En cumplimiento de lo dispuesto en el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) y el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre de 2018, de protección de datos personales y garantía de los derechos digitales, le informamos de lo siguiente:
El Usuario deberá realizar una lectura detenida de la presente Política de Privacidad, redactada con un lenguaje claro y accesible para facilitar su comprensión, con el objetivo de permitir que el Usuario determine de manera libre, informada y voluntaria si desea proporcionar sus datos personales o los de terceros a SONNEIL (en adelante la Entidad).
La Entidad tratará los datos personales que el Usuario nos proporcione con las siguientes finalidades y durante los plazos de conservación que se indican a continuación:
Gestionar la prestación y ejecución de los servicios y/o productos contratados, así como la elaboración, seguimiento y gestión de contratos, ofertas y propuestas de servicios, incluyendo los datos de las personas cuya intervención resulte necesaria para ello. La base legitimadora de este tratamiento se basa en la ejecución de un contrato o la aplicación de medidas precontractuales a petición del interesado. En este supuesto, conservaremos los datos personales durante el tiempo en que se mantenga la relación contractual o precontractual y, una vez finalizada, durante los plazos legalmente exigibles para atender posibles responsabilidades derivadas de la misma.
Gestionar y atender las comunicaciones, cualquier tipo de solicitud, sugerencia, reclamación o petición presentadas por los informantes/usuarios a través del Sistema Interno de Información, de conformidad con la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Estas comunicaciones pueden conllevar la gestión y traslado, si procede, al departamento encargado para su debida atención y cumplimiento del marco normativo aplicable. La base legitimadora de este tratamiento se basa en el cumplimiento de obligaciones legales que son de aplicación a la Entidad. Los datos relativos a las informaciones recibidas y a las investigaciones internas se conservarán durante el período necesario y proporcionado a efectos de cumplir con la Ley de Protección del Informante, en ningún caso superando el período de diez años. Transcurridos tres meses desde su recepción se procederá a la supresión de las comunicaciones, salvo en caso de conservación para acreditar y dejar evidencia de la existencia y funcionamiento del Sistema y/o en base a otros requisitos de cumplimiento normativo a los que esté asociada la información, quedando anonimizada la identidad del informante en un área independiente con las medidas de seguridad adecuadas.
Enviar comunicaciones informativas sobre productos o servicios similares a los ya contratados por el Cliente. La base legitimadora de este tratamiento es el interés legítimo de la Entidad, en el marco de una relación contractual previa y siempre que dichas comunicaciones se refieran a productos o servicios propios similares a los inicialmente contratados, garantizando en todo caso la posibilidad de oposición en cada envío. En el caso de comunicaciones electrónicas, este tratamiento se ampara en lo dispuesto en el artículo 21.2 de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI). Los datos personales serán conservados mientras no se ejercite el derecho de oposición o no se solicite la baja en la recepción de dichas comunicaciones.
En el marco de la gestión de las relaciones laborales, la Entidad podrá tratar datos personales de personas trabajadoras, candidatos o personal vinculado con las siguientes finalidades:
La base jurídica de estos tratamientos se fundamenta, en función de la naturaleza concreta de cada tratamiento, en la ejecución del contrato de trabajo (art. 6.1.b RGPD), el cumplimiento de obligaciones legales (art. 6.1.c RGPD), el interés legítimo de la Entidad (art. 6.1.f RGPD) o el consentimiento del interesado (art. 6.1.a RGPD), en los supuestos en que resulte necesario. Los datos personales serán conservados durante la vigencia de la relación laboral y, una vez finalizada, durante los plazos legalmente exigibles para atender posibles responsabilidades.
Enviar comunicaciones comerciales, newsletters o mailings, cuando dichas comunicaciones no se encuentren amparadas en una relación contractual previa en los términos indicados anteriormente. La base legitimadora de este tratamiento es el consentimiento del interesado, otorgado de forma libre, específica, informada e inequívoca. Los datos personales serán conservados mientras no se revoque el consentimiento prestado o no se solicite la baja en la recepción de dichas comunicaciones.
Gestionar la recepción y valoración de candidaturas, currículums y procesos de selección, incluyendo las autocandidaturas remitidas a través de la página web o del correo electrónico de contacto, así como su consideración para vacantes presentes o futuras que se ajusten al perfil del candidato. La base legitimadora de este tratamiento es el consentimiento del interesado, manifestado mediante el envío de su candidatura. Los datos personales serán conservados hasta la retirada del consentimiento y, en todo caso, durante un plazo máximo de un año desde la recepción del currículum vitae.
Garantizar la seguridad de las personas, bienes e instalaciones mediante sistemas de videovigilancia. La base legitimadora de este tratamiento de datos personales es el interés legítimo de la Entidad en preservar la seguridad de sus instalaciones, personas y bienes. Las imágenes serán conservadas, con carácter general, durante un plazo máximo de 30 días desde su captación, salvo cuando deban conservarse por más tiempo para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, o para cumplir una obligación legal.
