconocen que el Socio es el Controlador o el Procesador principal con respecto al Procesamiento de Datos Personales. Mews tratará los Datos Personales como procesador o subprocesador (según corresponda al uso de los Servicios por parte del Socio) en nombre del Socio y sólo en la medida y de la manera en que sea necesario para los fines especificados por y de conformidad con el presente Anexo, el Contrato o según las instrucciones del Socio en cada momento. Cuando Mews considere razonablemente que una instrucción de un Socio es contraria a: (i) las leyes y reglamentos aplicables o (ii) las disposiciones del Contrato o del Addendum, Mews hará todo lo razonablemente posible para informar al Socio y está autorizado a aplazar la ejecución de la instrucción pertinente hasta que haya sido modificada por el Socio en la medida requerida por Mews para satisfacer que dicha instrucción es legal, o sea mutuamente acordada por el Socio y Mews como legal.

3.1 Mews' Tratamiento de Datos Personales

Mews tratará los Datos Personales como Información Confidencial y sólo Procesará Datos Personales en nombre del Socio y de acuerdo con sus instrucciones documentadas para los siguientes fines: (i) Procesamiento de acuerdo con el Contrato; (ii) Procesamiento iniciado por Usuarios Autorizados en su uso de los Servicios; y (iii) Procesamiento para cumplir con otras instrucciones razonables documentadas proporcionadas por el Socio (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con los periodos de validez del Contrato. Por la presente, el Socio da instrucciones a Mews para que informe a los Sujetos de los Datos sobre el Tratamiento de sus Datos Personales en nombre del Socio por correo electrónico y sobre la posibilidad de utilizar los servicios de Mews para gestionar los datos, reservas y servicios vinculados de los Sujetos de los Datos. Mews deberá llevar un registro de las operaciones de Tratamiento realizadas.

3.2 Medidas técnicas y organizativas

Mews mantendrá e implementará medidas técnicas y organizativas razonables y adecuadas destinadas a proteger los Datos Personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, y en relación con la seguridad de los Datos Personales y las plataformas utilizadas para prestar los Servicios, tal y como se describe en la Legislación de Protección de Datos. En la implementación de dichas medidas, Mews tendrá derecho a tener en cuenta la práctica estándar actual para determinar lo que es razonable, así como la proporcionalidad del coste de implementación de dichas medidas cuando se sopesa con el daño potencial a los Sujetos de los datos relevantes contra los que se pretende proteger con la implementación de dichas medidas.

3.3 Personal

Mews se asegurará de que su Personal involucrado en el Tratamiento de Datos Personales esté informado de sus obligaciones y responsabilidades en virtud del presente documento, haya recibido la formación adecuada y esté informado de la naturaleza confidencial de los Datos Personales. Por "Personal" se entenderá aquellos empleados y/o agentes, consultores, subcontratistas u otros terceros: (i) contratados por Mews para que pueda cumplir sus obligaciones para con el Socio en virtud del Acuerdo o el Addendum, y (ii) sujetos a obligaciones de confidencialidad en un grado sustancialmente idéntico al establecido en el Acuerdo y el Addendum. Mews se asegurará de que el acceso del Personal a los Datos Personales se limite a aquellos que presten Servicios de conformidad con el Acuerdo, y las obligaciones de confidencialidad del Personal seguirán vigentes tras la finalización del engagement del Personal.

3.4 Notificaciones.

Mews lo notificará por escrito al Socio tan pronto como sea comercialmente razonable:

3.4.1 de cualquier comunicación recibida de un individuo relacionada con (i) los derechos de un individuo a acceder, modificar, corregir, borrar o bloquear sus Datos Personales; (ii) el derecho de un individuo a rectificar, restringir o borrar sus Datos Personales, a la portabilidad de los datos, a oponerse al Tratamiento y a no estar sujeto a la toma de decisiones automatizada; y (iii) cualquier queja sobre el Tratamiento de Datos Personales por parte del Socio; en la medida en que no lo prohíba la ley, de cualquier citación u otra orden o procedimiento judicial o administrativo que solicite el acceso a, o la revelación de Datos Personales; y

3.4.2 en la medida en que no lo prohíba la ley, de cualquier queja, notificación u otra comunicación relacionada con

El cumplimiento por parte del Socio de la ley de protección de datos y privacidad y del Tratamiento de Datos Personales. Mews proporcionará al Socio una cooperación y asistencia comercialmente razonables (a expensas del Socio) en relación con dicha reclamación, notificación o comunicación.

