Política de privacidad
1. Ámbito de aplicación
El objeto de esta política es presentar los compromisos de Pluris Investments S.A. (en adelante PLURIS o el Grupo1 ) en relación con la gestión de la privacidad y la protección de los datos personales de los interesados cuyo tratamiento es de su responsabilidad y responder a las exigencias 2 del Reglamento General de Protección de Datos y la respectiva legislación nacional de aplicación3.
También tiene por objeto demostrar cómo se tratarán los datos personales en el contexto de la actividad desarrollada por el Grupo y sus empleados, mediante la definición de normas internas que cumplan los requisitos exigidos por el Reglamento, a saber, legitimación, tratamiento y conservación.
Todos los datos personales serán tratados y gestionados en los términos de esta política en conjunción con la Política de Seguridad de la Información, teniendo en cuenta un inventario realizado y actualizado de dichos datos personales.
2. Funciones y responsabilidades
La Dirección de Pluris velará por que esta política esté alineada con la estrategia del Grupo, con el fin de garantizar su mejora continua en materia de seguridad y privacidad de la información.
El responsable de la protección de datos (RPD) es responsable de garantizar el cumplimiento de los requisitos del Reglamento de forma continua y sistemática, de que se respeten todos los derechos de los interesados y de que se apliquen los controles de seguridad adecuados para los fines definidos en el presente Reglamento.
La Dirección de PLURIS designa y asigna al Responsable de Protección de Datos (o «RPD») las funciones y responsabilidades descritas anteriormente en relación con todas las compañías del Grupo.
Todos los empleados del Grupo, así como sus subcontratistas -según les corresponda- tienen la responsabilidad de colaborar, cumplir y hacer cumplir los compromisos de esta política.
En el caso de los barcos fluviales y marítimos, también existe la definición de un «RPD local» por barco, cuya misión es ejercer las funciones de un RPD local cuando los barcos se encuentren en situación de crucero, y que actuará de acuerdo con las normas de esta política.
1 Se entenderá por Grupo todas las sociedades que estén participadas, directa o indirectamente, en al menos un 10% de su capital social por la sociedad Pluris Investments, S.A.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y sus modificaciones posteriores.
3 Ley nº 58/2019, de 8 de agosto (y sus posteriores modificaciones) que garantiza la implementación del Reglamento General de Protección de Datos en el ordenamiento jurídico nacional.
3. Sujetos de los datos
Para la ejecución de sus actividades y fines de procesamiento asociados, Pluris recopila datos personales de las siguientes fuentes:
- Clientes con contrato empresarial
- Clientes registrados a través de herramientas web
- Clientes por adquisición de billetes
- Empleados internos y proveedores de servicios contratados
- Proveedores y prestadores de servicios
- Visitantes de instalaciones físicas o náuticas
4. Garantía de confidencialidad y privacidad de los datos personales
Los datos personales identificados en esta Política serán tratados por Pluris como responsable del tratamiento de datos personales.
Con el fin de garantizar la confidencialidad y privacidad de los datos, el Grupo asegura que solo accederán a ellos los empleados formalmente autorizados para el ejercicio de sus funciones.
Las responsabilidades de cada empleado en materia de Seguridad, Privacidad y Protección de Datos de Carácter Personal se detallan en los contratos suscritos con Pluris, incluyendo las obligaciones de confidencialidad y secreto a las que están sujetos.
5. Identificación de la persona responsable del tratamiento de los datos personales
El responsable del tratamiento de los datos personales es Pluris Investments, S.A.com con domicilio social en Rua de Miragaia 103, 4050-387, Porto, Portugal, con número de registro de persona jurídica 508 767 881.
El grupo PLURIS lidera un conjunto de empresas a las que son aplicables las responsabilidades y obligaciones derivadas de la presente Política.
6. Evaluación de impacto de la protección de datos
En los casos en que las operaciones de tratamiento de datos puedan dar lugar a un riesgo cuyo nivel no sea aceptado por el grupo, PLURIS llevará a cabo, antes del inicio del tratamiento, una evaluación de impacto con el fin de identificarlos y tratarlos.
