Reglamento General de Protección de Datos

En Lucca, no hemos esperado al RGPD para garantizar la privacidad y seguridad de sus datos. Sin embargo, el reglamento refuerza algunas de nuestras obligaciones. Por ello, hemos tomado las medidas necesarias para garantizar su cumplimiento. Encontrará los detalles a continuación.

Protection des données Lucca

Las soluciones de Lucca gestionan información (vacaciones, notas de gastos, nóminas, expedientes de personal...) que son "datos personales" según la definición del Reglamento General de Protección de Datos (RGPD) en vigor desde el 25 de mayo de 2018.

Por lo tanto, si usted es uno de nuestros clientes, está sujeto a las disposiciones del RGPD en dos sentidos:

  • su relación con nosotros, ya que actuamos como su encargado del tratamiento (artículo 28 del RGPD),
  • su relación con sus trabajadores, ya que usted es el responsable del tratamiento de sus datos personales a través de nuestras soluciones (artículo 24 del RGPD).

Además, gestionamos información personal para comunicarnos, especialmente por correo electrónico, con los administradoresde nuestras soluciones, así como con nuestros clientes potenciales. Como tal, somos responsables del tratamiento.

Definiciones de los principales conceptos

El RGPD es un documento denso y complejo cuyas disposiciones están a veces abiertas a la interpretación o pueden parecer abstractas. No obstante, es importante conocer estas 4 definiciones para comprenderlo mejor.

Datos personales

Cualquier información relativa a una persona física identificada o identificable. El término abreviado "datos personales" se utiliza con frecuencia.

En Lucca, los expedientes de los trabajadores, las solicitudes de ausencia, las evaluaciones son, por tanto, datos personales, al igual que casi toda la información que usted gestiona en nuestras soluciones.

Tratamiento de datos personales

Se trata de cualquier operación o conjunto de operaciones realizadas sobre datos personales, como su recogida, registro, conservación, modificación, acceso, supresión, etc.

Lucca lleva a cabo varias operaciones de tratamiento de datos personales por cuenta de clientes. Por ejemplo, Lucca conservalos datos personales de los empleados mientras dure el contrato con sus trabajadores y los eliminaen un plazo de 30 días tras la finalización del contrato.

Responsable del tratamiento

Cualquier persona física o jurídica que determine los fines y medios del tratamiento de datos personales. El responsable del tratamiento es responsable del cumplimiento del RGPD dentro de su organización y, en particular, del respeto de los derechos de los trabajadores (derecho de acceso, derecho de supresión, etc.).

Por lo tanto, todos los clientes de nuestras soluciones son responsables del tratamiento de datos.

Encargado del tratamiento

Persona jurídica o física que trata datos personales por cuenta del responsable del tratamiento.

Lucca tiene la condición de encargado del tratamiento en relación con todos sus clientes.

Compromisos de Lucca como encargado del tratamiento

Si usted es cliente de Lucca, entonces somos su encargado del tratamiento. Como tales, nos comprometemos a cumplir con nuestras obligaciones establecidas en el artículo 28 del RGPD. Por eso, hemos nombrado a un Data Protection Officer (RPD) con el que puede ponerse en contacto a través de rgpd@lucca.fr.

Como encargados del tratamiento, también asumimos los siguientes compromisos:

  • Solo procesaremos los datos personales de sus trabajadores en el contexto de la prestación y ejecución de los servicios en línea de Lucca a los que se haya suscrito. Nunca venderemos ni utilizaremos los datos de sus trabajadores con fines de marketing.

  • No transferir sus datos fuera de la UE, a menos que elija que sus datos se alojen en Suiza.

    Proveedores de alojamiento

    Utilizamos cuatro encargados del tratamiento para alojar nuestras aplicaciones y, por tanto, los datos personales de nuestros trabajadores:

    • OVH en servidores situados en Francia y Alemania,
    • Scaleway en servidores situados en Francia y Reino de los Países Bajos, utilizados únicamente para copias de seguridad encriptadas,

    Para los clientes domiciliados en Suiza:

    • Microsoft Azure en servidores ubicados en Suiza,
    • GCP, en servidores ubicados en Suiza, utilizados únicamente para copias de seguridad cifradas
  • Informarle de los cambios en los procesadores que utilizamos para procesar algunos de sus datos personales y asegurarnos de que estos procesadores cumplen con el RGPD.

  • Restringir el acceso a sus datos personales a los trabajadores de Lucca debidamente autorizados, en particular para asistirle en servicio de soporte.

  • Garantizarle un alto nivel de seguridad y protección de sus datos.

  • Sensibilizar a nuestros trabajadores sobre el carácter confidencial de los datos personales, los retos de la seguridad de conservaciónde datos y la normativa aplicable a la protección de estos datos.

  • Notificarle las violaciones de datos en un plazo de 48 horas a partir del momento en que tengamos conocimiento de ellas.

Preguntas

+

Me suscribí a los servicios de Lucca antes del 25 de mayo de 2018. ¿Es necesario que mi empresa suscriba un nuevo contrato con Lucca?

