Objeto de la política de protección de datos personales
Resumen: este documento resume todos los compromisos adoptados por Les Domaines Barons
de Rothschild (Lafite) en materia de protección de datos personales.
Responsable del Tratamiento. La sociedad Les Domaines Barons de Rothschild (Lafite) (en
adelante, «DBR») deberá recopilar y utilizar datos que permitan identificar o hacer identificables a
su personal, clientes, clientes potenciales, proveedores, proveedores de servicios, socios, así como
a los internautas que naveguen por el/los sitio(s) web que edita (en adelante, los «Datos
Personales» o «Datos»).
Datos tratados. En este contexto, DBR trata determinadas categorías de Datos Personales como
datos económicos, datos de identificación, datos profesionales, datos relativos a la vida personal,
así como ciertos datos relativos a los alérgenos y preferencias alimentarias.
DBR concede especial importancia a la transparencia de sus prácticas, en particular, en materia de
respeto de los derechos de las Personas Interesadas sobre sus Datos Personales.
Aclaraciones. El objeto de la presente Política es resumir en un formato conciso, transparente,
comprensible y fácilmente accesible los compromisos adoptados por DBR en relación con el respeto
de los principios enunciados en la Normativa aplicable a los Tratamientos de Datos de carácter
Personal, especialmente en lo que se refiere:
- a la aplicación de tratamientos lícitos,
- al respeto de los derechos de las Personas Interesadas,
- a las posibles transferencias a un país fuera de la Unión Europea,
- a los destinatarios de los Datos Personales recogidos,
- al plazo de conservación de los Datos Personales recogidos,
- a las medidas de seguridad aplicadas para proteger los Datos Personales.
Accesibilidad. La presente política incluye toda la información necesaria para garantizar la
aplicación de tratamientos justos y transparentes, teniendo en cuenta las circunstancias particulares
y el contexto en el que se tratan los Datos Personales. Esta es de acceso público para cualquiera
que lo solicite y se publica.
Actualización. DBR actualiza y pone al día la presente Política para cumplir con los cambios en la
Normativa y según sea necesario. Nuestra política se revisa como mínimo cada tres años.
Preguntas. Si tiene alguna pregunta sobre la presente política y las prácticas de DBR en materia de
protección de Datos Personales, puede ponerse directamente en contacto con nosotros a través de
la siguiente dirección:
Les Domaines Barons de Rothschild (Lafite)
Service juridique
40 – 50 Cours du Médoc
BORDEAUX 33300, FRANCE
rgpd@lafite.com
Identificatión del responsable del tratamiento
Resumen: DBR es el Responsable del Tratamiento de los Datos Personales que recopila y utiliza
en el marco de su actividad.
Los Datos Personales son recopilados y gestionados por la sociedad Les Domaines Barons de
Rothschild (Lafite), cuyos datos completos se indican a continuación. Por lo tanto, DBR es el
Responsable del Tratamiento con arreglo al Reglamento General de Protección de Datos (o
«RGPD»), en la medida en que determina los medios y Fines del Tratamiento
- Nombre del organismo: Les Domaines Barons de Rothschild (Lafite)
- Forma juridica: Partnership Limited by Shares
- Dirección: 40 – 50 Cours du Médoc, 33 300 Bordeaux,
- N° de registro mercantill: 308 382 928 (Bordeaux)
- Capital social: €12,148,320
- Correo electrónico de rgpd@lafite.com
Legalidad de los tratamientos de datos realizados por DBR
Resumen: la DBR garantiza que el Tratamiento de Datos Personales que lleva a cabo es lícito.
Bases jurídicas. Cada uno de los tratamientos aplicados por DBR se fundamenta en una de las
bases jurídicas establecidas por el Reglamento General de Protección de Datos. La elección de cada
base jurídica figura documentada y mencionada en el registro de actividades de Tratamiento de
DBR.
Aclaraciones. Por tanto, en función del caso, los tratamientos de DBR se fundamentan en:
- el consentimiento de la Persona Interesada,
- el contrato, cuando el Tratamiento sea necesario para la preparación o ejecución de un contrato celebrado con la Persona Interesada,
- una obligación legal, cuando el Tratamiento venga impuesto por cualquier Normativa que le sea aplicable,
- el interés legítimo, cuando el Tratamiento sea necesario para la consecución de intereses legítimos de DBR, respetando estrictamente los derechos e intereses de los titulares cuyos Datos Personales se tratan.
