Política de privacidad

La protección de la privacidad es una preocupación importante para nosotros. Si se nos facilitan datos personales, y en la medida en que lo hagan, se tratarán de acuerdo con las disposiciones del Reglamento General de Protección de Datos de la UE (en adelante RGPD) y su interpretación actual, y en particular con las disposiciones legales de protección de datos de la Ley Federal de Protección de Datos alemana (BDSG). Por supuesto, todos los datos serán tratados confidencialmente. Con la siguiente información sobre protección de datos, nos gustaría explicar con más detalle cómo se tratan los datos.

1. Datos de contacto del responsable del tratamiento y del encargado de la protección de datos

1.1 Nombre y dirección del responsable del tratamiento de datos
La persona responsable en el sentido del Reglamento General de Protección de Datos y otras leyes nacionales de protección de datos de los estados miembros, así como otras disposiciones de protección de datos (Art. 4 párrafo 7 RGPD) es:

Userwerk GmbH
Representado por los directores generales Dr. Markus Kalb & Daniel Speyer
Ehinger Str. 19
D-89077 Ulm
E-Mail: clientes@userwerk.es

1.2. Nombre y dirección del Oficial de Protección de Datos
El responsable de la protección de datos del controlador es:

Stefan Schwytz
c/o Kulitz & Twelmeier GmbH
Magirus-Deutz-Str. 12
D-89077 Ulm
E-Mail: clientes@userwerk.es

2. Información general sobre la recopilación de datos personales

2.1. Principio
Esta declaración de protección de datos se aplica a todos los clientes, interesados y empleados, así como a los socios contractuales y otras personas físicas que utilicen nuestras ofertas en línea y las páginas web, funciones y contenidos relacionados con ellas (en lo sucesivo, denominadas colectivamente „oferta en línea“ o „página web“). La declaración de protección de datos se aplica independientemente de los dominios, sistemas, plataformas y dispositivos (por ejemplo, ordenadores, tablets o móviles) utilizados en los que se ejecuta la oferta en línea o el sitio web.

2.2. Principios sobre el alcance del tratamiento de datos personales
Compartimos la filosofía que subyace en el RGPD, así como en la Ley Federal de Protección de Datos alemana (BDSG), en el sentido de que la recogida y el tratamiento de datos personales ( en adelante „datos“) deben ser limitados siempre que sea posible. Por lo tanto, sólo tratamos los datos personales en la medida en que sea necesario para fines claramente definidos, que se exponen a continuación (principios de evitación y economía de datos). En este contexto, el tratamiento de datos sólo es admisible en la medida en que pueda basarse en un fundamento jurídico suficiente o en el consentimiento (principio de legalidad). Esto significa que, por lo general, sólo procesamos datos personales en la medida en que sea necesario para proporcionar un sitio web funcional y nuestros contenidos y servicios. Los datos personales se procesan regularmente sólo después de que se haya dado el consentimiento. Se aplica una excepción en aquellos casos en los que no es posible obtener el consentimiento previo por razones de hecho y el tratamiento de los datos está permitido por la normativa legal. A menos que se indique lo contrario, los términos „proceso“ y „tratamiento“ también incluyen, en particular, la recopilación, el uso, la divulgación y la transferencia de datos personales (véase el artículo 4 nº 2 del RGPD).

2.3 Información general sobre la base legal para el tratamiento de datos personales

2.3.1 Bases jurídicas generales
El tratamiento de datos personales está, en principio, prohibido y sólo excepcionalmente permitido. La permisibilidad del tratamiento de datos sólo puede derivarse del hecho de que el tratamiento de los datos pueda basarse en una base jurídica adecuada. En conclusión, se puede considerar lo siguiente:

