Política de privacidad
Actualizado el 6 de junio de 2022
Preámbulo
Drones for Yachts (DY) ha adoptado esta política para la protección de la privacidad de los Datos Personales (en adelante «Política de Privacidad») de sus Clientes con el fin de establecer y mantener un nivel satisfactorio de confidencialidad de los Datos Personales con respecto a su recogida, tratamiento, divulgación y transferencia.
I. Definiciones
«Cliente» significa la Parte o las Partes que se benefician de los Servicios.
«Datos Personales» significa cualquier información relativa a un sujeto de datos identificado o identificable.
«Datos personales sensibles» son los datos personales que: (i) revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, los antecedentes penales o la pertenencia a un sindicato, los datos genéticos, los datos biométricos, los datos relativos a la salud o la orientación sexual de un Titular; o (ii) no pertenezcan a ninguna de las categorías descritas en (i), pero estén regulados por la legislación o jurisdicción nacional del país desde el que se exportaron de acuerdo con este tipo de datos personales.
«EEE» significa el Espacio Económico Europeo.
«DY» se refiere a Drones for Yachts SAS, una sociedad anónima simplificada de derecho francés, cuyo domicilio social se encuentra en 34 rue de Laborde – 75008 París.
«Sujeto de datos«: toda persona física identificada o identificable; una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos de su identidad física, fisiológica, mental, económica, cultural o social.
«Personal de DY» se refiere a todos los socios, directores, agentes, empleados, empresarios individuales y demás personal de DY.
«Normativa aplicable en materia de protección de datos personales» significa la legislación francesa de protección de datos n.º 78-17, de 6 de enero de 1978, y sus sucesivas modificaciones y adiciones, así como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se
deroga la Directiva 95/46/CE, así como todas las demás leyes y reglamentos relacionados con ella, o que tengan un impacto en el tratamiento de los Datos Personales, si procede.
«Responsable del tratamiento» es la persona física o jurídica, la autoridad pública, la agencia u otro organismo que determina, individualmente o junto con otros, los fines y los medios del tratamiento de los Datos Personales.
«Servicios» se refiere a los servicios que DY prestará a sus Clientes.
«Subprocesador» significa una persona física o jurídica que procesa Datos Personales en nombre del Controlador de acuerdo con instrucciones específicas por escrito del Controlador.
«Tratamiento«, «tratamientos», «procesar», «tratado», «procesado» significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la modificación, la recuperación, la consulta, la utilización, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, el bloqueo, la restricción, el borrado o la destrucción.
II. Ámbito de aplicación
Esta política de privacidad se aplica únicamente a los datos personales tratados por DY o en su nombre.
DY procesa los Datos Personales de manera justa y legal, cumpliendo con la normativa aplicable en materia de protección de Datos Personales.
La presente Política de Privacidad no entrará en conflicto con la Normativa de Protección de Datos Personales aplicable en los países en los que opera DY y se interpretará, en la medida de lo posible, de la siguiente manera
En caso de conflicto entre esta política de privacidad y la política de privacidad aplicable, prevalecerán las disposiciones de la política de privacidad aplicable.
III. Los principios de tratamiento de datos personales establecidos por DY como responsable del tratamiento
DY actúa como «Controlador de Datos» cuando determina los propósitos y los medios de procesamiento de los Datos Personales. Así, DY actúa como Controlador de Datos con respecto a (i) los datos de los Clientes y prospectos de DY tratados en el contexto de la gestión de su relación comercial con DY, así como para informarles de sus Servicios, (ii) los datos de los proveedores y subcontratistas con el fin de gestionar su relación contractual con DY.
En el curso de la ejecución de los Servicios, DY puede tener acceso a los documentos del Cliente que pueden contener Datos Personales y/o procesar Datos Personales que han sido previamente recogidos por su Cliente, directa o indirectamente, de los Sujetos de Datos (tales como empleados, clientes y proveedores del Cliente).
Cuando DY y el Cliente determinen conjuntamente los fines y los medios del tratamiento de los Datos Personales en el contexto de los Servicios, DY y el Cliente podrán actuar como «Controladores Conjuntos» del tratamiento y definirán con precisión, en la correspondiente carta de encargo o contrato, sus respectivas responsabilidades. Salvo que se especifique lo contrario, el Cliente será responsable de informar a los Interesados del tratamiento de sus Datos Personales y de sus derechos, y actuará como su contacto directo.
