Disposiciones generales
Preámbulo
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también conocido como Reglamento general de protección de datos (en lo sucesivo, el GDPR), establece el marco jurídico aplicable al tratamiento de datos personales. El RGPD refuerza los derechos y obligaciones de los responsables del tratamiento, los encargados del tratamiento, los interesados y los destinatarios de los datos.
Posteriormente, y con el fin de aplicar los cambios introducidos por el RGPD, la Ley n.º 78-17, de 6 de enero de 1978, conocida como Ley de Protección de Datos, fue modificada por la Ley n.º 2018-493, de 20 de junio de 2018, por la Orden n.º 2018-1125, de 12 de diciembre de 2018, relativa a la protección de datos.
Así, la normativa aplicable a la protección de datos personales incluye los siguientes textos:
el RGPD ;
la Ley francesa de protección de datos (Loi Informatique et Libertés), actualizada por los textos mencionados;
las recomendaciones del Cnil.
Para una correcta comprensión de esta política, se especifica que :
el «responsable del tratamiento» es la persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales. A efectos de la presente política, el responsable del tratamiento es SENEF;
Los «interesados» son las personas que pueden ser identificadas, directa o indirectamente, por referencia a los datos personales recogidos por el responsable del tratamiento, es decir, en el contexto de esta política, todos los contactos de SENEF relacionados con sus clientes y clientes potenciales, independientemente de su estatus (empleados o directivos).
El artículo 12 del GDPR exige que los interesados sean informados de sus derechos de forma concisa, transparente, comprensible y fácilmente accesible.
Definiciones
«Datos personales»: cualquier información relativa a una persona física identificada o identificable (interesado); se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
«Datos enriquecidos»: los datos personales enriquecidos son lo contrario de los datos personales «brutos» facilitados por el interesado. Se trata de datos generados por el responsable del tratamiento. También puede referirse a datos inferidos y/o derivados creados por el responsable del tratamiento sobre la base de datos «suministrados por el interesado»;
«tratamiento de datos personales»: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
«violación de datos personales»: violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma.
Finalidad
Para garantizar el buen funcionamiento de nuestra empresa, estamos obligados a tratar datos personales relativos a nuestros contactos con clientes, clientes potenciales y socios en el marco de las relaciones comerciales y los contratos celebrados con ellos.
El objetivo de esta política es cumplir con nuestra obligación de información y recordarle los derechos de nuestros contactos con nuestros clientes, clientes potenciales y socios en relación con el tratamiento de sus datos personales.
Principios generales
Nuestra empresa no lleva a cabo ningún tratamiento de datos sobre usted si no está relacionado con datos personales recopilados por o para sus servicios o tratados en relación con sus servicios y si no cumple con los principios generales del RGPD.
Cualquier nuevo tratamiento, modificación o supresión de un tratamiento existente se pondrá en conocimiento de nuestros contactos con nuestros clientes y clientes potenciales mediante una modificación de esta política.
Identificación de las operaciones de tratamiento
Categorías de datos recogidos y origen de los datos
Los datos se recogen principalmente de forma directa de nuestros contactos con los clientes actuales y potenciales de nuestra empresa.
En consecuencia, sólo recogemos y utilizamos los datos necesarios para la celebración o ejecución de contratos con nuestra empresa, es decir :
identidad de la(s) persona(s) de contacto encargada(s) de un expediente o contactada(s) con fines de prospección (por ejemplo, cargo, apellidos, nombre) ;
datos profesionales de la(s) persona(s) de contacto encargada(s) de un fichero o contactada(s) con fines de prospección (por ejemplo, dirección de correo electrónico profesional, dirección postal profesional, número de teléfono fijo o móvil profesional, número de fax);
datos profesionales de la(s) persona(s) de contacto encargada(s) de un expediente o contactada(s) a efectos de prospección (por ejemplo, cargo, grado, función);
datos técnicos (datos de identificación o de conexión, como dirección IP o registros)
imágenes de la(s) persona(s) encargada(s) de un expediente o contactada(s) con fines de prospección (por ejemplo, en caso de acceso a nuestros locales).
Finalidades del tratamiento
Intercambios precontractuales
Tratamos los datos de las personas que interactúan con nosotros cuando nos hemos dirigido a la estructura a la que pertenecen con fines de prospección o cuando se han puesto en contacto con nosotros para celebrar un contrato con nosotros.
