GDPR Notice

1. Introducción y propósito

En sus operaciones comerciales diarias, Seller.Tools, LLC ("nuestra compañía") hace uso de diversos datos sobre personas identificables, incluyendo datos sobre:

  • empleados actuales, pasados y futuros
  • clientes
  • usuarios de sus webs
  • suscriptores, y
  • otros interesados

Al recopilar y utilizar estos datos, la organización está sujeta a una serie de leyes que controlan la forma en que pueden realizarse dichas actividades y las protecciones que deben establecerse para salvaguardalos. El objetivo de esta política es presentar la legislación pertinente y describir las medidas que la empresa adopta para garantizar su cumplimiento. Este control se aplica a todos los sistemas, personas y procesos que constituyen los sistemas de información de la organización, incluidos los miembros del consejo de administración, directores, empleados, proveedores y terceros que tienen acceso a los sistemas y la información de la empresa.

Este documento trata las siguientes políticas y procedimientos:

  • Evaluación del impacto de la protección de datos
  • Procedimiento de mapeo de datos personales
  • Procedimiento de evaluación del interés legítimo
  • Procedimiento de respuesta a incidentes de seguridad de la información
  • Funciones y responsabilidades del RGPD
  • Política de conservación y protección de registros

2. Política de privacidad y protección de datos personales

2.1 Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos de 2016 (RGPD) es uno de los textos legislativos más importantes de los que afectan al modo en que la empresa lleva a cabo sus actividades de tratamiento de la información. Se aplican multas significativas si se aprecia incumplimiento del RGPD, que está diseñado para proteger los datos personales de los ciudadanos de la Unión Europea. La política de Robin Hood Energy es garantizar que nuestro cumplimiento del RGPD, y de cualquier otra legislación relevante, sea claro y demostrable en todo momento.

2.2 Definiciones

En el RGPD hay un total de 26 definiciones enumeradas y no es apropiado reproducirlas todas aquí. Sin embargo, las definiciones más fundamentales con respecto a esta política son las siguientes:

Los datos personales se definen como:

cualquier información relativa a una persona física identificada o identificable ("interesado"). Una persona física identificable es aquella que puede ser localizada, directa o indirectamente, y en particular gracias a identificadores como el nombre, número de identificación, ubicación, identificador en línea, uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social.

“Processing” means:

cualquier operación o conjunto de operaciones que se realicen sobre datos personales, ya sea por medios automatizados o no, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de propagación, armonización o combinación, limitación, supresión o destrucción;


"Responsable del tratamiento" significa:

la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determine los fines y medios del procesamiento de datos personales; cuando los fines y medios de dicho tratamiento estén determinados por la legislación de la Unión de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán ser establecidos por la legislación de la Unión de los Estados miembros;

2.3 Principios relativos al tratamiento de datos personales

There are several fundamental principles upon which the GDPR is based. These are as follows:

1. Los datos personales serán:

a. procesados de forma legal, justa y transparente con el interesado ("legalidad, justicia y transparencia")

b. Recopilado con fines determinados, explícitos y legítimos, sin tratarlos posteriormente de forma incompatible con dichos fines. Conforme al artículo 89, apartado 1, su archivo posterior con fines de interés público, estadísticos o de investigación científica o histórica no será incompatible con los fines iniciales ("limitación de la finalidad")

c. Adecuados, pertinentes y limitados a lo necesario, para los fines a los que sirven ("minimización de datos")

d.·Exactos y, en caso necesario, actualizados; deben tomarse todas las medidas necesarias para garantizar que se eliminan o rectifican inmediatamente los datos personales que sean inexactos para los fines a los que sirven ("exactitud")

e.·Conservados de forma que solo permitan la identificación de los interesados durante un período no superior al necesario para los fines a los que sirven dichos datos personales. Conforme al artículo 89, apartado 1, los datos personales podrán conservarse durante períodos más largos siempre que se traten únicamente con fines de archivo de interés público, estadísticos o de investigación científica o histórica, a condición de que se apliquen las medidas técnicas y organizativas adecuadas exigidas por el presente Reglamento para salvaguardar los derechos y libertades del interesado ("limitación del almacenamiento")

f.·Procesados de forma que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales, aplicando medidas técnicas u organizativas adecuadas ("integridad y confidencialidad")

g. El responsable del tratamiento deberá poder demostrar el cumplimiento del apartado 1 ("responsabilidad"). La empresa garantizará el cumplimiento de todos estos principios en el tratamiento que realiza actualmente, así como para la introducción de nuevos métodos de tratamiento, por ejemplo, sistemas informáticos nuevos.