Al procesar los datos personales como controlador de datos o controlador conjunto, DY y el personal de DY cumplirán con los siguientes principios fundamentales:
1- Transparencia
Cuando DY recoja Datos Personales directamente de los Titulares de los Datos, DY proporcionará a dichos Titulares de los Datos información sobre cómo DY procesa sus Datos Personales en la medida necesaria para garantizar que el procesamiento es justo y tiene una base legal. En los casos en que los Clientes de DY transfieran Datos Personales a DY, ésta no estará obligada a informar a los Titulares de los Datos del tipo de tratamiento de Datos Personales realizado por DY en relación con los Servicios.
2- Principio de minimización y precisión de los datos
Cuando DY actúa como Controlador de Datos, DY asegura que los Datos Personales son correctos y, si es necesario, actualizados.
Los Datos Personales en posesión de DY deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se transfieren y se conservan sólo durante el período necesario para los fines del tratamiento.
Cuando DY actúe como Controlador de Datos en nombre de un Cliente, DY implementará, a petición del Cliente, medidas razonables para asegurar que los Datos Personales sean actualizados, corregidos, anonimizados o eliminados (sujeto a ciertas excepciones limitadas).
3- Base legal del tratamiento
De acuerdo con el Reglamento de Protección de Datos aplicable, el tratamiento de los Datos Personales debe tener una base legal.
El Reglamento de Protección de Datos Personales aplicable también obliga a DY a informar al Cliente de estas bases legales. Por lo tanto, el tratamiento se basa en una de las siguientes bases jurídicas:
• Ejecución de un contrato: el tratamiento de los Datos Personales es necesario para la ejecución de las obligaciones contractuales de DY;
• Obligación legal: el tratamiento de los Datos Personales es necesario para cumplir con una obligación legal, como llevar un registro en el marco de las obligaciones fiscales de DY o proporcionar información a un organismo público o autoridad administrativa;
• Interés legítimo: el tratamiento se basa en el interés legítimo de DY, salvo que prevalezcan los intereses, libertades o derechos fundamentales de la persona cuyos Datos Personales se tratan;
• Consentimiento expreso: En algunos casos, DY solicitará permiso específico para procesar ciertos Datos Personales y sólo procesará dichos Datos Personales si se
concede dicho permiso específico. Dicho consentimiento puede ser retirado en cualquier momento escribiendo a privacy@dronesforyachts.com.
DY sólo recoge datos «sensibles» cuando los interesados proporcionan voluntariamente dicha información o cuando la ley o las normas profesionales exigen o permiten la recogida de dicha información.
4- Limitación de la finalidad
DY sólo procesará los Datos Personales para los fines (i) establecidos en el contrato entre DY y su Cliente o proveedor o en cualquier aviso de información puesto a disposición de los Sujetos de Datos en relación con DY; (ii) de acuerdo con la ley; (iii) para satisfacer los intereses legítimos de DY; (iv) por razones de interés público; o (v) cuando los Sujetos de Datos hayan dado su consentimiento.
Algunos ejemplos de los intereses legítimos mencionados son
• Tratamiento en el marco de una relación con un Cliente ;
• Tratamiento de datos personales con fines de prospección, prevención del fraude o garantía de la seguridad de la red y la información de los sistemas informáticos; • Tratamiento para el ejercicio de los derechos fundamentales de DY en la Unión Europea, de conformidad con los artículos 16 y 17 de la Carta de los Derechos Fundamentales, en particular la libertad de empresa y el derecho de propiedad; • Tratamiento para racionalizar recursos y servicios (por ejemplo, DY puede optar por utilizar determinadas plataformas informáticas ofrecidas por los proveedores).
5- Calidad y proporcionalidad de los datos
Los datos personales deben mantenerse exactos y, en su caso, actualizados. Los datos personales en poder de DY deben ser adecuados, pertinentes y no excesivos en relación con los fines del tratamiento en cuestión, y sólo podrán conservarse durante el tiempo necesario para el tratamiento en cuestión.