Contratación y seguimiento
Tratamos los datos de las personas de contacto de nuestros clientes en el marco de nuestras relaciones contractuales con ellos.
Facturación, pago y contabilidad
Tratamos los datos de nuestras personas de contacto con clientes y prospectos a efectos de facturación y pago de pedidos.
Gestión de relaciones con clientes y clientes potenciales
Tratamos los datos de los contactos con nuestros clientes y prospectos para comunicarnos con ellos en relación con cualquier cuestión que puedan tener sobre la ejecución actual o futura de un contrato con nuestra empresa.
Gestión de un directorio de nuestros clientes actuales y potenciales
Mantenemos un directorio actualizado de nuestros clientes y prospectos, que incluye los nombres de nuestros principales contactos.
Organización de eventos por parte de nuestra empresa
Tratamos los datos de nuestros contactos con clientes y prospectos cuando les invitamos a eventos que organizamos o coorganizamos.
Gestión de accesos de terceros
Tratamos los datos de nuestros contactos que acceden a nuestras instalaciones para garantizar el acceso a las mismas (por ejemplo: mantenimiento de un registro, tarjetas de acceso, etc.).
Videovigilancia del personal de terceros
Algunas zonas específicas de nuestros locales, como puertas y vallas, están sometidas a videovigilancia, lo que da lugar al tratamiento de datos de terceros susceptibles de ser filmados.
Estadísticas
Podemos elaborar estadísticas sobre los datos de nuestros clientes y posibles clientes.
Períodos de conservación
Definimos la duración de la conservación de los datos relativos a nuestros contactos con nuestros clientes y clientes potenciales en función de las obligaciones legales y contractuales a las que estamos sujetos o, en su defecto, en función de nuestras necesidades.
Por principio, los datos relativos a nuestros clientes y prospectos deben conservarse durante el tiempo estrictamente necesario para gestionar la relación comercial. Más concretamente, nos comprometemos a respetar los siguientes plazos de conservación:
Contratos celebrados con nuestros clientes
5 años a partir de la fecha de celebración
10 años para los contratos superiores a 120 euros celebrados por vía electrónica
Correspondencia comercial (órdenes de compra, albaranes, facturas, etc.)
10 años a partir del cierre del ejercicio
Imágenes de cámaras de videovigilancia
Hasta un mes
Acceso a edificios
Hasta un mes
Datos técnicos
1 año desde la recogida
Cookies
Ver Política de Cookies
Los plazos indicados en el cuadro anterior se amplían necesariamente por el plazo legal de prescripción como prueba en caso de litigio. En este último caso, el plazo de conservación se prolonga mientras dure el litigio.
Una vez transcurridos estos plazos, los datos se suprimen o se conservan tras ser anonimizados, en particular con fines estadísticos. Los datos pueden conservarse a efectos precontenciosos y contenciosos.
Tenga en cuenta que la supresión o la anonimización son operaciones irreversibles y que SENEF ya no puede restaurarlas.
Base jurídica
El tratamiento de los datos de los contactos con nuestros clientes y prospectos, tal y como se ha presentado anteriormente, se basa en las siguientes condiciones de licitud, que difieren en función de si el tratamiento se refiere a clientes o prospectos:
Clientes
Ejecución precontractual o contractual
Clientes potenciales
Ejecución precontractual o interés legítimo de SENEF
Destinatarios de los datos
Los destinatarios de los datos son personas físicas o jurídicas que reciben datos personales. Por lo tanto, los destinatarios de los datos pueden ser tanto empleados de SENEF como organizaciones externas.
Nos aseguramos de que los datos recogidos y procesados en el contexto de nuestras relaciones con nuestros clientes y clientes potenciales sólo sean accesibles a destinatarios internos y externos autorizados, y en particular a los siguientes destinatarios
personal de los departamentos responsables de la gestión de las relaciones con nuestros clientes y clientes potenciales, y sus superiores jerárquicos;
personal de apoyo, es decir, departamentos administrativos, logísticos e informáticos, y sus superiores jerárquicos;
nuestros proveedores de servicios o servicios de apoyo (por ejemplo, proveedores de servicios informáticos);
las autoridades competentes, en caso de que debamos compartir determinados datos con las fuerzas del orden, los departamentos encargados de los procedimientos de control interno, etc. ;
en caso de visita a nuestros locales, el personal de recepción, que recoge los datos de todos los visitantes en un registro.