3.5 Violación de datos personales

Al tener conocimiento de una violación de datos personales, Mews lo notificará al Socio sin demora indebida y le proporcionará la información y cooperación oportunas que el Socio pueda razonablemente requerir para cumplir sus obligaciones en materia de violación de datos conforme a la Legislación de Protección de Datos. Cuando no sea posible facilitar todos los datos al mismo tiempo, la información podrá facilitarse por fases, sin retrasos indebidos. El Socio acepta que la obligación de Mewsde notificar la violación de datos personales no es ni será interpretada como un reconocimiento por parte de Mews de culpa o responsabilidad alguna de Mews con respecto a dicha violación de datos personales. Mews tomará todas las medidas y acciones razonables para remediar o mitigar los efectos de cualquier violación de datos personales. Si una violación de datos personales es causada o contribuye materialmente a ella el Socio, Mews cooperará en la investigación de la violación de datos personales, sujeto a la obligación del Socio de compensar a Mews por sus gastos y costes.

3.6 Devolución y eliminación de datos

Tras la rescisión o expiración del Acuerdo, Mews devolverá, antes de que finalice el Periodo de validez, los Datos personales permitiendo al Socio descargarlos. Una vez finalizado el Periodo de validez, Mews no está obligado a conservar los datos de ningún Socio (incluidos los Datos personales) y los eliminará de sus sistemas, a menos que la legislación aplicable exija su conservación.

3.7 Mews Cumplimiento de la normativa

Mews cumplirá la Legislación sobre Protección de Datos aplicable a sus propias operaciones y a la prestación de los Servicios en virtud del Contrato, así como sus obligaciones en virtud del presente Addendum.

3.8 Intercambio de datos

Al habilitar o aceptar el intercambio de datos dentro de la cuenta Mews con terceros, el Socio da instrucciones a Mews de conformidad con el Art. 28 (3)a) RGPD de proporcionar acceso a todos los Datos Personales y a cualquier otro dato procesado dentro de la cuenta Mews del Socio a dichos terceros. El Socio es responsable de obtener todos los consentimientos necesarios de los Sujetos de los datos o de cualquier otro tercero con el intercambio de datos, tal y como exige la Legislación de Protección de Datos aplicable. El Socio indemnizará, defenderá y eximirá de toda responsabilidad a Mews y a sus Afiliados frente a cualquier reclamación presentada por el Sujeto de los datos o cualquier tercero, derivada de la violación de esta cláusula, incluidas todas las responsabilidades, daños, pérdidas, costes y gastos.

3.9 Integraciones

Mews La plataforma ofrece varias integraciones. Al conectarse o suscribirse a la integración respectiva a través de la cuenta Mews , el Socio da instrucciones a Mews de conformidad con el Art. 28 (3)a) RGPD para proporcionar acceso a los datos personales procesados en la cuenta Mews del socio al socio de integración respectivo, según sea necesario para la interoperabilidad de los servicios o productos del socio de integración con los servicios de Mews.

3.10 Auditoría

El Socio tendrá derecho a realizar una auditoría para verificar el cumplimiento por parte de Mewsde sus obligaciones establecidas en el Art. 28 RGPD y en este Anexo. Mews permitirá al Socio llevar a cabo la auditoría en las siguientes condiciones:

• El socio solicita a Mews que realice la auditoría mediante una notificación por escrito con al menos 30 (treinta) días de antelación;
• El socio especificará el orden del día de dicha auditoría en la notificación prevista en (i);
• la auditoría no tendrá lugar más de una vez al año;
• todos los costes y gastos vinculados correrán a cargo del Socio y se reembolsarán a Mews previa solicitud; y
• la auditoría no durará más del equivalente a 1 día laborable (8 horas) del representante de Mews.

En caso de que el Socio solicite la auditoría a través de terceros independientes -auditor externo autorizado-, Mews podrá oponerse a que un auditor externo autorizado designado por el Socio lleve a cabo la auditoría si el auditor, en opinión razonable de Mews, no está debidamente cualificado o no es independiente, es un competidor de Mews, o es manifiestamente inadecuado por cualquier otro motivo. Cualquier objeción de este tipo obligará al Socio a nombrar a otro auditor. En caso de que el Socio requiera más de una auditoría en un año natural, deberá obtener permiso previo por escrito de Mews y correrá con los costes vinculados a dichas auditorías y reembolsará a Mews todos los costes razonablemente incurridos por dichas auditorías. A petición del Socio, Mews proporcionará al Socio el coste estimado en el que espera incurrir durante dicha auditoría según el alcance especificado en la agenda proporcionada por el Socio.

4.1 Tratamiento de datos personales por parte del socio

El Socio, en su uso de los Servicios, Procesará los Datos Personales de acuerdo con los requisitos de la Legislación de Protección de Datos. Para evitar cualquier duda, el Socio garantiza que sus instrucciones para el Tratamiento de Datos Personales cumplirán con la Legislación de Protección de Datos y que no dará ninguna instrucción u orden que dirija a Mews a realizar ninguna acción o curso de acción que sea ilegal o que no cumpla con la Legislación de Protección de Datos. El Socio será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Socio adquirió los Datos Personales.

