Política de protección de datos de Vanderbilt International - SPC Connect

Fecha 17/04/2018

Versión 0.1

Esta política de privacidad explica el modo en que Vanderbilt International GmbH y sus filiales («Vanderbilt» o «nosotros») recopila, almacena, utiliza, difunde, comparte y transfiere su información.

LEA DETENIDAMENTE ESTA DECLARACIÓN DE PRIVACIDAD ANTES DE USAR EL SITIO WEB, EL SOFTWARE Y LOS SERVICIOS DE VANDERBILT (DESIGNADOS DE FORMA CONJUNTA LOS «SERVICIOS DE VANDERBILT»). AL USAR LOS SERVICIOS DE VANDERBILT, ACEPTA ESTA POLÍTICA DE PRIVACIDAD Y ACEPTA LA RECOPILACIÓN, EL ALMACENAMIENTO, LA UTILIZACIÓN, LA DISTRIBUCIÓN, LA DIVULGACIÓN Y LA TRANSFERENCIA DE SUS DATOS SEGÚN ESTA POLÍTICA DE PRIVACIDAD. PODEMOS MODIFICAR ESTA POLÍTICA DE PRIVACIDAD EN CUALQUIER MOMENTO, SIEMPRE QUE ALGUNAS DISPOSICIONES DE ESTA POLÍTICA DE PRIVACIDAD SEAN INCOMPLETAS U HAYAN QUEDADO OBSOLETAS Y QUE DICHOS CAMBIOS SEAN RAZONABLES. EN EL CASO DE QUE HAGAMOS CAMBIOS IMPORTANTES A ESTA DECLARACIÓN DE PRIVACIDAD, PUBLICAREMOS LA NUEVA VERSIÓN EN ESTE SITIO WEB Y ENTRARÁ EN VIGOR DE FORMA INMEDIATA.

Introducción

La finalidad de este documento es proporcionar una declaración de política concisa sobre las obligaciones de protección de datos de Vanderbilt International con respecto al producto SPC Connect. Incluye las obligaciones relativas al tratamiento de los datos personales para garantizar que la organización cumple con las exigencias de la legislación correspondiente, concretamente el RGPD. https://www.eugdpr.org/

Fundamentos

Vanderbilt International debe cumplir con los principios de protección de datos descritos en la legislación vigente. Esta política se aplica a todos los datos personales recopilados, tratados y almacenados por Vanderbilt International sobre sus proveedores de servicios y clientes en el desempeño de sus actividades.

Alcance

La política cubre tanto los datos personales como los datos personales confidenciales recopilados de los titulares de los datos. La política también se aplica a los datos personales recopilados de forma manual o automatizada.

Todos los datos personales y los datos personales confidenciales serán tratados con igual cautela por Vanderbilt International. En esta política, ambas categorías se denominarán como datos personales, a menos que se indique específicamente lo contrario.

Esta política debe leerse junto con los documentos conexos como el procedimiento de solicitud de acceso de los titulares de los datos, la política de conservación y destrucción de los datos, la lista de plazos de conservación de los datos y el procedimiento de notificación de pérdida de los datos.

Vanderbilt International como controlador de datos

Durante el desempeño de sus actividades organizativas diarias, Vanderbilt International adquiere, trata y almacena los datos personales relacionados con:

  • Clientes de Vanderbilt International
  • Proveedores de servicios externos que trabajan con Vanderbilt International
  • De acuerdo con el RGPD, estos datos deben ser adquiridos y tratados de forma justa. No se espera que todos los miembros del personal sean expertos en la legislación sobre protección de datos. Sin embargo, Vanderbilt International se compromete a garantizar que su personal tenga suficientes conocimientos de la legislación para poder anticipar e identificar un problema relacionado con la protección de datos, en caso de que este se produzca. En tales circunstancias, el personal debe asegurarse de que el responsable de la protección de datos esté informado para que se adopten las medidas correctivas adecuadas.

