Política de protección de datos de Vanderbilt International - ACT365

Fecha 17/04/2018

Versión 0.1

Esta política de privacidad explica el modo en que Vanderbilt International GmbH y sus filiales («Vanderbilt» o «nosotros») recoge, conserva, utiliza, difunde, comparte y transfiere su información.

LEA DETENIDAMENTE ESTA DECLARACIÓN DE PRIVACIDAD ANTES DE USAR EL SITIO WEB, EL SOFTWARE Y LOS SERVICIOS DE VANDERBILT (DESIGNADOS DE FORMA CONJUNTA LOS «SERVICIOS DE VANDERBILT»). AL UTILIZAR LOS SERVICIOS DE VANDERBILT, ACEPTA ESTA POLÍTICA DE PRIVACIDAD Y ACEPTA QUE SUS DATOS SEAN RECOGIDOS, CONSERVADOS, UTILIZADOS, DISTRIBUIDOS, COMPARTIDOS Y TRANSFERIDOS DE ACUERDO CON LA PRESENTE POLÍTICA DE PRIVACIDAD. PODEMOS MODIFICAR ESTA POLÍTICA DE PRIVACIDAD EN CUALQUIER MOMENTO, SIEMPRE QUE ALGUNAS DISPOSICIONES DE ESTA POLÍTICA DE PRIVACIDAD SEAN INCOMPLETAS U HAYAN QUEDADO OBSOLETAS Y QUE DICHOS CAMBIOS SEAN RAZONABLES. EN EL CASO DE QUE HAGAMOS CAMBIOS IMPORTANTES A ESTA DECLARACIÓN DE PRIVACIDAD, PUBLICAREMOS LA NUEVA VERSIÓN EN ESTE SITIO WEB Y ENTRARÁ EN VIGOR DE FORMA INMEDIATA.

Introducción

La finalidad de este documento es proporcionar una declaración de política concisa sobre las obligaciones de protección de datos de Vanderbilt International con respecto al producto ACT365. Incluye las obligaciones relativas al tratamiento de los datos personales para garantizar que la organización cumple con las exigencias de la legislación correspondiente, concretamente el RGPD. https://www.eugdpr.org/

Fundamentos

Vanderbilt International debe cumplir con los principios de protección de datos descritos en la legislación vigente. Esta política se aplica a todos los datos personales recogidos, tratados y conservados por Vanderbilt International sobre sus proveedores de servicios y clientes en el ejercicio de sus actividades.

Alcance

La política cubre tanto los datos personales como los datos personales sensibles recogidos de los interesados por Vanderbilt International. La política se aplica tanto a los datos personales recogidos de forma manual como automatizada.

Todos los datos personales y los datos personales sensibles serán tratados con igual cautela por Vanderbilt International. En esta política, ambas categorías se denominarán datos personales, a menos que se indique específicamente lo contrario.

Esta política debe leerse junto con los documentos conexos como el procedimiento de solicitud de acceso de los interesados, la política de conservación y destrucción de los datos, la lista de plazos de conservación de los datos y el procedimiento de notificación de pérdida de los datos.

Vanderbilt International como responsable del tratamiento

Durante el ejercicio de sus actividades organizativas diarias, Vanderbilt International recoge, trata y conserva los datos personales relacionados con:

  • Clientes de Vanderbilt International
  • Proveedores de servicios externos que trabajan con Vanderbilt International

De acuerdo con el RGPD, estos datos deben ser recogidos y tratados de forma leal. No se espera que todos los miembros del personal sean expertos en la legislación sobre protección de datos. No obstante, Vanderbilt International se compromete a garantizar que su personal tenga suficientes conocimientos de la legislación para poder anticipar e identificar un problema relacionado con la protección de datos, en caso de que este se produzca. En tales circunstancias, el personal debe asegurarse de que el delegado de la protección de datos esté informado y de que se adopten las medidas correctivas adecuadas.

Debido a la naturaleza de los servicios prestados por Vanderbilt International, existe un intercambio constante y activo de datos personales entre Vanderbilt International y los interesados. Además, Vanderbilt International intercambia datos personales con encargados del tratamiento en nombre de los interesados.

Esto es compatible con las obligaciones de Vanderbilt International de acuerdo con los términos de su contrato con los encargados del tratamiento.

Esta política proporciona las pautas para este intercambio de información, así como el procedimiento que se debe seguir en caso de que un miembro del personal de Vanderbilt International no esté seguro de qué datos pueden difundirse.

De forma general, el miembro del personal debería consultar con el delegado de protección de datos para aclarar la duda.

