NOTA INFORMATIVA AMPLIADA DE CONFORMIDAD CON LOS ARTS. 12, 13 Y, EN SU CASO, 14 DEL RGPRD – REGLAMENTO (UE) 2016/679 RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES (EN LO SUCESIVO, RGPRD)
Por la presente, el responsable del tratamiento de datos facilita la Nota informativa de conformidad con los artículos 12, 13 y, en su caso, 14 del RGPD relativa al tratamiento de los datos personales facilitados por el Cliente/interesado al cumplimentar y firmar el Contrato para adquirir los productos/servicios puestos a la venta por el propio responsable del tratamiento, al cargar voluntariamente datos personales en este sitio web (en particular, rellenando formularios) o simplemente al navegar por el mismo.
- Responsable del tratamiento y datos de contacto
El responsable del tratamiento de los datos es BCM CONSULTING SRL – CIF: 02926470986 – E-mail:info@alessandrogiglio.com
- Principios aplicables al tratamiento
De conformidad con los requisitos del GDPR, el controlador de datos se esfuerza constantemente por garantizar que los datos personales sean:
Procesados de forma legal, justa y transparente.
Recogidos con fines determinados, explícitos y legítimos, y tratados posteriormente de forma que no sean incompatibles con dichos fines.
Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. Precisos y, en caso necesario, actualizados.
Conservados durante un periodo de tiempo no superior al cumplimiento de los fines para los que se tratan. Tratados, utilizando las medidas técnicas y organizativas adecuadas, de forma que se garantice su seguridad.
Tramitados, si es en virtud de consentimiento, por decisión libremente adoptada por el Cliente/Interesado, sobre la base de una solicitud formulada de forma claramente diferenciada del resto, de forma comprensible y fácilmente accesible, utilizando un lenguaje sencillo y claro.
El responsable del tratamiento adoptará las medidas técnicas y organizativas apropiadas para garantizar la protección de los datos personales desde el diseño y para garantizar que sólo se traten por defecto los datos necesarios para cada finalidad específica del tratamiento.
El responsable del tratamiento recoge y toma en la máxima consideración las indicaciones, observaciones y opiniones del Cliente/Persona interesada transmitidas a las direcciones arriba mencionadas, con el fin de implementar un sistema dinámico de gestión de la privacidad que garantice una protección eficaz de las personas, en lo que respecta al tratamiento de sus datos.
Esta Nota Informativa puede estar sujeta a cambios, en función de la evolución de la legislación de referencia y de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento; por lo tanto, se ruega al Cliente/interesado que visite periódicamente esta sección del Sitio Web, con el fin de consultar las actualizaciones y la Nota Informativa en el texto vigente en cada momento.
- Métodos de tratamiento de datos personales
Los datos personales se procesan manualmente y por medios electrónicos, con una lógica estrictamente relacionada con los fines indicados a continuación y, en cualquier caso, de forma que se garantice la seguridad y confidencialidad de los datos.
- Fines del tratamiento de datos personales
(4 bis) Fines para los que es necesario el tratamiento de datos
Los datos personales facilitados por el Cliente/Interesado se tratan principalmente para la ejecución del Contrato y la gestión del crédito y, más en general, de la relación derivada del propio Contrato.
El suministro de datos en el Contrato o posteriormente, durante el transcurso de la relación contractual, para los fines de tratamiento en cuestión es obligatorio; por lo tanto, la falta de suministro de dichos datos, en parte o de forma inexacta, imposibilita la celebración y/o ejecución del Contrato y, para el Cliente/interesado, el aprovechamiento de los productos/servicios ofrecidos por el responsable del tratamiento, exponiendo potencialmente al Cliente/interesado a responsabilidad por incumplimiento de contrato.
Los datos personales facilitados por el Cliente/Sujeto también podrán ser objeto de tratamiento cuando ello sea necesario para el cumplimiento de una obligación legal a la que esté sujeto el Responsable del tratamiento, para salvaguardar los intereses vitales del Cliente/Sujeto o de otra persona física, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Responsable del tratamiento, o para la consecución de intereses legítimos del Responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del Cliente/Sujeto; también en estos casos, el suministro de los datos es obligatorio y, por lo tanto, el no suministro, el suministro parcial o inexacto de los datos puede exponer al Cliente/Sujeto a posibles responsabilidades y sanciones previstas por el ordenamiento jurídico.