En cuanto a los destinatarios internos, decidimos qué destinatario tendrá acceso a qué datos según una política de autorización, y nos aseguramos de que estén sujetos a una obligación de confidencialidad.
En cuanto a los destinatarios externos, le informamos de que los datos personales de nuestros contactos con nuestros clientes y prospectos pueden ser comunicados a algunos de nuestros proveedores de servicios o a cualquier autoridad legalmente habilitada para conocerlos (autoridades fiscales y sociales en particular). En este caso, SENEF no se hace responsable de las condiciones en las que el personal de dichas autoridades tenga acceso a los datos y los utilice.
Gestión de los derechos personales
Derechos de acceso y copia
Nuestros clientes y clientes potenciales tienen derecho a preguntarnos si efectivamente tratamos datos relativos a sus miembros (personal, directivos, etc.) en el marco de los contratos celebrados con ellos o de los mensajes de prospección que les enviamos.
También pueden pedirnos que les proporcionemos una copia de los datos de sus miembros que están siendo tratados.
No obstante, en caso de solicitud de copias adicionales, podremos exigir a nuestros clientes y clientes potenciales que corran con los gastos de la nueva copia.
Si las solicitudes de nuestros clientes y posibles clientes se realizan por vía electrónica, la información solicitada se facilitará en un formato electrónico de uso común, a menos que se solicite lo contrario.
Se informa a nuestros clientes y posibles clientes de que este derecho de acceso no puede referirse a información o datos confidenciales, ni a datos cuya comunicación no esté autorizada por la ley.
El derecho de acceso no debe ejercerse de manera abusiva, es decir, de forma regular con el único objetivo de desestabilizar el buen funcionamiento de nuestros servicios.
Derecho de rectificación
Nuestros clientes y prospectos tienen derecho a solicitarnos que rectifiquemos cualquier dato relativo a su personal que pueda ser obsoleto o erróneo.
Derecho de supresión
Nuestros clientes pueden invocar el derecho de supresión de sus datos personales únicamente en los siguientes casos
el contrato se ha rescindido y ya no está en vigor entre nuestra empresa y el cliente;
miembros del personal cuyos datos son objeto de tratamiento y que ya no son empleados de uno de nuestros clientes y que, por tanto, desean ser borrados de nuestra base de datos de clientes.
Los clientes potenciales pueden invocar el derecho a la supresión de sus datos personales, en la medida en que tienen derecho a oponerse a la recepción de mensajes de prospección.
Derecho de limitación
Se informa a nuestros clientes y prospectos de que este derecho no se aplicará en la medida en que no se cumplan las condiciones exigidas por la normativa aplicable en relación con nuestro tratamiento de los datos personales de los miembros de su personal con los que tratamos.
Derecho a la portabilidad
Se informa a nuestros clientes actuales y potenciales de que este derecho no se aplicará en la medida en que no se cumplan las condiciones exigidas por la normativa aplicable en relación con nuestro tratamiento de los datos personales de los miembros de su personal con los que intercambiamos información.
Derecho de oposición
Los clientes actuales y potenciales tienen derecho a oponerse a cualquier prospección comercial por correo postal, teléfono o correo electrónico, incluida la elaboración de perfiles en la medida en que esté vinculada a dicha prospección.
En el caso particular de la prospección electrónica, los clientes y prospectos pueden oponerse en cualquier momento a dicha prospección haciendo clic en el enlace del correo electrónico o modificando las preferencias en la cuenta de cliente de nuestro sitio web (por completar). Por SMS, es posible oponerse a toda prospección enviando «stop» al número que aparece en el mensaje recibido.
Ejercicio de los derechos de nuestros clientes
Para ejercer sus derechos, nuestros clientes y prospectos deben ponerse en contacto con nosotros por escrito, por correo postal o por correo electrónico en las siguientes direcciones: dpo-groupesenef@racine.eu.
Hacemos todo lo posible por responder a las solicitudes en un plazo razonable, y en el mejor de los casos en el plazo de un mes a partir de la recepción de la solicitud.