2.4 Derechos de la persona

El interesado también tiene derechos amparados por el RGPD. Son los siguientes:

  • Derecho a ser informado
  • Derecho de acceso
  • Derecho de rectificación
  • Derecho al borrado
  • Derecho a restringir el procesamiento
  • Derecho a la portabilidad de los datos
  • Derecho de objeción
  • Derechos sobre elaboración de perfiles y toma de decisiones automatizados

Cada uno de estos derechos está respaldado por procedimientos adecuados dentro de la empresa que permiten tomar las medidas necesarias dentro de los plazos establecidos en el RGPD.

Estos plazos se indican en el siguiente cuadro.

El interesado solicita Plazo
Derecho a ser informado Cuando se recogen los datos (si los suministra el interesado) o en el plazo de un mes (si no los suministra el interesado)
Derecho de acceso Un mes
Derecho de rectificación Un mes
Derecho al borrado Sin retrasos indebidos
Derecho a restringir el procesamiento Sin retrasos indebidos
Derecho a la portabilidad de los datos Un mes
Derecho de objeción A la recepción de la objeción
Derechos sobre elaboración de perfiles y toma de decisiones automatizados No se especifican

2.5 Legalidad del tratamiento

Hay seis formas alternativas en las que se puede establecer la legalidad de un caso específico de tratamiento de datos personales en virtud del RGPD. La política de la empresa es identificar la base adecuada para el tratamiento y documentarla, de acuerdo con el Reglamento. Las opciones se describen brevemente en las siguientes secciones.

2.5.1 Consentimiento

A menos que sea necesario por una razón contemplada en el RGPD, la empresa siempre obtendrá el consentimiento explícito del usuario para recoger y procesar sus datos. En el caso de los niños menores de 16 años (o una edad inferior en determinados Estados miembros de la UE) se obtendrá el consentimiento de los padres. En el momento de obtener el consentimiento, se proporcionará a los interesados información transparente sobre el uso que hacemos de sus datos personales y se les explicarán sus derechos sobre sus datos, como el derecho a retirar el consentimiento. Esta información se proporcionará de forma accesible, gratuita y redactada en un lenguaje claro. Si los datos personales no se obtienen directamente del interesado, se facilitará esta información al interesado en un plazo razonable tras la obtención de dichos datos que no exceda de un mes.

2.5.2 Ejecución de un contrato

Cuando los datos personales recogidos y tratados son necesarios para cumplir un contrato con el interesado, no es necesario el consentimiento explícito. Este suele ser el caso cuando el contrato no puede completarse sin los datos personales en cuestión, por ejemplo, una entrega no puede realizarse sin una dirección de entrega.

2.5.3 Obligación legal

Si los datos personales deben recogerse y tratarse para cumplir la ley, no se requiere el consentimiento explícito. Este puede ser el caso, por ejemplo, de algunos datos relacionados con el empleo, la fiscalidad y otros ámbitos del sector público.

2.5.4 Intereses vitales del interesado

Si los datos personales fueran necesarios para proteger los intereses vitales del interesado o de otra persona física, este hecho podrá utilizarse como base legal del tratamiento. Robin Hood Energy conservará pruebas razonables y documentadas de que este es el caso, siempre que dicho motivo se utilice como base legal del tratamiento de los datos personales. A modo de ejemplo, esto puede utilizarse en aspectos de asistencia social, especialmente en el sector público.

2.5.5 Tareas realizadas en interés público

Cuando Robin Hood Energy necesite realizar una tarea que considere de interés público o parte de un deber oficial, no se solicitará el consentimiento del interesado. Cuando sea necesario, se documentará y proporcionará como prueba la evaluación del interés público o del deber oficial.

2.5.6 Intereses legítimos

Si el tratamiento de datos personales específicos responde a los intereses legítimos de la empresa y se considera que no afecta a los derechos y libertades del interesado de manera significativa, este hecho puede definirse como razón legal para el tratamiento de datos personales. Una vez más, se documentará el argumento en el que se basa esta opinión.

2.6 Privacidad desde el diseño

Nuestra compañía ha adoptado el principio de privacidad desde el diseño y se asegurará de que la definición y planificación de todos los sistemas nuevos o significativamente modificados que recaben o procesen datos personales, tengan en cuenta las cuestiones de privacidad, incluyendo la realización de una o más evaluaciones de impacto sobre la protección de datos.

