Acuerdo de Procesamiento de Datos

Para los efectos de este Acuerdo, se entenderá por:

Este Acuerdo se aplica a todo tratamiento de datos personales realizado por el Encargado en el contexto de la prestación de servicios de gestión de cabañas, incluyendo pero no limitado a: reservas de alojamiento, gestión de experiencias turísticas, comunicaciones con huéspedes, procesamiento de pagos, y almacenamiento de información relacionada con las operaciones del negocio. El Encargado tratará los datos personales únicamente según las instrucciones documentadas del Controlador, salvo que la ley aplicable exija lo contrario. Cualquier tratamiento adicional requerirá autorización expresa y por escrito del Controlador.

El Encargado llevará a cabo las siguientes actividades de tratamiento de datos personales en nombre del Controlador:

El Encargado se compromete a cumplir con las siguientes obligaciones en el tratamiento de datos personales:

• Tratar los datos personales únicamente para las finalidades específicas y acordadas con el Controlador, sin utilizarlos para propósitos distintos no autorizados expresamente.
• Garantizar la confidencialidad de todo el personal que tenga acceso a los datos personales, obligándolos contractualmente a mantener la confidencialidad y utilizar la información exclusivamente para los fines autorizados.
• Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, protegiéndolos contra el acceso no autorizado, alteración, divulgación o destrucción.
• Informar al Controlador de cualquier intención de contratar subencargados adicionales, obteniendo autorización previa y por escrito, y asegurando que estos cumplan con las mismas obligaciones establecidas en este Acuerdo.
• Permitir auditorías y proporcionar toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo, incluyendo informes de seguridad y registros de actividades de tratamiento.

El Encargado puede utilizar subencargados para prestar determinados servicios tecnológicos. A continuación se detallan los subencargados autorizados actualmente, todos ellos sujetos a acuerdos de procesamiento de datos que garantizan el mismo nivel de protección establecido en este Acuerdo:

Dado que algunos de nuestros subencargados operan fuera de Chile, los datos personales podrán ser transferidos internacionalmente a Estados Unidos y otros países donde dichos proveedores mantengan sus infraestructuras.

El Encargado cooperará con el Controlador para facilitar el ejercicio de los derechos de los Titulares sobre sus datos personales, conforme a la legislación aplicable.

• Notificar al Controlador sin dilación indebida cuando reciba cualquier solicitud de un Titular para ejercer sus derechos de acceso, rectificación, cancelación, oposición o portabilidad.
• Proporcionar asistencia técnica y administrativa necesaria para que el Controlador pueda cumplir con las solicitudes de los Titulares en los plazos legales establecidos.
• Cooperar con el Controlador en el cumplimiento de sus obligaciones regulatorias en materia de protección de datos, incluyendo consultas de autoridades de control y evaluaciones de impacto en la protección de datos.

El Encargado implementa un conjunto integral de medidas técnicas y organizativas para garantizar la seguridad de los datos personales, considerando el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

• Cifrado de datos en tránsito mediante TLS 1.3 y cifrado en reposo utilizando AES-256, garantizando que la información sensible permanezca protegida durante todo su ciclo de vida.
• Control de acceso basado en roles (RBAC) que limita el acceso a los datos personales únicamente al personal autorizado, con autenticación multifactor obligatoria para accesos administrativos.
• Sistemas de monitoreo continuo y registro de logs de auditoría que permiten detectar y responder ante actividades sospechosas o intentos de acceso no autorizado.
• Programas regulares de capacitación en privacidad y seguridad de la información para todo el personal con acceso a datos personales, incluyendo concientización sobre phishing y buenas prácticas.

En caso de producirse una violación de seguridad que afecte los datos personales tratados en nombre del Controlador, el Encargado notificará al Controlador sin dilación indebida y, en todo caso, dentro de las primeras 48 horas desde que tenga conocimiento del incidente. La notificación deberá incluir como mínimo: • La descripción de la naturaleza de la violación de seguridad • Las categorías y número aproximado de Titulares afectados • Las medidas adoptadas o propuestas para hacer frente a la violación • Los datos de contacto de la persona de contacto para obtener más información El Encargado documentará todas las violaciones de seguridad, incluyendo los hechos relativos a la misma, sus efectos y las medidas correctivas tomadas.

Al término de la relación contractual por cualquier causa, el Encargado devolverá al Controlador todos los datos personales y eliminará las copias existentes en sus sistemas, salvo que la ley aplicable exija su conservación. El Encargado certificará por escrito al Controlador la eliminación completa de los datos dentro de los 30 días siguientes a la finalización del contrato, manteniendo únicamente aquella información que deba conservarse por obligación legal, la cual será aislada y protegida adecuadamente. Durante el período de transición, el Encargado continuará aplicando todas las medidas de seguridad y protección establecidas en este Acuerdo hasta la completa eliminación o transferencia de los datos.