Cumplimiento de los principos aplicables a los tratamientos de datos realizados por DBR
Resumen: DBR se compromete a cumplir los principios que impone la Normativa aplicable al
Tratamiento de Datos Personales, en particular los establecidos en el artículo 5 del Reglamento
General de Protección de Datos.
Principio de Fin. DBR se compromete en primer lugar a tratar Datos Personales únicamente para
objetivos (o Fines) determinados, precisos, explícitos y legítimos. Con esta perspectiva, DBR aplica
tratamientos que tienen por objeto:
- la gestión de los recursos humanos,
- la gestión de los accesos a los sitios,
- la gestión de la relación con el cliente,
- la gestión de su sistema de información,
- la gestión de las relaciones con sus proveedores y prestatarios de servicios,
- la gestión de su comunicación y de sus acciones de marketing,
- la gestión de la contabilidad y de los asuntos jurídicos del grupo al que pertenece,
- la gestión de su sitio web.
Principio de minimización de los datos. DBR se compromete a tratar únicamente Datos
Personales pertinentes y estrictamente necesarios en relación con el Fin de cada Tratamiento que
realiza.
Principio de limitación de la conservación de los Datos. DBR se compromete a tratar únicamente
los Datos Personales pertinentes y estrictamente necesarios en relación con el Fin de cada
Tratamiento que realiza. En este sentido, DBR se ha dotado de una política de plazo de conservación
que permite asignar el plazo de conservación adecuado a cada Dato Personal en función de su característica y del Fin para el que ha sido recogido. Una vez expirados los plazos de conservación,
DBR procede a eliminarlos o anonimizarlos.
Principio de seguridad y confidencialidad de los Datos. Como Responsable del Tratamiento,
DBR es responsable de la seguridad de los Datos Personales que utiliza y, por lo tanto, se asegura
de que solo las personas autorizadas tengan acceso a dicha información.
Principio de exactitud. DBR hace todo lo posible por procesar únicamente Datos Personales
exactos y actualizados. DBR toma todas las medidas razonables para garantizar que los Datos
Personales que sean inexactos, teniendo en cuenta los Fines para los que se procesan, se eliminen
o rectifiquen sin demora.
Principio de lealtad y transparencia. DBR informa a cada Persona Interesada, como más tarde
en el momento de la recogida de sus Datos Personales, de las condiciones en las que se tratan sus
Datos Personales. La información se realiza en la mayoría de los casos por escrito de manera
concisa, transparente, comprensible y fácilmente accesible, en términos claros y sencillos, mediante
los formularios de recogida y las notas informativas específicas siguientes :
- Nota informativa para empleados,
- Nota informativa para clientes,
- Cláusulas y notas para proveedores y subcontratistas,
- Nota informativa para internautas.
Ausencia de toma de decisiones automatizada. Los tratamientos aplicados por DBR no prevén
una toma de decisiones automatizada.
Aclaraciones relativas a las medidas de seguridad aplicadas por DBR
Resumen: DBR se compromete a garantizar la seguridad de los Datos Personales que utiliza.
Compromisos. De conformidad con el principio de seguridad, DBR aplica las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y a la naturaleza
de los Datos Personales tratados. En este contexto, DBR tiene en cuenta el estado de los
conocimientos, los costes de aplicación y la naturaleza, el alcance, el contexto y los Fines del
Tratamiento, así como los riesgos, que varían en probabilidad y gravedad, para los derechos y
libertades de las Personas Interesadas.
Seguridad física. Desde esta perspectiva, DBR garantiza en primer lugar la seguridad física de los
Datos Personales, en particular limitando a lo estrictamente necesario el acceso de las personas a
los lugares de almacenamiento y servidores situados en sus locales.
Seguridad informática. DBR despliega a continuación un conjunto de medidas informáticas de
seguridad que permiten:
- garantizar la confidencialidad de los Datos (cifrado, autenticación fuerte, uso de una VPN para conexiones remotas, registro y limitación de accesos),
- restablecer la disponibilidad de los Datos Personales en caso de incidente.
