AVISO DETALLADO DE ACUERDO CON LOS ARTÍCULOS 12, 13 Y, EN SU CASO, 14 DEL RGPD – REGLAMENTO (UE) 2016/679 SOBRE LA PROTECCIÓN DE PERSONAS NATURALES CON RESPECTO AL TRATAMIENTO DE DATOS PERSONALES (A CONTINUACIÓN DEL RGPD)
1. Responsable de tratamiento de datos y datos de contacto
El responsable de tratamiento de datos es Simatec Srl, con domicilio social en Vaie (TO), Italia, Via Nazionale n.12, número de IVA 08268720011, tel. +39 0119631970, fax +39 0119631970, correo electrónico commerciale.simatec@impiantibirra.it, web www.impiantibirra.it (en adelante, el Sitio).
2. Principios que se aplican al procesamiento
De conformidad con las disposiciones del RGPD, el responsable de tratamiento de datos se esfuerza constantemente para garantizar que los datos personales sean:
- procesado legalmente, de manera justa y transparente;
- recopilados para fines específicos, explícitos y legítimos y no procesados posteriormente de manera incompatible con dichos fines;
- adecuado, relevante y limitado a lo que es necesario en relación con los fines para los que se procesan;
- correctos y, cuando sea necesario, actualizarlos;
- no se conserva más de lo necesario para los fines para los que se procesan los datos personales;
- procesados de manera que garanticen la seguridad adecuada de los datos personales, utilizando medidas técnicas u organizativas apropiadas;
- procesado, si se basa en el consentimiento otorgado por una decisión tomada libremente por el Cliente / sujeto de datos, sobre la base de una solicitud de consentimiento presentada de manera claramente distinguible de los demás asuntos, de forma inteligible y fácilmente accesible, utilizando lenguaje claro y sencillo.
El responsable de tratamiento de datos adoptará medidas técnicas y organizativas apropiadas para garantizar la protección de los datos personales por diseño y para garantizar que, por defecto, solo se procesen los datos personales que son necesarios para cada propósito específico del procesamiento.
El responsable de tratamiento de datos deberá recopilar y tener lo más en cuenta posible las instrucciones, observaciones y opiniones del Cliente / interesado enviadas a las direcciones antes mencionadas, a fin de implementar un sistema dinámico de gestión de privacidad que garantice la protección efectiva de las personas con respecto al procesamiento de sus datos Este aviso puede ser modificado, de acuerdo con la evolución de los reglamentos de referencia y de las medidas técnicas y organizativas que adopte el controlador de datos en un momento dado; el Cliente / interesado debe, por lo tanto, visitar esta sección del Sitio periódicamente para leer las actualizaciones realizadas en el Aviso a lo largo del tiempo.
3. Modalidades de procesamiento de datos personales
Los datos personales se procesarán manualmente y con herramientas electrónicas, utilizando lógicas estrictamente para los fines indicados anteriormente y de tal manera que se garantice la seguridad y confidencialidad de los datos.
4. Finalidades del tratamiento de datos personales.
(4a) Fines que requieren el procesamiento de datos
Los datos personales proporcionados por el Cliente / sujeto de datos se procesarán principalmente para la ejecución del Contrato y la gestión del crédito y, en general, para la gestión de la relación derivada del Contrato.
La provisión de datos en el Contrato o posteriormente, durante la relación contractual, a los fines del procesamiento en cuestión es obligatoria; por lo tanto, el no proporcionar dichos datos o su disposición parcial o incorrecta hará imposible el establecimiento y / o la ejecución del Contrato. El Cliente / sujeto de datos no podrá usar los productos / servicios ofrecidos por el controlador de datos, exponiendo potencialmente al Cliente / sujeto de datos a responsabilidad por incumplimiento de contrato.
Los datos personales proporcionados por el Cliente / sujeto de datos también pueden estar sujetos a procesamiento si es necesario para el cumplimiento de una obligación legal del controlador de datos, a fin de salvaguardar los intereses vitales del Cliente / sujeto de datos o de otra persona física, para el desempeño de una tarea de interés público o vinculada al ejercicio de los poderes públicos con los que se encarga el controlador de datos, o para satisfacer un interés legítimo del controlador de datos o de terceros, con la condición de que los derechos y libertades fundamentales del Cliente / interesado no prevalecen; también en esos casos, la provisión de datos es obligatoria y, por lo tanto, la falta de proporcionar dichos datos o su divulgación parcial o incorrecta puede exponer al Cliente / datos sujetos a responsabilidades y sanciones según lo previsto por la Ley.