4.2 Cumplimiento del socio

Además de las obligaciones del Socio indicadas en el Contrato, el Socio es responsable de (i) la integridad, seguridad, mantenimiento y protección adecuada de los Datos Personales, y (ii) garantizar su cumplimiento de cualquier ley y normativa aplicable en materia de privacidad, protección de datos y seguridad relativa a: (a) su Tratamiento de los Datos Personales; (b) su uso de los Servicios; y (c) todos y cada uno de los requisitos de registro o notificación del Tratamiento de datos a los que esté sujeto el Socio en virtud de la legislación aplicable.

4.3 Notificaciones

El Socio acepta realizar las notificaciones necesarias y obtener los consentimientos y derechos necesarios de las personas en relación con Mews' aprovisionamiento de cualquier Servicio al Socio. Cuando Mews notifique al Socio una comunicación descrita en la Subsección 3.4.1, 3.4.2 o 3.5, es responsabilidad del Socio responder y tomar cualquier otra acción apropiada con respecto a la comunicación. El Socio se compromete a notificar inmediatamente a Mews cualquier uso no autorizado de los Servicios o de la cuenta del Socio o cualquier otra violación de la seguridad que afecte a los Servicios.

4.4 Medidas técnicas y organizativas

El Socio es el único responsable de la implementación y el mantenimiento de las medidas de seguridad y otras medidas técnicas y organizativas adecuadas a la naturaleza y el volumen de los Datos Personales que el Socio almacena o procesa de otro modo utilizando los Servicios. El Socio también es responsable del uso de los Servicios por parte de cualquiera de sus empleados, de cualquier persona a la que el Socio autorice a acceder o utilizar los Servicios, y de cualquier persona que obtenga acceso a sus Datos Personales o a los Servicios como resultado de su incumplimiento de las precauciones de seguridad razonables, incluso si dicho uso no fue autorizado por el Socio.

4.5 Intercambio de datos con otros socios

Dentro de la Plataforma Mews , el Socio puede configurar la(s) Cuenta(s) Mews como parte de un clúster de intercambio de datos con otra(s) cuenta(s) ("Clúster"), lo que en efecto significa que el Socio y el/los controlador(es) de estas otras cuenta(s) comparten entre sí y procesan conjuntamente los Datos Personales de sus Clientes (Clientes existentes y futuros, incluidos los Clientes importados a la(s) Cuenta(s) Mews). El Socio es el único responsable de garantizar que el tratamiento de los Datos Personales en el Cluster cumple con toda la Legislación de Protección de Datos aplicable y que el Socio cuenta con los acuerdos adecuados para cubrir el intercambio de datos.

El Socio reconoce que la configuración de su(s) cuenta(s) Mews como parte de un Cluster no es reversible. Al configurar su(s) cuenta(s) de Mews como parte de un Clúster, el Socio da instrucciones a Mews como procesador para procesar los Datos Personales dentro de dicho Clúster. Si el Socio desea retirarse del Grupo, sólo podrá hacerlo creando una nueva cuenta en Mews. Como la configuración en un Clúster no es reversible, el Socio continúa procesando conjuntamente los Datos Personales en su(s) antigua(s) Cuenta(s) de Mews a menos que dichos Datos Personales se eliminen del Clúster (dicha eliminación está sujeta a la debida cooperación proporcionada por otros Socios dentro del Clúster y a los costes que se reembolsarán a Mews a petición).

5.1 Cooperación entre socios y Mews

En la medida en que lo exija la Legislación sobre Protección de Datos, Mews proporcionará una cooperación razonable en relación con los Servicios de Mews para que el Socio pueda llevar a cabo evaluaciones de impacto sobre la protección de datos o consultas previas con las autoridades de protección de datos, según lo exija la Legislación sobre Protección de Datos. El Socio debe cooperar con Mews' en la investigación razonable de las interrupciones del Servicio, problemas de seguridad y cualquier sospecha de violación de datos personales. El Socio proporcionará asistencia razonable a Mews en la cooperación o consulta previa de la Autoridad de Supervisión en relación con las tareas descritas en esta Sección, en la medida exigida por la Legislación de Protección de Datos.

5.2 Mews' Asistencia con los requisitos de cumplimiento del socio

Durante el periodo de validez del Acuerdo del Socio con Mews, el Socio puede solicitar que Mews preste asistencia a los esfuerzos del Socio para cumplir con las obligaciones del Socio en virtud de una ley y normativa aplicable sobre protección de datos o privacidad, siempre que (i) dicha asistencia solicitada sea relevante para los Servicios que apoyan el Tratamiento de Datos Personales, (ii) dicha asistencia solicitada sea comercialmente razonable y proporcionada al objetivo del ejercicio para el que se solicita la ayuda de Mews , y (iii) si Mews acepta prestar dicha asistencia, que todos sus costes y gastos vinculados (incluido el coste del tiempo de su personal) corran a cargo del Socio y se reembolsen a Mews previa solicitud.

