Responsable
El Responsable del tratamiento de los datos recabados por medio de este Sitio Web es:
- INBOUNDCYCLE, S.L. (en adelante, “INBOUNDCYCLE”).
- Plaça Francesc Macià, 8-9, 7º-B, 08029 Barcelona
- hola@inboundcycle.com
- (+34) 936 116 054
- Puede contactarse con el Delegado de Protección de Datos de INBOUNDCYCLE en dpo@inboundcycle.com
Finalidad
Los datos personales del usuario de este Sitio Web podrán tratarse para las siguientes finalidades:
F.1: Posibilitar el mantenimiento, desarrollo y gestión de la relación negocial formalizada por la contratación de productos y/o servicios a través de este Sitio Web. Los datos tratados con esta finalidad se conservarán mientras se mantenga dicha relación negocial y, una vez finalizada ésta, durante los plazos de conservación y de prescripción de responsabilidades legalmente previstos. La base jurídica del tratamiento es: a) en relación al propio Usuario trabajador por cuenta propia o autónomo, la ejecución de un contrato en que el Usuario es parte; y b) en relación a los datos de localización profesional (de contacto y los relativos a la función o puesto desempeñado) de las personas físicas que, prestando sus servicios en una organización, entren en contacto con INBOUNDCYCLE para posibilitar el mantenimiento de la relación negocial (“Personas de Contacto”), el interés legítimo de INBOUNDCYCLE en mantener la relación negocial con dicha organización por medio de las Personas de Contacto.
F.2: Atender las solicitudes de información y/o consultas efectuadas por el Usuario. Los datos tratados con esta finalidad se conservarán hasta haber dado respuesta a la solicitud de información y/o consulta. La base jurídica del tratamiento es el consentimiento del interesado.
F.3: Mantener informado al Usuario, incluso por medios electrónicos, acerca de los productos, servicios y novedades de INBOUNDCYCLE. Los datos tratados con esta finalidad se conservarán hasta el momento en que el Usuario retire su consentimiento dado para la recepción de dichas comunicaciones. La base jurídica del tratamiento es el consentimiento del interesado.
F.4: En caso de introducir datos personales en el Chatbot implementado en este Sitio Web serán tratados para proporcionarle la información o contenidos solicitados. Los datos tratados con esta finalidad se conservarán hasta haber dado respuesta a sus peticiones. La base jurídica del tratamiento es el consentimiento del interesado.
F.5: Posibilitar la participación del Usuario en las actividades gratuitas propuestas en el Sitio Web, así como la descarga de contenidos gratuitos ofrecidos en el mismo. En este caso, INBOUNDCYCLE también utilizará los datos del Usuario para mantenerle informado, incluso por medios electrónicos, sobre los productos, servicios y novedades de INBOUNDCYCLE y los de de terceras empresas exclusivamente pertenecientes a los sectores de actividad de textil, moda, ocio y espectáculos, deportes, alimentación y bebidas, estética y cuidado personal, telecomunicaciones, financiero, seguros, viajes, inmobiliario, construcción, formación, gran consumo, automoción, seguridad, energía, agua y ONGs. De igual modo, INBOUNDCYCLE podrá comunicar los datos personales del Usuario a terceras empresas pertenecientes a los sectores de actividad antes indicados, con el fin de que éstas puedan remitirle comunicaciones comerciales, incluso por medios electrónicos, relativas a sus productos, servicios y novedades. Los datos tratados con esta finalidad se conservarán hasta que el Usuario revoque su consentimiento.
El usuario sabe y acepta que la participación en las actividades propuestas y/o la descarga de los contenidos gratuitos ofrecidos en el Sitio Web están obligatoriamente condicionadas a la plena aceptación inicial de toda la finalidad antes indicada. En caso de no aceptar tal condición, el Usuario debe abstenerse de participar en las actividades propuestas y/o descargar los contenidos gratuitos ofrecidos en el Sitio Web.
Destinatarios
Los datos podrán comunicarse a los siguientes destinatarios terceros: Administraciones Públicas para el cumplimiento de obligaciones legales y entidades bancarias para la gestión de cobros y pagos. Además, de conformidad con lo dispuesto en la finalidad quinta antes indicada, los datos del usuario podrán ser comunicados a empresas pertenecientes a los sectores de actividad especificados. También podrán comunicarse a las siguientes categorías de encargados: Proveedores de comunicaciones electrónicas, ofimática, hosting, housing, mantenimiento informático, gestoría, contabilidad, auditoría, asesoría y representación legal. Dichos encargados pueden estar ubicados en Estados Unidos, en cuyo caso INBOUNDCYCLE habrá formalizado previamente con ellos unas cláusulas tipo de protección de datos adoptadas o aprobadas por la Comisión Europea.
