En Lucca, la confidencialidad y la seguridad de tus datos ha sido garantizada desde mucho antes de la llegada del RGPD. No obstante, este reglamento refuerza algunas de nuestras obligaciones de modo que realizamos todas las gestiones necesarias para dar cumplimiento a la normativa. Te las detallamos abajo.



En consecuencia, si eres uno de nuestros clientes, debes cumplir con las disposiciones del RGPD en una doble perspectiva:

  • en tu relación con nosotros, dado que actuamos como su subcontratista (artículo 28 del RGPD), y
  • en tus relaciones con tus empleados, dado que eres el responsable del tratamiento de sus datos personales por medio de nuestras soluciones.

Por otra parte, administramos información personal para comunicarnos, en especial por correo electrónico, con los administradores de nuestras soluciones así como con potenciales clientes. En este sentido, actuamos bajo el rol de responsable del tratamiento.

Nosotros somos el encargado del tratamiento

Tu empresa es el responsable del tratamiento

Definiciones de los principales conceptos

El RGPD es un documento denso y complejo cuyas prescripciones a veces dan lugar a interpretación o pueden parecer abstractas. No obstante, es importante conocer estas 4 definiciones para comprenderlo mejor.

Responsable del tratamiento

Toda persona física o jurídica que determine los fines y medios de un tratamiento de datos personales. El responsable del tratamiento tiene la responsabilidad de hacer cumplir el RGPD en su organización, y en particular, de que se respeten los derechos de los empleados (derecho de acceso, derecho de supresión, etc.).

Por ende, todos los clientes de nuestras soluciones revisten la calidad de responsable del tratamiento.

Datos personales

Toda información sobre una persona física identificada o identificable (…).

De modo que, en Lucca, un correo electrónico, una solicitud para ausentarse o una evaluación son datos personales, como casi toda la información que se administra en nuestras soluciones

Encargado del tratamiento o encargado

Persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.

Lucca desempeña el rol de encargado ante todos sus clientes.

Categorías particulares de datos personales

Los datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión, la afiliación sindical, la orientación sexual, así como los datos genéticos y biométricos son considerados «sensibles» por el RGPD y se prohíbe su tratamiento salvo ciertas excepciones, en particular, el tratamiento con el consentimiento explícito de los interesados.

Por defecto, este tipo de datos no son tratados en las soluciones Lucca. No obstante, es posible hacerlo siempre que tu empresa tenga derecho a tratar dichos datos y a encargar su tratamiento y que se nos haya informado al respecto previamente por escrito. Ahora bien, ten presente que Lucca no cuenta con la certificación de «proveedor de alojamiento de datos relativos a la salud y, por ende, no se deben tratar ese tipo de datos en Lucca.

One

Los compromisos de Lucca como subcontratista

Si eres un cliente de Lucca, entonces para ti somos un subcontratista. En esta condición, nos comprometemos a cumplir con nuestras obligaciones conforme al artículo 28 del RGPD. Por tal motivo y para dar cumplimiento al RGPD, hemos designado un Delegado de Protección de Datos (DPO, "Data protection officer") que puedes contactar por correo electrónico: rgpd@lucca.fr.

Asimismo, asumimos los siguientes compromisos:

Tratar los datos personales de tus empleados exclusivamente en el marco de la realización y ejecución de los servicios en línea de Lucca a los que te hayas suscrito. Nunca venderemos ni utilizaremos los datos de tus empleados con fines de marketing.

Correos electrónicos de información a los administradores

Nuestro servicio en línea incluye el envío de correos electrónicos dirigidos únicamente a los administradores de nuestras soluciones a nuestros clientes para informarles sobre las novedades y actualizaciones de los productos Lucca. Sobre esta base, actuamos como el responsable del tratamiento de dichos datos (más infornaciones aquí).

Nunca transferiremos tus datos fuera de la UE, salvo que optes por el servicio de alojamiento específico para nuestros clientes suizos.

Informarte sobre cualquier cambio en los encargados que utilizamos para almacenar o tratar ciertos datos personales, y nos aseguraremos de que dichos encargados cumplan con la normativa.

Reservar el acceso a tus datos personales únicamente a los empleados de Lucca que podrían asistirte en las tareas de soporte.

Garantizar un alto nivel de seguridad y de protección para tus datos.

Sensibilizar a nuestros empleados acerca del carácter confidencial de los datos personales y formarlos, si fuera necesario, para que conozcan la reglamentación aplicable para la protección de dichos datos.

Notificarte dentro de las 24 horas en caso de violación de datos.

Preguntas

Me suscribí a los servicios de Lucca antes del 25 de mayo de 2018. ¿Es necesario que mi empresa firme un nuevo contrato con Lucca?

No, no es necesario. Hemos modificado nuestras condiciones generales de venta para que nuestros contratos incluyan a partir de ahora todas las prescripciones del RGPD relativas a las responsabilidades del encargado frente al responsable del tratamiento.

En caso de no estar de acuerdo con dichas modificaciones, puedes rescindir tu suscripción, sin gastos adicionales, con un preaviso de 30 días. Si la rescisión no procede antes del 31 de agosto de 2018, se considerará que las condiciones generales de venta han sido aceptadas sin ninguna modificación.

No es posible oponerse a nuestras condiciones generales, salvo que se hayan acordado condiciones particulares.

Dichas condiciones contienen la totalidad de nuestros compromisos en cuanto a los datos personales. Por ende, no es necesario firmar un anexo referente a los datos personales.

¿Cumple la política de seguridad y confidencialidad de datos de Lucca con el RGPD?

