Política de tratamiento de datos personales

COOMPLIANCE COMO RESPONSABLE DEL TRATAMIENTO DE DATOS.

Coompliance recopila datos personales de contacto de Clientes, potenciales Clientes, Usuarios u otros terceros, con el objeto de (a) atender las solicitudes de información, (b) llevar a cabo acciones comerciales o promocionales y (c) prestar los servicios que se le hayan contratado, en su caso.

Por ello, y conforme establece la legislación vigente en materia de tratamiento de datos personales, Coompliance informa al titular de los datos personales que los datos facilitados serán incorporados al sistema de tratamiento cuyo responsable es Coompliance, y serán tratados según se describe en esta Política de Tratamiento de Datos Personales.

Información básica sobre el tratamiento de los datos:

Responsable del Tratamiento: El Responsable del tratamiento es COOMPLIANCE ASESORES, S.L., (en adelante Coompliance) con domicilio social en C/. Consell de Cent, número 357, 6º, titular del CIF B72520356. El titular de los datos puede contactar con Coompliance dirigiéndose por escrito a la dirección de correo electrónico rgpd@coompliance.odoo.com

Datos objeto de tratamiento: Los datos personales que Coompliance puede recopilar y tratar son los siguientes:

• Datos identificativos o de contacto: nombre, apellidos, dirección, teléfono, correo electrónico, DNI o NIF.
• Datos financieros y económicos: Datos necesarios para la ejecución del contrato y gestión de los servicios prestados frente al Cliente y las Administraciones Públicas (por ejemplo, ingresos, subvenciones, préstamos, salarios, seguros, etc.).
• Información de pago: Datos de la cuenta bancaria objeto de domiciliación de los pagos (IBAN, código SWIFT / BIC, Titular).
• Información derivada del uso de los servicios de Coompliance: Historial de páginas visitadas, comentarios y otras interacciones relevantes en el sitio web de Coompliance y en la plataforma tecnológica creada en Odoo para el Cliente.

Finalidades del Tratamiento: Coompliance trata los datos de los titulares para las siguientes finalidades:

• Gestionar pedidos o contratar alguno de los Servicios.
• Gestionar el envío de la información solicitada.
• Desarrollar acciones comerciales y realizar el mantenimiento y gestión de la relación con el usuario, así como la gestión de los servicios ofrecidos a través del sitio web y las labores de información, pudiendo realizar labores de segmentación de los Clientes o potenciales Clientes con el objeto de personalizar el trato conforme a sus características y necesidades y mejorar la experiencia en línea del Cliente.
• En algunos casos será necesario facilitar información a las Autoridades o terceras empresas por motivos de auditoría, así como tratar datos personales de facturas, contratos y documentos para responder a reclamaciones de Clientes o de las Administraciones Públicas.

Legitimación del Tratamiento: El tratamiento de los datos puede fundamentarse en las siguientes bases legales:

• Consentimiento del interesado para la contratación de servicios y productos, para los formularios de contacto o las solicitudes de información.
• Interés legítimo para el tratamiento de datos de en acciones de marketing directo.
• Cumplimiento de obligaciones legales para prevención del fraude, comunicación con Autoridades públicas y reclamaciones de terceros.
• Cumplimiento de obligaciones contractuales para la ejecución del Contrato que el titular tenga suscrito con Coompliance, en su caso (p.e.: emisión de facturas). 

Ejercicio de derechos: El titular puede dirigir sus comunicaciones y ejercitar sus derechos mediante una petición en el siguiente correo electrónico: rgpd@coompliance.odoo.com, acompañado de una copia de su DNI en vigor. En virtud de lo que establece el RGPD es posible solicitar:

• Derecho de acceso: información de aquellos datos personales de los que Coompliance disponga.
• Derecho de rectificación: cualquier cambio en los datos personales.
• Derecho de supresión y al olvido: eliminación previo bloqueo de los datos personales.
• Derecho de limitación al tratamiento: la restricción del tratamiento de los datos personales.
• Derecho de oposición: retirar el consentimiento del tratamiento de los datos, oponiéndose a que se sigan tratando.
• Derecho a no ser objeto de decisiones individualizadas: que no se tomen decisiones que se basen únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, que produzca efectos jurídicos o afecte significativamente al interesado.

En algunos casos, se podrá rechazar la solicitud si se solicita que se eliminen datos necesarios para el cumplimiento de obligaciones legales o contractuales.

Asimismo, el titular tiene en todo caso el derecho de plantear una reclamación ante la Agencia Española de Protección de Datos.

Destinatarios de los datos: Coompliance no cederá los datos personales a terceros, salvo obligación legal.

