1. Alcance
La presente política tiene por objeto presentar los compromisos de Pluris Investments S.A. (en adelante, PLURIS o el Grupo1 en relación con la gestión de la privacidad y la protección de los datos personales de los interesados cuyo tratamiento es de su responsabilidad y dar respuesta a las exigencias del Reglamento General de Protección de Datos2 y de la respectiva legislación nacional de aplicación3
También se pretende demostrar cómo se tratarán los datos personales en el contexto de la actividad desarrollada por el Grupo y sus empleados, a través de la definición de normas internas que cumplan con los requisitos exigidos por el Reglamento, a saber, legitimación, tratamiento y conservación.
Todos los datos personales serán tratados y gestionados bajo los términos de la presente política en conjunto con la Política de Seguridad de la Información, teniendo en cuenta un inventario realizado y actualizado de dichos datos personales.
2. Funciones y responsabilidades
La Dirección de Pluris velará por que esta política esté alineada con la estrategia del Grupo, con el fin de asegurar su mejora continua en materia de seguridad y privacidad de la información.
El Delegado de Protección de Datos (DPO) es responsable de garantizar el cumplimiento de los requisitos del Reglamento de forma continua y sistemática, que se cumplan todos los derechos de los interesados y que se pongan en práctica los controles de seguridad adecuados para los fines aquí definidos.
La Dirección de PLURIS designa y asigna al Delegado de Protección de Datos (o «DPO») las funciones y responsabilidades descritas anteriormente en relación con todas las empresas del Grupo.
Todos los empleados del Grupo, así como sus subcontratistas -según les corresponda- tienen la responsabilidad de colaborar, cumplir y hacer cumplir los compromisos de esta política.
En el caso de los buques fluviales y de navegación marítima, también existe la definición de «DPO local» por buque, cuya misión es ejercer las funciones de un DPO local cuando los buques se encuentren en situación de crucero, y que actuará de acuerdo con las normas de esta política.
1 Se entenderá por Grupo todas las sociedades que inviertan, directa o indirectamente, en al menos el 10% de su capital social por la sociedad Pluris Investments, S.A.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y modificaciones posteriores;
3 Ley n.º 58/2019, de 8 de agosto (y sus posteriores modificaciones) que garantiza la aplicación del Reglamento General de Protección de Datos en el ordenamiento jurídico nacional.
3. Titulares de datos personales
Para la ejecución de sus actividades y los fines de tratamiento asociados, Pluris recopila datos personales de las siguientes fuentes:
- Clientes corporativos por contrato
- Clientes registrados a través de herramientas web
- Adquisición de clientes por emisión de entradas
- Empleados internos y proveedores de servicios contratados
- Proveedores y prestadores de servicios
- Visitantes a instalaciones físicas o náuticas
4. Garantía de confidencialidad y privacidad de los datos personales
Los datos personales identificados en esta Política serán tratados por Pluris como responsable del tratamiento de los datos personales.
Con el fin de garantizar la confidencialidad y privacidad de los datos, el Grupo garantiza que solo podrán acceder a ellos los empleados formalmente autorizados para el desempeño de sus funciones.
Las responsabilidades de cada empleado en materia de Seguridad, Privacidad y Protección de Datos Personales se detallan en los contratos suscritos con Pluris, incluyendo las obligaciones de confidencialidad y secreto a las que están vinculados.
5. Identificación del responsable del tratamiento de los datos personales
El responsable del tratamiento de los datos personales es Pluris Investments, S.A.com domicilio social en Rua de Miragaia 103, 4050-387, Oporto, Portugal, con número de registro de persona jurídica 508 767 881.
El grupo PLURIS lidera un grupo de empresas a las que son de aplicación las responsabilidades y obligaciones derivadas de la presente Política.
6. Evaluación de impacto de la protección de datos
En los casos en que las operaciones de tratamiento de datos puedan dar lugar a un riesgo cuyo nivel no sea aceptado por el grupo, PLURIS realizará, antes del inicio del tratamiento, una evaluación de impacto con el objetivo de identificarlos y tratarlos.