  • En la medida en que hayamos obtenido el consentimiento del interesado para las operaciones de tratamiento de datos personales, el art. 6 (1) lit. a RGPD sirve de base legal.
  • Cuando el tratamiento de los datos personales es necesario para la ejecución de un contrato en el que el interesado es parte, la base jurídica es el artículo 6 (1) (b) de la RGPD. Esto también se aplica a las operaciones de procesamiento que son necesarias para la ejecución de medidas precontractuales.
  • En la medida en que el tratamiento de los datos personales sea necesario para cumplir con una obligación legal a la que estemos sujetos, el Art. 6 (1) c RGPD sirve como base legal.
  • En el caso de que los intereses vitales del interesado o de otra persona física hagan necesario el tratamiento de los datos personales, el art. 6 (1) (d) de la RGPD sirve de base legal.
  • Si el tratamiento es necesario para el cumplimiento de una tarea realizada en interés público o en el ejercicio del poder público que se nos ha conferido, el fundamento jurídico del tratamiento es el art. 6 (1) (e) de la RGPD.
  • Si el tratamiento es necesario para proteger un interés legítimo de nuestra empresa o de un tercero y los intereses, derechos y libertades fundamentales del interesado no prevalecen sobre el interés anterior, el Art. 6 (1) lit. f RGPD sirve de base legal para el tratamiento.

2.3.2 Fundamentos jurídicos especiales para el tratamiento de categorías especiales de datos personales con arreglo al artículo 9 del RGPD
Está prohibido el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la pertenencia a un sindicato, así como el tratamiento de datos genéticos, datos biométricos que identifiquen de forma inequívoca a una persona física, datos sanitarios o datos relativos a la vida sexual o a la orientación sexual de una persona física. Excepcionalmente, podemos permitir el tratamiento de estas categorías especiales de datos personales, siempre que exista una base legal adecuada para ello. Tales motivos son, en particular:

  • En la medida en que el interesado haya dado su consentimiento expreso al tratamiento de las categorías especiales de datos especiales para uno o varios fines específicos, ésta es la base jurídica del tratamiento (artículo 9, apartado 2, letra a) del RGPD). Esto no se aplica en la medida en que la legislación de la Unión o de los Estados miembros no permita levantar la prohibición de tratar las categorías especiales de datos personales.
  • En el caso de que el interesado haya hecho manifiestamente públicos los datos, la base jurídica del tratamiento es el artículo 9, apartado 2, letra e) de la RGPD.
  • En la medida en que el tratamiento de los datos sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales, el tratamiento está permitido en virtud del artículo 9 (2) lit. f del RGPD.
  • El tratamiento de los datos es admisible en la medida en que sea necesario por razones importantes de interés público, sobre la base del Derecho de la Unión o de un Estado miembro, que sea proporcional al objetivo perseguido, que preserve la esencia del derecho a la protección de datos y que prevea medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales del interesado, véase el artículo 9, apartado 2, letra g) de la RGPD.

2.4. Oposición y revocación contra el tratamiento de los datos
Si se ha dado el consentimiento para el tratamiento de los datos, éste puede ser revocado en cualquier momento. Dicha revocación afectará a la permisibilidad del tratamiento de los datos personales después de que se nos haya expresado.

Si basamos el tratamiento de los datos personales en un equilibrio de intereses, se puede plantear una objeción al tratamiento. Este es el caso si el tratamiento no es necesario, en particular, para la ejecución de un contrato, como se describe más adelante en la descripción de las funciones. Al ejercer dicha objeción, le pedimos que explique las razones por las que no debemos tratar los datos personales como lo hacemos. En caso de una objeción justificada, revisaremos la situación y suspenderemos o adaptaremos el tratamiento de datos o demostraremos nuestros motivos legítimos imperiosos para continuar con el tratamiento.

2.5. Borrado de datos y período de almacenamiento
Los datos personales serán eliminados o bloqueados por nosotros tan pronto como el propósito del almacenamiento deje de ser aplicable; el bloqueo en este contexto significa cualquier eliminación de la referencia de los datos a la persona. Los datos también pueden almacenarse si así lo dispone el legislador europeo o nacional en reglamentos, leyes u otras disposiciones a las que estamos sujetos. Los datos también se bloquearán o eliminarán si expira el período de almacenamiento prescrito por las normas mencionadas, a menos que sea necesario seguir almacenando los datos para la celebración o el cumplimiento de un contrato. Por regla general, los datos personales se anonimizan después de 3 meses (Art. 5 (1) e) RGPD). La anonimización puede tener lugar en cualquier momento a petición del cliente, por ejemplo en el caso de los datos recogidos involuntariamente o sin autorización (Art. 17 RGPD).

