Security policy: Personal data (GDPR)
- 1. Introducción
- 2. Objeto
- 3. Ámbito de aplicación
- 4. Principios generales
- 5. Recolección de datos personales
- 6. Tipo de datos recogidos
- 7. Finalidad y fundamento jurídico
- 8. Destinatarios de los datos – habilitación y trazabilidad
- 9. Periodo de conservación
- 10. Derecho de confirmación y derecho de acceso
- 11. Actualización y rectificación
- 12. Derecho de supresión
- 13. Derecho de limitación
- 14. Derecho a la portabilidad
- 15. Decisión individual automatizada
- 16. Derecho post mortem
- 17. Carácter facultativo u obligatorio de las respuestas
- 18. Derecho de uso
- 19. Subcontratación
- 20. Seguridad
- 21. Violación de datos
- 22. Derecho a presentar una reclamación ante la CNIL
- 23. Evolución
- 24. Para más información
Protección de datos personales
1. Introducción
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también conocido como Reglamento General de Protección de Datos (RGPD), establece el marco jurídico aplicable al tratamiento de datos personales en la Unión Europea.
El RGPD fortalece los derechos y obligaciones de los responsables del tratamiento, los subcontratistas y las personas afectadas.
En el caso de la operación de los sitios web accesibles https://www.wimi-teamwork.com/, www.wimi-armoured.com, Cloud Solutions (en adelante «la empresa») implementa el procesamiento de los datos personales de sus clientes y prospectos.
Para una correcta comprensión de esta política, se especifica que:
- «Clientes y prospectos»: se refiere a todas las personas físicas o jurídicas que hayan iniciado un contacto comercial con la empresa;
- «Responsable del tratamiento»: se refiere a la persona física o jurídica que determina los fines y medios del tratamiento de los datos personales. A efectos de la presente política, el responsable del tratamiento es la empresa;
- «Encargado del tratamiento»: cualquier persona física o jurídica que trate datos personales por cuenta de la empresa. En la práctica, se trata de los proveedores de servicios con los que trabaja la empresa y que tratan los datos personales de los clientes actuales y potenciales de la empresa (soluciones CRM, proveedores de servicios técnicos, autónomos, etc.);
- «Interesados»: se refiere a las personas que pueden ser identificadas, directa o indirectamente, en el contexto de la actividad comercial y de marketing de la empresa, es decir, todos los clientes/clientes potenciales;.
- «Destinatarios»: se refiere a las personas físicas o jurídicas que reciben datos personales. Por lo tanto, los destinatarios de los datos pueden ser tantos empleados de la empresa como organismos externos (socios, entidades bancarias, partes interesadas, etc.).
El artículo 12 del RGPD exige que se informe a los interesados de sus derechos de forma concisa, transparente, comprensible y fácilmente accesible.
2. Objeto
Para garantizar su correcto funcionamiento, la empresa está obligada a implementar y operar el tratamiento de datos personales relativos a sus clientes y prospectos.
La presente política tiene por objeto cumplir con la obligación de información de la empresa y, por tanto, formalizar los derechos y obligaciones de los clientes actuales y potenciales de la empresa en relación con el tratamiento de sus datos personales.
3. Ámbito de aplicación
La presente política de protección de datos personales está destinada a aplicarse en el marco de la puesta en práctica del tratamiento de los datos personales de los clientes actuales y potenciales de la empresa.
Esta política sólo cubre los tratamientos de los que la empresa es responsable y, por lo tanto, no cubre los tratamientos que no son creados u operados por la propia empresa (denominados «tratamientos salvajes»).
El tratamiento de datos personales puede ser gestionado directamente por la empresa o a través de un procesador designado específicamente por la empresa.
Esta política es independiente de cualquier otro documento que pueda aplicarse en el marco de la relación contractual entre la empresa y los clientes actuales y potenciales.
4. Principios generales
No se lleva a cabo ningún tratamiento en la empresa con respecto a los datos de clientes y prospectos si no implica datos personales recopilados por o para nuestros servicios o procesados en relación con nuestros servicios y si no cumple con los principios generales del RGPD.
5. Personal Data Collection
5. Tipo de datos
La empresa recopila los datos personales necesarios para el funcionamiento de sus sitios web y servicios (por ejemplo, Wimi, Wimi Armoured) y para la prospección comercial.
5.2 Origen de los datos
Los datos de los clientes y prospectos proceden, en particular, de los datos recogidos por los formularios de registro y contacto a través de la página web, pero también a través de la prospección comercial y la compra de bases de datos de clientes.
5.3 Datos obligatorios
Los datos obligatorios se indican en los formularios mediante un asterisco. Si no se facilitan, no podrá prestarse el servicio vinculado a esta recogida.