Gestionar la relación profesional con proveedores, colaboradores y terceros, incluyendo el mantenimiento de la relación comercial, administrativa, contable y de facturación derivada de los servicios contratados por la Entidad. La base legitimadora de este tratamiento es la ejecución del contrato y el cumplimiento de las obligaciones legales aplicables a la Entidad. Los datos personales serán conservados durante el tiempo necesario para la gestión de la relación contractual y, posteriormente, durante los plazos legalmente exigibles.
Gestionar y controlar los mecanismos, políticas y procedimientos internos de cumplimiento normativo, incluyendo actuaciones de control interno, prevención, detección e investigación de incumplimientos normativos o de políticas internas. La base legitimadora de este tratamiento es el cumplimiento de obligaciones legales y, cuando proceda, el interés público o el interés legítimo de la Entidad en garantizar el cumplimiento normativo y la integridad de su organización. Los datos personales serán conservados durante el tiempo imprescindible para la tramitación, investigación y cierre de las actuaciones y, posteriormente, durante los plazos legalmente exigibles.
Gestionar las solicitudes de ejercicio de derechos en materia de protección de datos recibidas a través del canal habilitado por la Entidad a tal efecto. La base legitimadora de este tratamiento es el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Los datos personales serán conservados durante el tiempo necesario para tramitar y resolver la solicitud y, posteriormente, durante los plazos legalmente exigibles para acreditar su correcta atención.
Gestionar y atender informaciones o comunicaciones en materia de prevención y actuación frente al acoso, la violencia o conductas especialmente graves, en particular aquellas que afecten a colectivos de especial protección, incluyendo, en su caso, personas trans, personas LGTBI y menores de edad, así como tramitar las actuaciones internas que, en su caso, resulten procedentes. La base legitimadora de este tratamiento es el cumplimiento de obligaciones legales, el interés público esencial y, cuando corresponda, la formulación, ejercicio o defensa de reclamaciones, en función de la naturaleza concreta de la comunicación y de los datos tratados. Los datos personales serán conservados durante el tiempo imprescindible para la tramitación de la comunicación, la investigación y la adopción de las medidas oportunas y, posteriormente, durante los plazos legalmente exigibles. En caso de que dichas comunicaciones se canalicen a través del Sistema Interno de Información, resultarán de aplicación los plazos previstos en la Ley 2/2023, de 20 de febrero.
Cumplir con las obligaciones legales aplicables a la Entidad, en materia mercantil, fiscal, contable, administrativa, de prevención del blanqueo de capitales, laboral, de protección de datos o de cualquier otra índole que resulte exigible. La base legitimadora de este tratamiento es el cumplimiento de una obligación legal. Los datos personales serán conservados durante los plazos previstos en la normativa aplicable en cada caso.
Asimismo, la Entidad podrá tratar los datos personales para cualesquiera otros fines que resulten necesarios para el cumplimiento de obligaciones legales o requerimientos normativos específicos aplicables a su actividad.
Los datos personales tratados proceden, con carácter general, del propio interesado. No obstante, en determinados casos, los datos pueden proceder de terceros con los que el interesado mantenga una relación, tales como empresas clientes, entidades colaboradoras o proveedores, así como de fuentes de acceso público, cuando resulte legalmente procedente. En dichos supuestos, se informará al interesado en los términos establecidos en el artículo 14 del RGPD.
La Entidad podrá comunicar los datos personales del interesado a los siguientes destinatarios, cuando resulte necesario en función de la finalidad del tratamiento y sobre la base jurídica que corresponda en cada caso:
Con carácter general, no se prevé la realización de transferencias internacionales de datos personales. No obstante, en caso de utilización de proveedores de servicios tecnológicos que puedan implicar el tratamiento de datos fuera del Espacio Económico Europeo, dichas transferencias se realizarán con pleno cumplimiento de lo dispuesto en los artículos 44 y siguientes del RGPD, mediante la adopción de garantías adecuadas, tales como la suscripción de cláusulas contractuales tipo aprobadas por la Comisión Europea u otros mecanismos válidos conforme a la normativa vigente.
Para garantizar la transparencia en el tratamiento de sus datos personales, le informamos de los derechos que la normativa de Protección de Datos le otorga. A continuación, detallamos cada uno de estos derechos y cómo puede ejercerlos en relación con los datos personales que mantenemos.
Podrá comunicar y tramitar el ejercicio de sus Derechos y comunicar cualquier indicio o conocimiento que tuviera de posibles violaciones de seguridad, ciberataques y/o de posibles incumplimientos o irregularidades sobre la normativa de Protección de Datos a través del canal / correo electrónico habilitado por la Entidad a tal efecto: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com
En caso de divergencias con la Entidad en relación con el tratamiento de sus datos, tiene derecho a presentar una reclamación ante la Autoridad de Control de Protección de Datos correspondiente. En España, dicha Autoridad es la Agencia Española de Protección de Datos (www.aepd.es).
