- Nuestro centro de datos se encuentra en la UE (AWS Irlanda – eu-west-1, con un sitio de reserva en AWS Alemania – eu-central-1).
- Nuestros subencargados situados fuera de la UE/EEE y del Reino Unido cumplen con las últimas Cláusulas Contractuales Tipo (CCT de la UE y del Reino Unido) para la transferencia de datos personales fuera de Europa.
- Además, establecemos medidas de seguridad adicionales cuando consideramos que las CCT son insuficientes para garantizar la seguridad de las transferencias de datos internacionales.
- Celebramos Acuerdos de procesamiento de datos con todos los proveedores que tienen acceso a los datos personales que TravelPerk procesa.
- Te ayudamos a cumplir tus obligaciones con respecto a la protección como responsables de datos personales.
- Aplicamos medidas técnicas y organizativas con los estándares más exigentes para proteger y asegurar tus datos personales.
- Puedes encontrar más información al respecto en nuestro Informe sobre transferencias de datos internacionales.
Tu confianza es nuestro principal activo
Nos comprometemos a procesar tus datos personales con responsabilidad en cada etapa de tu viaje con TravelPerk. Nuestros productos siempre anteponen tu privacidad.
Tus datos. Tus derechos.
Cumplimiento de la legislación de protección de datos
Creemos en la importancia de proteger tu privacidad y respetar el RGPD de la UE y el Reino Unido, la Ley de privacidad del consumidor de California (CCPA) y otras normas de protección de datos aplicables.
Seguridad
Tenemos un programa de seguridad integral especialmente diseñado para garantizar la seguridad de tus datos personales.
- ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS de Nivel 1 y centro de datos con certificado C5 de BSI (AWS).
- Cifrado en tránsito y reposo, tanto en la plataforma como en el punto final de TravelPerk.
- Cortafuegos en la capa de red y de aplicación.
- Seudonimización de datos cuando es necesario.
Lee nuestro Informe sobre seguridad para recibir más información al respecto. Security Whitepaper.
La privacidad como diseño
Aplicamos estándares de protección de privacidad muy rigurosos en todos los pasos del desarrollo de nuestros productos.
- olo proporcionamos acceso a los datos personales cuando es «estrictamente necesario».
- Ofrecemos formación a todos nuestros empleados y contratistas sobre la protección de datos y la seguridad de la información.
- Recogemos la cantidad mínima de datos personales para posibilitar el uso de nuestra plataforma.
- Tenemos un equipo que se dedica exclusivamente a revisar la privacidad en TravelPerk.
Tienes el control
Te ponemos fácil mantener tus datos personales siempre actualizados.
- Ponemos a tu disposición una serie de perfiles de acceso que te permiten controlar el acceso que tienen tus compañeros a tus datos personales.
- Te ofrecemos las herramientas necesarias para acceder a la información de tu perfil y actualizarla.
- Te ponemos fácil archivar o borrar los perfiles de usuarios en nuestra plataforma que estén obsoletos.
Transparencia
Siempre te damos toda la información para que tomes la mejor decisión posible.
- Nuestro Informe sobre privacidad ofrece información detallada sobre cómo procesamos y protegemos tus datos personales. Privacy Whitepaper
- Nuestro Informe sobre transferencias de datos internacionales resume cómo nuestros clientes pueden utilizar TravelPerk para transferir datos personales fuera de la Unión Europea (UE) o del Espacio Económico Europeo (EEE) de conformidad con la legislación de la UE aplicable, basándose en nuestras bases y medidas de seguridad contractuales, técnicas y organizativas líderes en el sector. International Data Transfers Whitepaper
- Nuestra documentación relativa a la privacidad es pública para que puedas confiar en nuestras prácticas y procedimientos.
- Te informaremos puntualmente si nuestras políticas de privacidad sufren modificaciones sustanciales.
Preguntas frecuentes sobre la privacidad
¿Dónde están alojados los servicios de TravelPerk y qué capacidad de resiliencia tienen?
Nuestros servicios y copias de seguridad están alojados en Amazon Web Services (AWS), en Irlanda, con un centro de respaldo en Alemania. Es un centro de datos de alta disponibilidad construido y mantenido con capacidades de resiliencia, continuidad y recuperación de desastres. AWS cuenta con las certificaciones ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 y SOC 3, PCI DSS Nivel 1 y C5 de BSI.
¿Cuáles son los fines para los que TravelPerk puede tratar los datos personales de los clientes?
Tratamos los datos personales de los usuarios de TravelPerk en calidad de encargados del tratamiento para los siguientes fines descritos en nuestro Acuerdo de Tratamiento de Datos:
(i) crear, mantener y actualizar las cuentas del cliente;
(ii) gestionar reservas de viajes, procesar pedidos y pagos;
(iii) enviar avisos a los usuarios relativos a cancelaciones, modificaciones o no presentación, procesos de reserva no finalizados y/o recomendaciones de reserva basadas en su historial de búsqueda y reservas anteriores;
(iv) prestar soporte al cliente y gestionar solicitudes especiales;
(v) informar a clientes y usuarios sobre novedades en los servicios, incluidas nuevas características y funcionalidades;
(vi) prestar todos los servicios contratados por nuestros clientes en cada momento, como la gestión de viajes de negocios, servicios Premium, PRO y de cancelación flexible, acceso a la API, servicios relacionados con la compensación de CO2, etc.; y
(vii) notificar una emergencia a la persona de contacto indicada por el viajero a estos efectos.