    Debido a la naturaleza de los servicios prestados por Vanderbilt International, existe un intercambio constante y activo de datos personales entre Vanderbilt International y los titulares de los datos. Además, Vanderbilt International intercambia datos personales con procesadores de datos en nombre de los titulares de los datos.

    Esto es compatible con las obligaciones de Vanderbilt International de acuerdo con los términos de su contrato con los procesadores de datos.

    Esta política proporciona las pautas para este intercambio de información, así como el procedimiento que se debe seguir en caso de que un miembro del personal de Vanderbilt International no esté seguro de qué datos pueden difundirse.

    De forma general, el miembro del personal debería consultar con el responsable de protección de datos para aclarar la duda.

    Solicitudes de acceso de los titulares de los datos

    Cualquier solicitud formal y por escrito de una copia de sus datos personales (una solicitud de acceso del titular) por parte del titular de los datos será derivada, lo antes posible, al responsable de protección de datos y será tratada lo antes posible de acuerdo con el RGPD.

    Al cumplir con estas pautas, Vanderbilt International estará siguiendo las mejores prácticas relativas a la legislación sobre protección de datos vigente.

    Terceros procesadores

    En el ejercicio de su papel como controlador de datos, Vanderbilt International contrata a varios procesadores de datos para que traten los datos personales en su nombre. En cada caso, se firma un contrato formal y por escrito con el procesador. Ese contrato describe sus obligaciones en relación con los datos personales, el fin o fines específicos del contrato y el reconocimiento de que tratarán los datos de acuerdo con el RGPD.

    Estos procesadores de datos incluyen:

  • Personal de apoyo interno de Vanderbilt
    • Atos IT Solutions y Services AB
  • Los principios de la protección de datos

    • Los siguientes principios clave están contemplados en el RGPD y son fundamentales para la política de protección de datos de Vanderbilt International.

    En calidad de controlador de datos, Vanderbilt International garantiza que todos los datos deberán:

    • 1.... obtenerse y tratarse de manera justa y lícita.

    Para que los datos se obtengan de manera justa, los titulares de los datos serán informados en el momento de recopilación de sus datos de:

    • La identidad del controlador de datos Vanderbilt International
    • El fin o los fines para el o los que se recopilan los datos
    • La persona o personas a las que el controlador de datos puede difundir los datos
    • Cualquier otra información que sea necesaria para que el tratamiento sea justo.

    Vanderbilt International cumplirá con esta obligación de la siguiente manera.

    • Cuando sea posible, se pedirá el consentimiento informado del titular de los datos antes de tratar sus datos;
    • Cuando no sea posible conseguir el consentimiento, Vanderbilt International garantizará que la recopilación de los datos esté justificada por una de las condiciones lícitas de tratamiento (obligación legal, necesidad contractual, etc.);
    • Cuando Vanderbilt International pretenda grabar la actividad en CCTV o vídeo, en la vista completa se publicará un aviso de tratamiento justo;
    • El tratamiento de los datos personales se llevará a cabo solo como parte de las actividades lícitas de Vanderbilt International y Vanderbilt International protegerá los derechos y las libertades de los titulares de los datos;
    • Los datos de los titulares de los datos no se difundirán a un tercero que no sea una parte contratada por Vanderbilt International y que opere en su nombre.
      • 2.... obtenerse solo para uno o más fines específicos y lícitos.
    • Vanderbilt International obtendrá los datos para los fines específicos, lícitos y claramente indicados. El titular de los datos tendrá el derecho a preguntar el fin o los fines para los cuales Vanderbilt International recopila los datos y Vanderbilt International deberá indicar claramente el fin o los fines.

      • 3.... tratarse solo de una manera compatible con el fin o fines especificados.

      Cualquier uso de los datos por Vanderbilt International será compatible con los fines para los que se adquirieron los datos.

      • 4.... conservarse de forma segura.