7. Recogida, tratamiento, intercambio y conservación de datos personales
a) Recogida de datos personales
1. Para situaciones que no implican herramientas web
Los datos personales se recogen directamente de las siguientes maneras:
- Postulaciones espontáneas o respuesta a ofertas de empleo compartiendo el currículum vitae
- Relleno de formularios en papel
- Captura de imágenes y vídeos en instalaciones fijas y a bordo de embarcaciones marítimas o fluviales
- Datos biométricos
- Correo electrónico
- Teléfono (en el caso de los empleados)
- En la compra de billetes, productos de marketing u otros materiales adquiridos en tiendas físicas o en barcos del Grupo, incluidos los servicios de restauración.
Los datos personales pueden recogerse indirectamente de las siguientes maneras:
- Importación del contenido del Currículum Vitae para la ficha de registro de recursos humanos.
- Importación de datos con responsabilidad compartida con los socios comerciales contratados
- Puntos de venta, servicios de catering o similares
- Empresas de selección de solicitantes de empleo
- Empresas de servicios médicos
- Empresas de seguros de vida
La recogida de datos personales sensibles solo se llevará a cabo en los casos estrictamente necesarios y justificados por la actividad desarrollada por PLURIS y su Grupo y de conformidad con la legislación vigente.
2. Para situaciones que implican herramientas web
Los datos personales se recogen directamente a través de las herramientas web oficiales de la organización, a saber, sitios web de compras en línea, o indirectamente a través de herramientas de automatización de marketing y publicidad en línea de socios subcontratantes debidamente autorizados y en pleno cumplimiento de nuestra política de gestión de la privacidad de los datos personales.
También pueden producirse cobros indirectos a través de socios subcontratistas en relación con la realización de pedidos, concretamente, la adquisición de entradas para acceder a exposiciones o servicios de la compañía.
La política de gestión de cookies complementa este tema presentando las opciones de «opt-in» y «opt-out» disponibles para este componente de los sitios web.
El titular de los datos personales también puede «darse de baja» de los servicios de publicidad en línea en herramientas sociales, a saber, Facebook, Google Ads, Instagram y Linkedin.
Pluris garantiza que ningún formulario manual o informatizado tendrá opciones previamente rellenadas, y todas las alternativas serán seleccionadas por el interesado.
Los datos personales se recogerán sobre la base de los fundamentos jurídicos expuestos en esta política y respetando el principio de minimización.
b) Tratamiento de datos personales
1. Para situaciones que no implican herramientas web
No se utilizarán datos personales para crear y utilizar perfiles de ventas o indicadores de productos, regiones o tendencias.
2. Para situaciones que implican herramientas web
Dichas actividades incluyen:
c) Intercambio de datos personales
1. Para situaciones que no implican herramientas web
Además de los fines de compartición descritos a continuación, no se podrán llevar a cabo otros fines, salvo autorización previa y expresa del Responsable de Protección de Datos.
Fines derivados de la actividad de Pluris Investment SA y las empresas de su Grupo, entre otros:
– Seguridad social;
– Comunicación con Hacienda, Aduanas u otras entidades jurídicas;
– Comunicación de quejas o violaciones de la privacidad;
– Comunicación con el RPD;
– Seguridad portuaria y control de inmigración;
– Registro laboral y nóminas;
– Emisión del certificado médico para fines marítimos o similares;
– Cumplimiento de las obligaciones registrales y sindicales;
– Creación y registro de pólizas de seguros;
– Cumplimiento de las obligaciones fiscales y aduaneras.
Los datos de carácter personal podrán ser compartidos con entidades subcontratadas para las finalidades referidas anteriormente, en los términos de los contratos suscritos con las mismas. Pluris solo utiliza procesadores que garantizan, de conformidad con la ley, la aplicación de medidas técnicas y organizativas adecuadas para la protección de sus datos a través de acuerdos de subcontratación, garantizando así la defensa de sus derechos en virtud de la legislación aplicable en materia de protección de datos.
