Acuerdo de Procesamiento de Datos
El Data Processing Agreement (DPA) define cómo se tratan los datos personales entre el responsable del tratamiento y el encargado del tratamiento conforme al RGPD.
última actualización: 01/01/2026
El presente Acuerdo de Tratamiento de Datos (“Acuerdo” o “DPA”) forma parte integrante del acuerdo
entre GlobeID Limited y el Cliente que regula el uso de los servicios PassportScan.
1. Partes
1.1 Responsable del tratamiento (Cliente)
La entidad jurídica que utiliza los servicios PassportScan para tratar datos personales en el curso
de sus actividades de hospitalidad, alojamiento o registro de huéspedes (“Cliente”).
1.2 Encargado del tratamiento
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, Irlanda
(“GlobeID” o “Encargado del tratamiento”).
2. Definiciones
Los términos en mayúscula no definidos en el presente documento tendrán el significado establecido
en el Reglamento General de Protección de Datos (RGPD) de la UE.
- Datos personales: cualquier información relativa a una persona física identificada o identificable.
- Tratamiento: cualquier operación realizada sobre Datos personales según el RGPD.
- Interesado: la persona a la que se refieren los Datos personales.
- Legislación aplicable en materia de protección de datos: RGPD y cualquier normativa nacional de aplicación.
- Subencargado: cualquier tercero contratado por GlobeID para tratar Datos personales por cuenta del Cliente.
3. Objeto y duración
3.1 Objeto
El presente DPA regula el tratamiento de Datos personales por parte de GlobeID en nombre del Cliente
a través de la plataforma PassportScan y los servicios relacionados.
3.2 Duración
El tratamiento continuará durante el período de uso de los Servicios por parte del Cliente, salvo acuerdo escrito en contrario.
4. Naturaleza y finalidad del tratamiento
4.1 Naturaleza del tratamiento
El tratamiento puede incluir la recopilación, registro, organización, almacenamiento, consulta,
transmisión y eliminación de Datos personales.
4.2 Finalidad del tratamiento
El tratamiento se realiza exclusivamente para:
- permitir el check-in y registro de huéspedes
- escanear y extraer datos de documentos de identidad
- transmitir datos requeridos a sistemas PMS
- cumplir obligaciones legales de comunicación de huéspedes (ej. policía, inmigración, autoridades estadísticas)
- soportar firmas digitales y flujos de consentimiento
5. Categorías de Datos personales e Interesados
5.1 Categorías de Datos personales
Dependiendo del uso de los Servicios por parte del Cliente, los Datos personales pueden incluir:
- nombre completo
- fecha y lugar de nacimiento
- nacionalidad y ciudadanía
- tipo, número, autoridad emisora y fecha de caducidad del documento de identidad
- imágenes del documento y datos MRZ (zona de lectura mecánica)
- información de reserva y estancia
- firmas digitales y registros de consentimiento
5.2 Categorías de Interesados
- huéspedes del Cliente, incluidos niños y menores cuando sea requerido por ley
- personas acompañantes vinculadas a una reserva
6. Roles y responsabilidades
6.1 Obligaciones del Cliente
El Cliente:
- actúa como Responsable del tratamiento
- determina las finalidades y la base jurídica del tratamiento
- garantiza la recogida lícita de los Datos personales
- proporciona los avisos de privacidad requeridos a los Interesados
- determina los períodos de conservación
6.2 Obligaciones de GlobeID
GlobeID deberá:
- tratar los Datos personales solo siguiendo instrucciones documentadas del Cliente
- garantizar la confidencialidad de los Datos personales
- implementar medidas técnicas y organizativas de seguridad adecuadas
- asistir al Cliente en el cumplimiento del RGPD
- no tratar los Datos personales para fines propios
7. Tratamiento de datos de menores
El Cliente reconoce que PassportScan puede tratar Datos personales relativos a niños y menores cuando lo exija la ley durante el registro de huéspedes.
Dicho tratamiento:
- se realiza únicamente por instrucciones del Cliente
- se limita a los datos estrictamente necesarios para el cumplimiento legal
- no se utiliza para marketing, elaboración de perfiles ni análisis
8. Medidas de seguridad
GlobeID implementa medidas técnicas y organizativas adecuadas conforme al Artículo 32 del RGPD.
Estas medidas incluyen, entre otras:
- cifrado en reposo de Datos personales sensibles almacenados en buckets Amazon S3 cifrados
- cifrado en tránsito mediante protocolos de comunicación seguros
- segregación lógica de datos de clientes por región y cuenta
- control de acceso basado en roles y principio de mínimo privilegio
- autenticación segura, registro y monitorización
- procedimientos de detección y respuesta a incidentes
Los documentos de identidad sensibles y datos extraídos se almacenan cifrados dentro de la infraestructura regional AWS aplicable.
9. Subencargados
9.1 Autorización general
El Cliente concede a GlobeID autorización general por escrito para recurrir a Subencargados cuando sea necesario para la prestación, operación, seguridad y mantenimiento de los Servicios.
Los Subencargados pueden proporcionar servicios de alojamiento de infraestructura, administración de sistemas, monitorización, autenticación, registro y soporte operativo.
Todos los Subencargados están contractualmente obligados a cumplir obligaciones de confidencialidad y protección de datos no inferiores a las establecidas en este Acuerdo.
GlobeID seguirá siendo plenamente responsable por los actos u omisiones de sus Subencargados.
9.2 Procesamiento OCR en el dispositivo
Cuando PassportScan utilice tecnologías OCR o análisis documental, todo el procesamiento sensible se realizará localmente en el dispositivo móvil del usuario final.
No se transmitirán documentos de identidad en bruto ni datos sensibles extraídos a proveedores OCR externos; por lo tanto, dichos proveedores no reciben Datos personales y no se consideran Subencargados.
9.3 Transparencia
GlobeID mantiene una lista actualizada de Subencargados autorizados.
El Cliente otorga por la presente autorización general para el uso de los Subencargados indicados en dicho lugar.
GlobeID notificará a los Clientes cambios sustanciales antes de contratar un nuevo Subencargado y ofrecerá la posibilidad de oposición cuando lo exija la legislación aplicable.
10. Alojamiento de datos y transferencias internacionales
10.1 Infraestructura Cloud
Los Datos personales se alojan en Amazon Web Services (AWS).
10.2 Residencia regional de los datos
PassportScan aplica un modelo de almacenamiento regional alineado con la ubicación del hotel del Cliente.
Regiones soportadas en el momento del presente Acuerdo:
| Zona geográfica | Ubicación del almacenamiento de datos |
|---|---|
| Europa | Irlanda |
| Asia | Singapur |
| Australia | Sídney |
| Norteamérica | North Virginia |
| Sudamérica | São Paulo |
Los Datos personales se almacenan en la región correspondiente a la ubicación operativa del Cliente salvo acuerdo en contrario.
10.3 Transferencias transfronterizas
Cuando se produzcan transferencias internacionales, GlobeID garantiza salvaguardas adecuadas, incluidas las Cláusulas Contractuales Tipo de la UE cuando sea necesario.
ANEXO 1 – RESUMEN DEL TRATAMIENTO
| Elemento | Descripción |
|---|---|
| Objeto | Datos de identidad y check-in de huéspedes |
| Finalidad | Cumplimiento legal y registro de huéspedes |
| Interesados | Huéspedes, incluidos menores |
| Categorías de datos | Documentos de identidad, datos del huésped |
| Tratamiento | Recogida, almacenamiento, transmisión |
| Duración | Duración contractual |
