Política de protección de datos de intrusión de Acre

Fecha 15 de mayo de 2024

Versión 1.1

Esta Política de privacidad explica cómo Vanderbilt International GmbH y sus filiales («Vanderbilt» o «nosotros») recopilan, almacenan, utilizan, divulgan, comparten y transfieren su información.

LEA DETENIDAMENTE ESTA DECLARACIÓN DE PRIVACIDAD ANTES DE UTILIZAR TODO EL SITIO WEB, EL SOFTWARE Y LOS SERVICIOS DE VANDERBILT (EN CONJUNTO, LOS «SERVICIOS DE VANDERBILT»). AL UTILIZAR LOS SERVICIOS DE VANDERBILT, USTED ACEPTA ESTA POLÍTICA DE PRIVACIDAD Y ACEPTA LA RECOPILACIÓN, EL ALMACENAMIENTO, EL USO, LA DISTRIBUCIÓN, EL INTERCAMBIO Y LA TRANSFERENCIA DE SUS DATOS DE ACUERDO CON ESTA POLÍTICA DE PRIVACIDAD. PODEMOS MODIFICAR ESTA POLÍTICA DE PRIVACIDAD EN CUALQUIER MOMENTO, SIEMPRE QUE DETERMINADAS DISPOSICIONES DE ESTA POLÍTICA DE PRIVACIDAD ESTÉN INCOMPLETAS U OBSOLETAS Y QUE DICHOS CAMBIOS REDUNDEN EN BENEFICIO DE SUS INTERESES. SI REALIZAMOS CAMBIOS SIGNIFICATIVOS EN ESTA DECLARACIÓN DE PRIVACIDAD, PUBLICAREMOS LA NUEVA VERSIÓN EN EL SITIO WEB, QUE ENTRARÁ EN VIGOR DE INMEDIATO.

Introducción

El propósito de este documento es proporcionar una declaración de política concisa sobre las obligaciones de protección de datos de Vanderbilt International con respecto al producto Acre Intrusion Connect. Esto incluye las obligaciones relacionadas con el tratamiento de los datos personales, a fin de garantizar que la organización cumpla con los requisitos de la legislación pertinente, es decir, el RGPD. https://www.eugdpr.org/

Justificación

Vanderbilt International debe cumplir con los principios de protección de datos establecidos en la legislación pertinente. Esta Política se aplica a todos los datos personales recopilados, procesados y almacenados por Vanderbilt International en relación con sus proveedores de servicios y clientes en el transcurso de sus actividades.

Alcance

La política cubre tanto los datos personales como los sensibles que se encuentran en relación con los interesados. La política se aplica por igual a los datos personales almacenados de forma manual y automatizada.

Vanderbilt International tratará todos los datos personales y confidenciales con el mismo cuidado. Ambas categorías se denominarán igualmente datos personales en esta política, a menos que se indique específicamente lo contrario.

Esta política debe leerse junto con el procedimiento de solicitud de acceso del interesado asociado, la Política de retención y destrucción de datos, la lista de períodos de retención de datos y el procedimiento de notificación de pérdida de datos.

Vanderbilt International como responsable del tratamiento de datos

En el transcurso de sus actividades organizativas diarias, Vanderbilt International adquiere, procesa y almacena datos personales en relación con:

• Clientes de Vanderbilt International
• Proveedores de servicios externos contratados con Vanderbilt International

De acuerdo con el GDPR, estos datos deben adquirirse y gestionarse de manera justa. No se espera que todos los miembros del personal sean expertos en la legislación de protección de datos. Sin embargo, Vanderbilt International se compromete a garantizar que su personal conozca suficientemente la legislación para poder anticipar e identificar un problema de protección de datos, en caso de que surja. En tales circunstancias, el personal debe asegurarse de que el oficial de protección de datos esté informado, a fin de garantizar que se tomen las medidas correctivas adecuadas.

Debido a la naturaleza de los servicios proporcionados por Vanderbilt International, existe un intercambio regular y activo de datos personales entre Vanderbilt International y sus sujetos de datos. Además, Vanderbilt International intercambia datos personales con los procesadores de datos en nombre de los interesados.

Esto es coherente con las obligaciones de Vanderbilt International en virtud de los términos de su contrato con sus procesadores de datos.