6.1 El Socio proporciona una autorización general para que Mews contrate a Subprocesadores para Procesar Datos Personales en nombre del Socio. El Socio aprueba como Subprocesadores a los siguientes: (i) los enumerados en el Anexo III del presente documento, (ii) Mews' Afiliados, y (iii) cualquier Subprocesador autorizado por el Socio a través de un Usuario Autorizado mediante la habilitación de una integración con los Servicios de Mews a través de la cuenta MEWS o de otro modo. Mews podrá, durante el periodo de validez del acuerdo, implicar a nuevos Subencargados en el Tratamiento, siempre que dichos Subencargados sólo accedan y utilicen los Datos Personales en la medida necesaria para cumplir las obligaciones que le hayan sido subcontratadas.

6.2 Derecho de oposición para nuevos subprocesadores

Mews se compromete a notificar previamente al Socio antes de engagement cualquier nuevo Subprocesador. El Socio puede oponerse a que Mewsutilice un nuevo Subprocesador notificándolo por escrito a Mews dentro de los diez (10) días laborales siguientes a la recepción de la notificación de Mewsy especificando las deficiencias. En caso de que el Socio se oponga a un nuevo Subencargado del tratamiento, Mews se esforzará por añadir garantías adicionales (que cubran las deficiencias especificadas) o cambiar el Subencargado del tratamiento (frente al Subencargado); si Mews no pudiera hacerlo, Mews hará todo lo razonablemente posible para poner a disposición del Socio un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios por parte del Socio para evitar el Tratamiento de Datos Personales por parte del nuevo Subencargado objetado, sin que ello suponga una carga injustificada para el Socio. Si Mews no puede poner a disposición dicho cambio en un periodo de tiempo razonable, que no excederá de treinta (30) días, el Socio podrá rescindir únicamente la parte de los Servicios que Mews no pueda prestar sin utilizar el nuevo Subprocesador objetado, notificándolo por escrito a Mews. Mews reembolsará al Socio cualquier tasa prepagada que cubra el resto del periodo de validez del Contrato tras la fecha efectiva de rescisión con respecto a dicha parte de Servicios rescindida, lo que representará el único y exclusivo recurso del Socio en relación con la introducción de un nuevo Subprocesador. Si Mews no recibe ninguna objeción en el periodo especificado, se considerará que el Socio ha consentido al nuevo subprocesador y ha renunciado a su derecho a objetar.

6.3 Responsabilidad civil

Mews será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que Mews sería responsable si realizara los servicios de cada Subprocesador directamente en virtud de los términos de este Apéndice, salvo que se establezca lo contrario en el Acuerdo.

7.1 Transferencia de datos

Las Partes acuerdan que los Datos Personales pueden transferirse de la Unión Europea/Espacio Económico Europeo a un tercer país, sólo si se da una de las siguientes condiciones: (a) existe una decisión aplicable de la Comisión Europea que establezca que el tercer país garantiza un nivel de protección adecuado; o (b) la transferencia puede tener lugar porque Mews ha proporcionado las garantías adecuadas de acuerdo con el Art. 46 del RGPD, y a condición de que se disponga de derechos exigibles de los sujetos de los datos y de recursos jurídicos efectivos para los mismos; o (c) las excepciones para situaciones específicas en virtud del Art. Se aplica el artículo 49 del RGPD.

7.2 Cláusulas contractuales tipo

A efectos del Art. 7.1 (b) de este Addendum, las Partes acuerdan que las Cláusulas Contractuales Tipo se consideren garantías adecuadas. Para permitir la transferencia de datos desde/hacia terceros países a/desde la Unión Europea/Espacio Económico Europeo, las Cláusulas Contractuales Tipo se incorporan por referencia al presente Addendum y forman parte integrante del mismo como se indica a continuación:

7.2.1 A efectos de los Datos Personales que están sujetos a las Leyes de Protección de Datos de la UE ("Datos de la UE"):

(i) Cuando el Socio sea Controlador se aplicará el Módulo Dos (Controlador a Procesador) de los CEC, cuando el Socio sea Procesador se aplicará el Módulo Tres (Procesador a Subprocesador) de los CEC;

(ii) en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de los cambios del subprocesador será el establecido en la Cláusula 6 (Subprocesamiento) del presente Anexo;

(iii) en la Cláusula 11, no se aplicará el lenguaje opcional;

(iv) en la Cláusula 17, se aplicará la Opción 1, y los CEC de la UE se regirán por la legislación holandesa;

(v) en la Cláusula 18(b), los litigios se resolverán ante los tribunales de los Países Bajos;

(vi) El Anexo I de los CEC se considerará completado con la información que figura en el Anexo I del presente Addendum; el Anexo II de los CEC se considerará completado con la información que figura en el Anexo II del presente Addendum;

7.2.2 La transferencia de Datos Personales sujetos a las Leyes de Protección de Datos del Reino Unido ("Datos del Reino Unido") se regirá por lo siguiente

Anexo IV - Apéndice del Reino Unido a los SCC.