La evaluación del impacto de la protección de datos incluirá:

  • Consideración de cómo y con qué fines se procesarán los datos personales
  • Valoración de si el tratamiento de datos personales propuesto es necesario y proporcionado a los fines.
  • Evaluación de riesgos para las personas en el tratamiento de los datos personales
  • Qué controles son necesarios para hacer frente a los riesgos identificados y demostrar el cumplimiento de la legislación

Cuando sea aplicable y apropiado, debe considerarse la utillización de técnicas como la minimización de datos y el uso de seudónimos

2.7 Contratos que implican el tratamiento de datos personales

Cuando establezca una relación que conlleve el tratamiento de datos personales, nuestra compañía se asegurará de que dicha relación esté sujeta a un contrato documentado que incluya la información y los términos específicos exigidos por el RGPD. Para obtener más información, consulte la Política de Acuerdos entre el supervisor y el procesador del GDPR.

2.8 Contratos que implican el tratamiento de datos personales

Las transferencias de datos personales fuera de la Unión Europea se revisarán cuidadosamente antes de su ejecución para garantizar que se ajustan a los límites impuestos por el RGPD. Esto depende, en parte, de la opinión de la Comisión Europea sobre la idoneidad de las salvaguardias para los datos personales aplicables en el país receptor, y puede cambiar con el tiempo. Las transferencias internacionales de datos dentro del grupo estarán sujetas a acuerdos jurídicamente vinculantes, denominados Normas Corporativas Vinculantes (NCV), que garantizan sus derechos a los interesados.

2.9 Delegado de protección de datos

En virtud del RGPD se requiere una función definida del delegado de protección de datos (DPD) si la organización es una autoridad pública, si realiza un seguimiento a gran escala o si procesa a gran escala tipos de datos especialmente sensibles. El DPD debe tener un nivel adecuado de conocimientos y puede ser miembro del personal o una persona externa subcontratada con un proveedor de servicios adecuado. Sobre la base de estos criterios, la compañía no requiere el nombramiento de un delegado de protección de datos.

2.10 Notificación de infracciones

Es política de la compañía ser justa y proporcionada a la hora de considerar las medidas que deben tomarse para informar a las partes afectadas sobre las violaciones de los datos personales. De acuerdo con el RGPD, cuando se conozca una infracción que pueda suponer un riesgo para los derechos y las libertades de las personas, se informará a la autoridad de control pertinente en un plazo de 72 horas. Esto se gestionará de acuerdo con nuestro procedimiento de respuesta a incidentes de seguridad de la información, que establece el proceso general de gestión de incidentes de seguridad de la información. En virtud del RGPD, el DPD pertinente está facultado para imponer una serie de sanciones de hasta el 4% del volumen de negocio anual mundial o 20 millones de euros, la cifra más elevada, por las infracciones del reglamento.

2.11 Cómo abordar el cumplimiento del RGPD

Para garantizar que la empresa cumpla siempre con el principio de responsabilidad del GDPR, se llevarán a cabo las siguientes acciones:

  • La base jurídica para el tratamiento de los datos personales es clara e inequívoca
  • Se nombra a un delegado de protección de datos con la responsabilidad específica de proteger los datos en la organización (si es necesario)
  • Todo el personal que interviene en el tratamiento de datos personales debe entender su obligación de seguir buenas prácticas en la protección de datos
  • Se ha impartido formación sobre protección de datos a todo el personal
  • Se respetan las normas del consentimiento
  • Los interesados que deseen ejercer sus derechos sobre los datos personales tienen vías para hacerlo y estas consultas se gestionan de forma eficaz
  • Se llevan a cabo revisiones periódicas de los procedimientos que afectan a los datos personales
  • En todos los sistemas y procesos nuevos o modificados se adopta la privacidad desde el diseño
  • Se registra la siguiente documentación de las actividades de procesamiento:
    1. Nombre de la organización y datos relevantes
    2. Fines del tratamiento de datos personales
    3. Categorías de personas y datos personales tratados
    4. Categorías de destinatarios de datos personales
    5. Acuerdos y mecanismos para la transferencia de datos personales a países no pertenecientes a la UE, incluyendo detalles de los controles que se aplican
    6. Calendario de conservación de datos personales
    7. Controles técnicos y organizativos activos

Estas acciones se revisan periódicamente dentro del proceso de gestión de la protección de datos.

Updated: June, 2021

¡Comienza sin costo!

Accede ahora a herramientas y datos más innovadores para preparar tu negocio de Amazon con miras al futuro.

Obtener acceso