6. Tipos de datos recopilados
6.1 Datos no técnicos
La empresa recopila, entre otros, los siguientes datos:
– Datos de identificación nombre, dirección de correo electrónico, teléfono);
– Datos bancarios (si el prospecto se convierte en cliente únicamente).
6.2 Datos técnicos
La empresa recopila datos de conexión al servicio (por ejemplo, hora, tipo de dispositivo, idioma del navegador, etc.).
7. Finalidad y fundamento jurídico
Según los casos, la empresa trata sus datos con las siguientes finalidades
- Gestión de la inscripción y suscripción a los servicios
- Gestión de la conexión a los servicios
- Gestión del boletín informativo
- Gestión del descubrimiento de los servicios por parte del usuario
- Comunicación con el servicio de asistencia
- Comunicación de información importante sobre los servicios
- Gestión de las solicitudes de baja y cancelación de la suscripción a los servicios
- Gestión de las solicitudes relativas a los derechos de los usuarios sobre sus datos
- Gestión de las solicitudes de contacto y asistencia
- Gestión de la contabilidad y las facturas
- Gestión de la conservación de datos en relación con las obligaciones legales de seguridad
- Gestión de facturas impagadas y litigios
- Mejora de los servicios prestados mediante la realización de encuestas de satisfacción
- Gestión y el seguimiento de las relaciones con los clientes, los usuarios y los prospectos, incluidas las operaciones de segmentación y de orientación para responder mejor a las necesidades de los usuarios
- Elaboración de estadísticas destinadas a optimizar los servicios
Se informa al cliente de que la recogida de sus datos personales es necesaria para la ejecución del contrato celebrado con la empresa
8. Destinatarios de los datos – habilitación y trazabilidad
La empresa garantiza que sólo puedan acceder a los datos los destinatarios internos o externos autorizados.
Destinatarios internos | Destinatarios externos |
– El personal autorizado de los departamentos de marketing, ventas, relaciones con los clientes y prospección, los departamentos administrativos, los departamentos de logística e informática, así como sus gerentes de línea. – El personal autorizado de los departamentos responsables del control revisión fiscal, departamentos responsables de los procedimientos de control interno, etc.). |
– Socios, empresas externas o filiales del mismo grupo de empresas asociadas – Organismos, agentes judiciales y funcionarios públicos, en el marco de su misión de cobro de deudas – Subcontratistas de la empresa y, más concretamente, el personal autorizado a utilizar los datos personales de estos subcontratistas. |
Los destinatarios de datos personales de clientes y clientes potenciales dentro de la empresa están sujetos a una obligación específica de confidencialidad.
La empresa decide qué destinatarios están autorizados internamente a recibir datos.
La política de autorización se actualiza periódicamente y tiene en cuenta la llegada y salida de empleados de la empresa con acceso a los datos.
La empresa no se hace responsable en ningún caso de los daños de cualquier tipo que puedan derivarse de un acceso ilícito a los datos personales.
Si un empleado tiene conocimiento de que tiene acceso a datos a los que no debería tener acceso, está obligado a notificarlo sin demora al departamento correspondiente.
Todos los accesos relativos al tratamiento de datos personales de clientes y clientes potenciales están sujetos a una medida de trazabilidad.
Además, los datos personales pueden comunicarse a cualquier autoridad legalmente habilitada para conocerlos. En este caso, la empresa no se hace responsable de las condiciones en las que el personal de dichas autoridades tenga acceso a los datos y los utilice.
9. Periodo de conservación
La duración de la conservación de los datos la define la empresa en función de las obligaciones legales y contractuales que pesan sobre ella y, en su defecto, en función de sus necesidades y, en particular, de acuerdo con los siguientes principios.
Tratamiento | Caducidad |
Datos del cliente | Los datos del cliente se conservan durante el uso del servicio WIMI. |
Datos relativos a los clientes en el marco de la prospección comercial | Los datos de los clientes se conservan durante un máximo de 3 años a partir de la fecha de baja de los servicios de la empresa. |
Datos sobre los prospectos | Los datos de los clientes potenciales se conservan durante un máximo de 3 años a partir del último contacto del cliente potencial. |
Datos bancarios | Los datos bancarios se suelen borrar una vez se realiza la transacción, a menos que el cliente haya dado su permiso expreso.
No obstante, para fines de prueba, los datos bancarios pueden ser almacenados durante 13 meses desde la fecha de débito. |
Banking data | Banking data is deleted, in principal, once the transaction has been made, unless the client agrees for the data to be retained.Nevertheless, for evidentiary purposes, banking data can be retained for 13 months in the archive after the date of the last transaction. |
Cookies | Las cookies se pueden almacenar durante un periodo de 13 meses. |
Los datos que sirven como prueba de un derecho o contrato, o que se conservan para cumplir con una obligación legal, son objeto de una política de archivo intermedio durante un periodo de tiempo no mayor al necesario para los fines para los cuales se conservan, de acuerdo con las disposiciones vigentes.