Además, podemos tratar los datos personales de los usuarios de TravelPerk como responsables del tratamiento para los fines aplicables descritos en nuestra Política de Privacidad.
¿Quién supervisa la privacidad en TravelPerk?
TravelPerk cuenta con un equipo especializado en protección de la privacidad formado por expertos legales y operativos, cuyo objetivo es garantizar un programa de cumplimiento al más alto nivel para proteger la privacidad de todas las personas que confían sus datos personales a nuestra compañía. Nuestros equipos de Privacidad y Seguridad de la Información colaboran estrechamente entre sí para garantizar que nuestras operaciones se realicen siempre garantizando la seguridad de tus datos personales.
Nuestro Delegado de Protección de Datos (DPD) es el responsable de plasmar las regulaciones y normativas en mejoras continuas de nuestra cultura de protección de la privacidad, y actúa como persona de contacto ante las autoridades de control y los clientes para cualquier tema relacionado con el cumplimiento normativo en cuestiones de privacidad.
Si tienes alguna duda o consulta, puedes ponerte en contacto con nuestro equipo de Privacidad a través de privacy@travelperk.com. Para contactar con nuestro DPD puedes escribir a dpo@travelperk.com.
¿Todos los empleados de TravelPerk tienen acceso a los datos de los clientes?
Los empleados de TravelPerk acceden únicamente a los datos de clientes que necesitan para desempeñar su función o tarea específica. Los empleados de TravelPerk pueden tener acceso a los datos de cliente mínimos que se necesitan para poder prestar nuestros servicios (por ejemplo, datos de contacto, historial de viajes y reservas e historial de solicitudes por parte del equipo de Atención al Cliente, información comercial, historial de facturación y uso de la plataforma e informes similares por parte del Gestor de Cuentas correspondiente, etc.).
Todo el personal de TravelPerk está sujeto a obligaciones de confidencialidad y ha participado en formación específica al respecto, así como en un programa de sensibilización que incluye formación básica sobre seguridad y protección de datos con pruebas y cursos anuales de actualización.
Cuando TravelPerk trata datos personales por cuenta de sus clientes, ¿es el responsable o el encargado del tratamiento?
Como figura en nuestro Acuerdo de Tratamiento de Datos y en el Libro blanco de la privacidad, nuestros clientes son los responsables del tratamiento de los datos de sus empleados, contratistas y demás personas que accedan a la cuenta de TravelPerk del cliente. TravelPerk, en calidad de proveedor de servicios de viajes de negocios para nuestros clientes, es el encargado del tratamiento de dicha información. Esto significa que TravelPerk trata los datos personales en nombre del cliente y siguiendo sus instrucciones para los fines permitidos por este, tal y como se definen en el Acuerdo de Tratamiento de Datos.
¿Qué función desempeñan los proveedores contratados por TravelPerk en relación con la protección de datos?
Cuando TravelPerk transfiere datos personales de clientes a determinados proveedores para poder prestar sus servicios de gestión de viajes de negocios, dichos proveedores se consideran subencargados del tratamiento y están sujetos a los correspondientes acuerdos de tratamiento de datos y, en su caso, a las cláusulas contractuales tipo aprobadas por la Comisión Europea y el Reino Unido para las transferencias internacionales de datos.
Por otra parte, cuando TravelPerk transfiere datos de clientes a proveedores de viajes, como hoteles, líneas aéreas, compañías ferroviarias o empresas de alquiler de coches, para la prestación de los respectivos servicios de alojamiento y transporte, dichos proveedores de viajes estarán tratando los datos en calidad de responsables del tratamiento. No obstante, TravelPerk ha incluido cláusulas de protección de datos en todos los contratos de servicio suscritos con todos los proveedores de viajes, en las que se establece la obligación que estos tienen de cumplir las leyes de protección de datos aplicables y de tratar los datos de los clientes únicamente con arreglo a lo permitido por dichas leyes.
¿Cuáles son las políticas de conservación y destrucción de datos de TravelPerk?
Nuestra política de conservación de datos describe todas las disposiciones legales de conservación de datos a las que se adhiere TravelPerk, como las relativas al almacenamiento de datos personales de clientes conforme al derecho contractual. Además, cada equipo dispone de calendarios específicos sobre los plazos legales de conservación de los datos personales procesados para desarrollar las actividades de negocio descritas en nuestra Política de Privacidad.
Los datos personales correspondientes se eliminan una vez expirado el plazo de conservación.
