Política de Protección de Datos Agentes

CONDICIONES GENERALES DE CONTRATACIÓN EN MATERIA DE PROTECCIÓN DE DATOS.

ADAPTADAS AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS


1. CONTRATO DE DISTRIBUCIÓN Y COMERCIALIZACIÓN DE SEGUROS.

Entre las partes se ha suscrito contrato de distribución y comercialización de seguros de viaje (en adelante el “contrato principal”), constitutivo de una relación estrictamente mercantil, que no se encuentra sujeto a la Ley 26/2006 de 17 de Julio de Mediación de Seguros y Reaseguros Privados de acuerdo con lo dispuesto en la propia Ley en el punto 2 de su Artículo 3 de “Exclusiones”:

A los efectos de las relaciones entre las partes, es posible que, en el desenvolvimiento de la misma, existan prestaciones de servicio que impliquen el manejo de datos personales. En este sentido:

  1. Si el Agente, fuere tomador del seguro, de conformidad con el art. 7 de la Ley 50/1980 de 8 de octubre, determinará los posibles asegurados en su caso, sin que sea preciso identificar a los mismos al inicio del contrato, bastando para ello que se les cobre la correspondiente prima y se les entregue el condicionado general de las pólizas.
  2. Si el Agente no fuere tomador del seguro, la actividad de captación de los datos de los asegurados se entiende amparada en la firma de un contrato del art. 28 RGPD que ahora se regulan.
  3. Además, el Agente, en calidad de encargado del tratamiento, podrá coadyuvar a la tramitación de los siniestros a petición de los asegurados con su autorización.

Por tanto, en tales casos, si la prestación del servicio supone el tratamiento de datos de carácter personal de ERV, ya sean automatizados, en papel o mixtos, el agente se compromete a cumplir con lo dispuesto en Reglamento General de Protección de Datos de Carácter Personal (en adelante RGPD), la Ley Orgánica española de Protección de Datos de Carácter Personal, resto de normativa de Protección de Datos que fuere aplicable, así como con los estándares de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuada al riesgo y a la naturaleza de la información tratada. El incumplimiento de estas medidas permitirá la unilateral resolución del contrato por parte de ERV.

En tales casos, y en lo sucesivo, se hará referencia a ERV como “Responsable del Tratamiento” y al agente como “Encargado del Tratamiento” o “proveedor” y, conjuntamente a ambos, como las “Partes”.

2. OBJETO DEL ENCARGO DEL TRATAMIENTO

Además de los supuestos de captación de asegurados, en calidad de agentes no tomadores de polizas, sujetos al art. 28 RGPD, se ha creado un espacio “web” a través del que notificar siniestros y mantener informados a los asegurados del estado y avance de los mismos, con la finalidad de ayudar a los mismos en la gestión y tramitación de sus siniestros.

El agente en tales casos, bien en su calidad de mediador, bien en la de tomador, o en la de tercero ajeno al seguro, podría llegar a tener acceso a datos personales de los asegurados, para lo cual debe contar y obrar con autorización de los mismos.

Además, en los supuestos en que se lleve a cabo entre las partes la ayuda a la gestión de siniestros al margen de dicho aplicativo web, o en los supuestos en que el Agente no fuere tomador de la póliza y gestione la captación de los datos de asegurados, o lleve a cabo servicios que impliquen el manejo de datos de los asegurados, se hace necesario dar cumplimiento a lo dispuesto en el art. 28 RGPD.

Por tanto, en estos casos, en que no exista consentimiento del interesado o ley que habilite de otro modo el posible tratamiento de datos, existirá un contrato de encargo de tratamiento sujeto a las presentes condiciones generales, donde los servicios serán la (i) ayuda en la gestión de siniestros, vía web o al margen de la web, y (ii) mediación en la formalización de seguros (en los casos en que no sea tomador).

3. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA Y CLAVES DE USUARIOS Y CONTRASEÑAS.

El Encargado del Tratamiento tendrá acceso únicamente a los datos personales necesarios para prestar el servicio, de conformidad con el Contrato principal.