No, esto no es necesario. El RGPD se aplica a la relación con nuestros clientes independientemente de la celebración de cláusulas específicas a tal efecto. No obstante, puede ponerse en contacto con nuestro DPO (rgpd@lucca.fr) si desea firmar un Data Processing Agreement (DPA) que regule el procesamiento llevado a cabo por Lucca. Además, nuestras condiciones generales se han editado para que nuestros contratos incluyan ahora todas las disposiciones del RGPD relativas a las responsabilidades del encargado del tratamiento frente al responsable del tratamiento. Para los clientes que firmaron un contrato antes del 25 de mayo de 2018, en caso de que no esté satisfecho con dichos cambios, tiene la opción de rescindir su suscripción, sin gastos, con un aviso previo de 30 días. A falta de rescisión antes del 31 de agosto de 2018, se considerará que acepta los cambios tal cual.

+

¿Qué medidas ha puesto en marcha Lucca en materia de seguridad y privacidad de los datos?

Lucca ha implementado medidas de seguridad para garantizar la integridad y confidencialidad de los datos personales que se nos confían. Así, Lucca obtuvo en julio de 2022 la certificación ISO 27001, que refleja nuestro compromiso con la seguridad de la información:

  • Cifrado sistemático de los datos en tránsito por la red pública,
  • Replicación de los datos de producción en un sitio geográficamente remoto,
  • Copias de seguridad externas encriptadas cada hora (AES 256) en Scaleway París (PRA) y GCP Storage (Zúrich) para nuestros clientes suizos,
  • Eliminación de los datos personales cuando los datos salen del área de producción,
  • Auditorías de seguridad y pruebas de penetración periódicas,
  • Política de desarrollo seguro con controles de bloqueo.

Por último, evaluamos periódicamente los riesgos y ajustamos nuestro nivel de seguridad según proceda.

Sus obligaciones como responsable del tratamiento de datos

Usted gestiona los datos personales de sus trabajadores a través de nuestras soluciones.

En consecuencia, sus trabajadores tienen derechos sobre estos datos. Es su responsabilidad permitirles ejercer estos derechos. Las soluciones de Lucca le ayudan a cumplir con esta obligación.

Derecho de acceso (artículo 15 del RGPD)

El interesado tiene derecho a obtener del responsable del tratamiento el acceso a sus datos personales.

Dependiendo de la configuración de la solución, los trabajadores tienen acceso a la información que les concierne (o pueden solicitar el acceso a su administrador). Solamente usted, como responsable del tratamiento, debe dar o no esta posibilidad a sus trabajadores.

Derecho de rectificación (artículo 16 RGPD)

El interesado tendrá derecho a obtener del responsable del tratamiento, lo antes posible, la rectificación de los datos personales que le conciernan y que sean inexactos.

La solución Poplee Core HR por su naturaleza (employee self service) permite a los trabajadores editar ellos mismos todos o parte de sus datos personales.

Derecho de supresión (artículo 17 del RGPD)

El interesado tiene derecho a obtener del responsable del tratamiento la supresión, lo antes posible, de los datos personales que le conciernan.

Ponemos a disposición de nuestros clientes un módulo dedicado a la gestión del derecho al olvido. Reservado a los administradores de nuestras soluciones, les permite suprimir los datos personales, en particular los de los antigüo trabajadores. Para saber más sobre este módulo.

Preguntas

+

¿Es necesario obtener el consentimiento de los trabajadores antes de utilizar las soluciones Lucca?

Dada la naturaleza desigual de la relación empleador/empleado, es raro que los trabajadores puedan dar libremente su consentimiento, a menos que su aceptación o rechazo no tenga un impacto negativo en su situación laboral.

El consentimiento es solo una de las 6 bases jurídicas previstas por el artículo 6 del RGPD para garantizar la licitud del tratamiento de los datos personales. Así pues, en función de los fines que haya determinado previamente para su tratamiento, le corresponde a usted determinar la base jurídica que resulte adecuada.

Compromisos de Lucca como responsable del tratamiento de datos

Podemos recoger y procesar datos personales con el fin de gestionar a nuestros clientes, proveedores y clientes potenciales, pero también con el fin de ejecutar los contratos con nuestros clientes.

En particular, utilizamos determinados datos personales de los administradores de nuestras soluciones (nombre, apellidos, correo electrónico profesional, función) para comunicarnos con ellos y proporcionarles servicios de mantenimiento y soporte funcional, así como información sobre los desarrollos y novedades de nuestras soluciones.

Hemos proporcionado a los administradores la opción de no recibir esta información, pero al hacerlo es posible que no estén plenamente informados de todas las funciones o novedades de las soluciones de Lucca.

  • Limitar la recogida de datos a lo estrictamente necesario.
  • Otorgar a los administradores de nuestras soluciones el derecho de acceso, rectificación o supresión de sus datos personales.
  • Aplicar las medidas técnicas y organizativas adecuadas para garantizar un alto nivel de seguridad.

Estas respuestas no constituyen en ningún caso un consejo jurídico. Por lo tanto, le invitamos a consultar a su consejo sobre estas cuestiones.