DY aplica políticas relativas a la conservación de documentos, de acuerdo con la ley, los requisitos reglamentarios y los requisitos de sus profesiones. Estas políticas se aplican a cualquier tipo de documento o archivo, físico o electrónico. Una vez transcurrido el periodo de conservación (7-10 años), los documentos o archivos se eliminan de forma segura de acuerdo con las normas aplicables.
6- Seguridad y confidencialidad
Deben tomarse todas las precauciones razonables para proteger los Datos Personales contra la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación o el acceso no autorizado. Estas precauciones incluyen medidas de seguridad técnicas, físicas y organizativas, como medidas para evitar el acceso no autorizado, en función de la sensibilidad de la información y del nivel de riesgo asociado al tratamiento de los Datos Personales.
7- Derechos de las personas afectadas
Los Sujetos de Datos pueden tener acceso a sus Datos Personales en posesión de DY, en la medida en que dichas solicitudes (i) sean razonables y estén permitidas por la ley y (ii) no sean incompatibles con las obligaciones comerciales o de confidencialidad de DY.
DY se compromete a corregir, modificar o eliminar los Datos Personales cuando se le solicite, en la medida en que sean inexactos o se utilicen de forma incompatible con estos principios fundamentales y en la medida en que estos derechos no estén sujetos a ninguna limitación permitida por la normativa aplicable.
Los interesados pueden oponerse al tratamiento de sus datos personales por razones imperiosas y legítimas relacionadas con su situación personal, en la medida en que lo permita el Reglamento de Protección de Datos aplicable.
Los interesados también tienen derecho a solicitar la portabilidad de los datos en virtud del artículo 20 del Reglamento General de Protección de Datos. También tienen otros derechos en virtud del Reglamento de Protección de Datos Personales aplicable.
8- Datos personales sensibles
Cuando DY procese Datos Personales Sensibles, tomará medidas adicionales (por ejemplo, relacionadas con la seguridad) para proteger dichos datos de acuerdo con el Reglamento de Protección de Datos aplicable.
9- Datos utilizados con fines de marketing
Cuando DY procese Datos Personales con fines de marketing o desarrollo comercial, DY establecerá procedimientos efectivos para permitir a los interesados oponerse en cualquier momento al uso de sus Datos Personales para tales fines.
10- Tratamiento automatizado
Cuando DY procese Datos Personales de manera puramente automatizada que tengan un impacto significativo en un Sujeto de Datos, DY dará al Sujeto de Datos la oportunidad de discutir el resultado de dicho procesamiento antes de tomar tales decisiones (a menos que el Reglamento de Protección de Datos Personales aplicable lo impida).
11- Transferencia de información y cumplimiento
Los datos personales pueden ser transferidos fuera del país en el que fueron recogidos, incluso a países fuera del Espacio Económico Europeo, para fines comerciales legítimos de acuerdo con la política de privacidad aplicable.
Además, de acuerdo con la Política de Privacidad aplicable, DY puede almacenar Datos Personales en instalaciones operadas por terceros en nombre de DY fuera del país en el que se recogieron los Datos Personales.
No obstante, los datos personales no se transferirán a otro país a menos que el exportador de datos haya garantizado que existe un nivel adecuado de protección de los datos personales, tal como exige el Reglamento de protección de datos aplicable.
Cuando los datos personales se transfieran a terceros ajenos a la red de DY para su tratamiento (por ejemplo, a proveedores de servicios de DY en apoyo de las actividades de DY), DY se asegurará de que los datos personales estén suficientemente protegidos.
Para ello, DY celebra contratos con dichos terceros imponiendo obligaciones coherentes con los requisitos de esta Política de Privacidad, o incluyendo cláusulas contractuales estándar
aprobadas por la Comisión Europea o cualquier otro mecanismo oficialmente reconocido por el Reglamento de Protección de Datos aplicable, que proporcione un nivel adecuado de protección de los Datos Personales.
IV. Cuando DY actúa como subcontratista
DY actúa como «Encargado del Tratamiento» cuando trata los Datos Personales por cuenta del «Responsable del Tratamiento» que le ha dado instrucciones sobre el tratamiento de los Datos Personales que le ha confiado. Cuando DY actúe como procesador de datos personales en nombre de los clientes, lo hará de acuerdo con las instrucciones del controlador con respecto a dichos datos personales.