La introducción de la clave y contraseña implica la expresa aceptación de estas condiciones. Al respecto se recuerda que el uso de las claves (usuario y contraseña) concedidas para la gestión de la notificación y consultas de siniestros es personal e intransferible de la empresa usuaria, quien como agencia de viajes, tomadora, mediadora o tercero está obligada a su custodia, pudiendo comunicar las mismas a sus propios empleados. En el caso de que personal de la usuaria deje de prestar servicios en la entidad usuaria, deberá solicitar el cambio de claves correspondientes para garantizar la confidencialidad de la información.

El usuario se obliga a informar al asegurado de los documentos que se hayan de imprimir para la firma del propio asegurado, o para su información, y advertirle que en todo caso podrá oponerse a que este servicio le sea prestado a través de la entidad usuaria.

4. DURACIÓN

La aplicación de las presentes condiciones se iniciará el 25 de mayo de 2018 y su duración quedará supeditada a la duración del Contrato Principal, de forma que dejarán de estar vigentes cuando éste termine por cualquier causa.

Una vez finalice dicho Contrato Principal, el encargado del tratamiento deberá suprimir o devolver al Responsable del Tratamiento, o a otro encargado que designe el responsable, los datos personales a los que hubiera tenido acceso y eliminar cualquier copia que obre en su poder.

5. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado del Tratamiento y todo su personal se obliga a:

  • Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad de prestar los servicios objeto del Contrato Principal. En ningún caso podrá utilizar los datos para fines propios.
  • Tratar los datos de acuerdo con las instrucciones del Responsable del Tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe la normativa aplicable, especialmente la concerniente a Protección de Datos, tanto de la Unión, como de los Estados miembros, el encargado informará inmediatamente al responsable.
  • Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable del Tratamiento, que contenga la información requerida por el RGPD, salvo que no fuere precisa esta medida con arreglo a la normativa aplicable, en especial al art. 30.5 RGPD. Si fuere obligatorio, en el registro de Actividades se incluirá:
    • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
    • Las categorías de tratamientos efectuados por cuenta de cada responsable.
    • Si bien no se autorizan Transferencias Internacionales de Datos, salvo indicación en contrario en el Contrato Principal, en caso de que ulteriormente fueran autorizadas o necesarias, se deberán incluir las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento General de Protección de Datos (RGPD), la documentación de garantías adecuadas.
    • Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      • La seudonimización y el cifrado de datos personales.
      • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa y por escrito del responsable del tratamiento, en los supuestos legalmente admisibles. Ello, no obstante:
    • El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
    • Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
  • No ceder, ni total ni parcialmente, el contrato a terceros, así como no subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado y salvo que el Contrato Principal autorice expresamente alguna subcontratación. Ello no obstante:
    • Si fuera necesario subcontratar algún tratamiento, el proveedor deberá comunicar previamente y por escrito al responsable este hecho con una antelación suficiente, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación únicamente podrá llevarse a cabo si el responsable la autoriza expresamente y por escrito.
    • El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
  • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el Contrato Principal.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente, durante toda la vida del tratamiento, y aún después de extinguido el mismo. En este sentido, cuando el tratamiento comporte prestaciones médicas, jurídicas, psicológicas u otras en las que exista un especial estatuto regulador del deber de secreto, deberá también cumplirse el mismo de forma adicional, en toda su extensión y naturaleza.
  • Mantener a disposición del Responsable del Tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. En particular deberá haber incluido el proveedor en sus contratos de trabajo con sus empleados, o con terceros, la obligación de deber de secreto, incluso tras la extinción de la relación jurídica con aquéllos.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. El hecho de que el contrato principal pueda incluir, a título de recomendación, algunas medidas básicas formativas o de concienciación, no excluye al proveedor de este deber.
  • Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) ante el Encargado del Tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el Responsable del Tratamiento (dpd@erv.es). La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
  • Si el encargado deber proceder a recoger datos personales, deberá facilitar la información correspondiente, del modo y forma en que se indica en el Contrato Principal, al tiempo de la recogida de la información o en los plazos legales.
  • Notificar las violaciones de seguridad, y así:
    • El encargado notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de dpd@erv.es y teléfono 91 344 17 37, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
    • Si se dispone de ella se facilitará, como mínimo, la información siguiente:
      • Indicación de si es probable o no que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas
      • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
      • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
      • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
      • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
    • Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
  • Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
  • Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
  • Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
  • Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios relacionados con el tratamiento. A estos efectos, se deberán aplicar, como mínimo, las medidas de seguridad indicadas en las presentes condiciones, así como las que se recojan en el Contrato Principal o sus anexos.
  • Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable, cuando legal o reglamentariamente proceda.
  • Devolver al Responsable del Tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado del Tratamiento. El encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. El Responsable podrá ordenar, al término de la relación, o en el Contrato Principal, que esta obligación se cumpla mediante la destrucción de los datos. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.
  • En la medida de lo posible, el proveedor deberá proporcionar un marco para la construcción de la resilencia y la capacidad de dar una respuesta eficaz que garantice la continuidad del servicio contratado.

6. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde al Responsable del Tratamiento:

  • Facilitar al Encargado del Tratamiento el acceso a la información o los sistemas necesarios a fin de prestar el servicio contratado.
  • Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado del Tratamiento.
  • Supervisar el tratamiento y las condiciones de la prestación de los servicios de acuerdo con lo establecido en el Contrato Principal.
  • Cumplir con las obligaciones que le correspondan de acuerdo con lo establecido en la normativa aplicable en materia de protección de datos de carácter personal”.

7. MEDIDAS DE SEGURIDAD MÍNIMAS A IMPLEMENTAR

El Encargado del Tratamiento deberá implementar, como mínimo, las siguientes medidas de seguridad sobre los datos personales objeto del tratamiento.

7.1 MEDIDAS ORGANIZATIVAS.

Todo el personal del Encargado del Tratamiento con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:

7.1.1 Deber de confidencialidad y secreto

  • Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará dejar los datos personales expuestos a terceros. Cuando cualquier persona se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
  • Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las veinticuatro horas del día.
  • No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.
  • No se comunicarán datos personales o cualquier información personal a terceros.
  • El deber de secreto y confidencialidad persistirá incluso cuando finalice la relación laboral del trabajador con la empresa.
  • Cuando la documentación no se encuentre archivada, por estar en proceso de revisión, tramitación o traslado, el proveedor y sus empleados deben custodiarla e impedir en todo momento que pueda acceder a ella personas no autorizadas, por ejemplo, a través del uso de dispositivos que obstaculicen la apertura sin permiso.

7.2 MEDIDAS TÉCNICAS.

Todo el personal del Encargado del Tratamiento con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:

7.2.1 Identificación

  • Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal, se debe disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.
  • Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
  • Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres y mezcla de números y letras. En el supuesto de que el proveedor, por sí o por sus empleados, accedan a sistemas informáticos del Responsable estarán obligados a hacer un uso adecuado y confidencial de las mismas, así como de la información que de la utilización de ellas pueda obtenerse. Como se ha informado anteriormente, las claves (usuario y contraseña) concedidas para la gestión de la notificación y consultas de siniestros es personal e intransferible de la empresa usuaria, quien como agencia de viajes, tomadora, mediadora o tercero está obligada a su custodia, pudiendo comunicar las mismas a sus propios empleados. En el caso de que personal de la usuaria deje de prestar servicios en la entidad usuaria, deberá solicitar el cambio de claves correspondientes para garantizar la confidencialidad de la información.
  • Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
  • Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

7.2.2 Deber de salvaguarda

A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:

  • Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible. El Proveedor dispondrá de las licencias oportunas para el uso de las herramientas y programas informáticos necesarios para la prestación del servicio.
  • Malware: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • Cortafuegos o firewall: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Copia de seguridad: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.

8. OTRAS MEDIDAS DE SEGURIDAD ADICIONALES

En función del desarrollo del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable podrá exigir el cumplimiento de medidas adicionales a las mínimas anteriores, o a las que en el Contrato Principal se hubieran consignado (en adelante “medidas adicionales impuestas”).

Además, y en todo caso, de conformidad con el art. 32 RGPD, el encargado deberá implementar las medidas adicionales necesarias para garantizar un nivel de seguridad adecuado al riesgo, sin que el mero cumplimiento de estas medidas sea sustitutivo de la obligación de análisis que el encargado debe realizar.

Igualmente, el Contrato Principal, sus anexos, o los complementos al mismo (“medidas adicionales impuestas”, podrán establecer medidas añadidas y específicas.

