Políticas de Privacidad
1. Ámbito de aplicación
El propósito de esta política es presentar los compromisos de Pluris Investments S.A. (en adelante, PLURIS o el Grupo) en relación con la gestión de la privacidad y protección de los datos personales de los interesados cuyos datos sean procesados bajo su responsabilidad y responder a los requisitos del Reglamento General de Protección de Datos y la respectiva legislación nacional de implementación.
También se pretende demostrar cómo se procesarán los datos personales en el contexto de la actividad realizada por el Grupo y sus empleados, mediante la definición de reglas internas que cumplan con los requisitos establecidos por el Reglamento, a saber, legitimidad, procesamiento y conservación. Todos los datos personales serán procesados y gestionados de acuerdo con los términos de esta política, junto con la Política de Seguridad de la Información, teniendo en cuenta un inventario actualizado de dichos datos personales.
2. Roles y responsabilidades
La Dirección de Pluris garantizará que esta política esté alineada con la estrategia del Grupo, a fin de asegurar su mejora continua en lo que respecta a la seguridad de la información y la privacidad.
El Delegado de Protección de Datos (DPO) es responsable de asegurar el cumplimiento de los requisitos del Reglamento de manera continua y sistemática, de que se respeten todos los derechos de los interesados y de que los controles de seguridad apropiados se implementen para los fines definidos en este documento.
La Dirección de PLURIS designa y asigna al Delegado de Protección de Datos (o “DPO”) los roles y responsabilidades descritos anteriormente en relación con todas las empresas del Grupo.
Todos los empleados del Grupo, así como sus subcontratistas – en lo que les sea aplicable – tienen la responsabilidad de colaborar y cumplir con los compromisos de esta política.
En el caso de barcos fluviales y de alta mar, también se definirá un “DPO Local” por barco, cuya misión será ejercer las funciones de un DPO local cuando los barcos estén en situación de crucero, y actuará de acuerdo con las normas de esta política.
- Grupo se entenderá como todas las empresas que están invertidas, directa o indirectamente, en al menos el 10% de su capital social por la empresa Pluris Investments, S.A.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y sus enmiendas posteriores.
- Ley n.º 58/2019, de 8 de agosto (y sus enmiendas posteriores), que asegura la implementación del Reglamento General de Protección de Datos en el sistema legal nacional.
3. Titulares de datos personales
Para la ejecución de sus actividades y propósitos de procesamiento asociados, Pluris recopila datos personales de las siguientes fuentes:
- Clientes corporativos con contrato
- Clientes registrados a través de herramientas web
- Clientes por adquisición de boletos
- Empleados internos y proveedores de servicios contratados
- Proveedores y prestadores de servicios
- Visitantes de instalaciones físicas o náuticas
4. Garantía de confidencialidad y privacidad de los datos personales
Los datos personales identificados en esta Política serán procesados por Pluris como la entidad responsable del procesamiento de datos personales. Para garantizar la confidencialidad y privacidad de los datos, el Grupo asegura que solo serán accesibles por empleados formalmente autorizados para realizar sus funciones. Las responsabilidades de cada empleado en materia de Seguridad, Privacidad y Protección de Datos Personales están detalladas en los contratos firmados con Pluris, incluyendo las obligaciones de confidencialidad y secreto a las que están sujetos.
5. Identificación de la persona responsable del procesamiento de datos personales
La entidad responsable del procesamiento de datos personales es Pluris Investments, S.A., con sede en Rua de Miragaia 103, 4050-387, Porto, Portugal, con número de registro legal 508 767 881. El grupo PLURIS lidera un conjunto de empresas a las que son aplicables las responsabilidades y obligaciones derivadas de esta Política.
6. Evaluación de impacto en la protección de datos
En los casos en que las operaciones de procesamiento de datos puedan resultar en un riesgo cuyo nivel no sea aceptable para el grupo, PLURIS llevará a cabo, antes del inicio del procesamiento, una evaluación de impacto con el objetivo de identificar y gestionar dichos riesgos.
