Política de privacidad y tratamiento de datos
-
Introducción a la GDPR.
En mayo de 2016, la Unión Europea (UE) adoptó una ley de protección de datos armonizada llamada el Reglamento General de Protección de Datos (GDPR). A partir del 25 de mayo de 2018, el GDPR entró en vigor en todos los países miembros de la UE y en el Espacio Económico Europeo. Si bien el GDPR no introduce muchos conceptos sustancialmente nuevos, aumenta sustancialmente los requisitos de cumplimiento para controladores y procesadores de datos, con respecto a su manejo de los datos personales.
Como empresa, Diego Díaz López S.L. está comprometida a asegurar el cumplimiento con el GDPR para el 25 de mayo de 2018.
La información contenida en este documento es solo para orientación general y se brinda comprendiendo que Diego Díaz López S.L. no se compromete a prestar asesoramiento legal. La responsabilidad de adoptar las medidas apropiadas para lograr el cumplimiento del GDPR recae sobre los clientes como controladores en términos del GDPR, y Diego Díaz López S.L. no asume responsabilidad por ninguna de las acciones hechas como respuesta a este documento informativo. Como tal, no deberá ser utilizado como reemplazo de una consulta legal o profesional.
-
Objetivos.
El GDPR apunta a armonizar los requisitos de protección de datos en toda Europa en una única reglamentación. Está dirigido a organismos corporativos regidos por el derecho público y el derecho privado en su calidad de controladores o procesadores. La nueva ley busca proteger los derechos y las libertades de las personas físicas, para mejorar la confianza de los sujetos de datos en las organizaciones que poseen o procesan sus datos personales, y para fortalecer el mercado interno de la UE. A tal efecto, el GDPR proporciona un conjunto de normas que rigen el procesamiento de datos personales en toda la UE. El grado de armonización en toda la UE alcanzable por el GDPR está, sin embargo, restringido en la medida en la que el reglamento contiene las así llamadas cláusulas abiertas que les permiten a los estados miembros de la UE establecer leyes y requisitos específicos de cada país para actividades específicas de procesamiento de datos. Estas cláusulas abiertas, por ende, podrían resultar en la aplicación de normas y obligaciones adicionales para los controladores y procesadores de datos, pero no en un cambio o alteración de la regulación original.
-
Alcance material
El GDPR tiene un amplio alcance material que cubre el procesamiento de datos personales por medios automatizados o de otro modo estructurados, inclusive aquellos destinados a ser parte de un sistema de archivo. Esta distinción se torna clara a medida que el GDPR establece que no se aplica cuando las personas físicas procesan datos personales durante una actividad puramente personal, privada o doméstica.
-
Alcance territorial.
Asimismo, el GDPR tiene un amplio alcance territorial y se aplica a cualquier actividad de un controlador o procesador de datos en la UE que implique el procesamiento de datos personales de un individuo. En esto es fundamental si el controlador o procesador está ubicado en la UE. El GDPR también se aplica a controladores o procesadores ubicados fuera de la UE cuando el procesamiento sirva para ofrecer bienes o servicios a sujetos de datos que residan en la UE o para monitorear el comportamiento de los sujetos de datos que residen en la UE.
-
Disposiciones clave.
El GDPR introduce varios nuevos requisitos legales que podrían afectar sustancialmente el negocio de un controlador o procesador. Por lo tanto, cada controlador o procesador debe verificar cuáles obligaciones del GDPR aplican a ellos y también deben cerciorarse de cómo implementarlas de manera correcta.
Principios generales
De conformidad con sus principios generales de procesamiento, el GDPR requiere que el procesamiento de datos personales sea legal, proporcionado, transparente, adecuado, preciso, seguro, confidencial, limitado en el tiempo, con propósitos definidos, y llevado a cabo de manera responsable y justificable (lo cual significa aplicar las medidas de seguridad adecuadas —inclusive medidas técnicas y organizacionales— para garantizar la integridad y confidencialidad.
Datos personales
El GDPR define explícitamente qué quiere decir con el término "datos personales": cualquier dato que se relaciona con un individuo identificado o identificable. El Artículo 4(1) del GDPR establece: "una persona física identificable es la que puede ser identificada, directa o indirectamente, particularmente mediante la referencia a un identificador tal como nombre, número de identificación, datos de ubicación, un identificador on-line o a uno o más factores específicos para la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física". El término claramente incluye los metadatos u otros datos asociados tales como direcciones de IP, cookies u otros identificadores – también una combinación de tales datos – que puedan rastrear a un individuo. El GDPR ha ampliado el catálogo conocido de las categorías especiales de datos personales para que incluyan los datos genéticos, datos biométricos si se utilizan para identificar particularmente a una persona física, y datos relacionados con condenas o delitos penales.
