Lantek

Información sobre tratamiento de datos de carácter personal

En LANTEK SHEET METAL SOLUTIONS, S.L. nos preocupamos por los datos de carácter personal que tratamos y por el exacto cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, entre otras, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD).

Sin perjuicio de ello, hay que tener en consideración que el Considerando 14 del RGPD establece que “la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

Ello implica que esta normativa y las obligaciones y derechos que contempla no resultarán de aplicación personas jurídicas.

En todo caso, Lantek informa de las siguientes cuestiones relativas sobre tratamiento de datos de carácter personal:

Responsable del tratamiento: LANTEK SHEET METAL SOLUTIONS, S.L., cuyos datos obran al inicio del presente documento.

Datos de contacto del Delegado de Protección de Datos: para contactar con el Delegado de Protección de Datos podrá dirigirse a la misma dirección indicada al inicio del presente documento o bien enviar un correo electrónico a dpo@lantek.es.

Finalidad del tratamiento: gestionar el adecuado mantenimiento, desarrollo, cumplimiento y control de la presente relación contractual y de los servicios que demande.

Asimismo, se utilizarán los datos identificativos y de contacto para realizar encuestas de satisfacción y para enviar, por medios electrónicos o no, información técnica, operativa y/o comercial tanto sobre los productos y servicios de Lantek como de otras empresas del Grupo Lantek.

Legitimación del tratamiento: la base legal o jurídica para el tratamiento de los datos personales es la ejecución del presente contrato y la prestación de los servicios demandaos.

Para la realización de encuestas de satisfacción y el envío de información comercial propia o de otras empresas del Grupo Lantek, la base jurídica será la satisfacción de intereses legítimos perseguidos por Lantek y/o de terceros (otras empresas del Grupo Lantek) conforme contempla el artículo 6.1. f) del RGPD. Ello será sin perjuicio de la posibilidad del interesado de oponerse para el envío de esa información comercial.

Destinatarios de los datos: los datos personales se comunicarán, en su caso, a la administración tributaria para el cumplimiento de obligaciones legales y tributarias, así como a la entidad financiera a través de la cual Lantek gestione los cobros de sus productos y servicios.

Los datos personales del interesado se podrán comunicar a otras empresas del grupo empresarial Lantek para fines administrativos internos. Del mismo modo, en atención a legitimación basada en intereses legítimos perseguidos por el Lantek y/o empresas del Grupo Lantek, los datos de los interesados se podrán comunicar a cualquiera de ellas con el fin de que realicen envíos de información comercial similar a productos o servicios que el interesado tenga contratados.

Asimismo, se utilizan diferentes servicios que son ofrecidos (por ejemplo, para realización de encuestas de satisfacción o para el envío de información técnica o comercial, entre otras) por empresas que actúan como encargadas del tratamiento y están ubicadas fuera del Espacio Económico Europeo, concretamente en Estados Unidos.

No obstante, en estos casos únicamente contratamos empresas que están acogidas al Escudo de Privacidad UE-EE.UU. de tal forma que ofrezcan las garantías ofrecidas por este marco.

Plazo de conservación de los datos: los plazos en los que Lantek conservará los datos del interesado varían en función de la normativa que resulte de aplicación, siendo los siguientes:

  • 5 años: plazo correspondiente a la prescripción de obligaciones tributarias.
  • Mismo plazo para el ejercicio de acciones personales que no tengan plazo de prescripción especial.
  • 6 años: en relación a los libros, correspondencia, documentación y justificantes concernientes al negocio.

En relación al envío de información comercial, los datos personales identificativos y de contacto se conservarán hasta que el interesado revoque su consentimiento para tal finalidad.

Derechos en cuanto al tratamiento de sus datos: el interesado puede solicitar el acceso a sus datos personales, la rectificación, supresión, la limitación del tratamiento, oposición o la portabilidad de tus datos personales enviando una solicitud por escrito dirigida a LANTEK SHEET METAL SOLUTIONS, S.L. en Parque Tecnológico de Álava, calle Ferdinand Zeppelin, nº 2, Edificio Lantek - C.P. 01510 de Miñano (Álava), o bien enviando un correo electrónico a info@lantek.es, acompañando en todo caso fotocopia de su DNI.

En todo caso, si considera que Lantek no ha tratado adecuadamente sus datos personales o que no ha atendido debidamente el ejercicio de sus derechos de protección de datos puede presentar una reclamación ante la autoridad control competente.

Posible intervención de Lantek como encargado del tratamiento

Es posible que, para la ejecución de determinados servicios incluidos durante el plazo de duración o periodo de garantía contemplada en el presente contrato, Lantek tenga acceso a datos personales de los que es responsable el firmante (responsables del tratamiento a los efectos de esta cláusula) del presente contrato (a modo de ejemplo y, sin carácter limitativo, podrían ser datos de clientes, proveedores, empleados o contactos empresariales).

De acuerdo con ello, en tales casos Lantek actuará como encargado del tratamiento, motivo por el cual, en cumplimiento de lo dispuesto por el artículo 28.3 del RGPD, tales situaciones estarían reguladas por los siguientes aspectos:

1. Objeto del encargo del tratamiento: mediante las presentes cláusulas se habilita a Lantek, encargado del tratamiento, para tratar por cuenta del responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio objeto del presente contrato.