Esta política proporciona las pautas para este intercambio de información, así como el procedimiento a seguir en caso de que un miembro del personal de Vanderbilt International no esté seguro de si dichos datos pueden divulgarse.

En términos generales, el miembro del personal debe consultar con el oficial de protección de datos para obtener aclaraciones.

Solicitudes de acceso de sujetos

Cualquier solicitud formal por escrito de un sujeto de datos para obtener una copia de sus datos personales (una solicitud de acceso del sujeto de datos) se remitirá, lo antes posible, al oficial de protección de datos y se procesará lo antes posible de acuerdo con las regulaciones del GDPR.

Se pretende que, al cumplir con estas directrices, Vanderbilt International se adhiera a las mejores prácticas en relación con la legislación de protección de datos aplicable.

Procesadores de terceros

En el desempeño de su función de controlador de datos, Vanderbilt International contrata a varios procesadores de datos para procesar los datos personales en su nombre. En cada caso, existe un contrato formal y por escrito con el procesador en el que se detallan sus obligaciones en relación con los datos personales, el propósito o los fines específicos para los que están contratados y el entendimiento de que procesarán los datos de conformidad con la legislación del RGPD.

Estos procesadores de datos incluyen:

• Personal de soporte interno de Vanderbilt
• Soluciones y servicios de TI de Atos AB

Para los clientes que operan dentro del sistema Acre Intrusion Company

• Chargebee
• Salesforce: personal interno de ventas de Vanderbilt
• Pasarela de pago Stripe
• Pasarela de pago de Adyen

Pagos

Podemos proporcionar productos y/o servicios de pago dentro del Servicio. En ese caso, utilizamos servicios de terceros para procesar los pagos (por ejemplo, procesadores de pagos).

No almacenaremos ni recopilaremos los datos de su tarjeta de pago. Esa información se proporciona directamente a nuestros procesadores de pagos externos, cuyo uso de su información personal se rige por su Política de privacidad. Estos procesadores de pagos cumplen con los estándares establecidos por PCI-DSS, gestionados por el PCI Security Standards Council, que es un esfuerzo conjunto de marcas como Visa, Mastercard, American Express y Discover. Los requisitos del PCI-DSS ayudan a garantizar el manejo seguro de la información de pago.

Los procesadores de pagos con los que trabajamos son:

Stripe: Su política de privacidad puede consultarse en https://stripe.com/us/privacy

Chargebee: https://www.chargebee.com/docs/1.0/eu-gdpr.html

Adyen: https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Los principios de protección de datos

Los siguientes principios clave están consagrados en la legislación del RGPD y son fundamentales para la política de protección de datos de Vanderbilt International.

En su calidad de controlador de datos, Vanderbilt International garantiza que todos los datos:

1.... ser obtenido y procesado de manera justa y legal.

Para que los datos se obtengan de manera justa, el interesado tendrá conocimiento, en el momento en que se recopilen los datos, de:

• La identidad del controlador de datos Vanderbilt International
• Los fines para los que se recopilan los datos
• La (s) persona (s) a la (s) persona (s) a la (s) que el Controlador de datos puede divulgar los datos
• Cualquier otra información que sea necesaria para que el procesamiento sea justo.

Vanderbilt International cumplirá con esta obligación de la siguiente manera:

• Siempre que sea posible, se solicitará el consentimiento informado del interesado antes de procesar sus datos;
• Cuando no sea posible solicitar el consentimiento, Vanderbilt International se asegurará de que la recopilación de los datos esté justificada en virtud de una de las otras condiciones legales de procesamiento: obligación legal, necesidad contractual, etc.;
• Cuando Vanderbilt International tenga la intención de registrar la actividad en cámaras de circuito cerrado de televisión o vídeo, se publicará un aviso de procesamiento justo a la vista;
• El procesamiento de los datos personales se llevará a cabo únicamente como parte de las actividades legales de Vanderbilt International, y Vanderbilt International salvaguardará los derechos y libertades del interesado;
• Los datos del interesado no se divulgarán a un tercero que no sea una parte contratada por Vanderbilt International y que opere en su nombre.

2.... obtenerse únicamente para uno o más fines legítimos y especificados.