No obstante, algunos terceros (proveedores de Coompliance) pueden tener acceso a los datos y tratarlos con el único fin de asegurar la prestación de los servicios contratados. 
Los proveedores de servicios externos (por ejemplo, proveedores de pago o asesores externos) con los que Coompliance trabaje pueden usar los datos para proporcionar los servicios correspondientes, sin embargo, no usarán dicha información para fines propios o para cesión a terceros.

Coompliance procura garantizar la seguridad de los datos personales cuando se envían fuera de la empresa y se asegura que los terceros proveedores de servicio respetan la confidencialidad y cuentan con las medidas adecuadas para proteger los datos personales. Dichos terceros tienen la obligación de garantizar que la información se trata conforme con la normativa de privacidad de datos.

En algunos casos, la ley puede exigir que se revelen datos personales a organismos públicos u otras partes, solo se revelará lo estrictamente necesario para el cumplimiento de dichas obligaciones legales.

Plazo de conservación de los datos: El tratamiento de los datos con las finalidades descritas se mantendrá durante el tiempo necesario para cumplir con la finalidad de su recogida (por ejemplo, mientras dure la relación profesional), así como para el cumplimiento de las obligaciones legales que se deriven del tratamiento de los datos.

Lugar de almacenamiento de los datos: Con carácter general, los datos se almacenan dentro de la UE. Si en alguna ocasión los datos se envían a terceros países que no pertenezcan a la UE, Coompliance se asegurará de que se cumpla un nivel de seguridad equivalente. 

Medidas de seguridad: Coompliance ha adoptado los niveles de seguridad de protección de los Datos Personales legalmente requeridos, y procura instalar aquellos otros medios y medidas técnicas adicionales a su alcance para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los Datos Personales facilitados a Coompliance.

Coompliance no es responsable de hipotéticos daños o perjuicios que se pudieran derivar de interferencias, omisiones, interrupciones, virus informáticos, averías telefónicas o desconexiones en el funcionamiento operativo de sus sistemas, motivadas por causas ajenas a Coompliance; de retrasos o bloqueos en el uso de tales sistemas causados por deficiencias o sobrecargas de líneas telefónicas o sobrecargas en los centros de tratamiento de datos, en el sistema de Internet o en otros sistemas electrónicos, así como de daños que puedan ser causados por terceras personas mediante intromisiones ilegítimas fuera del control de Coompliance. Ello, no obstante, el usuario debe ser consciente de que las medidas de seguridad en Internet no son inexpugnables.

Exactitud y veracidad de los datos: El titular es el único responsable de la veracidad y corrección de los datos aportados, exonerando a Coompliance de cualquier responsabilidad al respecto. Los titulares garantizan y responden, en cualquier caso, de la exactitud, vigencia y autenticidad de los datos personales facilitados, y se comprometen a mantenerlos debidamente actualizados. El titular acepta proporcionar información completa y correcta en el formulario de registro o suscripción. Coompliance se reserva el derecho de finalizar los servicios contratados que se hubiera celebrado con los titulares, en caso de que los datos que haya facilitado sean falsos, incompletos, inexactos o no estén actualizados.

Coompliance no responde de la veracidad de las informaciones que no sean de elaboración propia y de las que se indique otra fuente, por lo que tampoco asume responsabilidad alguna en cuanto a hipotéticos perjuicios que pudieran originarse por el uso de dicha información.

Coompliance se reserva el derecho a actualizar, modificar o eliminar la información contenida en sus páginas web pudiendo incluso limitar o no permitir el acceso a dicha información. Se exonera a Coompliance de responsabilidad ante cualquier daño o perjuicio que pudiera sufrir el titular como consecuencia de errores, defectos u omisiones, en la información facilitada por Coompliance siempre que proceda de fuentes ajenas a la misma.

COOMPLIANCE COMO ENCARGADO DEL TRATAMIENTO DE DATOS

En la prestación de sus servicios, Coompliance, como Encargado del Tratamiento, puede tratar Datos Personales que el Cliente haya puesto a su disposición, y de los que el propio Cliente es Responsable del Tratamiento.

Tal Tratamiento de Datos se regirá por lo dispuesto en el Reglamento General de Protección de Datos (UE) 2016/679, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (y su normativa de desarrollo), y de acuerdo con la siguientes cláusulas:

1. Objeto del Tratamiento.

Los Datos Personales serán tratados en la medida que resulte necesario para la prestación de los Servicios de gestión y asesoramiento mercantil, fiscal o laboral que se describen en las Condiciones Particulares. 

Dependiendo de la naturaleza del Servicio, el Tratamiento puede consistir en:


2. Identificación de los Datos objeto de Tratamiento.

Para la ejecución de las prestaciones derivadas de los Servicios, el Responsable del Tratamiento podrá poner a disposición del Encargado los datos que se describen a continuación:

3. Duración.

El Tratamiento de los Datos Personales tendrá la misma duración que el Contrato que origina Servicio y que es la causa del referido Tratamiento.