7. Recopilación, procesamiento, intercambio y retención de datos personales
a) Recopilación de datos personales
- Para situaciones que no involucren herramientas web
Los datos personales se recopilan directamente de las siguientes maneras:
- Solicitudes espontáneas o respuestas a ofertas de trabajo con la compartición de Curriculum Vitae
- Llenado de formularios en papel
- Captura de imágenes y videos en instalaciones fijas y a bordo de embarcaciones fluviales o marítimas
- Datos biométricos
- Correo electrónico
- Teléfono (en el caso de empleados)
- En la compra de boletos, productos de marketing u otros materiales adquiridos en tiendas físicas o en barcos del Grupo, incluyendo servicios de catering
Los datos personales también pueden ser recopilados indirectamente de las siguientes maneras:
- Importación del contenido del Curriculum Vitae para el registro de recursos humanos.
- Importación de datos con responsabilidad compartida con socios comerciales contratados.
- Puntos de venta de marketing, servicios de catering, o similares.
- Empresas de selección de candidatos.
- Empresas de servicios médicos.
- Empresas de servicios de seguros de vida.
Los datos personales se recopilan directamente a través de las herramientas web oficiales de la organización, es decir, sitios web de compras en línea, o indirectamente a través de herramientas de automatización de marketing y publicidad en línea de socios de subcontratación debidamente autorizados y en pleno cumplimiento con nuestra política de gestión de privacidad de datos personales.
Las recopilaciones indirectas también pueden ocurrir a través de socios subcontratados en relación con la realización de pedidos, a saber, la adquisición de boletos para el acceso a exposiciones o servicios de la empresa.
La política de gestión de cookies complementa este tema al presentar las opciones “opt-in” y “opt-out” disponibles para este componente de los sitios web. El titular de los datos personales también puede “opt-out” de los servicios de publicidad en línea en herramientas sociales, a saber, Facebook, Google Ads, Instagram y LinkedIn.
Pluris garantiza que ningún formulario manual o computarizado tendrá opciones previamente llenas, y todas las alternativas serán seleccionadas por el titular de los datos.
Los datos personales serán recopilados sobre la base de los fundamentos legales establecidos en esta política y en cumplimiento con el principio de minimización.
b) Procesamiento de datos personales
- Para situaciones que no involucren herramientas web
La recopilación de datos personales sensibles solo se llevará a cabo en casos que sean estrictamente necesarios y justificables por la actividad realizada por PLURIS y su Grupo y de acuerdo con la legislación vigente.
2. Para situaciones que involucren herramientas web
Dichas actividades incluyen:
c) Intercambio de datos personales
- Para situaciones que no involucren herramientas web
Además de los propósitos de intercambio descritos a continuación, no se podrán llevar a cabo otros propósitos, a menos que sean previamente y expresamente autorizados por el Delegado de Protección de Datos.
Propósitos derivados de la actividad de Pluris Investments S.A. y las empresas de su Grupo, entre otros:
- Seguridad social;
- Comunicación con la Autoridad Fiscal, Aduanas u otras entidades legales;
- Comunicación de quejas o violaciones de privacidad;
- Comunicación con el DPO;
- Seguridad portuaria y control de inmigración;
- Registro laboral y nómina;
- Emisión de certificado médico para propósitos marítimos o similares;
- Cumplimiento de obligaciones de registro y sindicales;
- Creación y registro de póliza de seguro;
- Cumplimiento de obligaciones fiscales y aduaneras.