3. Finalidades y fundamentos jurídicos del tratamiento de sus datos personales, así como información adicional sobre el tratamiento específico de los datos

3.1 Visite nuestro sitio web

3.1.1 Descripción y alcance del tratamiento de datos
Cada vez que usted visita nuestro sitio web, nuestro sistema recoge automáticamente datos e información del sistema informático del ordenador que llama (datos personales que su navegador transmite a nuestro servidor). Esto es puramente técnico y también está previsto, siempre que no se produzca un registro o se transmita información de otro modo. Se recogen los siguientes datos:

  • Dirección IP del usuario
  • Fecha y hora de la solicitud o del acceso
  • Diferencia de huso horario con respecto al meridiano de Greenwich (GMT)
  • Contenido de la solicitud (página específica)
  • Estado de acceso/Código de estado HTTP
  • Cantidad de datos transferidos en cada caso
  • Sitio web del que procede la solicitud (desde el que el sistema del usuario accede a nuestro sitio web)
  • Sitio web que es llamado por el sistema del usuario a través de nuestro sitio web
  • Información sobre el tipo de navegador y la versión utilizada
  • Sistema operativo y su interfaz
  • Idioma y versión del software del navegador

3.1.2. Finalidades del tratamiento de datos
El almacenamiento temporal de los datos mencionados, en particular la dirección IP por el sistema, es necesario para permitir la entrega del sitio web. Para ello, la dirección IP debe permanecer almacenada mientras dure la sesión. La consulta de páginas en Internet no es posible básicamente sin la transmisión de la IP. Esto también sirve para evaluar y garantizar la seguridad y estabilidad del sistema, así como para otros fines administrativos. El almacenamiento en archivos de registro se realiza para garantizar la funcionalidad del sitio web. Además, utilizamos los datos para optimizar el sitio web y para garantizar la seguridad de nuestros sistemas informáticos. En este contexto no se realiza una evaluación de los datos con fines de marketing.

3.1.3. Bases jurídicas del tratamiento de datos
La base legal para el almacenamiento temporal de datos es el art. 6 (1) lit. f RGPD. Nuestro interés legítimo se desprende de las finalidades de la recogida de datos enumeradas anteriormente. En ningún caso utilizamos los datos recogidos para sacar conclusiones sobre su persona.

3.1.4. Duración del almacenamiento
Los datos se eliminan tan pronto como dejan de ser necesarios para lograr el objetivo para el que se recogieron. En el caso de la recopilación de datos para la prestación del sitio web, esto ocurre cuando la sesión respectiva ha terminado. En el caso del almacenamiento de datos en archivos de registro, esto ocurre después de siete días como máximo. El almacenamiento más allá de este período es posible. En este caso, las direcciones IP de los usuarios se borran o se alienan para que no sea posible la asignación del cliente que llama.

3.1.5. Posibilidad de oposición y eliminación
La recogida de datos para la puesta a disposición del sitio web y el almacenamiento de los datos en archivos de registro son absolutamente necesarios para el funcionamiento del sitio web. Por lo tanto, no hay posibilidad de objetar.

3.2. Integración de GoogleMaps

3.2.1. Descripción y alcance del procesamiento de datos
Para nuestro sitio web (no la integración de las ofertas en línea), nos basamos en los mapas de Google, que integramos en nuestras páginas (contenido de terceros). El proveedor es Google Inc, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Para utilizar las funciones de Google Maps, es necesario almacenar su dirección IP. Esta información se suele transferir a un servidor de Google en Estados Unidos y se almacena allí. El proveedor de este sitio no tiene ninguna influencia en esta transmisión de datos.

3.2.2 Finalidades del tratamiento de datos
Los terceros proveedores de nuestro sitio web pueden utilizar los datos así obtenidos con fines estadísticos o de marketing.