7.2.3 La transferencia de Datos Personales que estén sujetos a la Ley Federal Suiza de Protección de Datos de 1 de septiembre de 2023 y sus correspondientes ordenanzas ("FADP Suiza") se regirá por el Anexo V - Anexo Suizo a las CEC.

8.1 El Socio acepta que cualquier Usuario Autorizado del Socio pueda ser contactado y tendrá derecho a recibir cualquier comunicación relacionada con este Anexo.

9.1 Mews reconoce que actúa como Proveedor de servicios con respecto a cualquier Información personal del socio que procese en virtud del presente documento.

9.2 Salvo que lo prescriba la legislación aplicable o lo acuerden expresamente las Partes, Mews no podrá:

• vender información personal del socio;
• retener, utilizar o revelar los Datos Personales del Socio para cualquier fin que no sea el fin específico de prestar los Servicios de conformidad con el Contrato;
• conservar, utilizar o divulgar los Datos Personales del Socio para un fin comercial distinto del especificado en el Contrato; o
• conservar, utilizar o divulgar los Datos Personales del Socio fuera de la relación comercial directa entre Mews y el Socio.

9.3 Mews certifica que comprende y cumplirá las responsabilidades y restricciones impuestas por este Anexo, la CCPA y otras leyes y normativas aplicables sobre protección de datos.

9.4 En esta Cláusula 9:

9.4.1 "CCPA" se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California §§1798.100 y siguientes, incluidas las enmiendas y normativas de implementación que entren en vigor en la fecha de entrada en vigor de este Apéndice o con posterioridad a la misma; y

9.4.2 "Datos Personales del Socio" significa cualquier dato del Socio que comprenda "información personal" tal y como se define en la CCPA;

9.4.3 "Proveedor de servicios" tiene el significado establecido en la sección 1798.140(v) de la CCPA.

10.1 Esta Cláusula 10 sólo se aplica si la Parte contratante del Contrato es Mews con sede social en los Estados Unidos de América.

10.2 COPPA

Proteger la intimidad de los niños es especialmente importante. La Ley de Protección de la Privacidad Infantil en Internet ("COPPA", por sus siglas en inglés) exige que los proveedores de servicios en línea obtengan el consentimiento paterno antes de recopilar a sabiendas información personal identificable en línea de niños menores de 13 años en los Estados Unidos de América. Mews respeta el rol de los padres o tutores en la supervisión de las actividades en línea de sus hijos. En consecuencia, Mews limita su recopilación de información personal de menores a no más de lo razonablemente necesario para participar en los Servicios y para mejorarlos en el futuro. Mews no recopila ningún Dato Personal de niños que no sea el establecido en el Acuerdo. Mews se reserva el derecho a negarse a Procesar los datos suministrados por el Socio que infrinjan esta Cláusula 10.2.

10.3 Uso de los datos del Socio por parte de terceros

A menos que se acuerde lo contrario, todos los datos proporcionados a Mews por el Socio son Información Confidencial y Mews no utilizará ningún dato para ningún otro fin que no sea el ejercicio de sus derechos y el cumplimiento de sus obligaciones en relación con la prestación de los Servicios. El Socio reconoce que, con el fin de llevar a cabo adecuadamente los Servicios, la información facilitada a Mews por el Socio se pondrá a disposición de terceros con el fin de permitir la prestación de los Servicios. El Socio reconoce que dichos terceros no son representantes de Mews y que Mews no es responsable de los actos y omisiones de dichos terceros. Mews exige a los terceros a los que se ponga a disposición cualquier Dato Personal del Socio que apliquen el mismo nivel de protección de la privacidad que se establece en este Anexo y que exige la legislación aplicable. La forma en que pueden utilizarse los datos de los socios está cubierta por la política de privacidad de Mews , que se encuentra en https://app.mews.com/Plataforma/Documento/Política de Privacidad.

11.1 Terceros beneficiarios

Los Sujetos de los datos son los únicos terceros beneficiarios de los CEC, y no hay otros terceros beneficiarios del Acuerdo y del presente Apéndice. No obstante lo anterior, el Acuerdo y los periodos de validez de este Apéndice se aplican únicamente a las partes y no confieren ningún derecho a ninguna filial del Socio, usuario final del Socio o cualquier tercero Sujeto de los datos.

11.2 Ley aplicable

Nada de lo dispuesto en el presente Addendum modifica la sección de Legislación Aplicable del Contrato, que, para evitar cualquier duda, regirá todas las reclamaciones presentadas en virtud del Contrato y del presente Addendum.