Vanderbilt International obtendrá los datos para fines específicos, legales y claramente establecidos. El interesado tendrá derecho a cuestionar los fines para los que Vanderbilt International conserva sus datos, y Vanderbilt International podrá indicar claramente ese propósito o propósitos.

3.... no se procesará más de manera incompatible con los fines especificados.

Cualquier uso de los datos por parte de Vanderbilt International será compatible con los fines para los que se adquirieron los datos.

4.... mantenerse seguro y protegido.

Vanderbilt International empleará altos estándares de seguridad para proteger los datos personales bajo su cuidado. Se tomarán las medidas de seguridad adecuadas para proteger contra el acceso no autorizado, la alteración, la destrucción o la divulgación de cualquier dato personal que posea Vanderbilt International en su calidad de controlador de datos.

El acceso y la administración de los registros del personal y de los clientes están limitados a aquellos miembros del personal que tengan la autorización y la contraseña de acceso adecuadas.

5.... mantenerse preciso, completo y actualizado cuando sea necesario.

Vanderbilt International hará lo siguiente:

• garantizar que existan procesos de validación administrativa y de TI para llevar a cabo evaluaciones periódicas de la precisión de los datos;
• realizar revisiones y auditorías periódicas para garantizar que los datos relevantes se mantengan precisos y actualizados. Vanderbilt International revisa los datos de las muestras cada seis meses para garantizar su precisión; los datos de contacto del personal y los datos de los familiares más cercanos se revisan y actualizan cada dos años.
• realizar evaluaciones periódicas para establecer la necesidad de conservar ciertos datos personales.

6.... ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recopilaron y procesaron los datos.

Vanderbilt International se asegurará de que los datos que procesa en relación con los interesados sean relevantes para los fines para los que se recopilan esos datos. Los datos que no sean relevantes para dicho procesamiento no se adquirirán ni conservarán.

7.... no conservarse durante más tiempo del necesario para cumplir los fines especificados.

• Vanderbilt International ha identificado una amplia matriz de categorías de datos, con referencia al período de retención de datos apropiado para cada categoría. La matriz se aplica a los datos en formato manual y automatizado.

Una vez transcurrido el período de retención correspondiente, Vanderbilt International se compromete a destruir, borrar o dejar de utilizar de otro modo estos datos.

8.... gestionarse y almacenarse de tal manera que, en caso de que un sujeto de datos presente una solicitud de acceso válida para obtener una copia de sus datos personales, estos datos puedan recuperarse y proporcionarse fácilmente.

Vanderbilt International ha implementado un procedimiento de solicitud de acceso de sujetos para gestionar dichas solicitudes de manera eficiente y oportuna, dentro de los plazos estipulados en la legislación.

Solicitudes de acceso del sujeto de datos

Como parte del funcionamiento diario de la organización, el personal de Vanderbilt International intercambia información de forma activa y regular con los interesados. Cuando un interesado presenta una solicitud formal en relación con los datos en poder de Vanderbilt International, dicha solicitud otorga derechos de acceso a favor del interesado.

Hay plazos específicos dentro de los cuales Vanderbilt International debe responder al interesado, según la naturaleza y el alcance de la solicitud. Estos se describen en el proceso de solicitud de acceso del sujeto de datos.

El personal de Vanderbilt International se asegurará de que, cuando sea necesario, dichas solicitudes se envíen al oficial de protección de datos de manera oportuna y se procesen de la manera más rápida y eficiente posible, de acuerdo con el GDPR.

Implementación

Como controlador de datos, Vanderbilt International garantiza que cualquier entidad que procese datos personales en su nombre (un procesador de datos) lo haga de manera que cumpla con la legislación de protección de datos.

El hecho de que un procesador de datos no gestione los datos de Vanderbilt International de manera compatible se considerará un incumplimiento de contrato y se procesará ante los tribunales.

El hecho de que el personal de Vanderbilt International no procese los datos personales de conformidad con esta política puede dar lugar a procedimientos disciplinarios.

Cambios a esta política de privacidad

Si realizamos cambios importantes en nuestra política de privacidad que puedan afectarlo, publicaremos un aviso destacado del cambio en nuestro sitio web dentro de un período razonable antes de que el cambio entre en vigor. Le recomendamos que consulte la Política de privacidad con frecuencia para estar informado de cualquier cambio.