DY podrá actuar como Encargado del Tratamiento de acuerdo con los compromisos adquiridos con el Cliente, cuando éste proporcione instrucciones específicas relativas a (i) el tipo de Datos Personales que ha comunicado a DY para su tratamiento, (ii) las operaciones o conjunto de operaciones a realizar por DY sobre los Datos Personales, automatizadas o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, (iii) la duración del tratamiento y almacenamiento de los Datos Personales por parte de DY, (iv) los medios técnicos (como software o herramientas) utilizados por DY para el tratamiento de los Datos Personales por cuenta del Cliente, (v) las medidas de seguridad adicionales que deberá adoptar DY.
Si por alguna razón no es posible cumplir con estas instrucciones (por ejemplo, en caso de conflicto con la legislación actual o futura), DY informará sin demora al Cliente de su imposibilidad de cumplir con sus instrucciones.
Cuando DY deje de actuar en nombre de un Cliente, deberá (a petición del Cliente) devolver, destruir o seguir salvaguardando adecuadamente todos los Datos Personales recibidos del Cliente, salvo que la legislación aplicable exija lo contrario.
Salvo que se estipule lo contrario en el contrato entre DY (Contratista) y el Cliente (Procesador), DY está autorizado a (i) emplear todos los medios técnicos que considere apropiados para prestar los Servicios y procesar los Datos Personales (por ejemplo, seleccionando las soluciones de software apropiadas), todo ello de acuerdo con las políticas de seguridad de DY, (ii) contratar subcontratistas para realizar ciertas partes de los Servicios, acceder y utilizar los Datos Personales, incluso fuera de la Unión Europea, siempre que los subcontratistas se comprometan por escrito a proporcionar al menos el mismo nivel de protección de los Datos Personales que el previsto en la presente Política de Privacidad, y de acuerdo con lo dispuesto en el Principio 11 «Transferencia de Información y Cumplimiento» anterior.
Cuando DY actúa como procesador, también está obligado a asistir al cliente en el cumplimiento de la ley (siempre que el cliente cubra los costes relacionados con DY), por ejemplo (i) informando al cliente de las actividades de procesamiento llevadas a cabo por DY para que el cliente pueda informar a los sujetos de los datos; (ii) estableciendo, a petición del cliente, medidas razonables para permitir que dichos datos personales sean actualizados, corregidos, anonimizados o borrados (sujeto a ciertos casos limitados y excepcionales)
Como Procesador de Datos, DY tratará en todos los casos los Datos Personales de acuerdo con los párrafos anteriores sobre seguridad, confidencialidad y transferencia y cumplimiento de datos, transferirá únicamente los Datos Personales que el Cliente haya autorizado a transferir
(lo que puede hacer de antemano, como parte de su compromiso contractual con DY), e informará al Cliente en caso de que se produzca una violación de la seguridad de los Datos Personales para que pueda informar a los Interesados, si procede.
V. Duración de la conservación de los datos personales o criterios utilizados para determinar dicha duración
DY realiza esfuerzos razonables para conservar los Datos Personales durante el tiempo necesario para responder a las solicitudes del Sujeto de los Datos, para cumplir con los requisitos legales, reglamentarios o de política interna, o hasta el momento en que el Sujeto de los Datos solicite que se elimine la información.
VI. Destinatarios o categorías de destinatarios de los datos personales
DY no comparte los Datos Personales con terceros, excepto cuando lo requieran sus legítimas necesidades comerciales para responder a las solicitudes de los Clientes y/o cuando lo exija o permita la ley o las obligaciones profesionales. Estos terceros pueden ser :
• Proveedores de DY: DY transmite los Datos Personales a sus proveedores de servicios, tales como proveedores de servicios informáticos, proveedores de alojamiento, consultores (como asesores jurídicos) y otros proveedores de bienes o servicios. DY trabaja con estos proveedores para procesar los Datos Personales en nombre de DY. DY sólo proporciona Datos Personales a estos proveedores si cumplen con estrictos principios de tratamiento y seguridad de los Datos Personales. DY sólo proporciona a estos proveedores los Datos Personales que son necesarios para la prestación de sus servicios.