(4b) Otros fines de tratamiento previo consentimiento específico y expreso del Cliente/Parte Interesada
Además de las finalidades del tratamiento descritas anteriormente, los datos personales proporcionados/adquiridos podrán ser objeto de tratamiento, previo consentimiento del Cliente/interesado, que se manifestará mediante la comprobación del <> casilla en el Contrato o en el Sitio (o utilizando otras aplicaciones sociales o web del responsable del tratamiento), también con la finalidad de realizar estudios de mercado y para comunicaciones comerciales y promocionales, por teléfono (también utilizando el número de teléfono móvil facilitado) y sistemas automatizados de contacto (correo electrónico, sms, mms, fax, etc.), sobre productos/servicios del responsable del tratamiento o de empresas del Grupo al que pueda pertenecer el responsable del tratamiento. ), sobre productos/servicios del responsable del tratamiento o de empresas del Grupo al que pueda pertenecer el responsable del tratamiento.
El consentimiento para los fines del tratamiento a que se refiere este punto (4b) es facultativo; por lo tanto, tras cualquier denegación, los datos se tratarán únicamente para los fines indicados en el punto (4a) anterior, salvo lo especificado a continuación con referencia a los intereses legítimos del responsable del tratamiento o de terceros.
- Categorías de datos personales tratados
El responsable del tratamiento trata principalmente datos de identificación/contacto (nombre, apellidos, direcciones, tipo y número de documentos de identificación, números de teléfono, direcciones de correo electrónico, datos fiscales/facturación, salvo otros) y, si se prevén transacciones comerciales, datos financieros (de carácter bancario, en particular identificación de cuenta corriente, números de tarjeta de crédito, salvo otros relacionados con las transacciones comerciales mencionadas).
El tratamiento que el responsable del tratamiento lleva a cabo, tanto a efectos de la ejecución del Contrato como en virtud del consentimiento expreso del Cliente/interesado, no afecta en general a categorías especiales de datos personales, conocidos como datos sensibles (que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas, el estado de salud o la orientación sexual, etc.), ni a datos genéticos y biométricos o a los denominados datos judiciales (relativos a condenas e infracciones penales).
No obstante, no puede descartarse que el responsable del tratamiento, para el cumplimiento de sus obligaciones derivadas del Contrato, deba almacenar y/o necesite tratar datos sensibles, genéticos y biométricos o judiciales, del Cliente o de terceros, de los que el Cliente o el interesado sea titular como responsable del tratamiento; en este caso, el tratamiento por parte del responsable del tratamiento tiene lugar en virtud, bajo las condiciones y dentro de los límites establecidos en la designación del responsable del tratamiento como encargado del tratamiento por parte del Cliente o del interesado.
El controlador de datos también procesa, en su capacidad de controlador de datos con referencia al Sitio, y, potencialmente, como procesador de datos designado para este fin (en los términos establecidos anteriormente) por el Cliente/parte interesada, los denominados datos de navegación. Los sistemas informáticos y los procedimientos de software utilizados para el funcionamiento de los sitios web adquieren, durante su funcionamiento normal, algunos datos personales cuya transmisión está implícita en el uso de los protocolos de comunicación de Internet. Se trata de información que no se recoge para asociarla a sujetos identificados, pero que, por su propia naturaleza, podría permitir identificar a la persona en cuestión. Esta categoría de información incluye datos de geolocalización, direcciones IP, tipo de navegador, sistema operativo, nombre de dominio y direcciones de los sitios web a los que se accede o desde los que se sale, información sobre las páginas visitadas por los usuarios dentro del sitio, tiempo de acceso, duración de la estancia en la página individual, análisis de la ruta interna y otros parámetros relacionados con el sistema operativo y el entorno informático del usuario. Se trata de información que, por su propia naturaleza, permite identificar a los usuarios mediante su tratamiento y asociación, incluso con datos en poder de terceros.