4. Obligaciones del Encargado del Tratamiento. 

El encargado del tratamiento y todo su personal se obliga a:

- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

- Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

- Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

- Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

• El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
• Las categorías de tratamientos efectuados por cuenta de cada responsable.
• En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
• Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

​o La seudoanimización y el cifrado de datos personales.
​o La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
​o La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
​o El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

- Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

- Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

- Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

• Acceso, rectificación, supresión y oposición.
• Limitación del tratamiento.
• Portabilidad de datos.
• A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico al Cliente que sea Responsable del Tratamiento (si Coompliance es capaz de determinar el respectivo Responsable).

La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

- Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

- Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

5. Obligaciones del Responsable del Tratamiento. 

Corresponde al responsable del tratamiento:

• Entregar al Encargado los datos a los necesarios para la efectiva prestación de los Servicios.
• Obtener, cuando sea necesario, el consentimiento de los interesados para el Tratamiento de Datos por parte del Encargado.
• Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
• Realizar las consultas previas que corresponda.
• Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
• Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

6. Subcontratación.

Para la prestación de los Servicios, Coompliance manifiesta que cuenta con los siguientes proveedores que pueden tratar los Datos Personales facilitados por el Cliente:
• BIRTUM SOLUCIONES, S.L. C/ Casp, 139 - Entresuelo 2ª (08013) Barcelona. NIF ESB67225763. odooes@birtum.com. https://www.birtum.com/.
• ODOO SA. Chaussée de Namur, 40. 1367 Grand-Rosière, BÉLGICA. VAT: BE0477472701. Email: info@odoo.com (https://www.odoo.com/es_ES/privacy)
El Cliente acepta tal subcontratación y autoriza expresamente el Tratamiento de los Datos por parte de los subcontratistas descritos. El Cliente autoriza asimismo a Coompliance a subcontratar la totalidad o parte de los Servicios a cualquier otro tercero distinto de los relacionados anteriormente. En tal caso, Coompliance comunicará al Cliente la identidad del proveedor (sub-encargado del tratamiento). 
El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

7. Notificación de violaciones de la seguridad de los Datos.

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de correo electrónico notificado en el presente contrato, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

• Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
• El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos, la comunicación contendrá la misma información que se ha remitido al responsable del tratamiento, detallada anteriormente en los puntos anteriores.

También corresponderá al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:

• Explicar la naturaleza de la violación de datos.
• Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
• Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
• Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

8. Medidas de Seguridad.

El Encargado del Tratamiento implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado a los riesgos que presenta el tratamiento (en particular, de destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos), teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento de datos, así como la probabilidad y gravedad del riesgo para los derechos y libertades de los interesados, y incluyendo, cuando sea apropiado, medidas para asegurar: 

• la seudonimización y / o encriptación de los Datos;
• la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de tratamiento;
• la capacidad de restaurar la disponibilidad y el acceso a los Datos de manera oportuna en caso de incidente físico o técnico; y
• un proceso para probar, revisar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento;
El Encargado del Tratamiento adoptará las medidas para garantizar que cualquier persona que actúe bajo su responsabilidad y tenga acceso a los Datos no los trate a no ser bajo las instrucciones del Cliente, a menos que la legislación europea así lo exija.

El Encargado del Tratamiento aplicará un programa de seguridad de la información que contenga salvaguardas, controles y medidas técnicas y organizativas en las siguientes áreas:

• Políticas de seguridad de la información
• Organización de la seguridad de la información
• Seguridad de los recursos humanos
• Gestión de activos
• Control de acceso
• Seguridad física y ambiental
• Seguridad de operaciones
• Seguridad de las comunicaciones
• Adquisición, desarrollo y mantenimiento del sistema
• Relaciones con proveedores
• Gestión de incidentes de seguridad de la información
• Aspectos de seguridad de la información de la gestión de la continuidad del negocio
• Cumplimiento legislativo, regulatorio y contractual


9. Destino de los Datos.

Antes de la finalización del Servicio de Suscripción y durante los cuarenta y cinco (45) días siguientes a su terminación, el Cliente podrá solicitar a Coompliance una copia de sus datos alojados en su instancia de Odoo. Esta copia será entregada al Cliente o al tercero que éste determine expresamente.

Tales datos se proporcionarán en formato estructurado, de uso común y lectura mecánica. Específicamente, se proporcionará un fichero de base de datos en formato SQL y con la estructura de campos que utilice la Plataforma Odoo. Coompliance no tendrá ninguna otra obligación con respecto a los datos facilitados por el Cliente.

Transcurridos cuarenta y cinco (45) desde la terminación del Contrato, estos se eliminarán, salvo aquellos que por exigencias legales puedan quedar a disposición de Coompliance debidamente bloqueados.

Crédito imagen Política de privacidad: Photo by Privecstasy on Unsplash