Solicitudes de acceso de los interesados

Cualquier solicitud formal y por escrito de una copia de sus datos personales (una solicitud de acceso del interesado) por parte del interesado será derivada, lo antes posible, al delegado de protección de datos y será tratada lo antes posible de acuerdo con el RGPD.

Al cumplir con estas pautas, Vanderbilt International estará siguiendo las mejores prácticas relativas a la legislación sobre protección de datos vigente.

Terceros encargados

En el ejercicio de su papel como responsable del tratamiento, Vanderbilt International contrata a varios encargados del tratamiento para que traten los datos personales en su nombre. En cada caso, se firma un contrato formal y por escrito con el encargado del tratamiento. Ese contrato describe sus obligaciones en relación con los datos personales, el fin o fines específicos del contrato y el reconocimiento de que tratarán los datos de acuerdo con el RGPD.

Estos encargados del tratamiento incluyen:

  • Personal de apoyo interno de Vanderbilt
  • Microsoft Azure

Los principios de la protección de datos

  • Los siguientes principios clave están contemplados en el RGPD y son fundamentales para la política de protección de datos de Vanderbilt International.

En calidad de responsable del tratamiento, Vanderbilt International garantiza que todos los datos deberán:

1.... obtenerse y tratarse de manera leal y lícita.

Para que los datos se obtengan de manera leal, los interesados serán informados en el momento de recogida de sus datos de:

  • La identidad del responsable del tratamiento Vanderbilt International
  • El fin o los fines para el o los que se recogen los datos
  • La persona o personas a las que el responsable del tratamiento puede difundir los datos
  • Cualquier otra información que sea necesaria para que el tratamiento sea leal.

Vanderbilt International cumplirá con esta obligación de la siguiente manera.

  • Cuando sea posible, se pedirá el consentimiento informado del interesado antes de tratar sus datos;
  • Cuando no sea posible conseguir el consentimiento del interesado, Vanderbilt International garantizará que la recogida de los datos esté justificada por una de las condiciones lícitas de tratamiento (obligación legal, necesidad contractual, etc.);
  • Cuando Vanderbilt International pretenda grabar la actividad en CCTV o vídeo, en la vista completa se publicará un aviso de tratamiento leal;
  • El tratamiento de los datos personales se llevará a cabo solo como parte de las actividades lícitas de Vanderbilt International y Vanderbilt International protegerá los derechos y las libertades de los interesados;
  • Los datos de los interesados no se difundirán a un tercero que no sea una parte contratada por Vanderbilt International y que opere en su nombre.

2.... obtenerse solo para uno o más fines específicos y lícitos.

Vanderbilt International obtendrá los datos para el fin específico, lícito y claramente indicado. El interesado tendrá el derecho a preguntar el fin o los fines para los cuales Vanderbilt International recoge los datos y Vanderbilt International deberá indicar claramente el fin o los fines.

3.... tratarse solo de una manera compatible con el fin o fines especificados.

Cualquier uso de los datos por Vanderbilt International será compatible con los fines para los que se recogieron los datos.

4.... conservarse de forma segura.

Vanderbilt International aplicará estrictas normas de seguridad para proteger los datos personales que tiene a su cuidado. Se adoptarán medidas de seguridad adecuadas para proteger del acceso no autorizado, la alteración, destrucción o divulgación de cualquier dato personal controlado por Vanderbilt International en su calidad de responsable del tratamiento.

El acceso y el control de los registros del personal y de los clientes están limitados a aquellos miembros del personal que tengan una autorización apropiada y el acceso a los datos se hace mediante contraseña.

5.... conservarse de manera precisa, completa y actualizada cuando sea necesario.

Vanderbilt International:

  • garantiza que se aplican procesos administrativos y de validación informática para llevar a cabo las evaluaciones periódicas de la precisión de los datos;
  • realiza revisiones y controles periódicos para garantizar que los datos importantes son precisos y están actualizados. Vanderbilt International lleva a cabo una revisión de los datos de la muestra cada seis meses para garantizar su precisión; cada dos años se revisa y actualiza la información de contacto de los miembros del personal y los detalles de los parientes más cercanos;
  • lleva a cabo evaluaciones periódicas para determinar la necesidad de conservar determinados datos personales.

6.... ser adecuados, pertinentes y no excesivos con respecto a los fines para los que fueron recogidos y tratados.

Vanderbilt International garantizará que los datos tratados de los interesados sean importantes para los fines para los que se recogen. Los datos que no sean importantes para ese tratamiento no se recogerán ni conservarán.

7.... no conservarse más tiempo del necesario para satisfacer el fin o los fines especificados.

Vanderbilt International ha identificado una amplia matriz de categorías de datos en relación con el periodo de conservación de los datos adecuado para cada categoría. La matriz se aplica a los datos tanto en formato manual como automatizado.