      Vanderbilt International aplicará estrictas normas de seguridad para proteger los datos personales que tiene a su cuidado. Se adoptarán medidas de seguridad adecuadas para proteger contra el acceso no autorizado, la alteración, destrucción o divulgación de cualquier dato personal controlado por Vanderbilt International en su calidad de controlador de datos.

      El acceso y el control de los registros del personal y de los clientes están limitados a aquellos miembros del personal que tengan una autorización apropiada y el acceso a los datos se hace mediante contraseña.

      • 5.... conservarse de manera precisa, completa y actualizada cuando sea necesario.

      Vanderbilt International:

      • garantiza que se aplican procesos administrativos y de validación informática para llevar a cabo las evaluaciones periódicas de la precisión de los datos;
      • realiza revisiones y auditorías periódicas para garantizar que los datos importantes son precisos y están actualizados. Vanderbilt International lleva a cabo una revisión de los datos de la muestra cada seis meses para garantizar su precisión; cada dos años se revisa y actualiza la información de contacto de los miembros del personal y los detalles de los parientes más cercanos.
      • lleva a cabo evaluaciones periódicas para determinar la necesidad de conservar determinados datos personales.
      • 6.... ser adecuados, pertinentes y no excesivos con respecto a los fines para los que fueron recopilados y tratados.

      Vanderbilt International garantizará que los datos tratados de los titulares de los datos sean importantes para los fines para los que se recopilan. Los datos que no sean importantes para ese tratamiento no se recopilarán o conservarán.

      • 7.... no conservarse más tiempo del necesario para satisfacer el fin o los fines especificados.
    • Vanderbilt International ha identificado una amplia matriz de categorías de datos en relación con el periodo de conservación de los datos adecuado para cada categoría. La matriz se aplica a los datos tanto en formato manual como automatizado.

    Una vez finalizado el correspondiente periodo de conservación, Vanderbilt International se compromete a destruir, eliminar o inutilizar de otro modo estos datos.

    • 8.... ser tratados y almacenados de manera que, en caso de que un titular de los datos presente una solicitud de acceso válida para obtener una copia de sus datos personales, estos datos puedan ser recuperados fácilmente y facilitados al solicitante.

    Vanderbilt International ha puesto en marcha un procedimiento de solicitud de acceso para el titular de los datos mediante el cual se gestiona este tipo de solicitudes de manera eficiente y oportuna, dentro de los plazos estipulados por la ley.

    Solicitudes de acceso de los titulares de los datos

    • Como parte de las actividades diarias de la organización, el personal de Vanderbilt International lleva a cabo intercambios activos y frecuentes de información con los titulares de los datos. Cuando un titular de los datos envía una solicitud formal relacionada con los datos que controla Vanderbilt International, esa petición da pie a derechos de acceso por parte del titular de los datos.

    Vanderbilt International debe responder al titular de los datos en unos plazos específicos, en función de la naturaleza y el alcance de la solicitud, que se describen en el procedimiento de solicitud de acceso por el titular de los datos.

    El personal de Vanderbilt International garantizará que, cuando sea necesario, esas solicitudes sean remitidas al responsable de protección de datos de manera oportuna y que sean tratadas de la manera más rápida y eficiente posible, según el RGPD.

    Aplicación

    • Como controlador de datos, Vanderbilt International garantiza que cualquier entidad que trate datos personales en su nombre (un procesador de datos) lo hace de forma que se cumpla la legislación sobre protección de datos.

    En caso de que un procesador de datos no gestione correctamente los datos de Vanderbilt International, se entenderá como incumplimiento del contrato y se tramitará en los tribunales.

    En caso de que un miembro del personal de Vanderbilt International no trate los datos personales según esta política, puede derivar en un procedimiento disciplinario.

    Cambios en esta política de privacidad

    Si realizáramos cambios materiales en nuestra política de privacidad que pudieran afectarle, avisaríamos de forma visible del cambio en nuestro sitio web en un plazo razonable antes de llevar a cabo el cambio. Le recomendamos que revise la política de privacidad de manera frecuente para estar al tanto de cualquier cambio.