(4b) Propósitos adicionales del procesamiento de datos siguiendo el consentimiento específico y explícito del Cliente / interesado.
Además de los propósitos de procesamiento mencionados anteriormente, los datos personales proporcionados / adquiridos pueden procesarse, con el consentimiento del Cliente / sujeto de datos que se otorgará seleccionando la casilla “Acepto” en el Contrato o el Sitio (o utilizando otras redes sociales o aplicaciones web del controlador de datos), también para investigación de mercado y para comunicaciones comerciales y promocionales por teléfono (también usando el número de teléfono proporcionado) y por sistemas de contacto automatizados (correo electrónico, SMS, MMS, fax, etc.) con respecto a productos / servicios ofrecidos por el controlador de datos o por las compañías del Grupo al que puede pertenecer el responsable de tratamiento de datos.
El consentimiento para los fines del procesamiento bajo este punto (4b) es opcional; por lo tanto, después de negarse a otorgar dicho consentimiento, los datos se procesarán exclusivamente para los fines previstos en el punto (4a) anterior, excepto en los casos mencionados a continuación con referencia a los intereses legítimos del controlador de datos o de terceros.
5. Categorías de datos personales procesados
El controlador de datos procesará principalmente datos de identificación / contacto (nombre, apellidos, direcciones, tipo y número de documentos de identidad, números de teléfono, direcciones de correo electrónico, datos de impuestos / facturación, entre otros) y, si se prevén transacciones comerciales, datos financieros. (relacionado con la banca, especialmente detalles de cuentas corrientes, números de tarjetas de crédito y otros datos relacionados con las transacciones comerciales antes mencionadas).
El procesamiento llevado a cabo por el responsable de tratamiento de datos, tanto para la ejecución del Contrato como en base al consentimiento expreso del Cliente / interesado, no se referirá, en general, a categorías particulares de datos personales que se reconocen como sensibles (que revelan datos raciales u origen étnico, opiniones políticas, condenas religiosas, estado de salud u orientación sexual, etc.), o datos genéticos y biométricos o los llamados datos judiciales (relacionados con condenas y delitos penales).
Sin embargo, no se puede descartar que el responsable de tratamiento de datos, para cumplir con las obligaciones derivadas del Contrato, pueda estar obligado a almacenar y / o procesar datos sensibles, genéticos, biométricos o judiciales del Cliente / interesado o de terceros, que el Cliente / interesado tiene en su calidad de responsable de tratamiento de datos; en el caso en cuestión, el procesamiento por parte del responsable de tratamiento de datos será obligatorio, bajo las condiciones y dentro de los límites de la designación del responsable de tratamiento de datos como procesador de datos por parte del Cliente / sujeto de datos.
En su calidad de responsable de tratamiento de datos con referencia al Sitio y, potencialmente, como procesador de datos designado (en los términos antes mencionados) por el Cliente / interesado, el responsable de tratamiento de datos también procesará los llamados datos de navegación. Los sistemas informáticos y los procedimientos de software dedicados al funcionamiento de los sitios web adquieren, a lo largo de su funcionamiento normal, algunos datos personales cuya transmisión está implícita en el uso de protocolos de comunicación de Internet. Esta es información que no se recopila para asociar a sujetos identificados pero que, por su propia naturaleza, puede permitir la identificación del sujeto de datos. Esta categoría de información incluye datos de geolocalización, direcciones IP, el tipo de navegador, el sistema operativo, el nombre de dominio y las direcciones del sitio web desde donde se accedió o salió del sitio, información sobre las páginas visitadas por los usuarios dentro del sitio, el momento de acceso, la duración de la presencia en una página individual, el análisis de la navegación interna y otros parámetros relacionados con el sistema operativo del usuario y el entorno de TI. Esta es, por lo tanto, información que, por su naturaleza, permite, a través de la elaboración y asociación con datos en poder de terceros, la identificación de los usuarios.