El intercambio de datos clasificados como sensibles solo se llevará a cabo con personas jurídicas, socios, proveedores de servicios médicos y similares.
Por regla general, este intercambio de datos tendrá lugar dentro de Europa.
Existen situaciones específicas que requieren la puesta en común de datos para entidades fuera del espacio europeo, a saber:
• Con las autoridades portuarias: a efectos de seguridad y control de inmigración en cruceros marítimos, de conformidad con las disposiciones legales aplicables.
• Con empresas del Grupo: para apoyar actividades de interés legítimo, garantizando la minimización del tratamiento de datos personales
2. Para situaciones en las que intervienen herramientas web
Además de los fines de compartición descritos a continuación, no se podrán llevar a cabo otros fines, salvo autorización previa y expresa del Responsable de Protección de Datos.
Fines derivados de la comercialización, los pagos electrónicos y otros servicios que impliquen el uso de herramientas electrónicas:
– Realización de campañas publicitarias;
– Publicidad en lugares virtuales como Google Ads, Facebook, Instagram y Linkedin;
– Necesidades operativas en la interconexión con HiPay y Paypal y otras plataformas de pago electrónico con tarjetas de crédito;
– Envío de noticias, campañas y ofertas personalizadas al cliente.
Los datos se comparten con subcontratistas formalmente autorizados para fines de marketing digital, y los datos personales implicados en estas acciones están sujetos al consentimiento del propietario respectivo, con la posibilidad de exclusión voluntaria en cualquier momento.
Estas acciones pueden dar lugar a transferencias de datos fuera del espacio europeo, en el caso de segmentación de campañas de marketing digital con socios subcontratistas intercontinentales. En estos casos, la organización se ocupará de implementar controles de seguridad adecuados a cada situación de riesgo identificada, así como de asegurar la garantía de la ejecución incondicional de sus derechos y todos los requisitos del Reglamento General de Protección de Datos.
d) Conservación de datos personales
El periodo de conservación de los datos personales varía en función de la finalidad del tratamiento de los mismos.
Se entiende por conservación el almacenamiento seguro de los datos, en formato digital o papel, asegurando las condiciones de gestión de acceso para garantizar la confidencialidad, integridad, disponibilidad de la información y no repudio, así como su preservación en las condiciones adecuadas de uso según el tiempo definido.
Se cumplirán los requisitos legales que exijan la conservación de los datos personales durante un período mínimo para cada finalidad.
Cuando no se imponga dicho período mínimo, los datos personales solo se conservarán durante el período estrictamente necesario para la consecución de los fines para los que se recogieron o se tratan posteriormente o, en su caso, durante el período determinado por la autoridad competente en materia de protección de datos, transcurrido el cual los datos se suprimirán definitivamente de modo seguro.
8. Uso y finalidad de las cookies
Las cookies se utilizan para personalizar el contenido y la publicidad en función de las características del visitante, interactuar con las redes sociales, analizar el tráfico del sitio web y apoyar los controles de seguridad implementados.
En función de las elecciones del visitante de las páginas de los sitios web, los datos podrán compartirse con nuestros socios de medios sociales, con fines publicitarios, para el análisis del tráfico y la navegación por las páginas de los sitios web y las herramientas de medios sociales en el ámbito de esta política.
En ningún caso se recopilarán datos personales a través de cookies.
a) Tipos de cookies:
Las cookies son archivos de texto que pueden ser utilizados por los sitios web para hacer más eficiente la experiencia del usuario.
De conformidad con la legislación vigente, las cookies pueden almacenarse y funcionar en el equipo al que accede el visitante si son estrictamente necesarias para el funcionamiento del sitio web.
Para todos los demás tipos de cookies, permitimos que el interesado ejerza su derecho al consentimiento informado.