Una vez finalizado el correspondiente periodo de conservación, Vanderbilt International se compromete a destruir, eliminar o inutilizar de otro modo estos datos.

8.... ser tratados y conservados de manera que, en caso de que un interesado presente una solicitud de acceso válida para obtener una copia de sus datos personales, estos datos puedan ser recuperados fácilmente y facilitados al solicitante.

Vanderbilt International ha puesto en marcha un procedimiento de solicitud de acceso para el interesado mediante el cual se gestiona este tipo de solicitudes de manera eficiente y oportuna, dentro de los plazos estipulados por la ley.

Solicitudes de acceso de los interesados

Como parte de las actividades diarias de la organización, el personal de Vanderbilt International lleva a cabo intercambios activos y frecuentes de información con los interesados. Cuando un interesado envía una solicitud formal relacionada con los datos que controla Vanderbilt International, esa petición da pie a derechos de acceso por parte del interesado.

Vanderbilt International debe responder al interesado en unos plazos específicos, en función de la naturaleza y el alcance de la solicitud. Se describen en el documento sobre el procedimiento de solicitud de acceso por el titular adjunto.

El personal de Vanderbilt International garantizará que, cuando sea necesario, esas solicitudes sean remitidas al delegado de protección de datos de manera oportuna y que sean tratadas de la manera más rápida y eficiente posible, según el RGPD.

Aplicación

Como responsable del tratamiento, Vanderbilt International garantiza que cualquier entidad que trate datos personales en su nombre (un encargado del tratamiento) lo hace de forma que se cumpla la legislación sobre protección de datos.

En caso de que un encargado del tratamiento no gestione correctamente los datos de Vanderbilt International, se entenderá como incumplimiento del contrato y se tramitará en los tribunales.

En caso de que un miembro del personal de Vanderbilt International no trate los datos personales según esta política, puede derivar en un procedimiento disciplinario.

Cambios en esta política de privacidad

Si realizáramos cambios materiales en nuestra política de privacidad que pudieran afectarle, avisaríamos de forma visible del cambio en nuestro sitio web en un plazo razonable antes de llevar a cabo el cambio. Le recomendamos que revise la política de privacidad de manera frecuente para estar al tanto de cualquier cambio.

¿Qué tipo de información recogemos?

Durante el funcionamiento de ACT365, se recogen y registran datos obligatorios u opcionales de los titulares de las tarjetas y de los usuarios de los servicios. Los datos recogidos serán:

  • Nombre
  • Token(s) de control de acceso o código PIN de control de acceso
  • Dirección de correo electrónico
  • Número de teléfono
  • Fotografía
  • Periodo de validez
  • 10 campos definidos por el usuario

Además, se conservará información de la transacción de cada titular de tarjeta e información para el control de cada usuario de los servicios.

¿Cómo usamos esta información?

Usamos la información recogida para proporcionar una interfaz segura para su ACT365; su información también es usada para que la empresa instaladora pueda prestarle servicios y asistirle.

¿Dónde y cómo se conserva mi información?

La información se conserva dentro de la UE y no se transferirá fuera de la UE. Toda la información de ACT365 se aloja en una base de datos. Las copias de seguridad de la base de datos se realizan periódicamente. Los datos personales no se replican en ningún otro sistema ni se usan con otro fin. El acceso a la base de datos está protegido con contraseña. Solo los ingenieros informáticos de Vanderbilt que tienen una necesidad imperiosa de acceder a la base de datos pueden hacerlo. El acceso se hace exclusivamente por razones de gestión y control del sistema, o para la posible depuración de errores.

¿Durante cuánto tiempo se conservan mis datos?

Toda la información se guarda mientras el usuario tenga una cuenta activa en ACT365. Los usuarios pueden eliminar su cuenta en cualquier momento. Una vez eliminen su cuenta, se borrará toda la información del usuario.

¿Cómo se protegen mis datos?

El acceso a la base de datos está protegido con contraseña. Solo los ingenieros informáticos de Vanderbilt que tienen una necesidad imperiosa de acceder a la base de datos pueden hacerlo. El acceso se hace exclusivamente por razones de gestión y control del sistema, o para la posible depuración de errores.

¿Cómo se obtiene esa información?

Los usuarios de ACT365 introducen manualmente los datos a través de la interfaz web.

¿Cuál es la base legal en la que se basa el tratamiento de los datos personales?

Los usuarios aceptan los «términos y condiciones» y la «política de protección de datos» de la cuenta de ACT365 al registrarse y la aplicación ofrece la posibilidad de eliminar los datos personales.