Además, el Sitio puede usar cookies de sesión (que no se almacenan en la computadora del interesado y desaparecen una vez que se ha cerrado el navegador) y cookies persistentes, para la transmisión de información personal o, en cualquier caso, sistemas para rastrear los datos asignaturas.
6. Fuente de datos personales
Los datos personales procesados por el responsable de tratamiento de datos son recopilados directamente por el responsable de tratamiento de datos del Cliente / interesado en el momento y durante su navegación por el Sitio o mediante el uso de otras aplicaciones sociales o web del controlador de datos) o, también a través de sus propios anuncios, con ocasión o después de la firma del Contrato, durante su ejecución o de fuentes públicas. Como se mencionó anteriormente, el responsable de tratamiento de datos, como procesador de datos cargado con el mismo y para cumplir con las obligaciones derivadas del Contrato, puede almacenar y / o procesar datos, especialmente datos de navegación y potencialmente también datos sensibles, genéticos, biométricos y judiciales que el Cliente / los interesados se mantienen en su calidad de controlador de datos, adquiridos con el consentimiento de dichos terceros, en el momento o durante la navegación por dichos terceros del Sitio (o mediante el uso de otras aplicaciones sociales o web del controlador de datos )
7. Intereses legítimos
Los intereses legítimos del responsable de tratamiento de datos o de terceros pueden constituir una base legal válida para el procesamiento, con la condición de que los intereses o los derechos o las libertades fundamentales del interesado no prevalezcan. En general, tales intereses legítimos pueden surgir de una relación pertinente y apropiada entre el controlador de datos y el interesado, por ejemplo, cuando el interesado es un cliente del responsable de tratamiento de datos. Lo siguiente, en particular, constituirá un interés legítimo del controlador de datos para el procesamiento de los datos personales del Cliente / sujeto de los datos: a efectos de prevención de fraude, a efectos de marketing directo, para garantizar la libre circulación de dichos datos. datos dentro del grupo de empresas a las que puede pertenecer el responsable de tratamiento de datos, o relacionadas con el tráfico, para garantizar la seguridad de las redes y de la información, es decir, la capacidad de una red o un sistema para resistir eventos imprevistos o actos ilegales que puede comprometer la disponibilidad, autenticidad, integridad y confidencialidad de los datos.
8. Difusión de datos personales
(8a) Divulgación de datos personales – categorías de destinatarios
Además de los empleados y varios socios del controlador de datos (que han sido autorizados por el responsable de tratamiento de datos para procesar datos basados en instrucciones operativas escritas adecuadas, a fin de garantizar la confidencialidad y seguridad de los datos), también se pueden llevar a cabo ciertas operaciones de procesamiento por terceros, a quienes / a quienes el responsable de tratamiento de datos les confía ciertas actividades o parte de ellas, útiles para los fines del punto (4a), es decir, en cumplimiento de obligaciones contractuales y legales, entre las cuales son dignas de mención las siguientes de un ejemplo no limitativo: socios comerciales y / o técnicos; empresas que brindan servicios bancarios y financieros; empresas que brindan servicios de archivo de documentos; empresas de recuperación de deuda; empresas de auditoría y certificación de estados financieros; empresas de calificación; personas que realizan actividades de apoyo profesional y consultoría para el responsable de tratamiento de datos; empresas que brindan servicios de atención al cliente; compañías de factoraje, compañías que aseguran cuentas por cobrar o compañías de transferencia de crédito; empresas del grupo al que puede pertenecer el responsable de tratamiento de datos; personas que brindan información comercial; Empresas de servicios de TI. Las personas que pertenecen a las categorías antes mencionadas procesarán los datos de la persona en cuestión como controladores de datos independientes, o como procesadores de datos, con referencia a operaciones de procesamiento específicas que se incluyen en el desempeño contractual que dichas personas llevan a cabo a favor / en nombre del responsable de tratamiento de los datos. El responsable de tratamiento de datos proporcionará a los procesadores de datos instrucciones operativas escritas adecuadas, con referencia particular a la adopción de las medidas mínimas de seguridad, para garantizar la seguridad y confidencialidad de los datos.