Los datos personales pueden ser compartidos con entidades subcontratadas para los propósitos mencionados anteriormente, bajo los términos de los contratos firmados con ellas. Pluris solo utiliza procesadores que aseguran, de acuerdo con la ley, la implementación de medidas técnicas y organizativas apropiadas para la protección de sus datos a través de acuerdos de subcontratación, asegurando así la defensa de sus derechos bajo la legislación de protección de datos aplicable. El intercambio de datos clasificados como sensibles solo se llevará a cabo con entidades legales, socios, proveedores de servicios médicos y similares. Como regla general, este intercambio de datos tendrá lugar dentro de Europa. Hay situaciones específicas que requieren el intercambio de datos con entidades fuera del espacio europeo, a saber:
- Con autoridades portuarias: para fines de seguridad y control de inmigración en cruceros marítimos, de acuerdo con las disposiciones legales aplicables.
- Con empresas del Grupo: para apoyar actividades de interés legítimo, asegurando la minimización del procesamiento de datos personales.
- Para situaciones que involucren herramientas web
Además de los propósitos de intercambio descritos a continuación, no se podrán llevar a cabo otros propósitos, a menos que sean previamente y expresamente autorizados por el Delegado de Protección de Datos.
Propósitos derivados de marketing, pagos electrónicos y otros servicios que involucran el uso de herramientas electrónicas:
- Realización de campañas publicitarias;
- Publicidad en lugares virtuales como Google Ads, Facebook, Instagram y LinkedIn;
- Necesidades operativas en la interconexión con HiPay y Paypal y otros gateways de pago electrónico utilizando tarjetas de crédito;
- Envío de noticias, campañas y ofertas personalizadas al cliente.
Los datos se comparten con subcontratistas formalmente autorizados para fines de marketing digital, y los datos personales involucrados en estos intercambios están sujetos al consentimiento del respectivo titular, con la posibilidad de optar por no participar en cualquier momento.
Estos intercambios pueden dar lugar a transferencias de datos fuera del área europea, en el caso de la segmentación de campañas de marketing digital con socios de subcontratación intercontinentales. En estos casos, la organización se asegurará de implementar controles de seguridad apropiados para cada situación de riesgo identificada, así como de garantizar la ejecución incondicional de sus derechos y todos los requisitos del Reglamento General de Protección de Datos.
d) Retención de datos personales
El período durante el cual se almacenarán los datos personales varía según el propósito para el cual se procesan los datos.
La retención se entiende como el almacenamiento seguro de datos, en formato digital o en papel, asegurando las condiciones de gestión de acceso para garantizar la confidencialidad, integridad, disponibilidad de la información y no repudio, así como su preservación en las condiciones adecuadas de uso según el tiempo definido. Se cumplirán los requisitos legales que exigen la retención de datos personales por un período mínimo para cada propósito.
Donde no se imponga un período mínimo, los datos personales se mantendrán solo durante el período estrictamente necesario para la consecución de los propósitos para los cuales se recopilaron o se procesen posteriormente o, si es aplicable, por el período determinado por la autoridad competente en protección de datos, después del cual los datos serán eliminados de manera permanente de forma segura.
8. Uso y propósito de las cookies
- Las cookies se utilizan para personalizar el contenido y la publicidad de acuerdo con las características del visitante, interactuar con funciones de redes sociales, analizar el tráfico del sitio web, así como para apoyar los controles de seguridad implementados.
Dependiendo de las elecciones del visitante en las páginas de los sitios web, los datos pueden ser compartidos con nuestros socios de redes sociales, para fines publicitarios, para el análisis de tráfico y navegación a través de las páginas de los sitios web y herramientas sociales dentro del ámbito de esta política. En ningún caso se recopilarán datos personales a través de cookies.
a) Tipos de Cookies:
Las cookies son archivos de texto que pueden ser utilizados por los sitios web para hacer que la experiencia del usuario sea más eficiente. De acuerdo con la legislación vigente, las cookies pueden ser almacenadas y operadas en el equipo al que el visitante accede si son estrictamente necesarias para el funcionamiento del sitio web. Para todos los demás tipos de cookies, permitimos que el titular de datos ejerza su derecho a consentimiento informado. Algunas cookies pueden ser instaladas automáticamente por nuestros socios comerciales, siempre de manera explícita para el visitante.
