Xentra

    Acuerdo de Procesamiento de Datos (DPA)

    Este Acuerdo de Procesamiento de Datos ("APD") forma parte del contrato de servicios entre Stellar Tourism Innovations GmbH ("Procesador") y sus clientes ("Responsable del Tratamiento") y rige el procesamiento de datos personales de acuerdo con el Art. 28 del RGPD.

    1. Partes

    Procesador de datos:

    Stellar Tourism Innovations GmbH
    Torstrasse 105-107
    10119 Berlin, Germany
    Email: hello@myxentra.com
    Commercial Register: HRB 259754 B (Amtsgericht Charlottenburg)

    Responsable del tratamiento de datos: El cliente que ha celebrado un acuerdo de servicio con el Procesador para el uso de Xentra.

    2. Objeto y Duración

    2.1 El Procesador procesa datos personales en nombre del Responsable del Tratamiento como parte de la provisión de la plataforma de gestión de alquileres vacacionales Xentra ("Servicios").

    2.2 La duración de este APD corresponde a la duración del acuerdo de servicio subyacente. El procesamiento comienza con la activación de los Servicios y finaliza con la terminación del acuerdo de servicio y la eliminación o devolución de todos los datos personales.

    2.3 El objeto del procesamiento incluye la operación de la plataforma SaaS Xentra, incluyendo, entre otros, la gestión de propiedades, la comunicación con los huéspedes, la gestión de reservas, el control de acceso, los servicios de check-in y los informes financieros.

    3. Tipo y Finalidad del Procesamiento

    El Procesador procesa datos personales únicamente con el fin de proporcionar los Servicios descritos en el acuerdo de servicio. Esto incluye:

    • Almacenamiento y gestión de datos de reservas
    • Comunicación con los huéspedes (correo electrónico, SMS, WhatsApp) a través de servicios de mensajería integrados
    • Registro de huéspedes y procesamiento de check-in, incluida la verificación de identidad
    • Sincronización de datos con sistemas de gestión de propiedades (PMS) conectados
    • Generación y transmisión de códigos de acceso para cerraduras inteligentes
    • Informes financieros, facturación y contabilidad
    • Cumplimiento de las obligaciones legales de registro de huéspedes (por ejemplo, informes policiales)
    • Optimización dinámica de precios

    4. Categorías de Interesados

    Las siguientes categorías de interesados se ven afectadas por el procesamiento:

    • Huéspedes de propiedades de alquiler vacacional gestionadas por el Responsable del Tratamiento
    • Empleados y personal del Responsable del Tratamiento
    • Contactos comerciales del Responsable del Tratamiento (propietarios, proveedores de servicios)

    5. Tipos de Datos Personales

    Los siguientes tipos de datos personales pueden ser procesados:

    • Nombre, fecha de nacimiento, nacionalidad
    • Datos de contacto (correo electrónico, número de teléfono, dirección)
    • Datos de documentos de identidad (número de pasaporte/DNI, fecha de emisión, autoridad emisora)
    • Datos de reserva (fechas de check-in/check-out, número de huéspedes, precios)
    • Datos de pago (procesados a través de Stripe - no almacenados por el Procesador)
    • Datos de comunicación (mensajes, sellos de tiempo)
    • Registros de acceso (eventos de acceso a cerraduras inteligentes, códigos PIN)
    • Datos biométricos para verificación de identidad (procesados a través de Stripe Identity)
    • Direcciones IP y datos de uso (análisis de la plataforma)

    6. Obligaciones del Procesador

    6.1 El Procesador procesará los datos personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, a menos que la ley aplicable de la UE o del Estado miembro así lo exija.

    6.2 El Procesador garantiza que las personas autorizadas para procesar datos personales se han comprometido a la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.

    6.3 El Procesador implementará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:

    • Cifrado de datos personales en tránsito (TLS) y en reposo
    • Control de acceso basado en roles con el principio de mínimo privilegio
    • Evaluaciones de seguridad y pruebas de vulnerabilidad regulares
    • Copias de seguridad automáticas con almacenamiento cifrado
    • Registro y monitoreo del acceso a los datos
    • Procedimientos de respuesta a incidentes

    6.4 El Procesador asistirá al Responsable del Tratamiento para garantizar el cumplimiento de las obligaciones de los Art. 32-36 del RGPD, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador.

    6.5 A elección del Responsable del Tratamiento, el Procesador eliminará o devolverá todos los datos personales después del final de la provisión de los Servicios y eliminará las copias existentes a menos que la ley aplicable exija un almacenamiento adicional.

    6.6 El Procesador pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 del RGPD y permitirá y contribuirá a las auditorías e inspecciones.

    7. Subprocesadores

    7.1 El Responsable del Tratamiento otorga autorización general para la contratación de subprocesadores. El Procesador informará al Responsable del Tratamiento de cualquier cambio previsto con respecto a la adición o sustitución de subprocesadores, dando al Responsable del Tratamiento la oportunidad de oponerse.