11.3 Limitación de responsabilidad

En la medida máxima permitida por la ley, la responsabilidad agregada de Mews y sus Afiliadas derivada o relacionada con este Anexo (incluidas las Cláusulas Contractuales Estándar, el Anexo Suizo y el Anexo del Reino Unido), ya sea contractual, extracontractual o bajo cualquier otra teoría de responsabilidad, está sujeta a las limitaciones y exclusiones de responsabilidad (incluido cualquier límite financiero agregado acordado) establecidas en el Contrato. Para evitar dudas, nada de lo dispuesto en el presente Addendum pretende limitar los derechos que un Sujeto de los datos pueda tener contra cualquiera de las Partes derivados del incumplimiento por dicha Parte de las Cláusulas Contractuales Tipo, en su caso.

11.4 Periodo de validez

Tras la finalización del Acuerdo, este Anexo continuará en vigor hasta que Mews deje de procesar Datos Personales en nombre del Socio.

11.5 Terminación

Mews puede rescindir este Anexo si Mews ofrece mecanismos alternativos al Socio que cumplan con las obligaciones de las leyes de privacidad de datos aplicables.

11.6 Contrapartidas

Este Addendum puede firmarse en varios ejemplares, que en conjunto se considerarán un solo original.

Lista de Partes

• Exportador de datos El exportador de datos es Partner
• Importador de datos El importador de datos es Mews

Descripción de la transferencia

• Categorías de sujetos de los datos Los datos personales transferidos pueden referirse a personas sobre las que el exportador de datos transmite o almacena datos personales a través del sistema y/o servicios alojados en Mews , que normalmente incluyen personas (huéspedes o clientes potenciales) que utilizan los servicios del socio. En el caso de Partner utiliza Mews Events, los datos personales transferidos pueden referirse a personas que hacen reservas para eventos y a asistentes a eventos. En el caso de que el Socio utilice el sistema de gestión del aprendizaje, los datos personales transferidos pueden referirse a los empleados del Socio o a otras personas que trabajen o cooperen con el Socio. En caso de que el Socio utilice el Producto de Gestión de Ingresos Mews ("Servicios RMS"), los datos personales transferidos también pueden afectar a personas que tengan cuentas con los Servicios RMS (normalmente el personal del Socio).
• Categorías de datos Los datos personales transferidos se refieren a las siguientes categorías de datos: Datos de los Huéspedes contenidos en los formularios de contacto y cualquier otro dato personal contenido en los formularios de contacto o reserva, información de contacto e identificación, incluyendo nombre, cargo, dirección de correo electrónico y dirección, números de DNI y/o pasaporte, selfie del Huésped y una copia de su DNI/pasaporte (sólo si el Socio lo permite), detalles de pago, preferencias de los Huéspedes y detalles de los servicios del Socio y datos limitados del dispositivo y ubicación (ciudad) en formato electrónico que se transfieren al importador de datos en el contexto de Mews' Servicios (proporcionados por el subprocesador/importador pertinente), cualquier otro dato que el Socio permita que se recopile del Huésped a través de los Servicios. En el caso de que el Socio utilice el producto Mews Events, los datos personales transferidos pueden incluir los datos de contacto e identificación de las personas que hacen reservas para eventos y asisten a eventos, detalles de pago, preferencias de los asistentes y detalles de los servicios del Socio y datos limitados del dispositivo y de ubicación (ciudad) en formato electrónico que se transfieren al importador de datos en el contexto de Mews' Servicios (proporcionados por el subprocesador/importador correspondiente). En el caso de que el Socio utilice el sistema de gestión del aprendizaje, los datos personales transferidos pueden incluir los datos de contacto e identificación de los empleados del Socio o de otras personas que trabajen con el Socio o cooperen con él, así como informes relacionados con su formación y datos limitados de dispositivo y ubicación (ciudad) en formato electrónico que se transfieren al importador de datos en el contexto de Mews' Servicios (proporcionados por el subprocesador/importador correspondiente). En caso de que el Socio utilice los Servicios RMS, los datos personales transferidos pueden incluir el nombre, apellidos, dirección de correo electrónico, cargo y dirección IP de las personas que tengan cuentas en los Servicios RMS (normalmente el personal del Socio).
• Datos sensibles Los datos sensibles como la discapacidad y los requisitos dietéticos, el selfie del huésped y una copia de su ID/pasaporte (sólo si el Socio lo permite) pueden transferirse si los sujetos de los datos deciden compartir información de tal naturaleza, o esta información es enviada por Usuarios Autorizados Se aplican las medidas técnicas y organizativas según el Anexo II.
• Operaciones de tratamiento Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento: Recogida, registro, organización, estructuración, conservación, adaptación o modificación, recuperación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, restricción, supresión o destrucción. El Socio debe tomar precauciones de seguridad razonables en relación con su uso de los servicios, incluyendo la encriptación adecuada de cualquier dato personal almacenado o transmitido por el sistema alojado.
• Frecuencia de transferencia Continua
• Naturaleza y asunto del tratamiento
• • almacenamiento (host) y otros procesamientos necesarios para prestar, mantener y mejorar los Servicios prestados al Socio en virtud del Contrato,
  • asistencia al cliente proporcionada al Socio caso por caso,
  • la divulgación de información de conformidad con el Acuerdo, por imperativo legal, y
  • recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
• Periodo de validez Periodo de validez
• Finalidad(es) de la transferencia de datos y del tratamiento posterior
• • (i) Procesamiento para proporcionar, mantener, apoyar y mejorar los Servicios prestados al Socio de conformidad con el Contrato;
  • (ii) Procesamiento iniciado por los Usuarios en su uso de los Servicios; y
  • (iii) Procesamiento para cumplir con otras instrucciones razonables documentadas proporcionadas por el Socio (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con los periodos de validez del Contrato (incluido el presente Anexo).
  • (iv) Tratamiento para que el Socio pueda gestionar las actividades de aprendizaje y formación en el sistema de gestión del aprendizaje.