¿Lleva a cabo TravelPerk Evaluaciones de Impacto de la Protección de Datos (EIPD) en relación con los datos que procesa?
Sí; cuando TravelPerk es el responsable del tratamiento realiza Evaluaciones de Impacto de la Protección de Datos (EIPD) si así lo exigen el RGPD y otras leyes aplicables. En relación con los datos personales que tratamos como encargados del tratamiento, ayudamos a nuestros clientes (responsables del tratamiento) a realizar sus propias EIPD, tal y como exige el RGPD.
¿TravelPerk puede colaborar en la Evaluación de Impacto de la Protección de Datos (EIPD) cuando actúa como encargado del tratamiento?
Sí; como encargados del tratamiento de datos es una de las obligaciones que establece el RGPD, y estaremos encantados de colaborar con nuestros clientes (responsables del tratamiento) cuando realicen su EIPD.
¿Tengo que firmar un Acuerdo de Tratamiento de Datos (ATD) con TravelPerk en calidad de cliente potencial?
No. TravelPerk solo actúa como encargado del tratamiento cuando el cliente potencial se convierte definitivamente en cliente de TravelPerk y TravelPerk empieza a tratar los datos personales de los usuarios de TravelPerk designados por el cliente. Hasta ese momento, TravelPerk será el responsable del tratamiento y tratará los datos de los clientes potenciales de acuerdo con su Política de Privacidad.
Una vez te conviertas en cliente, suscribiremos un ATD, que podrás solicitar rellenando este formulario.
¿Qué Acuerdo de Tratamiento de Datos (ATD) tengo que firmar como cliente?
Podéis cumplimentar este formulario con los datos de vuestra empresa para firmar digitalmente una copia del Acuerdo de Tratamiento de Datos de TravelPerk. Una vez enviado el formulario, haremos llegar por correo electrónico la versión definitiva del acuerdo a la persona que hayáis designado como firmante. La versión definitiva tendrá el mismo contenido que el Acuerdo de Tratamiento de Datos firmado online.
TravelPerk ha adoptado la norma oneDPA para todas las transacciones susceptibles de entrar en su ámbito de aplicación. oneDPA ha sido creada de forma colaborativa por un grupo de importantes firmas de abogados y equipos internos, con aportaciones por parte de la comunidad jurídica internacional. Los términos de oneDPA han sido ampliamente debatidos por expertos jurídicos de varios países para garantizar que cumpla la normativa legal y que sea equilibrada, justa y comprensible.
Dada la naturaleza equilibrada de su contenido, oneDPA sólo puede modificarse para rellenar la información comercial específica en el apartado correspondiente. Para más información sobre oneDPA se puede visitar el sitio web oficial de oneDPA.
Si así lo solicitamos, ¿podría TravelPerk estudiar y firmar el Acuerdo de Tratamiento de Datos de nuestra empresa en lugar del suyo?
Como proveedor SaaS, TravelPerk garantiza unos estándares uniformes de protección de datos a todos sus clientes. Por lo tanto, debemos utilizar nuestro Acuerdo de Tratamiento de Datos tipo, el cual forma parte del contrato de servicios de viajes de negocios y está adaptado al tipo de servicios y a las medidas de seguridad que ofrece TravelPerk.
TravelPerk ha adoptado la norma oneDPA para todas las transacciones susceptibles de entrar en su ámbito de aplicación. oneDPA ha sido creada de forma colaborativa por un grupo de importantes firmas de abogados y equipos internos, con aportaciones por parte de la comunidad jurídica internacional. Los términos de oneDPA han sido ampliamente debatidos por expertos jurídicos de varios países para garantizar que cumpla la normativa legal y que sea equilibrada, justa y comprensible.
Dada la naturaleza equilibrada de su contenido, oneDPA solo puede modificarse para rellenar la información comercial específica en el apartado correspondiente. Para más información sobre oneDPA se puede visitar el sitio web oficial de oneDPA.
¿Solicita TravelPerk la autorización de sus clientes para incorporar nuevos subencargados del tratamiento?
TravelPerk puede contratar nuevos subencargados del tratamiento basándose en una autorización general otorgada por el cliente (responsable del tratamiento), tal y como contempla el artículo 28 del RGPD. Al contratar nuestros servicios y suscribir el correspondiente ATD, el cliente consiente y autoriza la contratación de los subencargados del tratamiento incluidos en la lista de subencargados del tratamiento vigente en cada momento. TravelPerk también se compromete a notificar al cliente cualquier incorporación eventualmente prevista a la lista, de modo que el cliente pueda oponerse oportunamente a la contratación de nuevos subencargados del tratamiento por parte de TravelPerk. En caso de plantearse alguna objeción, TravelPerk y el cliente tratarán de encontrar una solución para poder resolverla. Si no fuera posible, el cliente siempre tendrá la opción de resolver el acuerdo sin coste adicional.
¿Mantiene TravelPerk un Registro de Actividades de Tratamiento (RAT) obligatorio?