    7.2 El Procesador actualmente contrata a los siguientes subprocesadores:

    • Twilio Inc. (San Francisco, USA) - SMS, WhatsApp, and voice messaging
    • Stripe Inc. (San Francisco, USA) - Payment processing and identity verification
    • Chekin Soluciones Digitales S.L. (Sevilla, Spain) - Guest registration and online check-in
    • Smoobu GmbH (Berlin, Germany) - PMS synchronization
    • Guesty Inc. (New York, USA) - PMS synchronization
    • Hostaway Oy (Helsinki, Finland) - PMS synchronization
    • Beds24 GmbH (Fürstenberg, Germany) - PMS synchronization
    • Octorate S.r.l. (Rome, Italy) - PMS synchronization
    • Lodgify S.L. (Barcelona, Spain) - PMS synchronization
    • Hostfully Inc. (San Francisco, USA) - PMS synchronization
    • Nuki Home Solutions GmbH (Graz, Austria) - Smart lock access control
    • igloohome Pte. Ltd. (Singapore) - Smart lock access control
    • SALTO Systems S.L. (Oiartzun, Spain) - Access control
    • Ring LLC (Amazon) (Santa Monica, USA) - Intercom access control
    • PriceLabs Inc. (Chicago, USA) - Dynamic pricing optimization
    • Google LLC (Mountain View, USA) - AI language model processing (Gemini API) for guest messaging, content generation, invoice scanning, and natural language queries

    7.3 El Procesador impondrá las mismas obligaciones de protección de datos a los subprocesadores que las establecidas en este APD mediante contrato u otro instrumento legal.

    7.4 Una lista actualizada de subprocesadores y sus políticas de privacidad está disponible en nuestra Política de Privacidad (Sección 10).

    8. Transferencias de Datos a Terceros Países

    8.1 Cuando los datos personales se transfieran a países fuera del Espacio Económico Europeo (EEE), el Procesador garantiza que existan las salvaguardias adecuadas de conformidad con el Capítulo V del RGPD.

    8.2 Para las transferencias a los Estados Unidos, el Procesador se basa en el Marco de Privacidad de Datos EU-EE.UU. (DPF) cuando corresponda, o en las Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea.

    8.3 Las transferencias a subprocesadores en terceros países actualmente se aplican a: Twilio Inc., Stripe Inc., Guesty Inc., Hostfully Inc., Ring LLC, PriceLabs Inc., Google LLC (todos en EE. UU.) e igloohome Pte. Ltd. (Singapur).

    9. Notificación de Violación de Datos

    9.1 El Encargado del Tratamiento notificará al Responsable del Tratamiento sin demora indebida después de tener conocimiento de una violación de la seguridad de los datos personales.

    9.2 La notificación incluirá:

    • Una descripción de la naturaleza de la violación de la seguridad de los datos personales
    • Las categorías y el número aproximado de interesados y registros afectados
    • Las posibles consecuencias de la violación
    • Las medidas adoptadas o propuestas para abordar la violación

    9.3 El Encargado del Tratamiento cooperará con el Responsable del Tratamiento y tomará las medidas comerciales razonables para ayudar en la investigación, mitigación y subsanación de la violación.

    10. Derechos de los Interesados

    10.1 El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de su obligación de responder a las solicitudes de los interesados que ejercen sus derechos en virtud del Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición).

    10.2 Si un interesado se pone en contacto directamente con el Encargado del Tratamiento, el Encargado del Tratamiento enviará rápidamente la solicitud al Responsable del Tratamiento.

    11. Derechos de Auditoría

    11.1 El Responsable del Tratamiento tiene derecho a realizar auditorías, incluidas inspecciones, para verificar el cumplimiento del presente APD por parte del Encargado del Tratamiento. Las auditorías podrán ser realizadas por el Responsable del Tratamiento o por un auditor independiente designado por el Responsable del Tratamiento.

    11.2 El Encargado del Tratamiento proporcionará asistencia razonable y acceso a la información, las instalaciones y los sistemas pertinentes durante dichas auditorías.

    11.3 Las auditorías se realizarán durante las horas hábiles normales con un aviso previo razonable (al menos 14 días) y no interferirán indebidamente con las operaciones del Encargado del Tratamiento.

    12. Responsabilidad

    12.1 La responsabilidad de cada parte en virtud del presente APD está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el acuerdo de servicio subyacente.

    12.2 El Encargado del Tratamiento será responsable de los daños causados por un tratamiento que infrinja las obligaciones específicamente dirigidas a los encargados del tratamiento en virtud del RGPD o que se desvíe de las instrucciones legales del Responsable del Tratamiento.

    13. Plazo y Terminación

    13.1 El presente APD permanecerá en vigor durante la duración del acuerdo de servicio subyacente.

    13.2 Tras la terminación, el Encargado del Tratamiento, a elección del Responsable del Tratamiento, devolverá o eliminará todos los datos personales en un plazo de 30 días, a menos que la retención sea exigida por la legislación aplicable.

    13.3 El Encargado del Tratamiento proporcionará al Responsable del Tratamiento una confirmación por escrito de la eliminación previa solicitud.

    14. Disposiciones Finales

    14.1 El presente APD se rige por las leyes de la República Federal de Alemania.

    14.2 El lugar de jurisdicción es Berlín, Alemania.

    14.3 Si alguna disposición del presente APD se considera inválida, las demás disposiciones permanecerán en pleno vigor y efecto.

    14.4 El presente APD podrá ser actualizado periódicamente para reflejar cambios en la legislación de protección de datos aplicable o en nuestras actividades de tratamiento. Notificaremos a los Responsables del Tratamiento activos sobre cambios materiales.

    ¿Necesita una copia firmada?

    Si requiere un Acuerdo de Tratamiento de Datos firmado individualmente para sus registros, póngase en contacto con nosotros en hello@myxentra.com. Le proporcionaremos una copia contrafirmada en un plazo de 5 días hábiles.

    Usamos cookies

    Este sitio utiliza cookies y tecnologías similares para analítica y para mejorar tu experiencia. Más información en nuestra Política de Privacidad.