• En caso de aumento de capital, reestructuración o transferencia a otra organización: DY transferirá los datos personales en relación con el aumento de capital, la venta, la cesión u otra transferencia del negocio al que se refieren los datos.
• Juzgados, Tribunales, Autoridades Legales o Reguladoras: DY transferirá los Datos Personales en respuesta a las solicitudes de los juzgados, tribunales, agencias gubernamentales o autoridades administrativas cuando sea necesario o aconsejable para cumplir con las leyes aplicables, las órdenes o normas judiciales, o las regulaciones gubernamentales.
• Auditorías: La divulgación de los datos personales también puede ser necesaria para realizar auditorías de seguridad o privacidad de los datos, investigaciones o para responder a una queja o amenaza de seguridad.
• Aseguradores: Las normas profesionales y los requisitos comerciales exigen una cobertura de seguros para las actividades comerciales de DY (el «programa de seguros»). Para funcionar eficazmente, el Programa de Seguros cuenta con la participación de distintos agentes del mercado de seguros (como corredores, aseguradores, reaseguradores, así como sus asesores y otros terceros implicados en caso de siniestro). Algunos de estos actores pueden requerir el suministro de datos personales sobre los clientes.
VII. Sus derechos, quejas, preguntas y más información
DY se compromete a proteger la información personal de sus clientes.
Así, cuando DY procesa datos personales sobre usted, usted tiene los siguientes derechos:
• Acceso y rectificación: tiene derecho a acceder a sus datos personales. A veces se denomina «solicitud de acceso del interesado». El ejercicio del derecho de acceso, cuando DY está sujeto a él, es gratuito. Antes de proporcionarle sus datos personales, DY puede solicitarle una prueba de su identidad o información suficiente sobre sus interacciones con DY para localizar sus datos personales. Si los datos que tenemos sobre usted son incorrectos, tiene derecho a pedirnos que corrijamos cualquier inexactitud.
• Objeción al tratamiento: tiene derecho a oponerse al tratamiento de sus datos personales cuando DY ya no tenga derecho a utilizarlos.
• Otros derechos: también puede tener derecho a que se eliminen sus Datos Personales si los conservamos durante demasiado tiempo, el derecho a restringir el tratamiento en determinadas circunstancias y/o el derecho a obtener copias de la información que tenemos sobre usted en formato electrónico.
También tiene derecho a la portabilidad, a darnos instrucciones sobre qué hacer con sus datos después de su fallecimiento y a restringir el tratamiento y la eliminación.
Puede dirigir sus peticiones para ejercer sus derechos y solicitar una copia de las medidas adoptadas en relación con la transferencia de datos fuera del EEE haciendo clic en el siguiente enlace: privacy@dronesforyachts.com. Haremos todo lo posible por atender su solicitud, siempre que sea conforme a la legislación vigente y a las normas profesionales.
Acusaremos recibo de su correo electrónico y trataremos de resolver su problema en el plazo de un mes desde su recepción. En el caso de una solicitud compleja o de un gran número de solicitudes para ejercer un derecho, le informaremos de que el tiempo de tramitación de su solicitud puede ser superior a un mes y nos esforzaremos por responder en un plazo de tres meses desde la recepción de su solicitud.
Su solicitud puede ser aceptada (en cuyo caso tomaremos una de las medidas expuestas en la sección Sus derechos) o rechazada por una razón legítima.
En cualquier caso, tiene derecho a presentar una reclamación ante la autoridad de control competente, la Comisión Nacional de Informática y Libertades (CNIL).
Si tiene alguna pregunta o comentario sobre el cumplimiento de esta política de privacidad, puede ponerse en contacto con nosotros en privacy@dronesforyachts.com.
IX. Cambios en esta política de privacidad
Esta política de privacidad se revisa anualmente.
Esta Política puede ser modificada para reflejar las prácticas de privacidad actuales de DY. Si hay cambios en esta Política de Privacidad, la última fecha de «actualización» se indicará en la portada. Cualquier cambio en el tratamiento de los Datos Personales descrito en esta Política de Privacidad será notificado por DY por un medio de comunicación adecuado.