El Sitio también puede utilizar cookies, tanto de sesión (que no se almacenan en el ordenador del usuario y desaparecen cuando se cierra el navegador) como persistentes, para transmitir información de carácter personal, o en todo caso sistemas de rastreo de los interesados.
- Fuente de los datos personales
Los datos personales que trata el responsable del tratamiento son recogidos directamente por el responsable del tratamiento del Cliente/interesado en el momento y durante la navegación de éste por el Sitio (o utilizando otras aplicaciones sociales o web del responsable del tratamiento), o, también a través de sus comerciales, en el momento o con posterioridad a la firma del Contrato, durante la ejecución del mismo, o de fuentes públicas.
Como se ha especificado anteriormente, el responsable del tratamiento, en calidad de encargado del tratamiento, para cumplir con las obligaciones derivadas del Contrato, puede almacenar y/o tratar datos, en particular datos de navegación, potencialmente también sensibles, genéticos y biométricos o judiciales, de terceros, que el Cliente/interesado, en su calidad de responsable del tratamiento, ha adquirido, con el consentimiento de dichos terceros, en el momento y durante la navegación de dichos terceros en el Sitio (o utilizando otras aplicaciones sociales o web referibles al responsable del tratamiento).
- Intereses legítimos
Los intereses legítimos del responsable del tratamiento o de terceros pueden constituir una base jurídica válida para el tratamiento, siempre que no prevalezcan sobre los intereses o los derechos y libertades fundamentales del interesado. En general, estos intereses legítimos pueden existir cuando existe una relación pertinente y adecuada entre el responsable del tratamiento y el interesado, por ejemplo, cuando el interesado es cliente del responsable del tratamiento. En particular, los intereses legítimos del responsable del tratamiento incluyen el tratamiento de los datos personales del cliente / interesado: con fines de prevención del fraude, con fines de mercadotecnia directa, para garantizar la libre circulación de dichos datos dentro del grupo empresarial al que pueda pertenecer el responsable del tratamiento, o relativos al tráfico, con el fin de garantizar la seguridad de la red y de la información, es decir, la capacidad de una red o sistema para resistir acontecimientos imprevistos o actos ilícitos que puedan comprometer la disponibilidad, autenticidad, integridad y confidencialidad de los datos.
- Circulación de datos personales
(8 bis) Circulación de datos personales – categorías de destinatarios
Además de los empleados y colaboradores a diversas funciones del responsable del tratamiento (que están autorizados por el responsable del tratamiento a tratar los datos en virtud de las oportunas instrucciones operativas escritas, con el fin de garantizar la confidencialidad y la seguridad de los datos), algunas operaciones de tratamiento también podrán ser efectuadas por terceros, a los que el responsable del tratamiento encomiende determinadas actividades, o partes de las mismas, funcionales a las finalidades mencionadas en el punto (4a), por lo tanto en cumplimiento de obligaciones contractuales o legales, incluyendo, no obstante, inevitablemente a título de lista no exhaustiva socios comerciales y/o técnicos; empresas que prestan servicios bancarios y financieros; empresas que prestan servicios de archivo de documentos; empresas de cobro de deudas; empresas de auditoría y certificación de estados financieros; empresas de calificación; partes que prestan al responsable del tratamiento asistencia profesional y consultoría; empresas que prestan servicios de atención al cliente; empresas de factoring, empresas de titulización de créditos u otros cesionarios de créditos; empresas del Grupo a las que pueda pertenecer el responsable del tratamiento; partes que prestan servicios de información comercial; empresas de servicios informáticos. Los sujetos pertenecientes a las categorías mencionadas tratan los datos personales en calidad de responsables autónomos del tratamiento, o bien en calidad de encargados del tratamiento, con referencia a las operaciones específicas de tratamiento que forman parte de los servicios contractuales que los propios sujetos realizan para/por cuenta del responsable del tratamiento; a los encargados del tratamiento el responsable del tratamiento imparte instrucciones operativas escritas adecuadas, con especial referencia a la adopción de medidas mínimas de seguridad, para poder garantizar la confidencialidad y la seguridad de los datos.