7. Recopilación, procesamiento, intercambio y retención de datos personales
a) Recopilación de datos personales
1. Para situaciones que no involucran herramientas web
Los datos personales se recopilan directamente de las siguientes maneras:
- Solicitudes espontáneas o respuesta a ofertas de trabajo con Curriculum Vitae compartido
- Llenado de formularios en papel
- Captura de imágenes y vídeos en instalaciones fijas y a bordo de embarcaciones marítimas o fluviales
- Datos biométricos
- Correo electrónico
- Teléfono (en el caso de empleados)
- En la compra de billetes, comercialización de productos u otros materiales adquiridos en tiendas físicas o en barcos del Grupo, incluidos los servicios de restauración
Los datos personales pueden recopilarse indirectamente de las siguientes maneras:
- Importación del contenido del Curriculum Vitae para el registro de registro de recursos humanos.
- Importación de datos con responsabilidad compartida con los socios comerciales contratados
- Puntos de venta, servicios de catering o similares
- Empresas de selección de solicitantes de empleo
- Empresas de servicios médicos
- Compañías de Servicios de Seguros de Vida
La recogida de datos personales sensibles sólo se llevará a cabo en los casos estrictamente necesarios y justificables por la actividad desarrollada por PLURIS y su Grupo y de conformidad con la legislación vigente.
2. Para situaciones que involucran herramientas web
Los datos personales se recopilan directamente a través de las herramientas web oficiales de la organización, es decir, sitios web de compras en línea, o indirectamente a través de herramientas de automatización de marketing y publicidad en línea de socios subcontratistas debidamente autorizados y en pleno cumplimiento de nuestra política de gestión de privacidad de datos personales.
Los cobros indirectos también pueden producirse a través de socios subcontratados en relación con la realización de pedidos, es decir, la adquisición de entradas para el acceso a exposiciones o servicios de la empresa.
La política de gestión de cookies complementa este tema presentando las opciones de «opt-in» y «opt-out» que están disponibles para este componente de los sitios web.
El titular de los datos personales también puede darse de baja de los servicios de publicidad en línea en las herramientas sociales, a saber, Facebook, Google Ads, Instagram y Linkedin.
Pluris garantiza que ningún formulario manual o informático dispondrá de opciones previamente cumplimentadas, y todas las alternativas serán seleccionadas por el interesado.
Los datos personales se recopilarán sobre la base de los fundamentos legales establecidos en esta política y en cumplimiento del principio de minimización.
b) Tratamiento de datos personales
1. Para situaciones que no involucran herramientas web
No se utilizarán datos personales con el fin de crear y utilizar perfiles de ventas o indicadores de productos, regiones o tendencias.
2. Para situaciones que involucran herramientas web
Dichas actividades incluyen:
c) Intercambio de datos personales
1. Para situaciones que no involucran herramientas web
Además de las finalidades de intercambio que se describen a continuación, no se podrán llevar a cabo otras finalidades, salvo autorización previa y expresa del Delegado de Protección de Datos.
Finalidades derivadas de la actividad de Pluris Investment SA y de las sociedades de su Grupo, entre otras:
– Seguridad social;
– Comunicación con la Autoridad Tributaria, Aduanas u otras entidades legales;
-Comunicación de quejas o violaciones de privacidad;
– Comunicación con el DPD;
– Seguridad portuaria y control migratorio;
– Registro laboral y nómina;
– Emisión del certificado médico para fines marítimos o similares;
– Cumplimiento de las obligaciones registrales y sindicales;
– Creación y registro de póliza de seguro;
– Cumplimiento de obligaciones fiscales y aduaneras.
Los datos personales podrán ser compartidos con entidades subcontratadas para los fines antes mencionados, en los términos de los contratos celebrados con ellas. Pluris solo utiliza procesadores que garantizan, de acuerdo con la ley, la implementación de medidas técnicas y organizativas apropiadas para la protección de sus datos a través de acuerdos de subcontratación, asegurando así la defensa de sus derechos en virtud de la ley de protección de datos aplicable.