    ¿Qué tipo de información recopilamos?

    Los usuarios de SPC Connect deben introducir la siguiente información obligatoria durante el proceso de registro:

    • Nombre de usuario
    • Contraseña
    • Nombre y apellidos
    • Correo electrónico
    • Idioma
    • Pregunta de seguridad

    Además de lo anterior, el usuario también puede añadir los campos opcionales siguientes durante el proceso de registro:

    • Otros nombres
    • Dirección
    • Código postal
    • Teléfono

    Durante el uso de SPC Connect, también puede asociarse la siguiente información con su cuenta:

    • Identificadores de móvil (para notificaciones push)
    • Información de la empresa instaladora
    • Información de control de acceso (imagen del usuario, información de la tarjeta, PIN, derechos de usuario)
    • Datos de verificación de la alarma (información de audio o vídeo)
    • Información de auditoría

    ¿Cómo usamos esta información?

    Usamos la información recopilada para proporcionar una interfaz segura para sus sistemas SPC; su información también es usada por la empresa instaladora para prestar servicios y asistirle.

    ¿Dónde y cómo se almacena mi información?

    La información se almacena dentro de la UE y no se transferirá fuera de la UE. Toda la información de SPC Connect se aloja en una base de datos. Las copias de seguridad de la base de datos se realizan periódicamente. Los datos personales no se replican en ningún otro sistema ni se usan con otro fin. El acceso a la base de datos está protegido con contraseña. Solo los ingenieros informáticos de Vanderbilt que tienen una necesidad imperiosa de acceder a la base de datos pueden hacerlo. El acceso se hace exclusivamente por razones de gestión y control del sistema, o para la posible depuración de errores.

    ¿Durante cuánto tiempo se almacenan mis datos?

    Toda la información se guarda mientras el usuario tenga una cuenta activa en SPC Connect. El usuario puede eliminar su cuenta en cualquier momento. Una vez haya eliminado la cuenta, toda la información del usuario se elimina, aunque puede quedar información asociada al «usuario eliminado», como en los registros de auditoría. Solo se usará el nombre de usuario para asociar a esa información. Si no se accede a una cuenta de usuario de SPC durante dos años, nos pondremos en contacto con el propietario de la cuenta y si no accede a la cuenta después del periodo de aviso, la cuenta será eliminada.

    ¿Cómo se protegen mis datos?

    El acceso a la base de datos está protegido con contraseña. Solo los ingenieros informáticos de Vanderbilt que tienen una necesidad imperiosa de acceder a la base de datos pueden hacerlo. El acceso se hace exclusivamente por razones de gestión y control del sistema, o para la posible depuración de errores.

    ¿Cómo se obtiene esa información?

    Los usuarios de SPC Connect introducen manualmente los datos a través de la interfaz web.

    ¿Cuál es la base legal en la que se basa el tratamiento de los datos personales?

    Los usuarios aceptan los «términos y condiciones» y la «política de protección de datos» de la cuenta de SPC Connect al registrarse y la aplicación ofrece la posibilidad de eliminar los datos personales.

    Al usar determinados servicios de SPC Connect, los usuarios «instaladores» pueden introducir información sobre los «usuarios finales» sin su consentimiento explícito. En ese caso, es responsabilidad del usuario «instalador» obtener el consentimiento del «usuario final» y gestionar esta información.

    ¿Cómo puedo gestionar, eliminar o rectificar la información que existe sobre mí?

    Un usuario puede gestionar, eliminar o rectificar su cuenta en cualquier momento dentro de la aplicación SPC Connect. La información se elimina como se ha detallado anteriormente. Si el usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en https://www.spcsupportinfo.com/SPCConnectPro/forms/connect-query/

    ¿Cómo solicito acceso a mis datos?

    Si el usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en https://www.spcsupportinfo.com/SPCConnectPro/forms/connect-query/.

