Acuerdo de Encargo del Tratamiento de Datos (DPA)

Documento complementario a los Términos y Condiciones de TurIA. En caso de discrepancia sobre el tratamiento de datos personales de los usuarios finales del Cliente, prevalece este Acuerdo.

El presente Acuerdo de Encargo del Tratamiento de Datos (en adelante, el "Acuerdo" o "DPA") regula el tratamiento de datos personales que Turia Core Limited realiza por cuenta del Cliente al prestarle los servicios de la plataforma TurIA. Forma parte integrante del contrato suscrito entre ambas partes y se perfecciona con la aceptación de los Términos y Condiciones o con la contratación de los servicios.

Este Acuerdo está dirigido, en particular, a Clientes sujetos al Reglamento (UE) 2016/679 (RGPD) o a normativa equivalente que les obligue a formalizar un encargo de tratamiento con sus proveedores. Su finalidad es ofrecer al Cliente las garantías que su normativa le exige cuando datos personales bajo su responsabilidad se tratan a través de la Plataforma.

1. Partes

• Encargado del tratamiento: Turia Core Limited, sociedad constituida en Hong Kong, con número de registro 80323428 y domicilio social en Unit B, 12/F, Hang Seng Causeway Bay Building, 28 Yee Wo Street, Causeway Bay, Hong Kong (en adelante, "TurIA").
• Responsable del tratamiento: la persona física o jurídica que contrata los servicios de TurIA, identificada en su cuenta y en el contrato (en adelante, el "Cliente" o el "Responsable").

El Cliente actúa como responsable del tratamiento respecto de los datos personales de sus usuarios finales. TurIA actúa como encargado, tratando dichos datos únicamente por cuenta y según las instrucciones del Cliente.

2. Definiciones

Los términos "datos personales", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado", "violación de la seguridad de los datos personales" y "autoridad de control" tienen el significado que les atribuye la normativa de protección de datos aplicable, en particular el RGPD. "Subencargado" es todo tercero contratado por TurIA para tratar datos personales por cuenta del Cliente.

3. Objeto y alcance

El objeto del Acuerdo es habilitar a TurIA para tratar, por cuenta del Cliente, los datos personales necesarios para la prestación de los servicios contratados (entre otros, TurIA Assistant, TurIA Bookings y TurIA Analytics). Los detalles del tratamiento —categorías de datos e interesados, finalidad, naturaleza y duración— se describen en el Anexo I.

TurIA tratará los datos personales exclusivamente para prestar los servicios y cumplir las instrucciones del Cliente, y no los utilizará para finalidades propias ni los cederá a terceros salvo en los términos previstos en este Acuerdo o por obligación legal.

4. Duración

Este Acuerdo estará vigente mientras TurIA preste servicios al Cliente que impliquen el tratamiento de datos personales por su cuenta. Las obligaciones de confidencialidad y las relativas a la devolución o supresión de datos permanecerán vigentes tras su terminación.

5. Instrucciones del Responsable

TurIA tratará los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales, salvo que una obligación legal exija otra cosa, en cuyo caso TurIA informará al Cliente de dicha exigencia antes del tratamiento, salvo prohibición legal.

Las instrucciones iniciales del Cliente son las que resultan de los Términos y Condiciones, de este Acuerdo y de la configuración y el uso normal de la Plataforma. El Cliente podrá impartir instrucciones adicionales razonables y conformes a la normativa. Si TurIA considera que una instrucción infringe la normativa de protección de datos aplicable, lo comunicará al Cliente sin dilación.

6. Obligaciones de TurIA (Encargado)

TurIA se compromete a:

• (a) Tratar los datos personales solo conforme a las instrucciones documentadas del Cliente.
• (b) Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza equivalente.
• (c) Adoptar las medidas técnicas y organizativas apropiadas descritas en el Anexo II para garantizar un nivel de seguridad adecuado al riesgo.
• (d) Respetar las condiciones para recurrir a subencargados previstas en la cláusula 10.
• (e) Asistir al Cliente, en la medida de lo posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados (cláusula 11).
• (f) Asistir al Cliente en el cumplimiento de sus obligaciones en materia de seguridad, notificación de violaciones de seguridad y evaluaciones de impacto, teniendo en cuenta la naturaleza del tratamiento y la información disponible.
• (g) A elección del Cliente, devolver o suprimir los datos personales al finalizar la prestación de los servicios, conforme a la cláusula 15.
• (h) Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías conforme a la cláusula 14.