Sí. Como encargado del tratamiento de datos conforme al artículo 30.2 del RGPD, TravelPerk debe mantener un registro de todas las categorías de actividades de tratamiento de datos llevadas a cabo en nombre de sus clientes (responsables del tratamiento).
¿Cómo protege TravelPerk mis datos personales?
TravelPerk cumple las leyes de protección de datos aplicables, como el RGPD de la UE, el RGPD del Reino Unido y la CCPA de California. Hemos implementado medidas técnicas y organizativas apropiadas para proteger los datos personales que se comparten con nosotros. Esto incluye garantizar que los datos, tanto en reposo como en tránsito, estén encriptados dentro de la plataforma y en los puntos finales. Para garantizar el cumplimiento de la normativa de protección de datos, TravelPerk imparte formación específica a su personal y cuenta con políticas centralizadas al respecto. Antes de acceder a los datos personales, todas las personas y empresas con las que trabajamos se someten a una especie de auditoría de due diligence y están sujetas a obligaciones de confidencialidad. Hemos firmado acuerdos de tratamiento de datos con todos nuestros subencargados del tratamiento, conforme a las últimas cláusulas contractuales tipo para transferencias internacionales de datos aprobadas por la Comisión Europea el 4 de junio de 2021.
Nuestro sistema de gestión de la seguridad de la información (SGSI) se ajusta a las directrices ISO 27001 en materia de controles técnicos y operativos para la seguridad de los datos confidenciales y personales. Además, nuestra plataforma está alojada en Amazon Web Services (AWS) en centros de datos ubicados dentro de la UE, con protocolos de seguridad pioneros en el sector.
¿Cuáles son las principales medidas de seguridad que ha adoptado TravelPerk para garantizar el cumplimiento del artículo 32 del RGPD?
Hemos implementado una serie de controles para garantizar el cumplimiento del RGPD. Para proteger la privacidad desde el diseño y por defecto, nos centramos en el ciclo de vida de los datos de los clientes. Aplicamos medidas de seguridad técnicas, organizativas y físicas desde el momento en que se nos confían los datos personales hasta que se destruyen de forma segura. Estos controles abarcan desde la detección y respuesta avanzadas de puntos finales (EDR) hasta la seguridad y monitorización en la nube. Nuestras oficinas también están protegidas con diversas medidas de seguridad, entre ellas guardias de seguridad las 24/7 y un circuito CCTV. Para más información, consulta nuestro Libro blanco de la Seguridad y la hoja de Medidas de Seguridad (MTO).
¿TravelPerk codifica los datos personales tratados en nombre del cliente?
Sí. Hoy en día, la encriptación de datos es una de las medidas de seguridad fundamentales para proteger los datos confidenciales. Utilizamos AES-256 para cifrar los datos en reposo, incluidas las copias de seguridad. Para los datos en tránsito, imponemos un mínimo de TLS v1.2 y no admitimos versiones anteriores.
Para el almacenamiento de contraseñas, seguimos las normas recomendadas por el NIST para la selección del algoritmo hash y el mecanismo de estiramiento de claves. Nuestro sistema de correo electrónico también se encripta automáticamente mediante S/MIME siempre que sea compatible.
¿Tiene TravelPerk alguna política de seguridad?
Sí, tenemos implantadas varias políticas de seguridad, incluida una Política de Seguridad de la Información que forma parte de nuestro Sistema de Gestión de la Seguridad de la Información (SGSI). Estas políticas están en línea con las mejores prácticas reconocidas a nivel internacional en materia de seguridad informática y cibernética —como ISO27001, ISO27005 y OWASP— y proporcionan las pautas estratégicas necesarias para aplicar y actualizar constantemente nuestro SGSI.
¿Está el personal de TravelPerk sujeto a obligaciones de confidencialidad y debidamente formado para tratar datos personales de forma segura?
Sí, disponemos de un programa interno de formación y sensibilización sobre mejores prácticas de protección de la privacidad y seguridad de datos. Pensamos que marcar una casilla conforme se ha recibido la formación anual obligatoria online no es suficiente. Creemos en la mejora constante de nuestras prácticas y comportamientos y, por ello, impartimos formación continua diseñada específicamente para nuestra empresa a todos nuestros empleados, nuevas incorporaciones y contratistas relevantes. También realizamos simulaciones de phishing, ejercicios tipo «Capture the Flag», pósters de sensibilización personalizados y mucho más. En TravelPerk también aplicamos un control de acceso basado en funciones, lo que significa que solo un número limitado de nuestros empleados tiene acceso a los datos de los clientes y que este acceso se limita a los datos estrictamente necesarios para desempeñar sus respectivas funciones.
¿Qué seguridad de pago ofrece la plataforma TravelPerk?
La plataforma TravelPerk garantiza unos pagos seguros. Nos hemos asociado con Stripe para almacenar de forma segura los datos de tu tarjeta de crédito y procesar tus solicitudes de pago. TravelPerk nunca verá, almacenará ni tratará los datos de tu tarjeta de pago: estos datos los gestiona en todo momento Stripe. Nosotros utilizamos únicamente números de referencia únicos y anonimizados para conectar con Stripe y cobrar las reservas y los servicios. Stripe trata los datos de los clientes en calidad de responsable del tratamiento; consulta la Política de privacidad de Stripe para obtener más información sobre la protección de tus datos personales.