Autoridad de control competente

Con respecto a los Datos de la UE, la autoridad supervisora competente es la Autoridad Holandesa de Protección de Datos (la"DPA Holandesa").

Descripción de las medidas técnicas y organizativas implementadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. El importador de datos deberá implementar medidas de seguridad equivalentes a las exigidas por el Acuerdo, el Apéndice y cualquier documento auxiliar suscrito en virtud del Acuerdo. Las medidas de seguridad implementadas están disponibles aquí: https: //www.mews.com/en/platform-documentation#security

La lista de subprocesadores aprobados de Mews está disponible en https://www.mews.com/en/platform-documentation#subprocessors

Fecha de esta Adenda

• Este Apéndice del Reino Unido entra en vigor a partir de: La misma fecha que el Acuerdo.

Antecedentes

Interpretación de este Apéndice del Reino Unido

• Cuando este Apéndice RU utilice periodos de validez definidos en los CEC, dichos periodos tendrán el mismo significado que en los CEC.
• Este Apéndice del Reino Unido debe leerse e interpretarse a la luz de las disposiciones de las Leyes de Protección de Datos del Reino Unido, y de modo que cumpla con la intención de que proporcione las salvaguardas adecuadas, tal y como exige el artículo 46 (2) (d) del RGPD del Reino Unido.
• Si las disposiciones incluidas en esta Adenda del Reino Unido modifican las CEC de algún modo que no esté permitido por las CEC o por la plantilla de adenda emitida por el Comisario de Información (en adelante, "Adenda del Reino Unido aprobada"), dicha(s) modificación(es) no se incorporará(n) a esta Adenda del Reino Unido y la disposición equivalente de las CEC ocupará su lugar.
• Si existe alguna incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este Apéndice del Reino Unido, se aplicarán las Leyes de Protección de Datos del Reino Unido.
• Si el significado de este Apéndice del Reino Unido no está claro o hay más de un significado, se aplicará el que más se ajuste a las Leyes de Protección de Datos del Reino Unido.
• Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye los casos en los que esa legislación (o disposición específica) se haya consolidado, promulgado de nuevo y/o sustituido después de la entrada en vigor de este Apéndice del Reino Unido.

Jerarquía

• Aunque la cláusula 5 de los CEC establece que los CEC prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para la transferencia de Datos del Reino Unido, prevalece la jerarquía de esta cláusula. Cuando exista alguna incoherencia o conflicto entre la Adenda aprobada del Reino Unido y los CEC aquí incorporados, la Adenda aprobada del Reino Unido prevalecerá sobre los CEC aquí incorporados, excepto cuando (y en la medida en que) los periodos de validez incoherentes o conflictivos de los CEC aquí incorporados proporcionen una mayor protección a los sujetos de los datos, en cuyo caso dichos periodos prevalecerán sobre la presente Adenda del Reino Unido. En caso de que este Addendum del Reino Unido incorpore las CCE aquí incorporadas que se hayan suscrito para proteger las transferencias sujetas al RGPD, las Partes reconocen que nada de lo dispuesto en este Addendum del Reino Unido afecta a dichas CCE aquí incorporadas.