No obstante, en caso de que la tramitación de las solicitudes resulte compleja o nos enfrentemos a un gran número de solicitudes de ejercicio de derechos simultáneamente, el plazo de tramitación podrá ampliarse a dos meses.
Disposiciones adicionales
Subcontratación
Podemos involucrar a cualquier subcontratista de nuestra elección en el tratamiento de los datos personales de nuestros contactos con nuestros clientes y clientes potenciales.
En el sentido del RGPD, un encargado del tratamiento es cualquier persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento. En la práctica, se trata por tanto de proveedores de servicios con los que trabaja SENEF y que intervienen sobre los datos personales de SENEF.
En este caso, nos aseguramos de que el encargado del tratamiento cumpla con las obligaciones que le impone el RGPD.
Nos comprometemos a firmar un contrato por escrito con todos nuestros subcontratistas y les imponemos las mismas obligaciones de protección de datos que nos imponemos a nosotros mismos. Además, nos reservamos el derecho de auditar a nuestros subcontratistas para garantizar su cumplimiento de las disposiciones del RGPD.
Nos comprometemos a firmar un contrato por escrito con todos nuestros subcontratistas y a imponerles las mismas obligaciones de protección de datos que nos imponemos a nosotros mismos. Además, nos reservamos el derecho a auditar a nuestros subcontratistas para garantizar que cumplen las disposiciones del RGPD.
Registro de operaciones de tratamiento
Nos comprometemos, en nuestra calidad de responsables del tratamiento de datos, a mantener un registro actualizado de todas las actividades de tratamiento llevadas a cabo cuando la ley nos obligue a ello.
Este registro es un documento o aplicación que permite enumerar todos los tratamientos llevados a cabo por SENEF como responsable del tratamiento.
Nos comprometemos a facilitar a la Cnil, a primera solicitud, la información que le permita verificar la conformidad del tratamiento con la normativa vigente en materia de protección de datos.
Medidas de seguridad
Aplicamos las medidas de seguridad técnicas, físicas o lógicas, que consideramos adecuadas para evitar la destrucción, pérdida, alteración o difusión accidental o ilícita de los datos.
Estas medidas incluyen principalmente
gestión de las autorizaciones de acceso a los datos ;
medidas internas de copia de seguridad
procesos de identificación
auditorías de seguridad y pruebas de penetración
adopción de una política de seguridad de los sistemas de información
adopción de planes de continuidad de la actividad/recuperación en caso de catástrofe;
utilización de protocolos y soluciones de seguridad.
En cualquier caso, nos comprometemos, en caso de modificación de los medios utilizados para garantizar la seguridad y confidencialidad de los datos personales, a sustituirlos por medios de prestaciones superiores. Ningún cambio podrá suponer una reducción del nivel de seguridad.
Violación de datos
Nos comprometemos a notificar a la CNIL cualquier violación de datos que podamos sufrir, de conformidad con las condiciones establecidas en la normativa que regula los datos personales.
Nuestros contactos con clientes y prospectos son informados de cualquier violación de datos que pueda suponer un alto riesgo para su privacidad.
Contactos
Responsable de Protección de Datos
Hemos designado un responsable de la protección de datos con el que puede ponerse en contacto en la siguiente dirección para cualquier cuestión relacionada con el tratamiento de datos: dpo-groupesenef@racine.eu.
Derecho a presentar una reclamación ante la CNIL
Nuestros contactos proveedores de servicios tienen derecho a presentar una reclamación ante una autoridad de control, concretamente la CNIL en Francia, si consideran que el tratamiento de los datos personales que les conciernen no se ajusta a la normativa europea sobre protección de datos, en la siguiente dirección:
CNIL – Service des plaintes
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tel.: 01 53 73 22 22
Modificaciones
La presente política podrá ser modificada o enmendada en cualquier momento en caso de cambios en la legislación, la jurisprudencia, las decisiones y recomendaciones de la CNIL o los usos.
Cualquier nueva versión de la presente política se pondrá en conocimiento de nuestros clientes y clientes potenciales por cualquier medio que elijamos, incluido el electrónico (por correo electrónico o en línea, por ejemplo).
Para más información
Para más información, póngase en contacto con nuestro responsable de protección de datos en la siguiente dirección de correo electrónico: dpo-groupesenef@racine.eu.
Para más información general sobre la protección de datos personales, visite el sitio web de Cnil en www.cnil.fr.