Legalidad
Procesar datos personales será legal solo si uno de los criterios de permiso se cumple, según se expone en el GDPR. En ausencia de autorización legal directa, las organizaciones requieren del consentimiento de los individuos cuyos datos procesan. Dicho consentimiento debe cubrir todos los propósitos para los que las organizaciones (que pretenden procesar los datos) recopilan y procesan los datos y debe permitir el derecho del individuo a revocar el consentimiento en cualquier momento. Esto significa que el consentimiento general o global para varios propósitos no específicos no es válido para el procesamiento de datos personales.
Responsabilidad
El GDPR busca mejorar la responsabilidad de aquellos que procesan datos personales y aumentar la transparencia de los datos que son procesados. A pesar de su similitud en esencia y estructura con la actual directiva de la UE, el GDPR tendrá una línea mucho más marcada para ayudar con el cumplimiento. Las penalidades por incumplimiento son marcadamente altas, incluyendo multas administrativas de hasta el 4% del ingreso anual global o €20 M, lo que sea más grande, y con potenciales reclamos por daños y otros riesgos de responsabilidad legal diseñados para incentivar a las empresas a optimizar sus estructuras y procesos internos para cumplir con el reglamento.
Protección de datos por diseño y por defecto
Bajo los términos del GDPR, la privacidad debe estar incorporada de manera deliberada y adoptarse por defecto tanto en los sistemas como en los procesos. Las organizaciones están obligadas a garantizar que el procesamiento de los datos personales sea para un propósito específico, y las organizaciones deben demostrar que la protección de datos es parte esencial de su marco de TI y de diseño de soluciones.
Seguridad técnica y organizacional
Estos organismos también están obligados a implementar todas las medidas técnicas y organizacionales (TOM) necesarias para asegurar un nivel de seguridad apropiado de acuerdo al riesgo del procesamiento para los sujetos de datos. Por lo tanto, es necesario analizar el entorno de activos y procesos internos de TI para identificar y mapear los flujos de datos que incluyen datos personales. Esto ayudará a cerciorar la pertinencia del marco de seguridad.
Derechos del sujeto de datos
Guiados por el concepto de que el individuo debe saber y siempre ser capaz de identificar qué datos personales son procesados, por quién, para qué propósitos y durante qué período de tiempo, los controladores de datos deberán proporcionar activamente cierta información general y específica; esto está en conformidad con los conceptos revisados del GDPR sobre portabilidad de datos y con los derechos del individuo a acceder, rechazar u objetar, o ser olvidado. Las organizaciones involucradas en procesar datos personales requerirán, por lo tanto, de procesos internos robustos con roles designados.
Control de datos
Las organizaciones deben implementar una serie de mediciones sistémicas para reducir el riesgo de incumplimiento –como controladores de datos, los clientes deben demostrar a los sujetos de datos y a los reguladores que cumplen con la regulación aplicable, y como procesador de datos, Diego Díaz López S.L. debe demostrar lo mismo a los clientes. La complejidad crece cuando los organismos necesitan mantener el seguimiento de cada propósito para el cual se procesan los datos personales y cuando deben asegurarse de que todos los individuos hayan dado su consentimiento para cada caso de uso del procesamiento de datos. Estas medidas deben estar incorporadas en las existentes infraestructuras de TI. Dependiendo del resultado de la evaluación de riesgo de la protección de datos de una empresa, medidas como la designación de un ejecutivo de protección de datos dedicado, la ejecución de evaluaciones de impacto en la privacidad y la adopción de procesos de auditoría regulares ayudarán a mantener el cumplimiento.
Notificación de incumplimiento
Esto es cuando algo sale mal –cuando las medidas internas de la organización no evitaron un incumplimiento de datos o si se halló que el procesamiento de datos personales está fuera de un propósito legal. En caso de un incumplimiento de datos, los controladores de datos deben notificar a la autoridad de supervisión y a los individuos afectados dentro de las 72 horas luego de tomar conocimiento de la situación. Los procesadores de datos deben informar a los controladores de datos sin demoras indebidas luego de tomar conocimiento de un incumplimiento de datos personales.
-
Responsable del tratamiento.
Datos de contacto del responsable:
Diego Díaz López, S.L, con CIF: B29592664 y domicilio en: Calle Coín, N.º 4 29670 Marbella Málaga y teléfono: 952787854. Email: sanpedroalc@diegodiazlopez.com.
