1. En la ejecución del presente acuerdo se produce un relación de encargado y responsable del tratamiento para la prestación de servicios que ofrece Chekin, que tiene como objetivo gestionar y almacenar los partes de entrada de viajeros a los alojamientos turísticos y facilitar su registro y la comunicación de los datos de los huéspedes a la policía en nombre del alojamiento en cumplimiento de la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos y, en caso de que así lo acepte el alojamiento, el reconocimiento facial a través de biometría de los huéspedes para llevar a cabo el pre-chekin y su segmentación con fines estadísticos.
2. En virtud de la prestación de servicios citada en el punto anterior, el CLIENTE se constituirá como Responsable del tratamiento de aquellos datos de sus huéspedes captados a través de los diferentes servicios que ofrece Chekin.
3. Chekin accederá y tratará por cuenta del Responsable datos de carácter personal y bajo responsabilidad de éste, respecto de cuyo tratamiento Chekin tendrá la consideración de encargado del tratamiento a los efectos de la normativa aplicable. A estos efectos:
a) El objeto y naturaleza del encargo del tratamiento viene determinado por lo dispuesto en los Términos de Servicio de Chekin y en la Política de Privacidad de Chekin.
b) El tratamiento a realizar por el Encargado tiene como finalidad la gestión y almacenamiento de entrada de viajeros en los establecimientos del Responsable, el envío de información sobre los huéspedes a la policía por cuenta del Responsable y, en su caso el pre-checkin de viajeros a través de biometría y la segmentación con fines estadísticos.
c) Los datos personales son enormemente variados y comprenden, entre otros: datos identificativos, de contacto, datos de características personales (fecha de nacimiento) y, en caso de activación de la posibilidad del pre-checkin, datos biométricos (reconocimiento facial a través de un selfie y comparativa con fotografía de documento acreditativo de la identidad). Por su parte, las principales categorías de interesados son huéspedes del Responsable.
4. El Encargado deberá tratar los datos a que se refiere este texto conforme a los servicios contratados por los titulares de los alojamientos con Chekin, atendiendo para ello a los Términos de Servicio de Chekin y en la Política de Privacidad de Chekin, y siempre bajo las instrucciones que el Responsable le facilite y en todo caso adoptará medidas de índole organizativa y técnica que acordes al tipo de datos que ha de tratar, a las finalidades y a los riesgos del tratamiento y realizará acciones concretas de privacidad desde el diseño y por defecto sobre aquellos tratamientos que deba realizar.
5. Chekin deberá seguir las instrucciones que el Responsable le facilite, inclusive con respecto a transferencias de datos a países fuera del Espacio Económico Europeo u organizaciones internacionales, salvo que venga obligado a ello en virtud de alguna norma de la Unión Europea o de la legislación de algún Estado miembro que le sea aplicable, en cuyo caso está obligado a comunicarlo al Responsable.
6. Chekin se abstendrá de aplicar o utilizar los datos personales accedidos con fines distintos a los convenidos con el Responsable ni los comunicará, ni siquiera para su conservación, a otras personas, a menos que dicha comunicación haya sido previa y expresamente autorizada por el Responsable. En caso de que Chekin emplee los datos para finalidades distintas, será considerado como responsable del tratamiento conforme a lo previsto en la normativa aplicable.
7. Chekin deberá asistir al Responsable a efectos de que ésta pueda cumplir con sus obligaciones de atención a los interesados cuando éstos ejerciten alguno de los derechos que, respecto de sus datos personales, la normativa les reconozca. En este sentido, Chekin se compromete a comunicar inmediatamente al titular del alojamiento en cuestión los ejercicios de derechos por parte de los interesados, a fin de poder atender los mismos y cumplir con sus obligaciones legales al respecto.
8. Asimismo Chekin vendrá obligado a poner a disposición del Responsable cuanta información y documentación resulte pertinente a efectos de demostrar el cumplimiento por su parte de las obligaciones previstas en este texto, así como a permitir las auditorías, inspecciones, evaluaciones, etc. que pudiera requerir el Responsable o un tercero autorizado o designado por éste, colaborando en todo aquello que fuera necesario. Esta obligación supone que el Encargado deberá informar al Responsable en caso de detectar que, en su opinión, alguna instrucción o medida implementada en relación a la recogida y/o tratamiento de los datos personales a que se refiere este texto infrinja alguna norma de la Unión Europea y/o de algún Estado miembro que resulte aplicable.