¿Estaría dispuesta TravelPerk a aplicar medidas de seguridad adicionales si el cliente así lo solicitara?
En TravelPerk estamos firmemente comprometidos con la mejora continua de la seguridad de nuestros sistemas, para lo cual reforzamos y actualizamos permanentemente las medidas de seguridad existentes. Aunque nos esforzamos por cumplir todas las obligaciones establecidas por las leyes de protección de datos, no podemos aceptar las políticas de seguridad individuales de los clientes. Como compañía SaaS global de gestión de viajes con una amplia cartera de clientes, debemos aplicar políticas de seguridad integrales y uniformes para garantizar la debida protección y la coherencia de nuestros procedimientos.
No obstante, estaremos encantados de responder a los cuestionarios de seguridad y auditoría que nos solicitéis a fin de acreditar que TravelPerk cumple con todas sus obligaciones en materia de protección de datos personales. Somos conscientes de la importancia de mantener el máximo nivel de seguridad para nuestros clientes y trabajamos con el firme propósito de cumplir estos estándares.
¿TravelPerk impone medidas técnicas y organizativas específicas a sus subencargados del tratamiento?
Nuestros subencargados del tratamiento tienen la obligación contractual de cumplir medidas técnicas y organizativas (MTO) para garantizar la seguridad de los datos equivalentes a las que ofrecemos a nuestros clientes. Pulsa aquí para consultar nuestras MTO actualizadas.
Exigimos a los subencargados del tratamiento que proporcionen suficientes medidas técnicas y operativas para garantizar la seguridad de los datos, así como medidas que garanticen el cumplimiento de las leyes aplicables en materia de protección de datos. A fin de acreditar el cumplimiento de sus obligaciones en materia de protección de datos, todos los proveedores y subencargados del tratamiento que procesan y almacenan datos de clientes se someten a exhaustivas auditorías de seguridad y a evaluaciones de riesgos realizadas tanto por nuestro equipo de Seguridad de la Información como por nuestro equipo de Protección de la Privacidad. También realizamos un seguimiento continuo de las políticas de seguridad de nuestros proveedores.
¿Qué medidas tiene implementadas TravelPerk para evitar que se produzcan violaciones de datos?
Gestión de vulnerabilidades. Las pruebas periódicas de penetración no son suficientes para garantizar la seguridad en un entorno tan cambiante como el nuestro. Por tanto, llevamos nuestra gestión de vulnerabilidades mucho más allá. Realizamos escaneos diarios de vulnerabilidades dinámicas de nuestra aplicación web y escaneamos también a diario nuestra aplicación móvil con diferentes pruebas estáticas, dinámicas e interactivas. La información obtenida a partir de estos escaneos se combina con los resultados del programa de recompensas por errores y de las pruebas de penetración y se revisa a fondo para adoptar las medidas necesarias en función del nivel de gravedad.
Prevención de malware. Como cabría esperar de una empresa internacional como la nuestra, utilizamos tecnologías punta de detección y respuesta de puntos finales. La detección basada en el comportamiento nos ayuda a mantenernos protegidos de ataques de nueva generación no reconocibles por los sistemas basados en firmas. Nuestra capacidad de conexión rápida y eficaz nos permite responder rápidamente a incidentes de puntos finales en cualquier parte del mundo. También disponemos de diversas soluciones para garantizar que el software malicioso no entre en nuestros sistemas o aplicaciones de viaje.
Monitorización. Recopilamos registros de actividad y de accesos, así como información relevante de diversas fuentes. Cuando recibimos alertas u otros avisos, nuestro equipo inspecciona e investiga rápidamente el incidente sospechoso. En la medida de lo posible, configuramos nuestras herramientas para que detecten rápidamente actividades sospechosas y nos informen al respecto de inmediato. Esto incluye la monitorización y las alertas de nuestros propios sistemas y herramientas informáticas y de nuestras aplicaciones de viajes de negocios.
¿Cuál es la política de gestión de incidentes de TravelPerk?
Nuestro equipo de Seguridad está capacitado para tomar la iniciativa ante cualquier incidente de seguridad que pueda producirse, reunir a las personas adecuadas y coordinar cualquier respuesta necesaria siguiendo nuestro Plan de Respuesta a Incidentes. No prejuzgamos de antemano asumiendo un nivel de gravedad a partir de lo que inicialmente podría ser información limitada. En lugar de ello, tratamos todos los incidentes con el mismo nivel de prioridad e importancia mientras no tengamos información que demuestre lo contrario.