Registro Mercantil de Málaga, Tomo 2101, Libro 1014, Folio 99, Sección 8, Hoja MA 9704, Inscripción 4ª Diego Díaz López, S.L, es el responsable de sus datos. (En adelante nosotros o nuestro).
-
¿Qué datos recopilamos?.
El Reglamento General de Protección de Datos, define los datos personales como toda información sobre una persona física identificada o identificable, es decir cualquier información capaz de identificar a una persona. Esto no incluiría los datos anónimos, ni porcentuales.
Los datos de carácter personal que se pudieran recabar directamente del interesado, serán tratados de forma confidencial y quedarán incorporados a las correspondientes actividades del tratamiento, titularidad de Diego Díaz López, S.L. En nuestra Web podemos procesar ciertos tipos de datos personales, que podrán incluir:
-
Datos de identidad: nombre, apellidos y nombre de usuario.
-
Datos de contacto: email, teléfono y dirección de facturación.
-
Datos económicos: datos bancarios y otros detalles de compras realizadas.
-
Datos de perfil: nombre de usuario y contraseña, compras realizadas, comentarios.
No recopilamos ningún dato relativo a categorías especiales de datos personales (aquellos que desvelen su origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical e información sobre su salud, datos genéticos o biométricos).
En caso de que se le solicite recopilar datos personales por ley o según los términos de contratación entre nosotros y se niegue a facilitárnoslos, es posible que no podamos realizar dicho contrato o prestar el servicio, debiendo comunicárnoslo con antelación.
-
¿Cómo recopilamos sus datos personales?.
Los medios que usamos para recopilar datos personales son:
-
A través del formulario de nuestra página web, a través de nuestros email de contacto, por teléfono o correo postal, cuando:
-
Solicita información de nuestros productos o servicios.
-
Realiza la compra de un producto productos
-
Envía sus comentarios
Para asegurar la calidad de nuestro portal, tenemos que reservamos el derecho de rechazar cualquier solicitud de registro o bien de suspender o cancelar un registro previamente aceptado si entendemos que no cumple estos requisitos o cualquier otra ley o norma. Si esto ocurre, intentaremos exponer los motivos de nuestra decisión, pero no nos podemos comprometer a hacerlo en todos los casos.
-
A través de la tecnología o interacciones automatizadas: en nuestro sitio podemos recopilar automáticamente datos técnicos sobre su equipo, acciones de navegación y patrones de uso. Estos datos son recopilados a través de cookies o tecnologías similares. Si quiere ampliar la información, puede consultar nuestra política de cookies aquí.
-
A través de terceros:
-
Google: datos analíticos o datos de búsqueda. Fuera de la Unión Europea.
-
Finalidad y legitimidad para el uso de sus datos.
Los usos más comunes de sus datos personales son:
- Para la formalización de un contrato entre Diego Díaz López, S.L y usted.
- Cuando preste su consentimiento en el tratamiento de sus datos.
- Cuando los necesitemos para dar cumplimiento a una obligación legal o regulatoria.
- Cuando sea necesario para nuestro interés legítimo o de un tercero.
El Usuario podrá revocar el consentimiento prestado en cualquier momento enviando un correo a sanpedroalc@diegodiazlopez.com o consultando el apartado de ejercicio de derechos más adelante.
A continuación adjuntamos una tabla en la que pueden consultar las formas en las que vamos a utilizar sus datos personales y la legitimidad para su uso, además de saber qué tipo de datos personales vamos a tratar. Podemos procesar algún dato personal por algún motivo legal adicional, por lo que si necesita detalles al respecto puede enviar un correo electrónico a sanpedroalc@diegodiazlopez.com.
Finalidad: sólo utilizaremos sus datos para los fines para los que los recopilamos, a menos que consideremos razonablemente que debemos usarlo para otro motivo, notificándoselo previamente para que esté informado del motivo legal de su procesamiento y siempre y cuando el fin sea compatible con el propósito original.
-
¿Durante cuánto tiempo conservaremos sus datos?.
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en las diferentes normativas respecto al plazo de conservación, en lo que resulte de aplicación al presente tratamiento.
-
Menores de edad.
Diego Díaz López, S.L no autoriza a los/las menores de 14 años a facilitar sus datos personales a través de los medios habilitados en este sitio web (cumplimentación de los formularios web para la solicitud de servicios, de contacto o mediante el envío de correos electrónicos). Por tanto, las personas que faciliten datos personales utilizando dichos medios manifiestan formalmente ser mayores de 14 años quedando Diego Díaz López, S.L eximido de cualquier responsabilidad por el incumplimiento de este requisito.