Algunas cookies pueden ser instaladas automáticamente por nuestros socios comerciales, siempre de forma explícita para el visitante.
b) Los sitios web pueden utilizar los siguientes tipos de cookies:
Ba) Requeridas
Las cookies necesarias apoyan la ejecución de funciones básicas como la navegación entre páginas y su trazabilidad.
Es importante señalar que el sitio web no podría funcionar correctamente sin estas cookies, por lo que se consideran fundamentales y justificadas.
Bb) Estadísticas o funcionales
Las cookies estadísticas ayudan al operador del sitio web a comprender cómo interactúa el visitante con las páginas que lo componen, recogiendo y procesando información de forma anónima.
Bc) De marketing
Las cookies de marketing se utilizan para rastrear el acceso y la secuencia de uso de la página por parte del visitante.
Permiten personalizar los anuncios u otros materiales de marketing que se muestran y que son relevantes y atractivos para el visitante, haciendo que la experiencia de navegación sea más personalizada y dinámica.
El visitante del sitio web, y como tal titular de datos personales, debe seleccionar, en cada casilla disponible, el tipo de cookies que autoriza.
Al hacer clic en el botón «Acepto», reconoce la aceptación de esta política de cookies y la confirmación de la autorización para el tipo de cookies seleccionadas.
9. Derechos de los titulares
Se garantizará a los titulares de los datos las condiciones de ejercicio de sus derechos previstas en el Reglamento General de Protección de Datos.
El Delegado de Protección de Datos designado por el grupo intervendrá en todas las cuestiones relacionadas con la protección de datos de carácter personal, debiendo realizarse preferentemente por escrito a través de la dirección de correo electrónico dpo.mysticinvest@mysticinvest.com todas las cuestiones que los titulares de datos de carácter personal consideren necesarias.
Si el interesado desea presentar una queja o denunciar una violación de la privacidad, puede comunicarse por correo electrónico a complaint.mysticinvest@mysticinvest.com o directamente con la autoridad de control de su elección.
Alternativamente, el interesado tendrá a su disposición un portal de comunicación web, en el que podrá realizar todas las interacciones mencionadas anteriormente y obtener información sobre la tramitación de dichas solicitudes.
Tras el registro de una reclamación o violación de la privacidad, el Grupo se compromete a informar al interesado de cada paso y avance en el proceso de presentación de una reclamación, sin perjuicio del cumplimiento de los plazos definidos por la normativa.
10. Revisión y mejora continua
Esta política se revisará anualmente, o siempre que se produzcan cambios significativos en el inventario de datos personales y/o en los soportes informáticos o documentales.
Cada una de estas revisiones dará lugar a una nueva versión de este documento.
11. Difusión y publicación
La Política de Gestión de la Privacidad está clasificada como información de acceso público. (cf. Política de clasificación de la información) y estará disponible para su consulta a través de Internet, ya sea en la página web institucional, en las herramientas de Internet de apoyo a la actividad y también en las redes sociales del grupo.
Durante el proceso de incorporación, se dará a conocer esta Política a los nuevos empleados, así como la participación obligatoria de éstos en las acciones de formación y concienciación sobre seguridad, privacidad y protección de datos personales que formarán parte del proceso de incorporación.
Tras la publicación y difusión de la Política, los empleados están obligados a:
➢ Proteger los activos de información a su cargo;
➢ Colaborar en la gestión de su riesgo;
➢ Participar en cualquier evento que pueda poner en peligro la seguridad de la información;
➢ Cumplir y hacer cumplir esta política.
Los empleados pueden consultar esta Política en cualquier momento a través de la plataforma de gestión documental de la red interna del grupo.
Las entidades/empleados que, por razones inherentes a su función, no tengan acceso a la plataforma, conocerán esta política compartiéndola en el formato adecuado para cada caso.
12. Duración de la política:
Esta política ha sido aprobada por el Consejo de Directores del Grupo Pluris y entra en vigor en la fecha de su publicación.
Cualquier cambio posterior entrará en vigor inmediatamente después de su publicación.