Disponemos de un servicio técnico de guardia las 24/7 que garantiza que, si se produce un incidente fuera del horario laboral que afecta a la confidencialidad, integridad o disponibilidad de los datos, nuestros ingenieros puedan responder, escalar y resolver rápidamente cualquier problema con el apoyo de nuestro equipo de Seguridad. Aplicamos mejores prácticas y utilizamos un rastreador de incidentes que nos permite analizarlos posteriormente para extraer las conclusiones oportunas e introducir las mejoras correspondientes.
¿Hay algún procedimiento implementado para garantizar que todos los incidentes de seguridad se comuniquen como es debido?
Sí, tenemos un Plan de Respuesta a Incidentes que ha sido aprobado por el Director de Tecnología (CTO). Este plan establece las funciones, responsabilidades, datos de contacto y pasos a seguir en caso de sospecha de incidente. También contamos con un Equipo de Gestión de Incidentes.
Puedes encontrar más información en nuestra sección de Seguridad, en el Libro blanco de la seguridad y en la hoja de Medidas de Seguridad (MTO).
¿TravelPerk ha instruido a su personal sobre qué hacer en caso de violación de la seguridad de los datos personales?
Sí, incluimos procedimientos de detección y notificación de violaciones de la seguridad de los datos personales en la formación sobre seguridad de datos para todo el personal de TravelPerk.
¿TravelPerk notifica a las autoridades de control competentes posibles incidentes relacionados con la seguridad de los datos de los clientes?
Como encargado del tratamiento, TravelPerk está obligada a notificar cualquier violación de la seguridad de los datos personales a los clientes afectados (los responsables del tratamiento) para que estos puedan notificarlo a la autoridad de control competente de conformidad con las leyes de protección de datos aplicables. En nuestras notificaciones a los clientes afectados proporcionamos toda la información disponible conforme al artículo 33.3 del RGPD.
¿Ha notificado TravelPerk alguna violación de la seguridad de los datos personales a las autoridades de control en los últimos cinco años?
Como encargado del tratamiento, TravelPerk está obligada a notificar cualquier violación de la seguridad de los datos personales a los clientes afectados (los responsables del tratamiento) para que estos puedan notificarlo a la autoridad de control competente de conformidad con las leyes de protección de datos aplicables. En nuestras notificaciones a los clientes afectados proporcionamos toda la información disponible conforme al artículo 33.3 del RGPD.
¿TravelPerk transfiere datos personales a terceros países? ¿Cómo se garantiza la seguridad de estas transferencias?
TravelPerk puede transferir datos a destinatarios situados en terceros países, es decir, a países fuera del EEE sin una decisión de adecuación por parte de la Comisión Europea. Por ejemplo, podemos transferir datos a subencargados del tratamiento que nos ayudan a prestar nuestros servicios (consulta nuestra Lista actualizada de subencargados del tratamiento) o a proveedores de viajes como compañías aéreas, hoteles u otros proveedores de transporte y alojamiento.
Cuando estos subencargados del tratamiento se encuentran en terceros países, aplicamos principalmente las últimas cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021. También realizamos una evaluación de la seguridad de todos nuestros proveedores y, cuando es necesario, aplicamos medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE (de acuerdo con las Recomendaciones 01/2020 del CEPD «post-Schrems II»). Puedes encontrar más información en nuestro Libro Blanco sobre transferencias internacionales de datos.
¿Qué procedimiento sigue TravelPerk exactamente para gestionar las transferencias internacionales de datos?
El proceso que seguimos cada vez que necesitamos compartir datos de clientes con un proveedor establecido en un país tercero consta de 7 pasos:
- Identificamos y mapeamos todas nuestras transferencias restringidas (es decir, cualquier transferencia de datos a países no adecuados).
- Exigimos a los posibles proveedores que rellenen un cuestionario exhaustivo sobre privacidad, que después evalúan nuestros equipos de Seguridad de la Información y Protección de la Privacidad.
- Suscribimos un Acuerdo de Tratamiento de Datos (ATD) con el proveedor en cuestión, que establece las mismas obligaciones de protección de datos, o equivalentes, que las establecidas en el ATD suscrito con nuestros clientes.
- Aplicamos las cláusulas contractuales tipo para transferencias internacionales más recientes publicadas por la Comisión Europea el 4 de junio de 2021 a todos los proveedores que tratan datos personales en países terceros.
- Estudiamos la legislación aplicable en el país donde el proveedor almacena los datos, con especial énfasis en los Estados Unidos.
- Identificamos y adoptamos los procedimientos y las medidas complementarias necesarias para que el nivel de protección de los datos transferidos cumpla las normas de la UE.
- Revisamos nuestras evaluaciones de riesgos periódicamente para asegurarnos de que las transferencias internacionales siguen siendo seguras a lo largo del tiempo.
En caso necesario, ¿adopta TravelPerk medidas complementarias para garantizar la eficacia de las cláusulas contractuales tipo suscritas con los subencargados del tratamiento?
Sí. La Comisión Europea insta a los responsables del tratamiento y a los encargados del tratamiento a proporcionar garantías adicionales para la transferencia de datos personales al extranjero mediante medidas contractuales complementarias que ofrezcan un nivel de protección equivalente en lo esencial a los estándares de la UE.