Algunos tratamientos podrán ser efectuados por terceros a los que el responsable del tratamiento confíe determinadas actividades, o parte de las mismas, también en relación con las finalidades indicadas en el punto (4b), entre los que se incluyen, no obstante, inevitablemente a título de lista no exhaustiva: socios comerciales y/o técnicos; sociedades que prestan servicios de marketing de carácter institucional; agencias de publicidad; sujetos que prestan asistencia y asesoramiento en referencia a concursos y operaciones de premiación. Los sujetos pertenecientes a las categorías mencionadas tratan los datos personales en calidad de responsables autónomos del tratamiento, o bien en calidad de encargados del tratamiento, con referencia a operaciones de tratamiento específicas que forman parte de los servicios contractuales que los propios sujetos realizan para/por cuenta del responsable del tratamiento; a los encargados del tratamiento el responsable del tratamiento imparte instrucciones operativas escritas adecuadas, con especial referencia a la adopción de medidas mínimas de seguridad, para poder garantizar la confidencialidad y la seguridad de los datos.
Se puede obtener una lista, sujeta a actualización periódica, de los encargados del tratamiento de datos con los que el responsable del tratamiento de datos mantiene relaciones, previa solicitud por escrito dirigida a la sede del responsable del tratamiento de datos.
Los datos personales también podrán comunicarse, previa solicitud, a las autoridades competentes, en cumplimiento de obligaciones derivadas de disposiciones legales imperativas.
(8 ter) Transferencia de datos personales a terceros países
Los datos personales del Cliente/Cliente Preferente también pueden transferirse al extranjero, ya sea a países de la Unión Europea o a países fuera de la Unión Europea y, en este último caso, ya sea sobre la base de una decisión de adecuación, o dentro del ámbito de aplicación y con las garantías adecuadas previstas por el GDPR (por lo tanto, en particular, en presencia de cláusulas contractuales tipo sobre protección de datos aprobadas por la Comisión Europea), o, fuera de las hipótesis antes mencionadas, cuando se apliquen una o varias de las excepciones previstas por el GDPR (en particular, en virtud del consentimiento expreso del Cliente/Cliente Preferente, o para la ejecución de un contrato celebrado entre el responsable del tratamiento y otra persona física o jurídica en beneficio del Cliente/Cliente Preferente, en particular para la ejecución de actividades encomendadas por el responsable del tratamiento para la ejecución del Contrato celebrado con el Cliente/Cliente Preferente). En caso de transferencia de datos a países no pertenecientes a la Unión Europea, el Cliente/Parte podrá, previa solicitud por escrito dirigida a la sede del responsable del tratamiento, conocer las garantías adecuadas, o más bien las excepciones, que legitiman el tratamiento transfronterizo. Se entiende, en caso de transferencia de datos a países fuera de la Unión Europea, que para cualquier solicitud relativa a los datos, también para el ejercicio de los derechos reconocidos por el GDPR al Cliente/Interesado, éste siempre podrá dirigirse válidamente al responsable del tratamiento.
- Criterios para determinar el periodo de conservación de los datos personales
A los efectos referidos en el punto (4a) anterior, el plazo de conservación de los datos personales cedidos por el Cliente/interesado, y el potencial tratamiento resultante de los mismos, coincide con el plazo de prescripción de los derechos/deberes (legales, fiscales, etc.) derivados del Contrato: básicamente 10 años, por tanto, salvo que se produzcan hechos interruptivos que pudieran, de hecho, prolongar dicho plazo.
A los efectos referidos en el punto (4b) anterior, el plazo de conservación de los datos cedidos por el Cliente/Cliente Preferente, y el consiguiente tratamiento potencial de los mismos, finalizará con la revocación del consentimiento previamente otorgado por el Cliente/Cliente Preferente o, en su defecto, en todo caso un año después de la finalización de cualquier relación entre el responsable del tratamiento y el Cliente/Cliente Preferente.