PSSI. Por último, DBR cuenta con una política de seguridad de los sistemas de información (o
«PSSI»). La PSSI de DBR refleja la visión estratégica de la dirección en materia de seguridad de los
sistemas de información y de gestión de riesgos. Esta describe los elementos estratégicos (retos,
referencias, principales necesidades de seguridad y amenazas) así como las reglas de seguridad
aplicables a la protección del sistema de información de DBR.
Violaciones de Datos Personales. DBR aplica un procedimiento para notificarle a la CNIL las
violaciones de los Datos Personales en un plazo de setenta y dos (72) horas, incluida la información
que exige la Normativa. Cuando la violación de los Datos Personales pueda suponer un alto riesgo
para los derechos y libertades de las Personas Interesadas, este mismo procedimiento prevé que
se facilite información detallada a las Personas Interesadas lo antes posible.
Destinattarios de los datos personales tratados
Resumen: las personas y organismos que tienen acceso a los Datos Personales tratados por DBR
están identificados y se comprometen, en particular, a respetar los derechos de las Personas
Interesadas a través de compromisos contractuales específicos.
Personal. Los Datos Personales los utiliza principalmente el personal específico de DBR que, debido
a sus funciones, tenga efectivamente la necesidad de acceder a ellos. Una vez más, los servicios
en cuestión figuran identificados en los registros de DBR.
Terceros. Por otra parte, DBR identifica a todos los organismos a los que comunica Datos
Personales, como por ejemplo sus subcontratistas, proveedores y socios. La identificación de
terceros se documenta en un registro específico, que se actualiza regularmente en función de la
evolución de los tratamientos que aplica DBR
Transferenciade datos personales a un país no perteneciente a la unión europea
Resumen: en principio, DBR no transfiere los Datos Personales que trata fuera de la Unión
Europea. En caso de que DBR deba proceder a dicha transferencia, lo hará respetando la
Normativa aplicable.
DBR presta especial atención a la cuestión de las transferencias de Datos Personales fuera de la
Unión Europea (UE) o del Espacio Económico Europeo (EEE).
Adecuación. DBR adopta así todas las medidas necesarias para evitar en la medida de lo posible
dichas transferencias y, cuando proceda, para respetar la Normativa, de manera que el nivel de
protección de las Personas Interesadas garantizado por esta misma Normativa no se vea
comprometido.
Aclaraciones. Así, DBR solo realizará transferencias de Datos Personales fuera del EEE o de la UE
después de haberse asegurado de que el nivel de protección de Datos sea suficiente y adecuado, y
de haber utilizado las herramientas jurídicas definidas en el capítulo V del Reglamento General de
Protección de Datos (en particular, decisión de adecuación, cláusulas contractuales tipo, normas
corporativas vinculantes, consentimiento explícito).
Fuera de adecuación. En el caso de terceros situados en un país que no se beneficie de una
decisión de adecuación, DBR se asegura de que estos se comprometen a adoptar las medidas
necesarias para respetar los derechos de las Personas Interesadas en lo que respecta a sus Datos,
en particular, mediante cláusulas contractuales tipo y medidas adicionales de seguridad como por
ejemplo el cifrado.
Registro. Además, DBR ha identificado la totalidad de las transferencias de Datos Personales que
realiza en un registro específico, que mantiene regularmente actualizado.
Respeto de los derechos de las personas interesadas sobre sus datos
Resumen. DBR implementa los procedimientos necesarios para respetar los derechos de las
Personas Interesadas sobre sus Datos Personales.
Derechos de las Personas Interesadas. De conformidad con la Normativa, las Personas
Interesadas pueden ejercer los siguientes derechos, recurriendo directamente a DBR, cuando esta
última trate sus Datos Personales
- Derecho de acceso. Cada Persona Interesada tiene derecho a acceder a sus Datos en cualquier momento, así como a solicitar las razones por las que DBR los utiliza.
- Derecho de rectificación. Cada Persona Interesada tiene derecho a solicitar la rectificación de los datos que le conciernan y que resulten ser inexactos.
- Derecho de oposición o supresión. La Persona Interesada también puede oponerse en cualquier momento a la recogida y al Tratamiento de sus Datos o solicitar su supresión, siempre que ya no sea necesario su conservación por parte de DBR.