Al usar determinados servicios de ACT365, los usuarios «instaladores» pueden introducir información sobre los «usuarios finales» sin su consentimiento explícito. En ese caso, es responsabilidad del usuario «instalador» obtener el consentimiento del «usuario final» y gestionar esta información.

¿Cómo puedo gestionar, eliminar o rectificar la información que existe sobre mí?

Un usuario puede gestionar, eliminar o rectificar su cuenta en cualquier momento dentro de la aplicación ACT365. La información se elimina como se ha detallado anteriormente. Si el usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en http://www.vanderbiltindustries.com/requestmyinfo

¿Cómo solicito acceso a mis datos?

Si el usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en

http://www.vanderbiltindustries.com/requestmyinfo

Política de privacidad en el caso de niños

No es intención de Vanderbilt que ninguna parte de los servicios de Vanderbilt sean usados por niños menores de 16 años o una edad mínima equivalente en su ordenamiento jurídico, y por tanto, ese uso está prohibido. Si nos enteramos de que una cuenta está asociada a un usuario registrado menor de 16 años o una edad mínima legal equivalente, eliminaremos inmediatamente la información asociada a esa cuenta. Si es el progenitor o tutor de un menor de 16 años o edad mínima legal equivalente y cree que nos ha podido aportar información personal, póngase en contacto con nosotros por teléfono o correo electrónico en el servicio de información de asistencia de Vanderbilt de su país. Un progenitor o tutor de un menor de 16 años o con edad mínima legal equivalente puede revisar y solicitar la eliminación de la información personal de ese menor y prohibir su uso.

Actividades globales

Está de acuerdo con nuestras políticas de información, que incluyen la recogida, el almacenamiento, la utilización, el tratamiento y la divulgación de sus datos tal como se describe en esta política de privacidad, y la transferencia y el tratamiento de sus datos a países del mundo donde tenemos instalaciones o las utilizamos, independientemente de donde haga uso de nuestros servicios. Acepta que las leyes, regulaciones y normativa del país en el que su información se conserva o trata pueden variar con respecto a su país. En el Espacio Económico Europeo (EEE), almacenamos sus datos personales dentro del EEE de manera cifrada, incluso cuando sus datos son conservados por terceros. No los transferiremos fuera del EEE.

Información de contacto

Para preguntar o hacer algún comentario sobre esta política de privacidad o prácticas de privacidad, póngase en contacto con nosotros a través de http://www.vanderbiltindustries.com/requestmyinfo.

Definiciones

Para evitar la ambigüedad y en aras de la coherencia de la terminología, en esta política se aplican las siguientes definiciones.

DatosIncluye tanto datos automatizados como manuales. Los datos automatizados son datos conservados en un ordenador o conservados con la intención de que sean tratados en un ordenador. Los datos manuales son datos que se tratan como parte de un fichero pertinente o que se conservan con la intención de que formen parte de un fichero pertinente.
Datos personalesInformación que se relaciona con una persona viva que puede ser identificada bien directamente por esos datos bien indirectamente junto con otros datos que probablemente también pueden llegar al poder legal del responsable del tratamiento. (En caso de duda, Vanderbilt International remite a la definición publicada por el Grupo de trabajo del artículo 29 y que se actualiza periódicamente.)
Datos personales sensiblesUna categoría especial de datos personales, relacionados con: origen racial o étnico, las opiniones políticas, las convicciones religiosas, ideológicas o filosóficas, la afiliación sindical, así como información sobre la salud mental o física, información sobre la orientación sexual, información relativa a condenas e infracciones penales.
Responsable del tratamientoPersona o entidad que, en solitario o con otros, controla el contenido y el uso de los datos personales determinando los fines para los que se tratan y los medios por los que se hace ese tratamiento.
InteresadoPersona viva a la que pertenecen los datos personales, es decir, a la que están relacionados directa o indirectamente.
Encargado del tratamientoPersona o entidad que trata los datos personales en nombre de un responsable del tratamiento según un contrato formal y por escrito, pero que no es empleado del responsable del tratamiento y que trata esos datos durante su actividad.
Delegado de protección de datosPersona nombrada por Vanderbilt International para controlar el cumplimiento de la correspondiente legislación de protección de datos, para tratar las solicitudes de acceso de los interesados y para responder a las dudas sobre protección de datos de los miembros del personal y de los destinatarios de los servicios.
Fichero pertinenteCualquier conjunto de información relacionada con personas vivas que no sea tratada por medio de equipos automatizados (ordenadores) y que esté estructurado, bien con referencias a las personas o con referencia a criterios relacionados con las personas, de manera que la información específica relacionada con una persona sea fácilmente recuperable.