Derechos
El Usuario puede ejercer ante INBOUNDCYCLE sus derechos de acceso; rectificación; supresión; limitación del tratamiento; portabilidad de los datos; oposición y a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles.
De igual modo, en los tratamientos de los datos del Usuario cuya legitimación se base en el consentimiento dado por el Usuario, éste tiene el derecho a retirar dicho consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Para el ejercicio de tales derechos el usuario puede enviar su solicitud a Passeig de Gràcia, 47, 3ª planta, 08007 – Barcelona, o a la dirección de correo electrónico hola@inboundcycle.com.
En todo caso, el Usuario tiene derecho a presentar una reclamación ante la correspondiente autoridad de control si lo estima oportuno.
INBOUNDCYCLE como encargado del tratamiento
A continuación se regula la relación entre el propio Usuario (en caso de que tenga la condición de trabajador por cuenta propia o autónomo) o la organización a la cual representa y a la cual va destinado el servicio DIYinbound contratado por medio del Sitio Web (en adelante, “el Responsable del tratamiento”) y INBOUNDCYCLE (en adelante, “el Encargado del tratamiento”), a los efectos de dar cumplimiento a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
1. Tratamiento de datos a efectuar por el Encargado del tratamiento:
El Encargado del tratamiento tratará por cuenta del Responsable del tratamiento los datos de carácter personal necesarios para llevar a cabo el servicio DIYinbound (en adelante, “el Servicio”) contratado.
El referido tratamiento tendrá una duración igual a la de la prestación del Servicio, de tal manera que una vez finalizada la prestación del Servicio se entenderá finalizado el tratamiento.
2. Identificación de la información afectada:
Para la ejecución del Servicio, el Responsable del tratamiento sólo pondrá a disposición del Encargado del tratamiento la información relativa al uso del Servicio que resulte necesaria.
3. Obligaciones del Encargado del tratamiento:
El Encargado del tratamiento se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para prestar el Servicio. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo con las instrucciones del Responsable del tratamiento. Si el Encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el Encargado informará inmediatamente de ello al Responsable del tratamiento.
c) En su caso, llevar por escrito el registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable del tratamiento, de conformidad con lo previsto en el artículo 30.2 del RGPD.
d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del tratamiento, en los supuestos legalmente admisibles.
El Encargado del tratamiento puede comunicar los datos a otros encargados del tratamiento del mismo Responsable del tratamiento, de acuerdo con las instrucciones de éste. En este caso, el Responsable del tratamiento identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el Encargado del tratamiento debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
e) No subcontratar ninguna de las prestaciones que formen parte del Servicio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento del mismo. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al Responsable del tratamiento, con una antelación mínima de 20 días naturales, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca a la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el Responsable del tratamiento no manifiesta su oposición, por escrito, en el plazo establecido.
El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del tratamiento y las instrucciones que dicte el Responsable del tratamiento. Corresponde al Encargado del tratamiento inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el Encargado del tratamiento inicial seguirá siendo plenamente responsable ante el Responsable del tratamiento en lo referente al cumplimiento de las obligaciones.
Por la presente, el Responsable del tratamiento autoriza al Encargado del tratamiento para que pueda subcontratar servicios de hosting, así como delegar tareas accesorias en profesionales freelance.
f) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del Servicio, incluso después de que finalice su objeto.
g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
h) Mantener a disposición del Responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
j) Asistir al Responsable del tratamiento en la respuesta al ejercicio de los derechos de:
- Acceso, rectificación, supresión y oposición;
- Limitación del tratamiento;
- Portabilidad de datos;
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el Encargado del tratamiento, éste debe comunicarlo al Responsable del tratamiento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
k) Notificar al Responsable del tratamiento, sin dilación indebida y, en cualquier caso, antes del plazo máximo de 48 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
l) Dar apoyo al Responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
m) Dar apoyo al Responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
n) Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable del tratamiento u otro auditor autorizado por él.
o) Implantar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, deberá implantar mecanismos para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.
p) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable del tratamiento, cuando proceda.
q) Devolver al Responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado del tratamiento.
En cualquiera de los casos el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
4. Obligaciones del Responsable del tratamiento:
Corresponde al Responsable del tratamiento:
a) Entregar o permitir el acceso del Encargado del tratamiento a los datos especificados.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado del tratamiento, cuando proceda.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado del tratamiento.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
f) Cumplir con el resto de obligaciones que el RGPD establece para el Responsable del tratamiento.