Incorporación de los SCC

• Este Apéndice del Reino Unido incorpora las CEC que se modifican en la medida necesaria para que:
• • Operan conjuntamente para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia; y
  • Proporcionan garantías adecuadas para las transferencias de conformidad con los artículos 46 (2) (d) de las Leyes RGPD del Reino Unido.
  • Cuando el socio sea controlador, se aplicará el módulo dos (de controlador a procesador) de los SCC; cuando el socio sea procesador, se aplicará el módulo tres (de procesador a subprocesador) de los SCC.
  • En la Cláusula 9 de las CEC, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de los cambios del subencargado del tratamiento será el establecido en la Cláusula 6 (Subtratamiento) de esta APD.
  • En la cláusula 11 de los CEC no se aplicará el lenguaje opcional.
  • La cláusula 2 de las CEC se aplicará sin la mención: "y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679".
  • La cláusula 6 de las CEC Descripción de la(s) transferencia(s) se sustituye por: "Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren son los especificados en el Anexo I.B de la Adenda cuando las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia."
  • La cláusula 8.7(i) del módulo 1 de las CEC se sustituye por: "es a un país que se beneficia de la normativa de adecuación de conformidad con la sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior".
  • La cláusula 8.8(i) de los módulos 2 y 3 de los CCE se sustituye por: "la transferencia ulterior es a un país que se beneficia de la normativa de adecuación de conformidad con la sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior".
  • El Anexo I de los SCC se considerará completado con la información que figura en el Anexo I de este Addendum; el Anexo II de los SCC con el Anexo II; y el Anexo III con el Anexo III.
  • Las referencias al "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)" y "dicho Reglamento" se sustituyen por "Leyes de Protección de Datos del Reino Unido".
  • Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido.
  • Se eliminan las referencias al Reglamento (UE) 2018/1725.
  • Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido".
  • La referencia a la "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno de las CEC, se sustituye por "Cláusula 11(c)(i) de las CEC".
  • No se utilizan la cláusula 13(a) de las CEC ni la parte C del anexo II de las CEC.
  • Tanto la "autoridad supervisora competente" como la "autoridad supervisora" se sustituyen por el Comisario de Información.
  • La cláusula 16(e), subapartado (i) de las CEC se sustituye por: "el Secretario de Estado dicta reglamentos de conformidad con la sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas".
  • Se sustituye la cláusula 17 de los CEC para que diga: "Estas CEC se rigen por las leyes de Inglaterra y Gales".
  • Se sustituye la cláusula 18 de los CEC para que diga: "Cualquier litigio derivado de estos CEC será resuelto por los tribunales de Inglaterra y Gales. El sujeto de los datos también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales."
  • Las notas a pie de página de los SCC no forman parte del Addendum del Reino Unido, salvo las notas 8, 9, 10 y 11.
• Si el Comisario de Información publica una versión revisada del Apéndice del Reino Unido aprobado, este Apéndice del Reino Unido se modificará automáticamente según lo establecido en el Apéndice del Reino Unido aprobado revisado a partir de la fecha de inicio especificada en el mismo, a menos que las partes acuerden otra cosa.

Las Partes acuerdan que la transferencia de Datos Personales desde Suiza a terceros países (que no se haya determinado que ofrezcan una protección adecuada de los datos personales) que esté sujeta a la Ley Federal Suiza de Protección de Datos de 1992, en su versión modificada ("LPDP suiza"), se regirá por las Cláusulas Contractuales Tipo, tal y como se especifica en la cláusula 7.2.1 del presente Anexo, con las siguientes modificaciones:

a) Cuando la transferencia esté sujeta exclusivamente al FADP suizo:

• Las referencias al RGPD se sustituyen por referencias al FADP suizo.
• Las referencias a la "UE", "Estado miembro de la UE", "Unión Europea" y "Unión" se sustituyen por referencias a Suiza.
• Las referencias a la autoridad supervisora competente se sustituyen por referencias al Comisionado Federal de Protección de Datos e Información en Suiza (o su sustituto o sucesor) ("FDPIC").
• Cláusula 13 (Supervisión): La autoridad supervisora competente es FDPIC.
• Cláusula 17 (Ley aplicable): Ley suiza.

b) Cuando la transferencia esté sujeta tanto al FADP suizo como al RGPD:

• Las referencias al RGPD se completan con referencias al FADP.
• Las referencias a la "UE", "Estado miembro de la UE", "Unión Europea" y "Unión" se completan con referencias a Suiza.
• Las referencias a la autoridad supervisora competente se completan con referencias a la FDPIC.
• Las referencias a la autoridad supervisora competente se complementan con referencias al Comisionado Federal de Protección de Datos e Información de Suiza (o su sustituto o sucesor).
• Cláusula 13 (Supervisión): La autoridad supervisora competente es:
• 1. 1. 1. FDPIC, en la medida en que la transferencia se rija por el FADP suizo; y
  2. 1. 2. La Autoridad Holandesa de Protección de Datos, en la medida en que la transferencia se rija por el RGPD.
• Cláusula 17 (Ley aplicable): Ley holandesa.

El periodo de validez no debe interpretarse de forma que excluya a los Sujetos de los datos en Suiza de la posibilidad de reclamar sus derechos en su lugar de residencia habitual (Suiza), de conformidad con la Cláusula 18(c) de las Cláusulas Contractuales Tipo.