El intercambio de datos clasificados como sensibles solo se llevará a cabo con personas jurídicas, socios, proveedores de servicios médicos y similares.
Por regla general, este intercambio de datos tendrá lugar dentro de Europa.
Existen situaciones específicas que requieren el intercambio de datos por parte de entidades fuera del espacio europeo, a saber:
- Con las autoridades portuarias: a efectos de seguridad y control migratorio en los cruceros de navegación marítima, de acuerdo con las disposiciones legales aplicables.
- Con las empresas del Grupo: para apoyar actividades de interés legítimo, asegurando la minimización del tratamiento de datos personales
2. Para situaciones que involucran herramientas web
Además de las finalidades de intercambio que se describen a continuación, no se podrán llevar a cabo otras finalidades, salvo autorización previa y expresa del Delegado de Protección de Datos.
Finalidades derivadas de la comercialización, pagos electrónicos y otros servicios que impliquen el uso de herramientas electrónicas:
– Realización de campañas publicitarias
– Publicidad en lugares virtuales como Google Ads, Facebook, Instagram y Linkedin;
– Necesidades operativas en la interconexión con HiPay y PayPal y otras pasarelas de pago electrónico utilizando tarjetas de crédito;
– Envío de novedades, campañas y ofertas personalizadas al cliente
Los datos se comparten con subcontratistas formalmente autorizados con fines de marketing digital, y los datos personales involucrados en estos compartidos están sujetos al consentimiento del propietario respectivo, con la posibilidad de optar por no participar en cualquier momento.
Estos recursos compartidos pueden dar lugar a transferencias de datos fuera del espacio europeo, en el caso de segmentación de campañas de marketing digital con socios subcontratados intercontinentales. En estos casos, la organización se encargará de implementar controles de seguridad adecuados a cada situación de riesgo identificada, así como de asegurar la garantía de la ejecución incondicional de sus derechos y de todos los requisitos del Reglamento General de Protección de Datos.
d) Conservación de datos personales
El período de tiempo durante el cual se almacenarán los datos personales varía según el propósito para el que se procesan los datos.
Se entiende por conservación el almacenamiento seguro de datos, en formato digital o papel, asegurando las condiciones de gestión de acceso para garantizar la confidencialidad, integridad, disponibilidad de la información y el no repudio, así como su conservación en las condiciones de uso adecuadas según el tiempo definido.
Se cumplirán los requisitos legales que exigen la conservación de los datos personales durante un período mínimo para cada finalidad.
Cuando no se imponga dicho período mínimo, los datos personales se conservarán solo durante el período estrictamente necesario para la consecución de los fines para los que los datos fueron recopilados o procesados posteriormente o, en su caso, durante el período determinado por la autoridad competente en materia de protección de datos, después del cual los datos se eliminarán permanentemente en modo seguro.
8. Uso y finalidad de las cookies:
Las cookies se utilizan para personalizar el contenido y los anuncios de acuerdo con las características del visitante, interactuar con las funciones de las redes sociales, analizar el tráfico del sitio web, así como respaldar los controles de seguridad implementados.
Dependiendo de las elecciones del visitante de las páginas de los sitios web, los datos pueden compartirse con nuestros socios de redes sociales, con fines publicitarios, para el análisis del tráfico y la navegación a través de las páginas de los sitios web y las herramientas de redes sociales dentro del alcance de esta política.
En ningún caso se recogerán datos personales a través de cookies.
a) Tipos de cookies:
Las cookies son archivos de texto que pueden ser utilizados por los sitios web para hacer que la experiencia del usuario sea más eficiente.
De acuerdo con la legislación vigente, las cookies pueden almacenarse y operarse en el equipo al que el visitante accede si son estrictamente necesarias para el funcionamiento del sitio web.
Para todos los demás tipos de cookies, permitimos que el interesado ejerza su derecho al consentimiento informado.