3.2.3 Consentimiento para la transferencia de datos personales a un tercer país                                    
Los terceros proveedores de nuestro sitio web sólo pueden utilizar los datos así obtenidos para fines estadísticos o datos en un tercer país si se cumplen los requisitos especiales del artículo 44 y siguientes. Se procesa la RGPD. En consecuencia, la transferencia de datos puede llevarse a cabo si la Comisión Europea ha determinado mediante una decisión en el sentido del artículo 45 (1), (3) de la RGPD que se ofrece un nivel de protección adecuado en virtud de la legislación sobre protección de datos en el tercer país en cuestión. La Comisión Europea certifica a terceros países, mediante las llamadas decisiones de adecuación, un nivel de protección de datos comparable a la norma aceptada en el Espacio Económico Europeo (la lista de estos países, así como una copia de las decisiones de adecuación, puede encontrarse aquí: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html. En la medida en que la transferencia de datos entre EE.UU. y la UE tiene lugar en casos excepcionales, cabe señalar que no existe ninguna decisión de adecuación para EE.UU. Por lo tanto, en principio, habría que establecer otras salvaguardias adecuadas para que la protección de datos esté suficientemente garantizada en Estados Unidos. En general, esto sería posible a través de normas corporativas vinculantes, cláusulas contractuales estándar de la Comisión Europea para la protección de datos personales, certificados o códigos de conducta reconocidos. Aunque Google se ha sometido a las correspondientes cláusulas contractuales estándar de la Comisión Europea, las empresas estadounidenses están obligadas a entregar los datos personales a las autoridades de seguridad sin que usted, como interesado, pueda emprender acciones legales contra ello. Por lo tanto, no se puede descartar que las autoridades estadounidenses (por ejemplo, los servicios de inteligencia) procesen, evalúen y almacenen permanentemente sus datos ubicados en servidores estadounidenses con fines de vigilancia. No tenemos ninguna influencia en estas actividades de procesamiento. Además, es posible que no pueda hacer valer o hacer cumplir sus derechos de información frente a Google a largo plazo. Además, las medidas técnicas y organizativas para la protección de los datos personales en Google pueden no cumplir plenamente con los requisitos del RGPD en términos de cantidad y calidad. Por lo tanto, existe la posibilidad de que las cláusulas contractuales estándar de la Comisión Europea utilizadas por Google no constituyan garantías suficientes en el sentido del artículo 46 (2) (a) del RGPD. No obstante, Google se ha comprometido a entregar los datos a las autoridades de seguridad estadounidenses únicamente si el proveedor de servicios ha sido obligado legalmente de facto a hacerlo por una orden gubernamental. El proveedor de servicios también está obligado a emprender acciones legales para impugnar la orden gubernamental de entregar los datos. Al consentir la recopilación de datos por parte de Google, usted consiente expresamente la transferencia de datos establecida en el presente documento, y ha sido informado anteriormente de los riesgos potenciales de dichas transferencias en ausencia de una decisión de adecuación y de garantías apropiadas. Este consentimiento puede ser revocado en cualquier momento. La revocación no afecta a la legalidad del tratamiento realizado sobre la base del consentimiento hasta la revocación.

3.2.4. Base legal para el tratamiento de datos
La base legal para el tratamiento de sus datos es el Art. 6 párrafo 1 p. 1 lit. a así como f RGPD. El tratamiento se lleva a cabo sobre la base de un consentimiento implícito y sobre la base de nuestros intereses legítimos. A este respecto, suponemos que las posiciones protegidas por los derechos fundamentales no se ven seriamente afectadas y, por lo tanto, no las superan.

3.2.5. Duración del almacenamiento; posibilidad de objeción y eliminación
Google Maps requiere una cookie NID, que se almacena en los navegadores. Por lo tanto, como usuario, usted tiene control total sobre el uso de cookies. Al cambiar la configuración de su navegador de Internet, puede desactivar o restringir la transmisión de cookies. Las cookies que ya se han guardado se pueden eliminar en cualquier momento. Esto también se puede hacer automáticamente. Si las cookies están desactivadas para Google Maps, es posible que todas las funciones ya no puedan utilizarse en su totalidad.

3.2.6 Información adicional
Para obtener más información sobre el propósito y el alcance de la recopilación y el procesamiento de datos, así como más información sobre sus derechos en este sentido y las opciones de configuración para proteger su privacidad, póngase en contacto con: Google Inc., 1600 Amphitheater Parkway, Mountainview, California 94043, EE.UU.; Información de privacidad: http://www.google.de/intl/de/policies/privacy