¿Qué tipo de información recopilamos?

Los usuarios de Acre Intrusion Connect deben introducir la siguiente información obligatoria durante el proceso de registro:

• Nombre de usuario
• Contraseña
• Nombre y apellidos
• Correo electrónico
• Idioma
• Información sobre preguntas de seguridad

Además de lo anterior, el usuario también puede agregar los siguientes campos opcionales durante el proceso de registro.

• Otros nombres
• Dirección
• Código postal
• Número de teléfono

Durante el funcionamiento de Acre Intrusion Connect, la siguiente información también puede estar vinculada a su cuenta.

• Identificadores de teléfonos móviles (para notificaciones push)
• Información de la empresa instaladora
• Información de control de acceso (imagen de usuario, información de la tarjeta, PIN, derechos de usuario)
• Datos de verificación de alarmas (información de audio y/o vídeo)
• Información de auditoría

Para clientes que utilizan el modelo empresarial Acre Intrusion Connect

• Información de tarjeta de crédito
• Datos bancarios
• Dirección de facturación
• Número de paneles Acre Intrusion utilizados

¿Cómo utilizamos esta información?

Usamos la información recopilada para proporcionar una interfaz segura para sus sistemas Acre Intrusion. Su empresa de instalación también utiliza su información para ofrecerle servicios y brindarle asistencia.

¿Dónde y cómo se almacena mi información?

Su información se almacena en la UE y no se transferirá fuera de la UE. Todos los datos de información de Acre Intrusion Connect están alojados en una base de datos. Las copias de seguridad de la base de datos se realizan con regularidad. Los datos personales no se replican en ningún otro sistema ni se utilizan para ningún otro propósito. El acceso a la base de datos está estrictamente protegido con contraseña. Solo los ingenieros de software de Vanderbilt que tengan la necesidad absoluta de acceder a la base de datos pueden hacerlo. Todos los accesos son estrictamente para la administración y el control del sistema, o para los fines de depuración necesarios.

¿Durante cuánto tiempo se almacenan mis datos?

Toda la información se guarda mientras el usuario deje su cuenta activa en Acre Intrusion Connect. El usuario puede eliminar su cuenta en cualquier momento. Una vez que elimina su cuenta, se elimina toda la información del usuario; sin embargo, la información relacionada puede vincular al usuario «eliminado», por ejemplo, en los registros de auditoría. Solo se utilizará el nombre de usuario para vincular esta información. Si no se accede a una cuenta de usuario de Acre Intrusion en un período de 2 años, se contactará con el propietario de la cuenta si el propietario de la cuenta no accede a su cuenta después del período de notificación en el que se eliminará la cuenta.

¿Cómo se protegen mis datos?

El acceso a la base de datos está estrictamente protegido con contraseña. Solo los ingenieros de software de Vanderbilt que tengan la necesidad absoluta de acceder a la base de datos pueden hacerlo. Todos los accesos son estrictamente para la administración y el control del sistema, o para los fines de depuración necesarios.

¿Cómo se obtiene esta información?

Los usuarios de Acre Intrusion Connect introducen los datos manualmente a través de la interfaz web.

¿Base jurídica en la que se basa el procesamiento de datos personales?

Los usuarios aceptan los «términos y condiciones» y la «política de protección de datos» de la cuenta Acre Intrusion Connect al registrarse y la posibilidad de eliminar sus datos personales existe dentro de la aplicación.

Al utilizar ciertos servicios de Acre Intrusion Connect, los usuarios «instaladores» pueden introducir información sobre los «usuarios finales» sin su consentimiento explícito. En este caso de uso, es responsabilidad del usuario «instalador» obtener el consentimiento del «usuario final» y administrar estos datos.

¿Cómo puedo gestionar, eliminar o rectificar la información sobre mí?

Un usuario puede administrar, eliminar o rectificar su cuenta en cualquier momento dentro de la aplicación Acre Intrusion Connect. La información se elimina tal y como se detalla más arriba. Si el usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en shop.vanderbiltindustries.com/requestmyinfo

¿Cómo solicito el acceso a mis datos?