9. Chekin se compromete a guardar secreto respecto de los datos personales objeto de tratamiento, y a mantener absoluta confidencialidad y reserva sobre cualquier dato que pueda conocer con ocasión del cumplimiento de los servicios prestados, garantizando que extenderá esta obligación a todo el personal de su organización autorizado a acceder a los datos personales objeto del Responsable. Este deber de secreto y confidencialidad subsistirá sin límite temporal alguno.
10. El Responsable autoriza a Chekin a subcontratar a terceros para la prestación de cualquier servicio que implique el tratamiento de datos personales de su responsabilidad. La ejecución de determinados servicios puede requerir de la subcontratación por parte de Chekin de ciertos servicios a otras empresas; actualmente tales servicios serán prestados, entre otros, por:
- Amazon Web Services EMEA SARL. 38 avenue John F. Kennedy, L-1855 Luxembourg. VAT Number: LU 26888617.
- DigitalOcean, 101 Avenue of the Americas, 10th Floor New York, NY 10013. VAT Number: EU 528002224.
11. El tratamiento de datos realizado por el subcontratado se ajustará, asimismo, a las instrucciones del Encargado. En este sentido, el Encargado habrá dado instrucciones de tratar los datos en análogas condiciones a las previstas en este texto.
12. Las partes acuerdan que el subencargado podrá ser sustituido en sus obligaciones por otro prestador de servicios, sin necesidad de que Chekin se lo comunique al Responsable. El prestador que, en su caso, suceda al subencargado, se subrogará en la posición que éste ocupa.
13. Una vez concluida la relación entre las Chekin y su cliente, los datos de carácter personal deberán ser suprimidos o devueltos al Responsable, a elección de éste, suprimiendo cuantas copias de los mismos existieran.
14. Lo anterior, salvo que existiera alguna norma de la Unión Europea y/o de alguno de los Estados miembros que le resultare aplicable en virtud de la que se requiriera la conservación de los datos personales. En tal caso, Chekin deberá proceder a la devolución de los datos garantizando al Responsable su conservación.
15. La duración del tratamiento de datos personales a realizar por Chekin vendrá determinada por la duración de la relación entre Chekin y el titular del alojamiento.
16. Chekin debe notificar al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas las notificaciones de violaciones de seguridad enviando un correo electrónico a dicho Responsable.
17. El contenido básico que debe tener la notificación de violación de seguridad será el siguiente:
- Descripción de la naturaleza de la brecha de seguridad, y en el caso de que sea posible del número aproximado de afectados, la categorías de datos y el número de registros de datos afectados.
- Obligación de poner en disposición de los datos de contacto del Delegado de Protección de Datos u otro punto de contacto que permita obtener información.
- Describir las posibles consecuencias de la violación de seguridad de los datos personales.
- Explicar las medidas de seguridad adoptadas o propuestas por el Responsable del tratamiento para paliar o frenar la quiebra de seguridad.
18. Por su parte, otras obligaciones que competen a Chekin son las siguientes:
a. Facilitar al Responsable acceso a los datos a que se refiere este texto y/o permitir dicho acceso.
b. Velar por el cumplimiento de la normativa en materia de protección de datos en el desarrollo de sus funciones.
c. Permitir la realización de inspecciones y auditorías sobre protección de datos cuando sea advertido previamente con 72 horas de antelación.
19. En todo caso, el Responsable es responsable de informar a sus huéspedes del tratamiento de sus datos. A tales efectos, el Responsable está obligado a facilitar a los huéspedes su política de privacidad, o bien usar la genérica contenida en los Términos de Servicio de Chekin, e informar sobre cada uno de los tratamientos llevados a cabo a través de ella.
20. A este respecto, Chekin no se hace responsable de los daños y perjuicios que puedan surgir de o en relación con el uso de los servicios que Chekin ofrece. Esto incluye, pero no se limita a: pérdida directa, pérdida del negocio o ganancias, daños causados a tu dispositivo y los datos contenidos en el mismo, así como cualquier otro daño directo o indirecto, consecuente e incidental.
20.1 Chekin no se hace responsable de los datos aportados durante los procesos de pre-checkin o checkin, así como de los datos aportados en los distintos perfiles de los titulares de los alojamientos ni de su veracidad. La verificación de que esa información es correcta corresponde al titular del alojamiento por los medios que considere.
20.2 Chekin tampoco es responsable de las Condiciones Particulares (precio, servicios, cancelación etc.) que se pacten entre alojamientos y huéspedes, así como de la modificación de las mismas.