    Política de privacidad en el caso de niños

    No es intención de Vanderbilt que ninguna parte de sus servicios sean usados por niños menores de 16 años o una edad mínima equivalente en su ordenamiento jurídico, y por tanto, ese uso está prohibido. Si nos enteramos de que una cuenta está asociada a un usuario registrado menor de 16 años o una edad mínima legal equivalente, eliminaremos inmediatamente la información asociada a esa cuenta. Si es el progenitor o tutor de un menor de 16 años o edad mínima legal equivalente y cree que nos ha podido aportar información personal, póngase en contacto con nosotros por teléfono o correo electrónico en el servicio de información de asistencia de Vanderbilt de su país. Un progenitor o tutor de un menor de 16 años o con edad mínima legal equivalente puede revisar y solicitar la eliminación de la información personal de ese menor y prohibir su uso.

    Actividades globales

    Está de acuerdo con nuestras políticas de información, que incluyen la recogida, el almacenamiento, la utilización, el tratamiento y la divulgación de sus datos tal como se describe en esta política de privacidad, y la transferencia y el tratamiento de sus datos a países del mundo donde tenemos instalaciones o las utilizamos, independientemente de donde utilice nuestros servicios. Acepta que las leyes, regulaciones y normativa del país en el que su información se almacena o trata pueden variar con respecto a su país. En el Espacio Económico Europeo (EEE), almacenamos sus datos personales dentro del EEE de manera cifrada, incluso cuando sus datos son almacenados por terceros. No los transferiremos fuera del EEE.

    Información de contacto

    Para preguntar o hacer algún comentario sobre esta política de privacidad o prácticas de privacidad, póngase en contacto con nosotros a través dehttps://www.spcsupportinfo.com/SPCConnectPro/forms/connect-query/.

    Definiciones

    • Para evitar la ambigüedad y en aras de la coherencia de la terminología, en esta política se aplican las siguientes definiciones.
    DatosIncluye tanto datos automatizados como manuales. Los datos automatizados son datos conservados en un ordenador o almacenados con la intención de que sean tratados en un ordenador. Los datos manuales son datos que se tratan como parte de un sistema de archivado pertinente o que se almacenan con la intención de que formen parte de un sistema de archivado pertinente.
    Datos personalesInformación que se relaciona con una persona viva que puede ser identificada bien directamente por esos datos bien indirectamente junto con otros datos que probablemente también pueden llegar al poder legal del controlador de datos. (En caso de duda, Vanderbilt International remite a la definición publicada por el Grupo de trabajo del artículo 29 y que se actualiza periódicamente.)
    Datos personales confidencialesUna categoría especial de datos personales, relacionados con: origen racial o étnico, las opiniones políticas, las convicciones religiosas, ideológicas o filosóficas, la afiliación sindical, así como información sobre la salud mental o física, información sobre la orientación sexual, información sobre antecedentes penales.
    Controlador de datosPersona o entidad que, en solitario o con otros, controla el contenido y el uso de los datos personales determinando los fines para los que se tratan y los medios por los que se hace ese tratamiento.
    Titular de los datosPersona viva a la que pertenecen los datos personales, es decir, a la que están relacionados directa o indirectamente.
    Procesador de datosPersona o entidad que trata los datos personales en nombre de un controlador de datos según un contrato formal y por escrito, pero que no es empleado del controlador de datos y que trata esos datos durante su actividad.
    Responsable de protección de datosPersona nombrada por Vanderbilt International para controlar el cumplimiento de la correspondiente legislación de protección de datos, para tratar las solicitudes de acceso de los titulares de los datos y para responder a las dudas sobre protección de datos de los miembros del personal y de los destinatarios de los servicios.
    Sistema de archivado pertinenteCualquier conjunto de información relacionada con personas vivas que no sea tratada por medio de equipos automatizados (ordenadores) y que esté estructurado, bien con referencias a las personas o con referencia a criterios relacionados con las personas, de manera que la información específica relacionada con una persona sea fácilmente recuperable.