9. RESOLUCIÓN DEL CONTRATO POR INCUMPLIMIENTO DE LAS OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS

Sin perjuicio de otras causas de resolución, y aunque no se hubiera producido ningún perjuicio concreto, la mera inobservancia del cumplimiento de estas condiciones, y en especial de las medidas de seguridad aplicables, dará lugar al derecho del Responsable de resolver de pleno derecho el contrato, sin que el proveedor tenga derecho a indemnización alguna.

En tal caso, el proveedor se obligará a mantener la prestación del servicio hasta que el Responsable pueda encontrar un sustituto de dicho proveedor, debiendo colaborar en el plan que permita el traslado de la información y el servicio al Responsable o a un tercero, con inclusión del calendario de actividades a realizar, formación y la responsabilidad de ejecución.

El responsable podrá, en lugar de resolver el contrato, dirigir una advertencia o un apercibimiento al proveedor, así como conceder un plazo para subsanar cualquier inobservancia que fuere apreciada.

10. OTRAS DISPOSICIONES

El contrato principal podrá exigir la suscripción y mantenimiento de pólizas de seguros para garantizar los riesgos derivados de la contratación.

Las medidas de seguridad se habrán de aplicar también a preservar no solo los datos de carácter personal, sino el know-how y secretos empresariales a los que el proveedor y sus empleados tengan acceso en el curso de la prestación de sus servicios.

El encargado se obliga a:

  • Indemnizar de los daños y perjuicios que por sus incumplimientos genere.
  • Cumplir con sus obligaciones fiscales, laborales y de Seguridad social que le fueran aplicables, no pudiéndose trasladar responsabilidad alguna al responsable por estos conceptos.
  • Permitir y atender las inspecciones de terceros que actúen por cuenta del responsable, así como de las Administraciones Públicas que puedan inspeccionar al Responsable, cuando legalmente proceda.
  • Informar a la mayor brevedad de cualquier cambio en el proveedor (accionariado, cambios de administrador, próxima edad de jubilación, o finalización del servicio) que pudiera afectar al cumplimiento del contrato, con el fin de que el Responsable pueda adoptar medidas oportunas para garantizar el servicio.

Los datos de los intervinientes en los contratos quedan incluidos en la aplicación de la normativa en virtud del art. 6.1 f) del Reglamento (UE) 2016/0679, entendiendo que el tratamiento es necesario para la satisfacción de los intereses legítimos perseguidos por el Responsable del Tratamiento o por un tercero, siempre que no prevalezcan sobre ellos los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. Estos datos se tratarán en el ejercicio de su actividad y para la finalidad de mantenimiento del contrato y las relaciones derivadas del mismo, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, limitación al tratamiento, portabilidad y oposición a que haya lugar sobre dichos datos, lo que podrá ejercer expresamente en el domicilio que se declara conocido por las Partes.

11. TRATAMIENTO DE DATOS DE AGENTES.

La normativa de Protección de Datos no es aplicable a los datos de personas jurídicas, así como a sus datos de contacto, de conformidad con el Considerando 14 RGPD. Ello, no obstante, si se tratan datos de encargados personas físicas (autónomos y empresarios individuales), o de representantes de encargados personas jurídicas, en la medida en que la información sea más amplia a dichos datos de contacto, será preciso aplicar la normativa y, en consecuencia, en cumplimiento del deber de información se le comunica que:

  • Responsable. El Responsable del tratamiento de tus datos es ERV SEGUROS DE VIAJE EUROPAÏSCHE REISEVERSICHERUNG AG, SUCURSAL EN ESPAÑA (en adelante ERV). Hemos nombrado a una persona encargada de salvaguardar la privacidad en nuestra entidad (el Delegado de Protección de Datos o “DPD”), ante quien podrás presentar cualquier reclamación o solicitar la aclaración de cualquier duda. Contáctalo en la dirección Av. Isla Graciosa, 1, 28703 San Sebastián de los Reyes, Madrid o en el correo electrónico dpd@erv.es
  • Fines del tratamiento y legitimación. Los datos únicamente se tratarán para cumplir las normas y desenvolver el contrato firmado, sobre la base por tanto de la aplicación de las leyes y del propio contrato, y el interés legítimo respecto a los datos de contacto de persona jurídica referidos a la localización profesional, con la finalidad de mantener relaciones comerciales u otras de cualquier índole con la entidad proveedora en la que prestes tus servicios. Lo mismo se aplicará a los datos de empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas. También por interés legítimo podrán utilizarse para control de fraude, o actuaciones administrativas internas. Si nos has entregado información financiera, económica, contable o de recursos para afianzar tu oferta, u otra información como la relativa a la honorabilidad, el tratamiento se basará en el consentimiento derivado de la entrega de esa información para tenerla en cuenta en la adjudicación de su oferta, o en el proceso de homologación correspondiente, así como en la proporcionalidad e interés legítimo derivado de la obtención por otras fuentes y necesidad de manejo de dicha información. Puedes ejercitar siempre derecho de oposición ante cualquier tratamiento basado en interés legítimo.
  • Destinatarios. Solo ERV podrá ver tus datos, salvo que nos hayas dado tu consentimiento para su cesión, o esta venga impuesta por una norma, como la AEAT en la elaboración de modelos tributarios. Si la homologación del proveedor le permite operar en todo el grupo de empresas, podrá extenderse a las mismas. Consulta en nuestra web la relación de empresas del grupo.
  • Conservación. Únicamente mantendremos tus datos mientras se mantenga la relación contigo como encargado homologado. A partir del cese de la relación, solo se conservarán debidamente bloqueados (es decir a disposición de las autoridades correspondientes y para asumir las responsabilidades y defensa de la entidad) aquellos datos mínimos necesarios relativos a los contratos celebrados para poder atender cualquier reclamación mientras no haya prescrito. Normalmente los plazos aplicables son de 10 años por la Ley de Prevención de Blanqueo de Capitales, en caso de que fuere aplicable, 6 años por obligaciones mercantiles y plazos más amplios por razón de la exigencia de responsabilidad por el servicio prestado. Transcurridos estos plazos se procederá a la cancelación final de los mismos.
  • Derechos. Podrás acceder, rectificar, suprimir tus datos, oponerte al uso de los mismos, revocar tus consentimientos, así como otros derechos reconocidos por la normativa como el derecho de portabilidad, limitación del tratamiento, o presentar reclamación ante la Agencia de Protección de Datos, o a nuestro Delegado de Protección de Datos. Además, si se tomaran decisiones automatizadas que te afecten, lo que no se prevé, siempre puedes solicitar intervención humana para revisarlas, y siempre puedes oponerte a cualquier tratamiento, o revocar el consentimiento sin ningún perjuicio para ti. Puedes ejercitar tus derechos a través de remitirnos una carta adjuntando copia de tu DNI, o documento oficial equivalente, con el asunto “PROTECCIÓN DE DATOS” en la siguiente dirección: Avda. Isla Graciosa 1, 28703 San Sebastián de los Reyes, Madrid, o a través del correo electrónico dpd@erv.es.
  • Procedencia y categorías de datos: los datos proceden del propio contrato, de la oferta remitida, o de los contactos celebrados para la toma de decisión de aceptar la firma del contrato. Se trata por tanto de datos meramente identificativos, con inclusión de número de documento nacional de identidad, en su caso, o de poderes notariales de representación, si así se hubieran consignado o entregado, así como datos de contacto empresarial suministrados (como teléfono, fax, correo electrónico y postal), cargo y funciones en su empresa. En caso de empresarios individuales o autónomos, el proceso de homologación puede suponer la comunicación de datos financieros y económicos, precisos para valorar la solvencia del prestador de servicios, o bien su obtención por otras fuentes, como la consulta a ficheros de solvencia o de otro orden relativos al cumplimiento o incumplimiento de obligaciones, u otros datos manifiestamente públicos contenidos en Boletines Oficiales o en bases legales.

12. ACEPTACIÓN DE ANEXO

El encargado agente se compromete a cumplir con lo dispuesto en el presente documento, así como el Reglamento General de Protección de Datos de Carácter Personal, la Ley Orgánica española de Protección de Datos de Carácter Personal, resto de normativa de Protección de Datos que fuere aplicable, así como con los estándares de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuada al riesgo y a la naturaleza de la información tratada.

volver a www.erv.es