Una vez que se hayan establecido los plazos, los datos se eliminarán o conservarán después de ser anonimizados, especialmente por razones de uso estadístico.
Se le recuerda a los clientes y prospectos que la supresión o anonimización son operaciones irreversibles y que, posteriormente, la empresa ya no estará en condiciones de restaurar o explotar los datos.
10. Derecho de confirmación y derecho de acceso
Los clientes actuales y potenciales tienen derecho a solicitar a la empresa confirmación sobre si se están tratando o no datos que les conciernen.
Los clientes actuales y potenciales también tienen derecho de acceso, que está sujeto a las siguientes normas
- La solicitud debe ser presentada por el propio interesado e ir acompañada de una copia de un documento de identidad actualizado.
- La solicitud debe realizarse por escrito a la siguiente dirección: 112 Rue Réaumur, 75002 París, Francia, o por correo electrónico a contact@wimi.pro
Los clientes actuales y potenciales tienen derecho a solicitar a la empresa una copia de sus datos personales objeto de tratamiento. No obstante, en caso de solicitar una copia adicional, la empresa podrá exigir a los clientes y posibles clientes que sufraguen el coste de esta.
Si los clientes y prospectos presentan su solicitud de copia de los datos por vía electrónica, la información solicitada se les facilitará en un formato electrónico de uso común, salvo que soliciten lo contrario.
Por último, se informa a los clientes y prospectos de que este derecho de acceso no puede referirse a información o datos confidenciales, ni a datos cuya divulgación esté prohibida por ley.
El derecho de acceso no debe ejercerse de manera abusiva, es decir, de forma regular con el único objetivo de desestabilizar el servicio en cuestión.
11. Actualización Y rectificación
Con el fin de permitir la actualización periódica de los datos personales recogidos por la empresa, ésta podrá solicitar a los clientes y prospectos que estarán obligados a satisfacer las solicitudes de la empresa.
En caso de modificación de los datos de los clientes y prospectos por parte de la empresa, éstos serán informados espontáneamente.
Se informa a los clientes y prospectos de que la empresa no realizará los llamados cambios de «comodidad» sino únicamente modificaciones sustanciales del estado civil, la identidad y los datos de contacto de la persona en cuestión.
12. Derecho de supresión
El derecho de supresión de los clientes actuales y potenciales no se aplicará en los casos en que el tratamiento se lleve a cabo para cumplir una obligación legal.
Aparte de esta situación, los clientes actuales y potenciales podrán solicitar la supresión de sus datos en los siguientes casos limitados
– Los datos personales ya no son necesarios en relación con los fines para los que fueron recopilados o procesados.
– Cuando el interesado retire el consentimiento en el que se basa el tratamiento y no exista otra base jurídica para el mismo. ;
– El interesado se oponga al tratamiento que sea necesario para los fines de los intereses legítimos perseguidos por la empresa y no exista una razón legítima imperiosa para el tratamiento.
– El interesado se oponga al tratamiento de sus datos personales con fines de mercadotecnia, incluida la elaboración de perfiles. ;
– Los datos personales han sido tratados ilegalmente.
De conformidad con la legislación sobre protección de datos personales, se informa a los clientes actuales y potenciales de que se trata de un derecho individual que sólo puede ser ejercido por el interesado en relación con su propia información: por razones de seguridad, el departamento en cuestión tendrá que verificar su identidad para evitar cualquier comunicación de información confidencial que le concierna a alguien que no sea usted mismo.
13. Derecho de limitación
Se informa a los clientes actuales y potenciales de que no tienen derecho a limitar el tratamiento de sus datos personales en la medida en que el tratamiento efectuado por la empresa sea lícito y todos los datos personales recogidos sean necesarios para la ejecución del contrato comercial.
14. Derecho a la portabilidad
Al finalizar la relación comercial con la empresa, los clientes podrán, previa solicitud, ejercer su derecho a la portabilidad únicamente con respecto a los datos que ellos mismos hayan comunicado a la empresa, y únicamente con respecto a los datos recogidos a través del formulario en línea. Estos datos les serán comunicados en un formato estructurado, de uso común y legible por máquina.
15. Decisión individual automatizada
La empresa utiliza técnicas de elaboración de perfiles con fines de prospección comercial. A este respecto, el interesado da su consentimiento explícito a la utilización de los datos con fines de elaboración de perfiles.
16. Derechos post mortem
Se informa a los clientes y prospectos de que tienen derecho a formular directrices relativas a la conservación, supresión y comunicación de sus datos post-mortem. La comunicación de directivas post-mortem específicas y el ejercicio de sus derechos pueden realizarse por correo electrónico a contact@wimi.pro o por correo postal a la siguiente dirección 112 Rue Réaumur, 75002 París, Francia, acompañados de una copia de un documento de identidad firmado.