El tratamiento consistirá, según la solicitud realizada por el responsable del tratamiento, en la conexión en remoto por parte de Lantek a los sistemas de aquel a fin de gestionar la personalización, incidencia técnica comunicada o, en su caso, para personalizar el programa o determinadas funcionalidades.

Para ello, la conexión por parte de Lantek se realizará mediante programas de conexión remota, ya sean propios, de terceros o incluso del propio responsable del tratamiento, siempre previa solicitud y autorización por su parte. En tal caso, Lantek no incorporará los datos a sus sistemas o soportes, distintos a los del responsable del tratamiento.

No obstante, es posible que la correcta solución de la personalización o incidencia técnica exija un especial análisis, lo cual podría implicar que el responsable del tratamiento facilite a Lantek la base de datos afectada a través del área privada del sitio web de Lantek, en cuyo caso este la incorporará a sus sistemas, ajenos a los del responsable del tratamiento, lo hará constar en su Registro de Actividades del tratamiento y adoptará las medidas de seguridad correspondientes a dicho tratamiento.

En uno u otro supuesto, los tratamientos a realizar por parte de Lantek con los datos a los que acceda fruto de la prestación del servicio contratado serán: registro, estructuración, consulta, análisis y, en su caso, devolución al responsable del tratamiento con su posterior destrucción.

2. Identificación de la información afectada: para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición de Lantek, encargado del tratamiento, los datos identificativos y profesionales que estén alojados en las secciones correspondientes del programa objeto del presente contrato, refiriéndose principalmente a datos de sus clientes, proveedores, empleados y contactos empresariales.

3. Duración: la duración de este tipo tratamiento de datos será la contemplada en el presente contrato o en su periodo de garantía.

Una vez finalice el presente contrato, se procederá conforme indica el apartado “r” de esta cláusula.

4. Obligaciones del encargado del tratamiento: el encargado del tratamiento y todo su personal se obliga a:

  • Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios ni para finalidades diferentes a las contempladas en el presente contrato.
  • Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
    Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
    En caso de no tener clara alguna instrucción del responsable sobre el modo en que ha de actuar el encargado respecto a los datos de carácter personal a los que tenga acceso, antes de realizar tratamiento de datos alguno, deberá ponerse en contacto con el responsable del fichero y aclarar la citada instrucción.
  • Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
    • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
    • Las categorías de tratamientos efectuados por cuenta de cada responsable.
    • En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
    • Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      • La seudonimización y el cifrado de datos personales.
      • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
        A efectos de poder comprobar que el encargado del tratamiento ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento Europeo de Protección de Datos y garantice la protección de los derechos del interesado, el responsable del tratamiento podrá requerir a Lantek un certificado de las medidas de seguridad que implementa en relación al tratamiento de datos de los que el aquel es responsable.
    • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
      El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad (denominación social, CIF y dirección) a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación, previo análisis del riesgo de la citada comunicación y del tipo de datos de carácter personal objeto de transmisión.
      Si el encargado del tratamiento debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
      En lo que se refiere a la transferencia internacional de datos, el encargado del tratamiento deberá notificar al responsable del tratamiento y acreditar por escrito el cumplimiento de los requisitos exigidos por la normativa vigente en materia de protección de datos antes de proceder a dicha transferencia, asegurándose de que la entidad que reciba los datos otorgará la misma seguridad y cumplirá con todos los requisitos exigidos por el Reglamento Europeo de Protección de Datos.
    • Subcontratación. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
      Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 15 días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto (como mínimo, denominación social, CIF, dirección y objeto social). La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.
      El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
    • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
    • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
    • Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
    • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
    • Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
      • Acceso, rectificación, supresión y oposición.
      • Limitación del tratamiento.
      • Portabilidad de datos.
      • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
        Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección que el responsable del tratamiento le indique.
        La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
    • Derecho de información. Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
    • Notificación de violaciones de seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de la dirección de correo electrónico que el responsable del tratamiento le indique, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
      No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
      Si se dispone de ella se facilitará, como mínimo, la información siguiente:
      • Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
      • El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
      • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
      • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
    • Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
      Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
      La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:
      • Explicar la naturaleza de la violación de datos.
      • Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
      • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
      • Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
    • Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
    • Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
    • Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
    • Realizar una evaluación de los riesgos que para los datos personales implica el tratamiento de datos que Lantek realizará por cuenta del responsable del tratamiento e implantar las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
      En todo caso, deberá implantar mecanismos para:
      • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      • Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
      • Seudonimizar y cifrar los datos personales, en su caso.
    • Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
    • Destino de los datos. Destruir los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.
      No obstante, se indica que en caso de que el responsable del tratamiento facilite a Lantek datos personales para realizar alguna personalización, solucionar alguna incidencia técnica o cualquier otra intervención, esta se los devolverá a aquel una vez solucionada.
      Ello sin perjuicio de que Lantek pueda conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

5. Obligaciones del responsable del tratamiento: corresponde al Cliente:

  • Entregar al encargado los datos a los que se refiere el apartado “2. – Identificación de la información afectada”.
  • Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
  • Realizar las consultas previas que corresponda.
  • Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
  • Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.