Sí. Lucca ha implementado las medidas de seguridad necesarias para garantizar la integridad y confidencialidad de los datos personales que se le confían.

En particular:

  • encriptación sistemática de los datos en tránsito en la red pública,
  • sincronización horaria de los datos de producción en un sitio geográficamente distante (PCA - Plan de Continuidad del Negocio),
  • protección diaria encriptada en Azure (PRA - Plan de Recuperación ante Desastres)
  • supresión de los datos personales cuando los datos abandonan la zona de producción,
  • gestión de los accesos a la infraestructura con dos niveles de seguridad: VPN (Red Privada Virtual) + cuenta individual, cuentas revisadas periódicamente,
  • auditorías de seguridad y pruebas de intrusión regulares,
  • revisión sistemática de código para garantizar despliegues seguros.

Además, Lucca ha seleccionado los proveedores de alojamiento OVH y GREEN.CH cuyo nivel de certificación (ISO 27001, PCI-DSS) demuestra una seguridad óptima de las infraestructuras.

Finalmente, evaluamos regularmente los riesgos y adaptamos, de manera apropiada, nuestro nivel de seguridad.

Two

Tus obligaciones como responsable del tratamiento

Tu empresa administra, por medio de nuestras soluciones, los datos personales de sus empleados.

En consecuencia, tus empleados tienen derechos sobre dichos datos. Permitirles ejercer dichos derechos es responsabilidad de tu empresa. Las soluciones Lucca te ayudan a cumplir con esta obligación.

Derecho de acceso
(artículo 15 del RGPD)

El interesado tendrá derecho a obtener del responsable del tratamiento […] el acceso a sus datos personales.

De acuerdo a la configuración de la solución, los empleados tienen acceso a la información que les concierne (o pueden solicitar el acceso a ella). Como responsable del tratamiento, te corresponde a ti exclusivamente brindar o no esta posibilidad a tus empleados.

Derecho de rectificación
(artículo 16 del RGPD)

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan…

La solución Poplee permite, debido a su naturaleza (employee self-service), que los empleados modifiquen ellos mismos la totalidad o una parte de los datos que les conciernen.

Derecho al olvido
(artículo 17 del RGPD)

TEl interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan…

Ponemos a disposición de nuestros clientes un módulo dedicado a la gestión del derecho al olvido. Reservado a los administradores de nuestras soluciones, les permite suprimir datos personales en masa, en particular para empleados que hayan abandonado la empresa, o bien, si fuera el caso, hacerles anónimos. Hacerles anónimos consiste en modificar los datos de identificación (apellido, nombre) de tal forma que ya no puedan serles atribuídos a una persona física.

Preguntas

¿Debo recabar el consentimiento de los empleados antes de usar las soluciones Lucca? *

No, no tiene mayor utilidad. Especialmente porque en caso de hacerlo, este consentimiento no tendría un fundamento jurídico válido (no se consideraría «libremente otorgado»), debido al carácter desigual de la relación entre empleador y empleado.

El consentimiento es solo una de las 6 condiciones previstas por el artículo 6 del RGPD para garantizar la licitud del tratamiento de datos personales.

Por ende, la licitud del uso de las soluciones Lucca para administrar los datos personales de tus empleados se basa en los incisos siguientes del artículo 6 del RGPD (6b - Necesario para la ejecución de un contrato).

* Estas respuestas no configuran en ningún caso un asesoramiento jurídico. Por consiguiente, te recomendamos consultar a tu respectivo asesor sobre estos temas.

¿Están las soluciones Lucca sujetas a las disposiciones del RGPD relativas a la gestión de datos particulares (opinión política, convicción religiosa, afiliación sindical, orientación sexual,…) que se menciona en el artículo 9 del RGPD?*

En la configuración por defecto de las soluciones Lucca no se tratan los datos particulares mencionados en el artículo 9 del RGPD (datos sensibles)…

No obstante, la aplicación Poplee, debido a que se asemeja por su naturaleza a una base de datos, hace posible que una empresa que lo desee pueda recopilar y tratar datos de cualquier tipo y, por ende, también datos sensibles.

Si fuera el caso de tu empresa, nuestras condiciones generales prevén que se nos notifique previamente.

Cabe mencionar que Lucca no cuenta con la acreditación para «datos de salud» y, por ende, este tipo de datos no deben tratarse en ningún caso en el marco de los servicios que prestamos.

Te recordamos que en caso de decidir tratar datos sensibles, es indispensable que obtengas el consentimiento de tus empleados, salvo excepciones previstas por el RGPD, y debes asegurarte de que dicho consentimiento haya sido otorgado libremente.

Three

Los compromisos de Lucca como responsable del tratamiento

Podemos vernos en la necesidad de recopilar y tratar datos personales con fines de gestión de nuestros clientes, proveedores y potenciales clientes, pero también para la aplicación de nuestros contratos con nuestros clientes.

En particular, utilizamos ciertos datos personales de los administradores de nuestras soluciones (nombre, e-mail corporativo, título) para comunicarnos con ellos y proporcionarles servicios de mantenimiento y asistencia funcional, así como información sobre las evoluciones y novedades de nuestras soluciones.

Hemos previsto la posibilidad de que los administradores desactiven la recepción de esa información, pero en ese caso corren el riesgo de no estar completamente al tanto de todas las funciones de la solución Lucca.

Limitar la recopilación de datos a los estrictamente útiles.

No utilizar los datos recopilados con otros fines que aquellos para los que fueron recopilados.

Otorgar a los administradores de nuestras soluciones derechos de acceso, de rectificación o de supresión de sus datos personales.

Implementar medidas técnicas y organizativas apropiadas para garantizar un alto nivel de seguridad.