Teniendo esto en cuenta, TravelPerk realiza una evaluación exhaustiva de todos los encargados y subencargados del tratamiento ubicados en terceros países para determinar la eficacia de las cláusulas contractuales tipo en cada caso en concreto. Basándonos en los resultados de la evaluación, indicamos a dichos proveedores que incorporen las medidas contractuales adicionales oportunas al Acuerdo de Tratamiento de Datos correspondiente. Nos centramos tanto en las medidas de seguridad aplicadas por el proveedor como en las salvaguardias específicas para evitar o mitigar los riesgos de posibles solicitudes de divulgación de datos personales a autoridades públicas o policiales en el país del proveedor, especialmente en los Estados Unidos en virtud de leyes y reglamentos como la Sección 702 de la FISA, la Orden Ejecutiva 12333 o la Ley CLOUD.
Dependiendo del caso y basándonos en los resultados de nuestra evaluación, pedimos a nuestros proveedores que cumplan determinadas obligaciones contractuales adicionales si reciben tales solicitudes de divulgación. A modo de ejemplo, les pedimos que verifiquen si la solicitud de divulgación es lícita y adecuada en función de los datos solicitados y la jurisdicción competente y que, si procede, revisen y cuestionen la solicitud de acuerdo con los principios del RGPD y las obligaciones contractuales relacionadas con solicitudes de acceso a datos personales por parte de organismos gubernamentales conforme a los artículos 14 y 15 de las cláusulas contractuales tipo. También instruimos a nuestros proveedores para que proporcionen la mínima información posible ante una solicitud de divulgación, apliquen las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales —incluida la protección contra la destrucción accidental o ilícita y la pérdida, alteración o divulgación y acceso no autorizados a dichos datos— y se abstengan de crear puertas traseras o programaciones similares que puedan ser utilizadas por los cuerpos de seguridad o las autoridades públicas para acceder a los sistemas y/o a los datos personales.
¿Tienen acceso terceros externos a los sistemas o equipos de gestión de clientes de TravelPerk?
Ningún tercero tiene acceso a los sistemas o equipos de gestión de clientes de TravelPerk. Sin embargo, TravelPerk puede compartir datos de clientes con proveedores terceros (subencargados del tratamiento y proveedores de viajes) para prestar sus servicios de viajes de negocios (por ejemplo, nombre de los viajeros y datos de contacto con una aerolínea u hotel para confirmar una reserva). Todos estos terceros se someten a evaluaciones de seguridad y han suscrito los ATD y/o cláusulas contractuales correspondientes para garantizar la seguridad y la confidencialidad de los datos personales transferidos.
¿Ha adoptado TravelPerk las nuevas cláusulas contractuales tipo de la UE para transferencias internacionales de datos personales (CCT UE 2021) a subencargados del tratamiento establecidos fuera del EEE?
Sí, aplicamos las cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021 a todos los subencargados del tratamiento establecidos fuera del EEE en países no adecuados, por ejemplo, en Estados Unidos.
¿En qué países tratan TravelPerk y los subencargados del tratamiento los datos de los clientes para prestar sus servicios de gestión de viajes de negocios?
Actualmente trabajamos con subencargados del tratamiento radicados en la UE/EEE, Reino Unido, EE. UU., Filipinas, India, Japón, Australia, El Salvador e Israel. Pulsa aquí para ver la lista actualizada de subencargados del tratamiento de TravelPerk.
¿Tengo que firmar cláusulas contractuales tipo con TravelPerk?
Si eres (o quieres ser) cliente de TravelPerk, la respuesta es NO. Como empresa con sede en la UE que trata datos personales conforme al RGPD, TravelPerk no está obligada a suscribir con sus clientes las cláusulas contractuales tipo para transferencias internacionales publicadas por la Comisión Europea el 4 de junio de 2021 (CCT).
Cuando TravelPerk necesite realizar transferencias ulteriores de tus datos personales a subencargados del tratamiento ubicados en terceros países (por ejemplo, Estados Unidos), puedes estar seguro de que dichas transferencias ya están reguladas por las CCT suscritas entre TravelPerk y el subencargado del tratamiento en cuestión.
Si eres un proveedor establecido fuera de la UE/EEE o del Reino Unido en un país designado como no adecuado en materia de protección de la privacidad por la Comisión Europea (lista de países adecuados disponible aquí), la respuesta es SÍ. Debemos suscribir las cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021 si como proveedor vas a prestar un servicio a TravelPerk que requiera el tratamiento de datos personales.
¿TravelPerk puede restringir el almacenamiento de datos de clientes a países o ubicaciones geográficas concretas?
Debido a la naturaleza de nuestro servicio SaaS, no es viable aplicar restricciones de geolocalización por cliente. Nuestro entorno SaaS y todos los procesos operativos y de seguridad asociados están diseñados para ser estándar y uniformes y no se pueden adaptar a los requisitos específicos de clientes concretos. Por lo tanto, el acceso y uso de nuestro SaaS se proporciona «tal cual es» y de conformidad con nuestros procesos y procedimientos vigentes y con las condiciones recogidas en el contrato suscrito entre TravelPerk y el cliente.