Ciertas operaciones de procesamiento pueden ser realizadas por terceros, a quien / el cual, el responsable de tratamiento de datos les confía ciertas actividades o parte de ellas, útiles también para los fines del punto (4b), entre los cuales son dignos de mención los siguientes, a título -Ejemplo limitante: socios comerciales y / o técnicos; empresas que brindan servicios de marketing institucionalmente; agencias de publicidad; personas que realizan actividades de apoyo y consultoría con respecto a concursos y sorteos. Las personas que pertenecen a las categorías antes mencionadas procesarán los datos de la persona como responsable de tratamiento de datos independientes, o como procesadores de datos, con referencia a operaciones de procesamiento específicas que se incluyen en el desempeño contractual que dichas personas llevan a cabo a favor / en nombre del responsable de tratamiento de datos; El responsable de tratamiento de datos proporcionará a los procesadores de datos instrucciones operativas escritas adecuadas, con referencia particular a la adopción de las medidas mínimas de seguridad, para garantizar la seguridad y confidencialidad de los datos.
La lista actualizada periódicamente de procesadores de datos con los que el controlador de datos mantiene relaciones está disponible mediante solicitud por escrito dirigida a la oficina registrada del responsable de tratamiento de datos.
Los datos personales también pueden comunicarse, previa solicitud, a las autoridades competentes, en cumplimiento de las obligaciones derivadas de las disposiciones vinculantes de la ley.
(8b) Transferencia de datos personales a terceros países
Los datos personales del Cliente / interesado también pueden transferirse al extranjero, tanto en Países de la Unión Europea como fuera de la Unión Europea y, en este último caso, ya sea en función de una decisión de adecuación o en el contexto y con las garantías adecuadas proporcionadas por el GDPR (es decir, en particular, en presencia de cláusulas contractuales modelo para la protección de datos aprobados por la Comisión Europea) o, aparte de las circunstancias mencionadas anteriormente, en una o más de las excepciones previstas por el GDPR (en en particular, tras el consentimiento explícito del Cliente / interesado o para la ejecución del Contrato celebrado por el Cliente / interesado, o para la implementación de un contrato estipulado entre el responsable de tratamiento de datos y otra persona física o jurídica a favor del Cliente / sujeto de datos, especialmente para el desempeño de las actividades requeridas del responsable de tratamiento de datos para el cumplimiento del Contrato celebrado con el Cliente / sujeto de datos). En el caso de la transferencia de datos a países fuera de la Unión Europea, el Cliente / interesado puede, previa solicitud por escrito dirigida al domicilio social del controlador de datos, conocer las garantías adecuadas o las excepciones que justifican la transferencia transfronteriza .
No hace falta decir que, en caso de transferencia de datos a países fuera de la Unión Europea, para todas las solicitudes relacionadas con los datos y para el ejercicio de los derechos otorgados al Cliente / sujeto de datos por el GDPR, este último siempre puede abordar El responsable de tratamiento de datos.
9. Criterios para la determinación del tiempo de retención de los datos personales
A los fines del punto (4a) anterior, el tiempo de retención de los datos personales proporcionados por el Cliente / sujeto de datos y su posterior procesamiento posterior coincidirá con el período de prescripción legal de los derechos / obligaciones (legales, fiscales, etc.) derivadas del Contrato: es decir, generalmente 10 años, a menos que en el caso de actos que interrumpan el plazo de prescripción que de hecho podría prolongarlo.
A los fines del punto (4b) anterior, el tiempo de retención de los datos personales proporcionados por el Cliente / sujeto de datos y su procesamiento posterior final finalizará con la retirada del consentimiento proporcionado por el Cliente / sujeto de datos o, en ausencia de consentimiento, un año después del final de todas las relaciones entre el controlador de datos y el Cliente / interesado.
10. Derechos del cliente / interesado
El responsable de tratamiento de datos reconoce, y facilita el ejercicio por parte del Cliente / interesado de, todos los derechos otorgados por el GDPR, especialmente el derecho a solicitar acceso a los datos personales que le conciernen y a obtener una copia de los mismos (artículo 15 de el RGPD), el derecho a la rectificación (artículo 16 del RGPD) y a la eliminación de los datos (artículo 17 del RGPD), los derechos de restricción del procesamiento que le concierne (artículo 18 del RGPD) , el derecho a la portabilidad de los datos (artículo 20 del GDPR, si se cumplen los requisitos) y el derecho a oponerse al procesamiento que le concierne (artículos 21 y 22 del GDPR, para los casos mencionados anteriormente y , en particular, en caso de procesamiento con fines de comercialización o que se lleva a cabo a través de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles, que produce efectos legales que le conciernen, si se cumplen los requisitos).