b) Los sitios web pueden utilizar los siguientes tipos de cookies:
Ba) Requeridas
Las cookies necesarias apoyan la ejecución de funciones básicas como la navegación entre páginas y su rastreo. Es importante señalar que el sitio web puede no funcionar correctamente sin estas cookies, y como tales, se consideran fundamentales y justificadas.Bb) Estadísticas o Funcionales
Las cookies estadísticas ayudan al operador del sitio web a entender cómo el visitante interactúa con las páginas que lo componen, recopilando y procesando información de forma anónima.Bc) Marketing
Las cookies de marketing se utilizan para rastrear el acceso del visitante y la secuencia de uso de las páginas. Permiten la personalización de anuncios u otros materiales de marketing que se mostrarán y que son relevantes y atractivos para el visitante, haciendo que la experiencia de navegación sea más personalizada y dinámica.
El visitante del sitio web, y como tal titular de datos personales, debe seleccionar, en cada cuadro disponible, el tipo de cookies que autoriza. Al hacer clic en el botón “Acepto”, se reconoce la aceptación de esta política de cookies y la confirmación de autorización para el tipo de cookies seleccionadas.
9. Derechos de los titulares
- Se garantizarán a los interesados las condiciones para ejercer sus derechos previstos por el Reglamento General de Protección de Datos. El Delegado de Protección de Datos nombrado por el grupo estará involucrado en todas las cuestiones relacionadas con la protección de datos personales y debe ser preferiblemente consultado por escrito a través de la dirección de correo electrónico dpo.mysticinvest@mysticinvest.com para todas las preguntas que los titulares de datos personales consideren necesarias.
Si el interesado desea presentar una queja o informar sobre una violación de privacidad, podrá comunicarse a través del correo electrónico complaint.mysticinvest@mysticinvest.com o directamente con la autoridad supervisora de su elección.
Alternativamente, el interesado tendrá a su disposición un portal de comunicación web, donde podrá realizar todas las interacciones mencionadas anteriormente y obtener información sobre el procesamiento de dichas solicitudes.
Tras el registro de una queja o una violación de privacidad, el Grupo se compromete a informar al interesado de cada paso y progreso en el proceso de presentación de la queja, sin perjuicio del cumplimiento de los plazos definidos por el reglamento.
10. Revisión y mejora continua
- Esta política será revisada anualmente, o siempre que haya cambios significativos en el inventario de datos personales y/o en los medios informáticos o documentales.
Cada una de estas revisiones dará lugar a una nueva versión de este documento.
11.Divulgación y publicación
- La Política de Gestión de Privacidad se clasifica como información accesible al público (cf. política de clasificación de información) y estará disponible para consulta a través de Internet, ya sea en el sitio web institucional, en las herramientas de soporte empresarial en línea y también en las redes sociales del grupo. Durante el proceso de incorporación, se informará a los nuevos empleados sobre esta Política, así como de la participación obligatoria de aquellos en las acciones de capacitación y concienciación sobre seguridad, privacidad y protección de datos personales que formarán parte de este proceso. Tras la publicación y divulgación de la política, los empleados están obligados a:
- Proteger los activos de información a su cargo;
- Colaborar en la gestión de sus riesgos;
- Participar en cualquier evento que pueda poner en peligro la seguridad de la información;
- Cumplir con y hacer cumplir esta política.
Los empleados pueden consultar esta Política en cualquier momento a través de la plataforma de gestión documental de la red interna del grupo. Las entidades/empleados que, por razones inherentes a su función, no tienen acceso a la plataforma, estarán al tanto de esta política al compartirla en el formato adecuado para cada caso.
12. Duración de la política:
Esta política ha sido aprobada por el Consejo de Administración del Grupo Pluris y entra en vigor en la fecha de su publicación.
Cualquier cambio posterior será efectivo inmediatamente tras su publicación.