Rectangle

Acuerdo de Procesamiento de Datos

El Data Processing Agreement (DPA) define cómo se tratan los datos personales entre el responsable del tratamiento y el encargado del tratamiento conforme al RGPD.

Versión: 2.0
Última actualización: 23/02/2026

 

1. Partes

El presente Acuerdo de Tratamiento de Datos (“DPA”) forma parte integrante del Contrato de Servicios celebrado entre:

Responsable del Tratamiento: El cliente del sector hotelero que utiliza PassportScan Cloud

Encargado del Tratamiento:
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
Irlanda
IVA: IE 3342103WH

El Encargado presta los servicios PassportScan Cloud al Responsable del Tratamiento.

 

2. Finalidad

El presente DPA regula el tratamiento de Datos Personales por parte del Encargado en nombre del Responsable del Tratamiento, de conformidad con:

  • Reglamento (UE) 2016/679 (RGPD)
  • La normativa local aplicable en materia de protección de datos

El Encargado tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento.

 

3. Naturaleza y finalidad del tratamiento

PassportScan Cloud permite:

  • Registro digital de huéspedes
  • Escaneo de documentos de identidad y extracción OCR
  • Captura de consentimientos
  • Exportación regulatoria
  • Integración con PMS
  • Compra de créditos y activación de cuentas

El procesamiento de pagos es gestionado exclusivamente por Stripe.

El Encargado no determina las finalidades del tratamiento.

 

4. Categorías de interesados

  • Huéspedes del hotel
  • Huéspedes menores de edad (cuando lo exija la ley)
  • Titulares de reservas
  • Usuarios miembros del personal del hotel
  • Contactos de facturación

 

5. Categorías de Datos Personales

Datos de Identidad

  • Nombre y apellidos
  • Fecha y lugar de nacimiento
  • Nacionalidad
  • Número de documento de identidad
  • Tipo de documento
  • Fecha de caducidad
  • Imágenes del documento (si está habilitado)
  • Imágenes de firma
  • Metadatos de consentimiento

Datos Técnicos

  • Dirección IP
  • Metadatos de autenticación
  • Metadatos del dispositivo
  • Registros (logs)

Metadatos de Pago

  • ID de transacción
  • Estado del pago
  • Importe
  • Moneda
  • Correo electrónico de facturación (si aplica)

El Encargado no almacena ni trata:

  • Números completos de tarjetas de pago
  • Códigos CVV
  • Fechas de caducidad de las tarjetas

Los datos de tarjetas de pago son tratados exclusivamente por Stripe.

 

6. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los Datos Personales únicamente siguiendo instrucciones documentadas
  • Garantizar la confidencialidad
  • Implementar medidas técnicas y organizativas adecuadas
  • Asistir al Responsable en el ejercicio de los derechos de los interesados
  • Notificar violaciones de datos personales sin dilación indebida
  • Suprimir o devolver los Datos Personales al finalizar el contrato

 

7. Medidas técnicas y organizativas

El Encargado implementa:

  • Infraestructura alojada en AWS
  • Despliegue Multi-AZ
  • Cifrado a nivel de aplicación / campo (Modelo B)
  • Cifrado AES-256 en reposo
  • Cifrado TLS 1.2+ en tránsito
  • Control de acceso basado en roles
  • Soporte MFA
  • Registro y monitorización
  • Pruebas de penetración independientes

 

8. Subencargados

El Responsable autoriza al Encargado a designar subencargados conforme al Registro público de Subencargados.

Las categorías actuales incluyen:

  • Amazon Web Services (AWS) – Infraestructura Cloud
  • Clerk – Autenticación
  • Datadog – Monitorización
  • Google Workspace – Operaciones internas
  • Stripe – Procesamiento de pagos

El Encargado garantiza que los subencargados estén sujetos a obligaciones equivalentes al RGPD.

 

9. Seguridad del tratamiento (Artículo 32 RGPD)

El Encargado garantiza medidas de seguridad adecuadas considerando:

  • El estado de la técnica
  • Los costes de implementación
  • La naturaleza, alcance, contexto y finalidades del tratamiento
  • El riesgo para los derechos y libertades de las personas físicas

Las medidas incluyen cifrado, control de acceso, resiliencia y capacidad de respuesta ante incidentes.

 

10. Residencia de datos y transferencias internacionales

10.1 Infraestructura principal

La infraestructura principal de la plataforma, incluidos los servicios de aplicación y las bases de datos primarias, está alojada exclusivamente en:

Amazon Web Services (AWS) – eu-west-1 (Irlanda, Unión Europea).

No se configura ninguna replicación entre regiones de las bases de datos principales.

10.2 Almacenamiento regional de imágenes de documentos

Cuando la funcionalidad de almacenamiento de imágenes de documentos esté habilitada por el Responsable, el almacenamiento de objetos (Amazon S3) podrá aprovisionarse en la región AWS correspondiente a la jurisdicción operativa del hotel.

Dichas regiones pueden incluir ubicaciones fuera del Espacio Económico Europeo (EEE), entre ellas:

  • Asia-Pacífico
  • África
  • América del Norte
  • América del Sur
  • Australia

La regionalización permite:

  • Cumplir requisitos de localización de datos
  • Optimizar la latencia
  • Alinear la jurisdicción aplicable

10.3 Garantías para transferencias internacionales

Cuando los Datos Personales se traten fuera del EEE, las transferencias estarán reguladas por:

  • AWS Data Processing Addendum
  • Cláusulas Contractuales Tipo (SCC), cuando proceda
  • Cifrado en reposo (AES-256)
  • Cifrado en tránsito (TLS 1.2+)

El Encargado garantiza salvaguardias adecuadas conforme al Capítulo V del RGPD.

 

11. Auditoría e inspección

El Encargado pondrá a disposición la información necesaria para demostrar el cumplimiento y podrá proporcionar:

  • Documentación de seguridad
  • Resumen de pruebas de penetración
  • Certificaciones (cuando proceda)

Las auditorías podrán realizarse previa notificación razonable.

 

12. Violación de datos personales

El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de datos personales.

La notificación incluirá:

  • Naturaleza de la violación
  • Categorías de datos afectados
  • Medidas de mitigación adoptadas

 

13. Terminación

Tras la terminación de los servicios:

  • Los Datos Personales serán eliminados en un plazo de 30 días salvo obligación legal en contrario
  • Se revocarán los accesos
  • Se aplicarán las políticas de eliminación de copias de seguridad

 

14. Ley aplicable y jurisdicción

El presente Acuerdo de Tratamiento de Datos y cualquier controversia o reclamación derivada del mismo o relacionada con él (incluidas las controversias o reclamaciones de carácter extracontractual) se regirán e interpretarán de conformidad con la legislación española. Los tribunales de España tendrán competencia exclusiva para resolver cualquier controversia derivada del presente DPA o relacionada con el mismo, salvo disposición imperativa en contrario de la normativa aplicable en materia de protección de datos.

Passportscan