El responsable de tratamiento de datos también reconoce, en los casos en que el procesamiento se basa en el consentimiento, el derecho del Cliente / interesado a retirar dicho consentimiento en cualquier momento, sin perjuicio de la legalidad del procesamiento basado en el consentimiento proporcionado antes del retiro. Para hacer esto, el Cliente / sujeto de datos puede darse de baja en cualquier momento del Sitio (u otras aplicaciones sociales o web del responsable de tratamiento de datos) ya sea utilizando el enlace en la parte inferior de todas las comunicaciones comerciales recibidas o contactando los datos controlador en las direcciones mencionadas.
El controlador de datos también informará al Cliente / sujeto de datos sobre el derecho de presentar una queja ante la Autoridad de Protección de Datos Personales en su calidad de autoridad de supervisión en Italia y de iniciar procedimientos judiciales tanto contra una decisión de la Autoridad de Protección de Datos como contra los datos controlador y / o procesador de datos.
11. Seguridad de los sistemas y de los datos personales
Teniendo en cuenta el nivel de desarrollo tecnológico existente y el costo de implementación, así como la naturaleza del tema, el alcance y los propósitos del procesamiento, así como el riesgo, en términos de probabilidad y gravedad, de los derechos y libertades de los naturales. personas, el responsable de tratamiento de datos adoptará las medidas técnicas y organizativas que pueden garantizar un nivel de seguridad adecuado al riesgo presentado, especialmente asegurando, de forma permanente, la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento (también a través de el cifrado de los datos personales, cuando sea necesario) y la capacidad de restaurar rápidamente la disponibilidad de los datos en caso de incidente físico o técnico, y mediante la adopción de procedimientos internos destinados a probar, verificar y evaluar regularmente la eficacia de las medidas técnicas y organizativas adoptado.
Al evaluar el nivel adecuado de seguridad, el responsable de tratamiento de datos tendrá en cuenta los riesgos presentados por el procesamiento y que surgen, en particular, de la destrucción, pérdida, modificación, divulgación no autorizada o el acceso accidental o ilegal a los datos personales transmitidos , almacenado o procesado de alguna manera.
El controlador de datos se esforzará por garantizar que cualquiera que actúe bajo su autoridad y tenga acceso a datos personales no los procese a menos que el controlador de datos lo haya autorizado.
Dicho esto, el Cliente / sujeto de datos entiende y acepta que ningún sistema de seguridad garantiza una seguridad cierta y absoluta; por lo tanto, el responsable de tratamiento de datos no será responsable de los actos o hechos de terceros que puedan acceder a los sistemas mientras no estén debidamente autorizados, a pesar de las protecciones adecuadas que se hayan adoptado.
12. Procesos automatizados de toma de decisiones, incluida la elaboración de perfiles
El responsable de tratamiento de datos puede llevar a cabo un procesamiento automatizado, incluida la creación de perfiles, en relación con los fines del punto (4b) anterior, para optimizar la navegabilidad del Sitio (o la usabilidad de otras aplicaciones sociales o web del responsable de tratamiento de datos) y mejorar el experiencia de compra, sin perjuicio de lo que se ha mencionado anteriormente con respecto a los derechos de objeción y retirada del consentimiento del Cliente / interesado.
El término “elaboración de perfiles” significará cualquier forma de procesamiento automatizado de datos personales que consista en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir aspectos relacionados con las preferencias personales, intereses y ubicación de esa persona física. , también para crear perfiles, o grupos homogéneos de personas por características, intereses o comportamiento.
El responsable de tratamiento de datos no llevará a cabo ningún procesamiento automatizado que produzca efectos legales que afecten al Cliente / sujeto de datos o que afecten significativamente a su persona, excepto cuando esto sea necesario para la conclusión o la ejecución del Contrato, está autorizado por el o se basa en el consentimiento explícito del Cliente / interesado, siempre reconociendo el derecho de este último a obtener intervención humana, a expresar su opinión y a apelar contra la decisión