3.3 Otras ofertas en línea (integración con socios publicitarios)
Además del uso puramente informativo de nuestro sitio web, ofrecemos varios servicios a través de nuestras ofertas en línea, que los clientes pueden utilizar si están interesados. En concreto, mediamos, también utilizando la marca registrada „chocoala“, para los proveedores de diversos productos (proveedores de productos) sus ofertas de ventajas, en particular muestras gratuitas de diversos medios. Para ello, nuestros soportes publicitarios se integran en sitios web de socios publicitarios que gestionan tiendas web para la distribución de sus propios servicios, por ejemplo. Si el cliente, que debe ser mayor de edad, pasa por el proceso de pedido del socio publicitario, se le dará la oportunidad de elegir entre las ofertas especiales del proveedor de productos al final del proceso de pedido como agradecimiento por su pedido. Después de la elección de la oferta deseada aparece un formulario de pedido operado por nosotros, en el que ya están precargados los datos personales del cliente depositados con la compra en el Shopsystem. Esta precumplimentación sólo tiene lugar en el navegador del cliente, no hay transferencia de datos personales no autorizada por el cliente. El cliente recibe toda la información necesaria sobre el proveedor del producto, así como, si procede, sus condiciones generales y la información sobre protección de datos vinculada. Si el cliente desea hacer uso de la oferta de ventajas, debe activar la casilla „Sí, acepto las condiciones de uso“. Las condiciones de uso vinculadas contienen, si procede, la declaración de que el cliente acepta recibir publicidad del proveedor del producto (por teléfono o correo electrónico) con su pedido. Para utilizar las ofertas de ventajas antes mencionadas, en algunos casos se deben proporcionar datos personales adicionales, que son utilizados por el proveedor del producto para prestar el servicio respectivo y para los cuales se aplican los principios de procesamiento de datos antes mencionados. En concreto, los datos se tratan de la siguiente manera.

3.3.1. Uso del formulario de pedido

3.3.1.1. Descripción y alcance del tratamiento de datos
Cuando se llama a nuestro formulario de pedido, nuestro sistema registra los datos y la información del ordenador que llama mencionados en la sección 3.1.1. por razones puramente técnicas. Además, el saludo, el año de nacimiento, el país, el código postal, posiblemente variables sobre el comportamiento dentro de la oferta del socio publicitario, así como el valor hash de la dirección de correo electrónico especificada son transmitidos de forma seudónima por el socio publicitario. La seudonimización es el tratamiento de datos personales de tal manera que los datos personales ya no pueden ser asignados a un sujeto de datos específico sin el uso de información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a medidas técnicas y organizativas que garanticen que los datos personales no puedan ser asignados a una persona física identificada o identificable.

3.3.1.2. Fines del tratamiento de datos
El almacenamiento temporal de los datos mencionados es técnicamente necesario y sirve, por un lado, para la seguridad y la estabilidad del sistema y, por otro, para fines de garantía y administración. El valor hash de la dirección de correo electrónico se coteja de forma seudónima para satisfacer una posible objeción ya expresada a la publicidad con respecto a un valor hash almacenado.

3.3.1.3. Bases jurídicas del tratamiento de datos
La base legal para el almacenamiento temporal de los datos es el art. 6 (1) lit. f RGPD. Nuestro interés legítimo se desprende de las finalidades de la recogida de datos enumeradas anteriormente. En ningún caso utilizamos los datos recogidos para sacar conclusiones sobre la persona. Además, la base legal para el análisis del valor hash de la dirección de correo electrónico con el fin de poder excluir una posible objeción publicitaria de manera legalmente compatible es el Art. 21 (3), Art. 6 (1) lit. c RGPD.

3.3.1.4. Duración del almacenamiento
Los datos se eliminan tan pronto como dejan de ser necesarios para lograr el objetivo para el que se recogieron. En el caso de la recopilación de datos para el suministro de la hoja de pedido, este es el caso cuando la sesión respectiva ha terminado. En el caso de almacenamiento de datos con fines de seguridad, esto ocurre a más tardar después de siete días. El almacenamiento más allá de este período es posible. En este caso, las direcciones IP de los usuarios se borran o se alienan para que no sea posible la asignación del cliente que llama.

3.3.1.5. Posibilidad de oposición y eliminación
La recopilación de datos para el suministro del formulario de pedido y el almacenamiento de los datos es necesaria para el funcionamiento del formulario de pedido. Por lo tanto, no existe posibilidad de recurso. Sin embargo, en general es posible oponerse al análisis del interés potencial en relación con las ofertas mediadas en cualquier momento.