Algunas cookies pueden ser instaladas automáticamente por nuestros socios comerciales, siempre de forma explícita para el visitante.
b) Los sitios web pueden utilizar los siguientes tipos de cookies:
Ba) Requerido
Las cookies necesarias apoyan la ejecución de funciones básicas como la navegación entre páginas y su trazabilidad.
Es importante tener en cuenta que es posible que el sitio web no funcione correctamente sin estas cookies y, como tales, se consideran fundamentales y justificadas.
bb) Estadístico o funcional
Las cookies estadísticas ayudan al operador del sitio web a comprender cómo interactúa el visitante con las páginas que lo componen, recopilando y procesando información de forma anónima.
BC) Comercialización
Las cookies de marketing se utilizan para rastrear el acceso del visitante y la secuencia de uso de la página.
Permiten la personalización de anuncios u otros materiales de marketing que sean relevantes y atractivos para el visitante, haciendo que la experiencia de navegación sea más personalizada y dinámica.
El visitante del sitio web, y como tal titular de datos personales, debe seleccionar, en cada casilla disponible, el tipo de cookies que autoriza.
Al hacer clic en el botón «Acepto», usted reconoce la aceptación de esta política de cookies y la confirmación de la autorización para el tipo de cookies seleccionadas.
9. Derechos de los titulares
Se garantizarán a los interesados las condiciones para el ejercicio de sus derechos previstas en el Reglamento General de Protección de Datos.
El Delegado de Protección de Datos designado por el grupo estará involucrado en todos los temas relacionados con la protección de datos personales, y deberá ser puesto por escrito preferentemente a través de la dirección de correo electrónico dpo.mysticinvest@mysticinvest.com todas las cuestiones que los titulares de los datos personales consideren necesarias.
Si el interesado desea presentar una queja o denunciar una violación de la privacidad, el interesado puede comunicarse por correo electrónico complaint.mysticinvest@mysticinvest.com o directamente con la autoridad de control de su elección.
Alternativamente, el interesado tendrá a su disposición un portal de comunicación web, donde podrá llevar a cabo todas las interacciones mencionadas anteriormente y obtener información sobre la tramitación de dichas solicitudes.
Tras el registro de una denuncia o violación de la privacidad, el Grupo se compromete a informar al interesado de cada paso y avance en el proceso de presentación de una reclamación, sin perjuicio del cumplimiento de los plazos definidos por la normativa.
10. Revisión y mejora continua
Esta política será revisada anualmente, o cada vez que existan cambios significativos en el inventario de datos personales y/o en los soportes informáticos o documentales.
Cada una de estas revisiones dará lugar a una nueva versión de este documento.
11. Difusión y publicación
La Política de Gestión de Privacidad está clasificada como información de acceso público. (cf. Política de clasificación de la información) y estará disponible para su consulta a través de Internet, ya sea en la página web institucional, en las herramientas de Internet de apoyo al negocio y también en las redes sociales del grupo.
Durante el proceso de onboarding, se dará a conocer esta Política a los nuevos empleados, así como la participación obligatoria de aquellos en las acciones de formación y concienciación en materia de seguridad, privacidad y protección de datos personales que formarán parte del proceso de onboarding.
Después de la publicación y difusión de la política, los empleados están obligados a:
➢ Proteger los activos de información a su cargo;
➢ Colaborar en la gestión de su riesgo;
➢ Participar en cualquier evento que pueda poner en peligro la seguridad de la información;
➢ Cumplir y hacer cumplir esta política.
Los empleados podrán consultar esta Política en cualquier momento a través de la plataforma de gestión documental de la red interna del grupo.
Las entidades/empleados que, por motivos inherentes a su función, no tengan acceso a la plataforma, conocerán esta política compartiéndola en el formato adecuado para cada caso.
12. Vigencia de la Póliza
Esta política ha sido aprobada por el Consejo de Administración del Grupo Pluris y entra en vigor en la fecha de su publicación.
Cualquier cambio posterior entrará en vigor inmediatamente después de su publicación.