Dicho esto, puedes estar seguro de que cumplimos los estándares de seguridad más exigentes de nuestro sector. Todas nuestras operaciones están auditadas con éxito conforme a los estándares del sector. Nuestro proveedor de centro de datos, Amazon Web Services Ireland (con un centro de respaldo en Alemania), posee la certificación ISO 27001. También posee las certificaciones ISO 27017 e ISO 27018, SOC 1, SOC 2 y SOC 3, PCI DSS Nivel 1 y la certificación C5 de BSI.
¿Es posible excluir algún subencargado del tratamiento a la hora de prestarnos servicios?
Como plataforma SaaS, no contratamos subencargados del tratamiento en función de clientes concretos. El uso de subencargados del tratamiento por parte de TravelPerk forma parte integrante de la prestación de nuestros servicios y todos los proveedores terceros están previamente contratados y sujetos a obligaciones contractuales con nosotros. Antes de contratar a proveedores externos, realizamos exhaustivas evaluaciones de seguridad para asegurarnos de que cumplen nuestros estrictos estándares de seguridad. Además, todos los subencargados del tratamiento han suscrito los correspondientes acuerdos de protección de datos para garantizar la seguridad y confidencialidad de los datos personales tratados en nombre de nuestros clientes. Esto nos permite mantener un alto nivel de seguridad y protección de la privacidad, al tiempo que proporcionamos a nuestros clientes servicios fiables y eficientes.
¿Cómo se garantiza la protección de los datos de los clientes en el caso de que las asociadas, filiales o sociedades matrices de TravelPerk no pertenecientes al EEE necesiten acceder a dichos datos?
Tenemos un acuerdo de tratamiento de datos intragrupo global que regula todas las transferencias internas y que incluye las últimas cláusulas contractuales tipo para transferencias internacionales publicadas por la Comisión Europea el 4 de junio de 2021. Este acuerdo ofrece un marco sólido que garantiza que todas las transferencias de datos dentro de nuestra organización cumplen la normativa vigente sobre protección de datos y satisfacen los estándares más estrictos de seguridad y confidencialidad. La aplicación de estas cláusulas contractuales tipo nos permite mantener un alto nivel de protección de datos incluso cuando se transfieren datos personales a otros países, proporcionando a nuestros clientes la tranquilidad que necesitan para confiarnos su valiosa información.
¿Cómo gestiona TravelPerk las solicitudes de los interesados en relación con sus datos personales? ¿Dónde y cómo puedo ejercer mis derechos?
Si eres usuario de TravelPerk: en calidad de encargados del tratamiento de datos colaboramos con nuestros clientes (responsables del tratamiento) para que gestionen las solicitudes de sus usuarios relacionadas con el tratamiento de sus datos personales. Los usuarios de TravelPerk deben enviar sus solicitudes al administrador de la cuenta TravelPerk de su empresa, que representa al responsable del tratamiento. Los administradores pueden suprimir ellos mismos determinados datos (pulsa aquí para ver las instrucciones) y también actualizar datos directamente desde la plataforma TravelPerk o solicitarnos más información si lo consideran oportuno.
Si eres un cliente potencial, un tester de productos, un asistente a un evento de TravelPerk o un visitante del sitio web de TravelPerk: puedes ejercer tus derechos de protección de datos a través de este formulario.
¿Qué tipos de datos personales recopila TravelPerk?
TravelPerk recopila los datos personales proporcionados por los usuarios a través de nuestra plataforma o servicio de atención al cliente a fin de prestar servicios de viajes de negocios. Si eres un viajero cuya empresa es cliente de TravelPerk, los datos personales que tratamos pueden incluir tu nombre, dirección de correo electrónico profesional, número de teléfono y datos de tu documento nacional de identidad o pasaporte. Además, puede que tratemos otro tipo de datos como los relativos a tarjetas de afiliación de viaje, métodos de pago, información sobre reservas y viajes, así como solicitudes de atención al cliente o reclamaciones, en la medida en que sea necesario para prestar nuestros servicios de gestión de viajes de negocios y permitirte realizar reservas de viajes.
Quiero que TravelPerk elimine mi cuenta de usuario.
Si eres usuario de TravelPerk y quieres eliminar tu cuenta de usuario, envía tu solicitud al administrador de la cuenta de TravelPerk de tu empresa. Los administradores de la empresa pueden eliminar cuentas de usuario de la plataforma TravelPerk siguiendo los pasos indicados en este artículo (en la sección «Eliminar usuario»). Los administradores también pueden modificar los datos de los usuarios desde el directorio de perfiles disponible en la plataforma TravelPerk.
Ponte en contacto con nosotros
Si tienes alguna duda con respecto a la privacidad en TravelPerk, mándanos un correo electrónico a privacy@travelperk.com.