17. Carácter facultativo u obligatorio de las respuestas
En cada formulario de recogida de datos personales se informa a los clientes actuales y potenciales del carácter obligatorio o facultativo de las respuestas mediante la presencia de un asterisco.
En el caso de que las respuestas sean obligatorias, la empresa explica a los clientes actuales y potenciales las consecuencias de no responder.
18. Derecho de uso
Se concede a la empresa un derecho de uso y tratamiento de sus datos personales por parte de los clientes actuales y potenciales para los fines arriba indicados.
No obstante, los datos enriquecidos resultantes del tratamiento y análisis por parte de la empresa, también denominados datos enriquecidos, seguirán siendo propiedad exclusiva de la empresa (análisis de uso, estadísticas, etc.).
19. Subcontratación
La empresa informa a sus clientes actuales y potenciales de que puede recurrir a cualquier subcontratista de su elección para el tratamiento de sus datos personales.
En este caso, la empresa garantiza que el subcontratista cumple con sus obligaciones en virtud del RGPD, y la empresa solo utilizará subcontratistas que respeten las normas sobre protección de datos y que cumplan estrictamente con los requisitos del RGPD.
20. Seguridad
Es responsabilidad de la empresa definir y aplicar las medidas técnicas de seguridad, físicas o lógicas, que considere oportunas para evitar la destrucción, pérdida, alteración o difusión no autorizada, accidental o ilícita, de los datos.
Estas medidas incluyen principalmente
- Gestión de las autorizaciones de acceso a los datos.
- El uso de un protocolo de encriptación de tipo SSL para la transmisión de datos entre los terminales de los usuarios y los servidores de la empresa.
- Alojamiento en centros de datos situados en Francia con un nivel máximo de seguridad.
- Todos los accesos a la infraestructura se realizan a través de VPN sólo algunas Ips predefinidas están autorizadas a establecer un túnel (lista blanca de direcciones Ips) utilizando una clave RSA 4096.
- Aplicación regular y sistemática de parches de seguridad a los componentes de la infraestructura.
A tal efecto, la empresa podrá ser asistida por cualquier tercero de su elección para realizar auditorías de vulnerabilidad o pruebas de penetración con la frecuencia que considere necesaria.
Salvo en casos de emergencia o riesgo inminente, los empleados serán informados antes de la realización de estas auditorías y deberán adoptar las medidas de protección adecuadas, que les serán notificadas previamente.
En cualquier caso, la empresa se compromete, en caso de modificación de los medios para garantizar la seguridad y confidencialidad de los datos personales, a sustituirlos por medios de prestaciones superiores. Ningún cambio podrá suponer una reducción del nivel de seguridad.
En caso de subcontratación total o parcial del tratamiento de datos personales, la empresa se compromete a imponer contractualmente a sus subcontratistas garantías de seguridad mediante medidas técnicas de protección de los datos y recursos humanos adecuados.
21. Violación de datos
En caso de violación de los datos personales, la empresa se compromete a notificarlo a la CNIL en las condiciones previstas por el RGPD.
Si la violación supone un alto riesgo para los clientes y prospectos y los datos no han sido protegidos, la empresa:
- Notificará a los clientes actuales y potenciales afectados.
- Proporcionará a los clientes y prospectos afectados la información y las recomendaciones necesarias.
22. Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos al que se puede contactar en las siguientes coordenadas para cualquier pregunta relacionada con el tratamiento de datos:
Nombre: Maître Eric Barbry, Bufete de Abogados Racine;
Correo electrónico: dpo-wimi@racine.eu
Teléfono: 01 44 82 43 00
23. Derecho a presentar una reclamación ante la CNIL
Se informa a los clientes y prospectos afectados por el tratamiento de sus datos personales de su derecho a presentar una reclamación ante una autoridad de control, a saber, la CNIL, si consideran que el tratamiento de los datos personales que les conciernen no se ajusta a la normativa europea en materia de protección de datos, en la siguiente dirección
CNIL – Servicio de reclamaciones
3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tel: 01 53 73 22 22
24. Evolución
Esta política podrá ser modificada o enmendada en cualquier momento en caso de evolución legal o jurisprudencial, decisiones y recomendaciones de la CNIL o de prácticas.
Cualquier nueva versión de esta política se pondrá en conocimiento de los clientes/prospectos por cualquier medio definido por la empresa, incluidos los medios electrónicos (por ejemplo, difusión por correo electrónico o en línea).
25. Para más información
Para más información, puede ponerse en contacto con los siguientes departamentos:
Para más información general sobre la protección de datos personales, puede consultar el sitio web de la CNIL: www.cnil.fr