7. Obligaciones del Cliente (Responsable)

El Cliente se compromete a:

• (a) Disponer de una base de legitimación válida para el tratamiento de los datos personales que incorpora a la Plataforma y haber informado a los interesados conforme a la normativa aplicable.
• (b) Impartir a TurIA instrucciones lícitas y conformes a la normativa de protección de datos.
• (c) Cumplir, en su condición de responsable, las obligaciones que le correspondan, incluida la atención a los derechos de los interesados respecto de los datos bajo su responsabilidad.
• (d) Garantizar, con carácter previo y durante todo el tratamiento, el cumplimiento de la normativa aplicable a su actividad.

El Cliente es el único responsable de la licitud de los datos que trata a través de la Plataforma y de las instrucciones que imparte a TurIA.

8. Personal y confidencialidad

TurIA garantiza que el personal con acceso a los datos personales está sujeto a un deber de confidencialidad y ha recibido la formación adecuada en materia de protección de datos. El acceso se limita a las personas que lo necesiten para la prestación de los servicios.

9. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de los interesados, TurIA aplicará las medidas técnicas y organizativas apropiadas descritas en el Anexo II, que podrá actualizar para mantener o mejorar el nivel de seguridad, sin que ello suponga una disminución de las garantías.

10. Subencargados

El Cliente autoriza de forma general a TurIA a recurrir a subencargados para la prestación de los servicios. La relación de subencargados autorizados a la fecha figura en el Anexo III.

TurIA impondrá a sus subencargados, mediante contrato, obligaciones de protección de datos equivalentes a las del presente Acuerdo, y responderá frente al Cliente del cumplimiento por parte de aquellos.

TurIA informará al Cliente de cualquier incorporación o sustitución de subencargados con una antelación razonable, dando al Cliente la posibilidad de oponerse por motivos razonables relacionados con la protección de datos. En caso de oposición no resuelta, el Cliente podrá resolver la parte del servicio afectada.

11. Asistencia al Responsable

Derechos de los interesados. Cuando un interesado dirija a TurIA una solicitud de ejercicio de derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad u otros), TurIA la trasladará al Cliente sin dilación y no responderá directamente salvo instrucción del Cliente o exigencia legal. TurIA asistirá al Cliente, mediante las funcionalidades de la Plataforma o medidas razonables, para atender dichas solicitudes.

Evaluaciones de impacto. TurIA prestará al Cliente asistencia razonable en la realización de evaluaciones de impacto relativas a la protección de datos y, en su caso, en las consultas previas a la autoridad de control, teniendo en cuenta la naturaleza del tratamiento y la información disponible.

12. Violaciones de la seguridad de los datos

TurIA notificará al Cliente, sin dilación indebida desde que tenga conocimiento de ella, cualquier violación de la seguridad de los datos personales tratados por cuenta del Cliente. La notificación incluirá, en la medida en que sea posible, la información razonablemente disponible para que el Cliente pueda cumplir sus propias obligaciones de notificación, e irá acompañada de las medidas adoptadas o propuestas.

La obligación de notificación de TurIA no implica reconocimiento de culpa o responsabilidad respecto del incidente.

13. Transferencias internacionales

Para la prestación de los servicios, los datos personales pueden tratarse en infraestructura o por subencargados situados fuera del Espacio Económico Europeo, incluido el lugar de establecimiento de TurIA.

Cuando se transfieran datos personales sujetos al RGPD a un país que no ofrezca un nivel de protección adecuado, las partes adoptarán un mecanismo de transferencia válido conforme a la normativa, entendiéndose incorporadas por referencia las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, actuando TurIA como importador de datos, junto con las medidas complementarias que resulten necesarias. Lo anterior se aplicará en la medida en que dicho mecanismo sea exigible al Cliente conforme a su normativa.