- Derecho de limitación. La Persona Interesada también puede oponerse en cualquier momento a la recogida y al Tratamiento de sus Datos Personales por motivos relacionados con su situación particular, salvo cuando dicho Tratamiento sea necesario para la ejecución del contrato o el cumplimiento de una obligación legal por parte de DBR.
- Derecho a la retirada del consentimiento. Cada Persona Interesada puede retirar su consentimiento para el Tratamiento de sus Datos en cualquier momento.
Derecho a la portabilidad. Las Personas Interesadas pueden ejercer su derecho a la portabilidad (es decir, a obtener sus Datos en un formato estructurado legible por ordenador) en relación con los Datos facilitados directamente a DBR sobre la base del consentimiento o de un contrato celebrado con DBR y que estén sujetos a un Tratamiento automatizado. - Instrucciones post mortem. Cualquier Persona Interesada tiene derecho a formular instrucciones relativas a la conservación, supresión y comunicación de sus Datos después de su fallecimiento.
- Reclamación. Cualquier Persona Interesada tiene derecho a presentar una reclamación ante una autoridad de control si considera que DBR no ha respetado sus derechos. Por ejemplo, si la Persona Interesada reside en Francia, puede presentar una reclamación ante la Comisión Nacional de Informática y Libertades (enlace:https://www.cnil.fr/fr/adresser-une-plainte).
- Las Personas Interesadas pueden encontrar más información sobre sus derechos consultando el sitio web de la CNIL (*)https://www.cnil.fr/fr/les-droits-para-dominar-susdatos-personales) o recurriendo a cualquier otra autoridad de control establecida en spaís de residencia.
Ejercicio de los derechos. DBR aplica un procedimiento que facilita el ejercicio de los derechos de
las Personas Interesadas que incluye, de conformidad con el artículo 12 del RGPD y como mínimo,
las modalidades:
- de identificación/autenticación de la Persona Interesada que ejerza sus derechos,
- que permitan respetar los plazos de respuesta
Datos de contacto. El ejercicio de los derechos anteriormente indicados puede realizarse por correo
electrónico o por correo postal enviado a la siguiente dirección. En caso de duda legítima, DBR se
reserva el derecho a solicitar una copia de un documento de identidad en la que solicitará colocar
una marca de agua inalterable por razones de seguridad.
Les Domaines Barons de Rothschild (Lafite)
Service juridique
40 – 50 Cours du Médoc
BORDEAUX 33300, FRANCE
rgpd@lafite.com
Léxico de los términos utilizados en la presente política
Resumen: DBR publica aquí la definición que conviene dar a los términos utilizados en esta Póliza
con una primera letra en mayúscula. Estas definiciones se reproducen en referencia al artículo 4
del RGPD.
«Dato(s)» o «Datos Personales». Designa toda información relativa a una persona física
identificada o identificable (la «Persona Interesada»); se considera una «persona física
identificable» a una persona física que puede ser identificada, directa o indirectamente, en particular
mediante un identificador, como un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos específicos propios de su identidad física, fisiológica,
genética, psíquica, económica, cultural o social;
«Fin». Designa el objetivo perseguido por el organismo durante el Tratamiento de Datos. El Fin debe
ser determinado, explícito y legítimo.
«Normativa». Se refiere a toda la Normativa aplicable al Tratamiento por DBR de Datos Personales,
en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(reglamento general de protección de datos); la Ley n.º 78-17, de 6 de enero de 1978, relativa al
Tratamiento de los datos, los ficheros y las libertades individuales; y todas las normas nacionales e
internacionales vigentes en el ámbito de las comunicaciones electrónicas, como la Directive
2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al Tratamiento
de los datos personales y a la protección de la privacidad en el sector de las comunicaciones
electrónicas (directiva sobre la privacidad y las comunicaciones electrónicas).
«Responsable del Tratamiento». Designa a la persona física o jurídica, autoridad pública, servicio
u otro organismo que, solo o conjuntamente con otros, determina los Fines y los medios del
Tratamiento.
«Tratamiento». Designa cualquier operación o conjunto de operaciones, efectuadas o no mediante
procedimientos automatizados, y aplicadas a datos o conjuntos de datos personales, como la
recogida, registro, organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su limitación, supresión o destrucción.