Protección de datos personales

Introducción

El Reglamento 2016/679, conocido como Reglamento General de Protección de Datos (RGPD), es el nuevo marco jurídico europeo para el tratamiento de datos personales en Europa. Es aplicable desde el 25 de mayo de 2018. Sustituyendo a la Directiva de Protección de Datos adoptada en 1995, el GDPR es directamente aplicable en la UE y no requiere leyes nacionales de transposición. Como tal, impone a todos los Estados miembros un marco único y armonizado de regímenes jurídicos para la protección de datos personales. El RGPD también cuenta con un marco extraterritorial que, en determinadas condiciones, permite ampliar su ámbito de aplicación fuera de la UE.
Una organización que trate datos personales como responsable del tratamiento o por cuenta de un responsable del tratamiento, siguiendo sus instrucciones y bajo su autoridad, y que tenga acceso a los datos, tiene por tanto obligaciones distintas en su calidad de encargado del tratamiento o responsable del tratamiento. Magic Online, como proveedor de servicios informáticos (alojamiento, mantenimiento) está directamente afectado.

Definiciones

Para facilitar la comprensión de la aplicación de los numerosos artículos y directivas, conviene definir claramente los siguientes términos: Datos personales: "Se entiende por datos personales toda información sobre una persona física identificada o identificable, directa o indirectamente, mediante un número de identificación o uno o varios elementos específicos de dicha persona" (artículo 2). Por ejemplo, una persona está identificada cuando su nombre o su dirección de correo electrónico aparecen en un fichero. Tratamiento: cualquier operación o conjunto de operaciones que se efectúen con dichos datos, cualquiera que sea el procedimiento utilizado, y en particular la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, supresión o destrucción. Responsable del tratamiento: El responsable del tratamiento de datos personales es, salvo designación expresa por las disposiciones legales o reglamentarias relativas a dicho tratamiento, la persona, autoridad pública, servicio u organismo que determine sus fines y medios. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento, siguiendo sus instrucciones y bajo su autoridad. Es esencial distinguir claramente entre la seguridad de los datos alojados por el cliente y la seguridad de la infraestructura en la que se almacena esta información:
  1. Con respecto a la seguridad de los datos alojados por el cliente: usted es el único responsable de garantizar la seguridad de los recursos y sistemas de aplicación que despliegue en cumplimiento de nuestras condiciones generales de uso.
  2. En cuanto a la seguridad de nuestras infraestructuras: nos comprometemos a garantizar la máxima seguridad de nuestras infraestructuras:
    • Implantación de una ISSP (política de seguridad de los sistemas de información)
    • Normas y certificaciones (por ejemplo, ISO 27001:2005, etc.). Los detalles de las normas y certificaciones por DC están disponibles en los sitios de escaparate del grupo Magic Online o previa solicitud de nuestros clientes a nuestro servicio de soporte y asistencia).

Magic Online como subcontratista

Magic Online ofrece servicios de alojamiento en los que nuestros clientes pueden alojar sus datos personales. En este caso, el cliente actúa como responsable del tratamiento y nosotros como encargados del tratamiento, de acuerdo con sus instrucciones y bajo su autoridad.
En este marco relacional nos comprometemos a :

  • Establecer y aplicar normas diseñadas para garantizar la seguridad de sus datos al más alto nivel de la tecnología que desplegamos.
  • Para informarle y obtener su consentimiento si utilizamos los servicios de un subcontratista.
  • Informarle lo antes posible si se produce una violación de sus datos.
  • No transferir sus datos personales fuera de la Unión Europea o a un país no reconocido por la Comisión Europea como poseedor de un nivel de protección adecuado, con la excepción de nuestras propias empresas con sede en Túnez y Marruecos, que a su vez están sujetas a las Cláusulas Contractuales Tipo (CCT 2010/87/UE) adoptadas por la Comisión Europea. Las CEC proporcionan un marco para la transferencia de datos personales fuera de la Unión Europea. Por tanto, ofrecen un nivel de protección suficiente.
  • Ayudarle a cumplir sus obligaciones reglamentarias como Responsable del Tratamiento de Datos facilitándole los documentos adecuados relativos a nuestros servicios.

Queda entendido que :