14. Auditoría

TurIA pondrá a disposición del Cliente la información razonablemente necesaria para acreditar el cumplimiento de este Acuerdo. El Cliente podrá realizar auditorías, por sí o a través de un tercero independiente sujeto a confidencialidad, con un preaviso razonable, con una periodicidad no superior a una vez al año (salvo requerimiento de una autoridad de control o tras un incidente de seguridad), durante el horario laboral y sin afectar a la operativa ni a la seguridad de otros clientes. TurIA podrá satisfacer estas solicitudes mediante la entrega de informes, certificaciones o documentación equivalente cuando ello sea suficiente.

15. Devolución o supresión de los datos

A la finalización de la prestación de los servicios, TurIA, a elección del Cliente, devolverá los datos personales en un formato de uso común o los suprimirá, junto con las copias existentes, salvo que una obligación legal exija su conservación. Esta previsión se aplica de forma coherente con el plazo de conservación previsto en los Términos y Condiciones (treinta días para la descarga de los datos de la cuenta tras la finalización del contrato).

16. Responsabilidad

La responsabilidad de las partes derivada de este Acuerdo se regirá por lo dispuesto en los Términos y Condiciones y por la normativa de protección de datos aplicable. Cada parte responderá frente a la otra de los daños causados por el incumplimiento de las obligaciones que le correspondan en virtud de este Acuerdo.

17. Ley aplicable

Este Acuerdo se rige por la legislación de la Región Administrativa Especial de Hong Kong, sin perjuicio de las disposiciones imperativas de la normativa de protección de datos que resulten aplicables al Cliente. La jurisdicción se determina conforme a la cláusula correspondiente de los Términos y Condiciones.

Anexo I — Detalles del tratamiento

• Responsable: el Cliente.
• Encargado: Turia Core Limited.
• Objeto del tratamiento: prestación de los servicios de la plataforma TurIA contratados por el Cliente.
• Naturaleza y finalidad: alojamiento, gestión, comunicación automatizada (incluido el asistente de IA), gestión de reservas y analítica, según los productos contratados.
• Duración: la de la relación contractual entre las partes.
• Categorías de interesados: usuarios finales y contactos del Cliente (por ejemplo, viajeros, clientes potenciales y reales del Cliente).
• Categorías de datos personales: datos identificativos y de contacto (nombre, correo electrónico, teléfono), datos de la reserva o consulta, contenido de las comunicaciones gestionadas a través de la Plataforma y datos técnicos de navegación. El Cliente se compromete a no incorporar categorías especiales de datos salvo que sea estrictamente necesario y conforme a la normativa.

Anexo II — Medidas técnicas y organizativas

Con carácter enunciativo, TurIA aplica medidas como:

• Cifrado de las comunicaciones y control de accesos basado en roles y autenticación.
• Segregación lógica de los datos de cada cliente en un entorno multiinquilino.
• Copias de seguridad y procedimientos de recuperación.
• Registro de accesos y trazabilidad de operaciones relevantes.
• Aplicación de actualizaciones de seguridad y endurecimiento de la infraestructura.
• Deber de confidencialidad del personal y acceso limitado según necesidad.
• Procedimientos de gestión de incidentes y de notificación de violaciones de seguridad.

TurIA revisa y mejora estas medidas de forma continua.

Anexo III — Subencargados autorizados

A la fecha de este Acuerdo, TurIA recurre a las siguientes categorías de subencargados:

Categoría	Finalidad	Ubicación
Proveedor de infraestructura cloud	Alojamiento y procesamiento de la Plataforma	Fuera del EEE (detalle disponible a solicitud)
Stripe	Procesamiento de pagos	Según su política
Meta / WhatsApp	Canal de mensajería del asistente	Según su política
Proveedores de modelos de IA	Procesamiento de las consultas del asistente	Según su política

TurIA mantendrá actualizada esta relación y la facilitará al Cliente a solicitud.

Turia Core Limited — turia.tech