MENUMENU
Política de privacidad del grupo Magic Online

Protección de datos de carácter personal

Introduccción

El Reglamento n° 2016/679 llamado «Reglamento General sobre la Protección de Datos (RGPD o GDPR por sus siglas en inglés)» constituye el nuevo marco jurídico europeo en materia de tratamiento de datos con carácter personal en Europa. Está en vigor desde el 25 de mayo de 2018 y viene a remplazar la Directiva sobre Protección de Datos de 1995. Resulta aplicable en la Unión Europea sin necesidad de que los países miembros dicten leyes de transposición a sus respectivos ordenamientos jurídicos. De este modo, impone un marco único y armonizado de los regímenes jurídicos en materia de protección de datos de carácter personal en todos los estados miembros. Igualmente, el RGPD dibuja un marco extraterritorial que permite, bajo determinadas condiciones, extender su aplicación fuera de la Unión Europea.
Cualquier estructura que trate con datos personales, en calidad de responsable o de encargada del tratamiento, así como cualquiera que tenga acceso a los datos, está sometida a una serie de obligaciones que varían en función de su condición de responsable o de encargado del tratamiento. Magic Online, como prestador de servicios informáticos (alojamiento, mantenimiento), está sometido a esta normativa.

Definiciones

Para facilitar la comprensión de la normativa aplicable, consideramos oportuno precisar las definiciones de los siguientes términos:

  • Datos de carácter personal: cualquier información sobre una persona física identificada o identificable. Se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (artículo 4.1 RGPD). Por ejemplo, una persona está identificada cuando su nombre o su dirección de correo electrónico aparece recogida en un fichero.
  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (artículo 4.2 RGPD).
  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento, salvo designación expresa por las disposiciones legislativas o reglamentarias relativas al tratamiento (artículo 4.7 RGPD).
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento (artículo 4.8 RGPD).

Es fundamental delimitar correctamente la distinción entre la seguridad de los datos alojados por el cliente y la seguridad de las infraestructuras donde se almacenan estas informaciones:

  1. En lo que respecta a la seguridad de los datos alojados por el cliente: el cliente es el único responsable de garantizar la seguridad de los recursos y de los sistemas de aplicaciones que utiliza respetando nuestras condiciones generales de uso.
  2. En lo que respecta a la seguridad de nuestras infraestructuras: estamos comprometidos con la garantía de la máxima seguridad en nuestras infraestructuras:
    • Implementación de una PSSI (Política de Seguridad de los Sistemas de Información).
    • Normas y certificaciones (por ejemplo, ISO 27001:2005, etc.). Los detalles de las normas y certificados de cada centro de datos están disponibles en el escaparate web del grupo Magic Online o también se pueden solicitar al servicio de soporte y asistencia).

Magic Online como encargado del tratamiento de datos

Magic Online propone infraestructuras de alojamiento sobre las que nuestros clientes pueden alojar sus datos de carácter personal. En este caso, el cliente tiene la condición de responsable del tratamiento de datos de carácter personal y nosotros intervenimos en calidad de encargados, siguiendo las instrucciones del cliente y actuando en su nombre. En el seno de esta relación, nos comprometemos a:

  • Establecer y aplicar las normas que correspondan para garantizar la seguridad de los datos aprovechando nuestra tecnología.
  • Informar al cliente y obtener su consentimiento en el caso de que trabajemos con un subcontratista.
  • Informar al cliente lo antes posible si se ha constatado una violación de sus datos.
  • No transferir los datos de carácter personal fuera de la Unión Europea o a un país no reconocido por la Comisión Europea como garante de un nivel de protección suficiente, con excepción de nuestras propias sociedades con base en Túnez o Marruecos, también sometidas a las Cláusulas Contractuales Tipo (CCT 2010/87/UE) adoptadas por la Comisión Europea. Las CCT permiten realizar transferencias de datos personales fuera de la Unión Europea, por lo que garantizan un nivel de protección suficiente.
  • Facilitar los trámites y gestiones para cumplir con las obligaciones reglamentarias como Responsable del tratamiento poniendo a disposición del cliente los documentos correspondientes relativos a nuestros servicios.

Del mismo modo, apuntamos que:

  • Los datos alojados por el cliente en el marco de nuestros servicios continúan siendo propiedad del cliente. Excluimos firmemente la posibilidad de cualquier reventa de estos datos a terceros.
  • Magic Online puede verse obligado a acceder a los datos de los clientes:
    • En el marco de obligaciones legales derivadas de demandas judiciales y/o administrativas.
    • Para garantizar el buen funcionamiento de los servicios. Por ejemplo, en relación con una solicitud de asistencia por parte del cliente a nuestro servicio de soporte o en relación con determinados contratos de gestión. En estos casos, el acceso a los datos de carácter personal está subordinado a las acreditaciones y habilitaciones concretas proporcionadas por el cliente. Para poder satisfacer las solicitudes de asistencia, nuestros técnicos de soporte pueden verse obligados a tomar conocimiento de las informaciones proporcionadas por el cliente (como el nombre, dirección de correo electrónico, teléfono, etc.) para la creación de su cuenta de cliente Magic Online.
  • Magic Online se reserva el derecho de solicitar servicios de soporte que puedan implicar un acceso remoto a los datos almacenados por el cliente, en el marco de los servicios, a otras entidades del grupo Magic Online situadas en terceros países no reconocidos por la Comisión Europea como garantes de un nivel de protección suficiente. Sin embargo, como ya se ha mencionado, estas entidades están sujetas a las CCT (Cláusulas Contractuales Tipo) y ofrecen suficiente nivel de protección de conformidad con la misma Comisión Europea.
  • En relación con las transferencias de datos no sujetas a estas CTT (por ejemplo, algunos subcontratistas): Gracias a las garantías ofrecidas por Magic Online en materia de transferencia de datos, el cliente puede respetar sus obligaciones reglamentarias. El artículo 45 del RGPD recoge el caso de las «Transferencias basadas en una decisión de adecuación» y estipula que una transferencia de datos personales a un tercer país o a una organización internacional puede tener lugar si la Comisión ha decidido que el tercer país, el territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
  • Algunos de nuestros servicios permiten a los clientes alojar sus datos en los centros de Magic Online. La ubicación geográfica de los centros de datos en los que estos datos pueden alojarse se encuentra en las páginas web del grupo Magic Online. Igualmente, los clientes pueden solicitar directamente la información al servicio de soporte y asistencia. Todos estos centros de datos están ubicados en Francia.
  • Los centros de datos donde se alojan los datos de servicio escogidos por el cliente están siempre ubicados dentro de la Unión Europea. La Comisión Europea considera que cuentan con un nivel de protección suficiente.

Magic Online como responsable del tratamiento de datos

Magic Online es responsable del tratamiento de datos de carácter personal cuando determina las finalidades y los medios de sus tratamientos de datos. Esto ocurre cuando recopilamos datos para gestionar la identidad del cliente, los pedidos, la facturación, los cobros, el desarrollo de los servicios, la mejora de la calidad de los servicios y su rendimiento, la estrategia comercial, la gestión comercial, el envío de newsletters, la gestión de solicitudes relativas a derechos de personas, el almacenamiento de los datos de los clientes,… Este tratamiento en ningún caso afecta a los datos que los clientes tienen alojados en nuestras infraestructuras. Por el contrario, algunas informaciones relativas a los clientes o a sus trabajadores (identidad y datos de contacto del interlocutor con Magic Online en el marco de una solicitud de asistencia técnica, por ejemplo) pueden ser objeto de tratamiento. Por este motivo exponemos a continuación algunos elementos para comprender mejor las actuaciones de Magic Online con el fin de proteger estos datos de carácter personal.

  • En primer lugar, limitamos la recogida de datos al mínimo indispensable: así, cuando se crea una cuenta o se realiza un pedido, únicamente se solicitan los datos necesarios para que Magic Online pueda llevar a cabo la facturación, la atención y soporte o las obligaciones legales que correspondan en materia de conservación de datos.
  • Nos comprometemos a no utilizar los datos recogidos para otros fines distintos a los que han justificado su recolección.
  • Nos comprometemos a conservar los datos de carácter personal durante un lapso de tiempo limitado y proporcionado al cumplimiento de sus finalidades. Por ejemplo, los datos de gestión de la relación cliente/Magic Online (nombre, apellidos, dirección postal, correo electrónico, etc.) se conservan durante todo el contrato y los sesenta (60) meses siguientes. Transcurrido este plazo, se eliminan de todos los soportes y copias.
  • El cliente dispone de un derecho de acceso, portabilidad, rectificación, cancelación y limitación de los datos, así como el derecho de oponerse al tratamiento de sus datos y, en caso de tratamiento legitimado por el consentimiento, también ostenta el derecho de retirar el consentimiento. En cualquier momento es posible ejercer estos derechos ante el Responsable de tratamiento de datos en la siguiente dirección: thomas.thevenon@magiconline.es.
  • El cliente tiene el derecho de realizar una reclamación ante la autoridad de control competente.
  • En caso de negativa del cliente a la recogida de sus datos personales, algunos de los servicios no podrán ser prestados, en especial la asistencia técnica, administrativa y comercial.
  • Nos comprometemos a no realizar ninguna transferencia de los datos a terceros ajenos a las sociedades pertenecientes a Magic Online que intervengan en la ejecución del contrato. En el marco de estas transferencias dentro del Grupo, algunos datos pueden ser transferidos fuera de la Unión Europea de conformidad con las Cláusulas Contractuales Tipo (CCT 2010/87/UE) implementadas por el Grupo Magic Online.
  • Nos comprometemos a implementar medidas concretas a nivel técnico y de organización que resulten apropiadas para garantizar un nivel de seguridad adaptado y conforme a la legislación aplicable.