Si un usuario desea consultar o eliminar sus datos, debe completar el formulario que se encuentra en shop.vanderbiltindustries.com/requestmyinfo

Política de privacidad para niños

Vanderbilt no tiene la intención de que ninguna parte de sus servicios de Vanderbilt sea utilizada por niños menores de 16 años o una edad mínima equivalente en su jurisdicción, y dicho uso está prohibido. Si realmente descubrimos que una cuenta está conectada a un usuario registrado menor de 16 años o una edad mínima equivalente en la jurisdicción correspondiente, eliminaremos inmediatamente la información asociada a esa cuenta. Si es padre o tutor de un niño menor de 16 años o de una edad mínima equivalente en su jurisdicción y cree que nos ha proporcionado información personal, póngase en contacto con nosotros por teléfono o correo electrónico a la información de soporte de Vanderbilt correspondiente a su país. Los padres o tutores de un niño menor de 16 años o de una edad mínima equivalente en cualquier jurisdicción pueden revisar y solicitar la eliminación de la información personal de ese niño y prohibir su uso

Actividades globales

Usted acepta nuestras prácticas de información, incluida la recopilación, el almacenamiento, el uso, el procesamiento y la divulgación de sus datos tal como se describe en esta Política de privacidad y la transferencia y el procesamiento de sus datos a países de todo el mundo en los que tenemos o utilizamos instalaciones, proveedores de servicios o socios, independientemente de dónde utilice nuestros servicios. Usted reconoce que las leyes, reglamentos y normas del país en el que se almacena o procesa su información pueden diferir de las de su país. En el Espacio Económico Europeo (EEE) almacenamos y almacenamos sus datos personales dentro del EEE de forma cifrada, incluso si utilizamos los datos almacenados por terceros. No los transferiremos fuera del EEE.

Información de contacto

Para hacer preguntas o comentarios sobre esta Política de privacidad y nuestras prácticas de privacidad, comuníquese con shop.vanderbiltindustries.com/requestmyinfo

Definiciones

• Para evitar dudas y para mantener la coherencia en la terminología, se aplicarán las siguientes definiciones en esta Política.

DatosEsto incluye datos automatizados y manuales. Los datos automatizados son los datos guardados en una computadora o almacenados con la intención de que se procesen en una computadora. Por datos manuales se entiende los datos que se procesan como parte de un sistema de archivo relevante o que se almacenan con la intención de que formen parte de un sistema de archivo relevante.Datos personalesInformación relacionada con una persona viva, que puede identificarse directamente a partir de esos datos o indirectamente junto con otros datos que puedan estar en posesión legítima del controlador de datos. (En caso de duda, Vanderbilt International se refiere a la definición publicada por el Grupo de Trabajo del Artículo 29, que se actualiza periódicamente).Datos personales sensiblesUna categoría particular de datos personales, relacionada con: el origen racial o étnico, las opiniones políticas, las creencias religiosas, ideológicas o filosóficas, la afiliación sindical, la información relacionada con la salud mental o física, la información relacionada con la orientación sexual, la información relacionada con la comisión de un delito y la información relacionada con la condena por un delito penal.Controlador de datosUna persona o entidad que, sola o con otras personas, controla el contenido y el uso de los datos personales al determinar los fines y los medios por los que se procesan esos datos personales.Sujeto de datosUna persona viva que es el sujeto de los datos personales, es decir, a quien los datos se refieren directa o indirectamente.Procesador de datosUna persona o entidad que procesa datos personales en nombre de un controlador de datos sobre la base de un contrato formal y escrito, pero que no es un empleado del controlador de datos, procesa dichos datos en el transcurso de su empleo.Oficial de protección de datosUna persona designada por Vanderbilt International para supervisar el cumplimiento de la legislación de protección de datos correspondiente, tramitar las solicitudes de acceso de los sujetos y responder a las consultas de protección de datos de los miembros del personal y los destinatarios de los serviciosSistema de archivo relevanteCualquier conjunto de información sobre personas vivas que no se procese mediante equipos que funcionen automáticamente (ordenadores) y que esté estructurado, ya sea por referencia a personas o por referencia a criterios relacionados con las personas, de tal manera que la información específica relativa a una persona sea fácilmente recuperable.