Si su hijo/a de edad menor al límite de edad establecido, ha proporcionado información personal a Diego Díaz López, S.L, póngase en contacto para poder solicitar el ejercicio de sus derechos aplicables.
En aquellos casos en los que los servicios ofrecidos por Diego Díaz López, S.L estén destinados a menores de 14 años se habilitarán los medios para recabar la autorización de los padres o tutores legales del/de la menor.
-
Ejercicio de los Derechos de Protección de Datos.
¿Cómo ejercer dichos derechos?.
Los usuarios podrán dirigir una comunicación al domicilio social de Diego Díaz López, S.L o dirección de correo electrónico sanpedroalc@diegodiazlopez.com, incluyendo en ambos casos fotocopia de su D.N.I u otro documento de identificación similar, para solicitar el ejercicio de los siguientes derechos:
- Acceso a sus datos personales: podrá preguntar a Diego Díaz López, S.L si está usando sus datos personales.
- A solicitar su rectificación, si no fuesen correctos, o a ejercer el derecho al olvido con respecto a los mismos.
- A solicitar la limitación del tratamiento, en este caso, solo serán conservados por Diego Díaz López, S.L para el ejercicio o defensa de reclamaciones.
- A oponerse a su tratamiento: Diego Díaz López, S.L dejará tratar los datos en la forma que nos indiques, salvo que por motivos legítimos o para el ejercicio o defensa de posibles reclamaciones, estos deban seguir tratándose.
- A la portabilidad de los datos: en caso de que quieras que sus datos sean tratados por otra firma, Diego Díaz López, S.L, le facilitará la portabilidad de sus datos al nuevo responsable.
Podrá utilizar los modelos puestos a su disposición por la Agencia Española de Protección de Datos, para ejercer sus anteriores derechos: aquí.
Reclamar ante la AEPD: si considera que hay un problema con la forma en que Diego Díaz López, S.L está tratando sus datos, podrá dirigir sus reclamaciones a la autoridad de control correspondiente, siendo en España, la competente para ello: Agencia Española de Protección de Datos.
Le solicitaremos información específica para ayudarnos a confirmar su identidad y garantizar su derecho a acceder a sus datos personales (o ejercer cualquier otro de los derechos mencionados anteriormente). Esto es una medida de seguridad para garantizar que los datos personales no se revelen a ninguna persona que no tenga derecho a recibirlos.
Todas las solicitudes las solventaremos en el plazo legal indicado de un mes. No obstante, puede llevarnos más de un mes si su solicitud es particularmente compleja. En este caso, le notificaremos y le mantendremos actualizado.
-
Comunicación de datos: prestación de servicios.
Es posible que, en el desempeño de nuestro trabajo, necesitemos de la ayuda de terceros, que solo trataran los datos para prestar el servicio contratado, y con los que disponemos de las correspondientes medidas para garantizar sus derechos:
- Proveedores de servicios que brindan servicios de administración de sistemas y tecnología de la información.
- Asesores profesionales que incluyen abogados, auditores y aseguradores que brindan servicios de consultoría bancarios, legales, de seguros y de contabilidad.
Todos los encargados de tratamiento a quienes transferimos sus datos respetarán la seguridad de sus datos personales y los tratarán de acuerdo al RGPD.
Solo permitimos que dichos encargados traten sus datos para fines determinados y de conformidad con nuestras instrucciones. No obstante puede solicitarnos, en cumplimiento de la transparencia un listado de quienes son estas empresas que nos prestan servicios, puede hacerlo al email: sanpedroalc@diegodiazlopez.com.
-
Seguridad de Datos.
Hemos implementado las medidas de seguridad adecuadas para evitar que sus datos personales se pierdan accidentalmente, se usen o accedan de forma no autorizada, se modifiquen o divulguen. Además, limitamos el acceso a sus datos personales a aquellos empleados, agentes contratistas y otros terceros que tengan una necesidad comercial de conocer dichos datos. Solo procesarán sus datos personales según nuestras instrucciones y estarán sujetos a un deber de confidencialidad.
Hemos implementado procedimientos para tratar cualquier sospecha de violación de sus datos personales y se lo notificaremos a usted y a la Autoridad de Control en caso de que ocurriera, tal como queda regulado en el RGPD en sus artículos 33 y 34, una brecha de seguridad.