La Entidad podrá solicitar información adicional para confirmar la identidad del solicitante cuando existan dudas razonables sobre la misma y responderá a la solicitud en el plazo máximo de un mes desde su recepción, pudiendo prorrogarse dicho plazo en casos de especial complejidad.
La Entidad ha implementado un Sistema Interno de Información (SIIF), el cual se configura como un eje fundamental para la supervisión, control y prevención en el ámbito del cumplimiento normativo, contemplando el más alto compromiso, rigor y profesionalidad en materia de seguridad, confidencialidad, protección de datos, experiencia, independencia y conocimiento en el tratamiento de las comunicaciones recibidas.
Los canales internos de información integrados en el Sistema se han instrumentado a través de herramientas técnicas, que contemplan todos los requisitos necesarios para aportarles y garantizarles nuestros compromisos anteriores. Asimismo, el SIIF garantiza los principios básicos de anonimato, adecuado registro, conservación y no alteración, prevención de conflictos de interés, protección del informante y prevención de represalias.
A través de dicho Sistema, todo informante deberá comunicar de buena fe cualquier indicio, sospecha o evidencia de posibles incumplimientos normativos, delitos, comportamientos no éticos y, en general, el incumplimiento de los protocolos, normas y códigos de conducta de la Entidad.
El acceso al SIIF se ha habilitado en una sección separada de nuestra página web.
En el marco del Sistema Interno de Información (SIIF), la Entidad tratará datos personales con la finalidad de gestionar y tramitar las comunicaciones recibidas, así como analizar, verificar e investigar los hechos comunicados, adoptando en su caso las medidas correctoras, disciplinarias o legales que correspondan.
Este tratamiento se realiza en cumplimiento de las obligaciones legales establecidas en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, así como, cuando proceda, sobre la base del interés legítimo de la Entidad en prevenir y detectar conductas ilícitas o contrarias a la normativa interna.
En el marco de estas actuaciones, podrán tratarse las siguientes categorías de datos personales:
Los datos personales podrán proceder de la persona informante (de forma identificada o anónima), de las personas afectadas o de terceros que participen en la investigación.
La Entidad garantiza la confidencialidad de la identidad del informante, así como de cualquier tercero mencionado en la comunicación y de las personas afectadas. El acceso a los datos quedará restringido exclusivamente al personal autorizado que intervenga en la gestión e investigación de las comunicaciones.
Asimismo, se prohíbe expresamente cualquier forma de represalia, discriminación o trato desfavorable contra la persona informante o contra quienes colaboren en la investigación, en los términos previstos en la Ley 2/2023.
El ejercicio de los derechos en materia de protección de datos podrá verse limitado cuando resulte necesario para preservar la confidencialidad de la identidad del informante, evitar la obstrucción de la investigación o garantizar el correcto desarrollo de las actuaciones, en los términos previstos en la normativa aplicable.
La Entidad tratará los datos personales aplicando las medidas técnicas, jurídicas, organizativas y de seguridad adecuadas, a efectos de garantizar la confidencialidad e integridad de la información que gestiona de acuerdo con lo establecido en la normativa vigente.
Como concepto específico y complementario a lo anterior, la Entidad aplica medidas de ciberseguridad para prevenir y gestionar los posibles ataques y fraudes por parte de ciberdelincuentes que atentan contra la privacidad y protección de los datos que nuestra Entidad trata y accede en el ámbito de sus actividades y operaciones.
En este sentido, queremos alertar que ante posibles situaciones de riesgo por comunicaciones cuyo contenido y/o formato generen dudas de autenticidad, recomendamos omitir las mismas y contactar con la Entidad a través de los datos de contacto indicados en la presente Política de Privacidad.
Asimismo, cualquier solicitud que reciba con origen de nuestra Entidad sobre cambios de formas de pago, solicitud de datos o personas de contacto o de información confidencial (no pública), datos bancarios y/o de tarjetas de crédito y/o otros datos oficiales, no debe ser atendida sin la confirmación directa de nuestra Entidad por otro medio alternativo.
Agradecemos y necesitamos de su colaboración con la comunicación y denuncia de cualquier notificación con relación a este tipo de solicitudes y otras posibles situaciones de riesgo de ciberataques en las que pueda ser utilizada nuestra Entidad, así como por cualquier posible riesgo de seguridad que pudieran tener conocimiento.
Las personas interesadas podrán comunicar a la Entidad cualquier duda sobre el tratamiento de sus datos de carácter personal o interpretación de nuestra Política, contactando con el Responsable de Protección de Datos y Privacidad a través de las direcciones de correo electrónico indicados al principio de la presente Política.
La Entidad se reserva el derecho de modificar y/o actualizar la información sobre protección de datos, cuando sea necesario para el correcto cumplimiento de la normativa en esta materia. Si se produjera alguna modificación, el nuevo texto será publicado en este mismo apartado del sitio web.