- Derechos del cliente/interesado
El responsable del tratamiento reconoce -y facilita el ejercicio, por parte del Cliente/Sujeto, de- todos los derechos previstos en el GDPR, en particular el derecho a solicitar el acceso a sus datos personales y a obtener una copia de los mismos (art. 15 GDPR), a la rectificación (art. 16 GDPR) y a la supresión de los mismos (art. 17 GDPR), a la limitación del tratamiento que le concierne (art. 18 GDPR), a la portabilidad de los datos (art. 20 GDPR, si se cumplen las condiciones) y a oponerse al tratamiento de sus datos (art. 21 y 22 GDPR, para las hipótesis allí mencionadas y, en particular, al tratamiento con fines de marketing o que dé lugar a una toma de decisiones automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernan, si se cumplen las condiciones).
El responsable del tratamiento también concede al Cliente/Parte, cuando el tratamiento se base en el consentimiento, el derecho a retirar dicho consentimiento en cualquier momento, sin perjuicio de la licitud del tratamiento basado en el consentimiento otorgado antes de la retirada. Para ello, el Cliente/Sujeto podrá darse de baja en cualquier momento en el Sitio (o en otras aplicaciones sociales o web del responsable del tratamiento) o utilizando el enlace correspondiente situado en la parte inferior de cualquier comunicación comercial recibida, o poniéndose en contacto con el responsable del tratamiento en los datos de contacto indicados anteriormente.
Asimismo, el responsable del tratamiento informa al Cliente/Interesado del derecho a presentar una reclamación ante la Autoridad Italiana de Protección de Datos, como autoridad de control que opera en Italia, y a interponer un recurso judicial, tanto contra una decisión de la Autoridad de Protección de Datos como contra el propio responsable del tratamiento y/o un encargado del tratamiento.
- Seguridad de los sistemas y los datos personales
Teniendo en cuenta el estado de la técnica y el coste de aplicación, así como la naturaleza, el objeto, el contexto y los fines del tratamiento, y el riesgo, en términos de probabilidad y gravedad, para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará las medidas técnicas y organizativas que se consideren adecuadas para garantizar un nivel de seguridad apropiado en relación con el riesgo, en particular garantizando de forma permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento (incluso mediante el cifrado de los datos personales, cuando sea necesario) y la capacidad de restablecer oportunamente la disponibilidad de los datos en caso de incidente físico o técnico, y adoptando procedimientos internos destinados a probar, verificar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas empleadas.
Al evaluar el nivel adecuado de seguridad, se tendrán en cuenta los riesgos que presente el tratamiento y que se deriven, en particular, de la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado, accidental o ilícito, a datos personales transmitidos, conservados o tratados de otra forma.
El responsable del tratamiento velará por que ninguna persona que actúe bajo su autoridad y tenga acceso a datos personales trate dichos datos a menos que reciba instrucciones del responsable del tratamiento.
Dicho esto, el cliente/interesado reconoce y acepta que ningún sistema de seguridad garantiza, en términos de certeza, una protección absoluta, por lo que el responsable del fichero no será responsable de los actos o hechos de terceros que, a pesar de las debidas precauciones tomadas, accedan a los sistemas sin la debida autorización.
- Procesos automatizados de toma de decisiones, incluida la elaboración de perfiles
El responsable del tratamiento podrá llevar a cabo procesos automatizados de toma de decisiones, incluida la elaboración de perfiles, en relación con los fines establecidos en el punto (4b) anterior, para optimizar la navegabilidad del Sitio (o la usabilidad de otras aplicaciones sociales o web del responsable del tratamiento) y para mejorar la experiencia de compra, sin perjuicio de lo especificado anteriormente con respecto a los derechos de oposición y retirada del consentimiento del Cliente / interesado.
Por elaboración de perfiles se entenderá cualquier forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos relativos a una persona física, en particular para analizar o predecir aspectos relativos, por ejemplo, a las preferencias personales, los intereses o la ubicación de dicha persona, incluso con el fin de crear perfiles, es decir, grupos homogéneos de sujetos por características, intereses o comportamiento.
El responsable del tratamiento no realizará ningún tratamiento automatizado que produzca efectos jurídicos sobre el Cliente/Parte o que le afecte significativamente de modo similar, salvo que sea necesario para la celebración o ejecución del Contrato, esté autorizado por la ley o se base en el consentimiento expreso del Cliente/Parte, en todo caso siempre reconociendo el derecho del Cliente/Parte a obtener intervención humana, a expresar su opinión y a impugnar la decisión.