  • Los datos alojados por el cliente en el marco de nuestros servicios siguen siendo propiedad del cliente. Por supuesto, excluimos firmemente cualquier tipo de reventa de estos datos a terceros.
  • Magic Online puede necesitar acceder a sus datos:
    • En el marco de obligaciones legales derivadas de requerimientos judiciales y/o administrativos.
    • Para garantizar el buen funcionamiento de los servicios, por ejemplo en el marco de una solicitud de asistencia del cliente a nuestro servicio de asistencia o en el marco de determinados contratos de externalización. En estos casos, el acceso a los datos personales está sujeto a una acreditación y autorización específicas por parte del cliente. Para tramitar las solicitudes de asistencia, nuestros técnicos de soporte pueden necesitar conocer información facilitada por el cliente (como nombre, dirección de correo electrónico, número de teléfono, etc.) al crear una cuenta de cliente de Magic Online.
  • Magic Online se reserva el derecho de confiar servicios de soporte que puedan implicar el acceso remoto a datos almacenados por el cliente, como parte de los servicios, a otras entidades del Grupo Magic Online ubicadas en países no reconocidos por la Comisión Europea como poseedores de un nivel de protección adecuado pero, como se ha mencionado anteriormente, estas entidades están sujetas a las CST (Cláusulas Contractuales Tipo) y, por lo tanto, ofrecen un nivel de protección adecuado a los ojos de la Comisión Europea.
  • Con respecto a las transferencias no sujetas a TCE (por ejemplo, determinados subcontratistas): Gracias a las garantías que ofrece Magic online en materia de transferencias de datos, los clientes pueden cumplir con sus obligaciones reglamentarias. El artículo 45 del RGPD, que establece los casos de "transferencias basadas en una decisión de adecuación", estipula que podrá realizarse una transferencia de datos personales a un tercer país o a una organización internacional cuando la Comisión haya determinado mediante una decisión que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional en cuestión garantizan un nivel de protección adecuado. No se requiere autorización específica para tal transferencia.
  • Algunos de nuestros servicios permiten a los clientes alojar sus datos en Magic Online. La ubicación geográfica de los centros de datos donde pueden alojarse estos datos puede consultarse en los sitios web del Grupo Magic Online. Los clientes también pueden hacer una solicitud directamente al departamento de soporte y asistencia. Todos estos centros de datos se encuentran en Francia.
  • Los centros de datos donde se almacenan los datos de los servicios elegidos por el cliente están todos situados en uno o varios países de la UE. Por ello, la Comisión Europea considera acertadamente que ofrecen un nivel de protección suficiente.

Magic Online como responsable del tratamiento de datos

Magic Online es el responsable del tratamiento cuando determina los fines y medios de su tratamiento de datos personales.
Este es el caso cuando recopilamos datos para gestionar la identidad del cliente, el pedido, la facturación, los cobros, el funcionamiento de los servicios, la mejora de la calidad de los servicios y el rendimiento, la prospección comercial, la gestión comercial, el envío de boletines informativos, la gestión de solicitudes relativas a los derechos de las personas, el almacenamiento de los datos de los clientes, etc .
Por supuesto, esto no se aplica a los datos que usted almacena en nuestras infraestructuras. Sin embargo, sí puede serlo cierta información que le concierne a usted o a sus empleados (identidad y datos de contacto de la persona de contacto de Magic Online para una solicitud de asistencia técnica, por ejemplo).

Por este motivo, queremos informarle de las garantías aplicadas para proteger sus datos personales.

  • En primer lugar, limitamos la recogida de datos al mínimo estrictamente necesario: por ejemplo, cuando crea una cuenta durante un proceso de pedido, sólo facilita los datos necesarios para que Magic Online pueda prestar servicios de facturación y asistencia o para cumplir sus propias obligaciones legales en materia de conservación de datos (como la Ley nº 2004-575 de 21 de junio de 2004 sobre la confianza en la economía digital).
  • Nos comprometemos a no utilizar los datos recogidos para fines distintos de aquellos para los que fueron recogidos.
  • Nos comprometemos a conservar los datos personales durante un periodo de tiempo limitado y proporcional a los fines para los que se vayan a utilizar. Por ejemplo, los datos de gestión de la relación cliente/Magic Online (apellidos, nombre, dirección postal, dirección de correo electrónico, etc.) son conservados por la empresa durante la vigencia del contrato y los sesenta (60) meses siguientes. Al final de este periodo, se eliminan de todos los soportes y copias de seguridad.
  • Tiene derecho de acceso, portabilidad de datos, rectificación, supresión y limitación de sus datos, derecho a oponerse al tratamiento de sus datos y, en caso de tratamiento basado en el consentimiento, derecho a retirar su consentimiento. Puede ejercer sus derechos en cualquier momento poniéndose en contacto con el responsable del tratamiento de datos Sophie Mazouz en la siguiente dirección: protectiondesdonnees@magic.fr
  • Tiene derecho a presentar una reclamación ante la Comisión Nacional de Informática y Libertades (CNIL).
  • Si no desea que recopilemos sus datos personales, no podremos prestarle todos nuestros servicios, en particular asistencia técnica, administrativa y comercial.
  • Nos comprometemos a no transferir dichos datos a terceros distintos de las filiales de Magic Online implicadas en la ejecución del contrato. En el marco de estas transferencias intragrupo, determinados datos podrán ser transferidos fuera de la Unión Europea sobre la base de las Cláusulas Contractuales Tipo (CEC 2010/87/UE) aplicadas por el Grupo Magic Online.
  • Nos comprometemos a aplicar en la práctica las medidas técnicas y organizativas adecuadas para garantizarle un nivel de seguridad apropiado y conforme a la normativa.