3.3.2. Uso de las ofertas de los proveedores de productos

3.3.2.1. Descripción y alcance del tratamiento de datos
Si se va a pedir una oferta de los proveedores de productos a través de nuestro formulario de pedido,

es necesario para la conclusión del contrato que se proporcionen los datos personales necesarios para la tramitación del pedido. Sólo se recopila la información obligatoria necesaria para la ejecución de los contratos. Los datos se transmiten al proveedor del producto.

3.3.2.2. Fines de tratamiento de datos
Los datos facilitados se procesan exclusivamente con el fin de procesar el pedido.

3.3.2.3. Bases jurídicas del tratamiento de datos
La base legal para el tratamiento de datos en el contexto de la tramitación de un pedido es el art. 6 (1) lit. b RGPD. Si el tratamiento de datos se lleva a cabo con fines publicitarios adicionales, exclusivamente en nombre de los proveedores de productos, la base legal para ello es actualmente el art. 6 (1) (b) y el art. 6 (1) (f) RGPD; los intereses legítimos se derivan de los fines del tratamiento de datos descritos. En la medida en que se haya dado el consentimiento para utilizar los datos con fines de marketing directo, también exclusivamente en nombre de los proveedores de productos, la base legal para ello es el art. 6 (1) a RGPD.

3.3.2.4. Duración del almacenamiento
En lo que respecta a la tramitación de pedidos, la legislación comercial y fiscal general obliga a almacenar los datos de dirección, pago y pedido durante un periodo de diez años. En la medida en que los datos se traten con fines publicitarios en nombre del proveedor del producto, estos datos se almacenarán hasta que se revoque el consentimiento en este sentido o se objete el tratamiento de los datos con fines publicitarios.

3.3.3. Marketing directo/ envío de boletines informativos por parte de los proveedores de productos

3.3.3.1. Descripción y alcance del tratamiento de datos
Con la declaración contractual para la recepción del pedido, también se puede dar el consentimiento para recibir información por separado sobre los productos y servicios actuales y futuros del proveedor del producto (por teléfono o correo electrónico). Para la confirmación del registro para recibir esta información, ofrecemos el llamado procedimiento de doble opt-in. Esto significa que, una vez realizado el pedido, se envía un correo electrónico a la dirección de correo electrónico proporcionada solicitando la confirmación voluntaria de que el registro/pedido ha sido realizado por el respectivo cliente. Además, almacenamos las direcciones IP utilizadas y las horas de registro/pedido y confirmación.

3.3.3.2. Finalidad del tratamiento de datos
El propósito del procedimiento de doble inclusión es proporcionar una prueba de registro y, en caso necesario, poder aclarar cualquier posible uso indebido de los datos personales. Tras la confirmación, la dirección de correo electrónico se almacena con fines de marketing directo por parte del proveedor del producto. Para cumplir estos fines, los datos se transmitirán al proveedor del producto. Los datos se procesan exclusivamente con fines administrativos en nombre del proveedor del producto.

3.3.3.3. Bases jurídicas del tratamiento de datos
En la medida en que el consentimiento para el tratamiento de datos con fines publicitarios por parte del proveedor del producto se declare con la declaración contractual en relación con el pedido, las bases legales para ello son el art. 6 párr. 1 lit. a y el art. 6 párr. 1 lit. b de la RGPD, además del art. 7 párr. 2 nº 3 de la UWG. En la medida en que los datos se recojan en el marco del procedimiento de doble opt-in, esto se hace con fines de documentación de acuerdo con el Art. 7 Párrafo 1 y el Art. 6 Párrafo 1 lit. c RGPD. Siempre que no tratemos los datos de forma excepcional sobre la base del consentimiento, el tratamiento de los datos personales se llevará a cabo en la medida en que sea necesario para proteger nuestros intereses legítimos o los intereses legítimos de un tercero y no prevalezcan los intereses, los derechos y las libertades fundamentales del cliente, que requieren la protección de los datos personales (art. 6, párr. 1 lit. f RGPD).

3.3.3.4. Duración del almacenamiento
Si el cliente no confirma el pedido mediante el procedimiento de doble opt-in, y si las condiciones del contrato entre el cliente y el proveedor del producto no lo exigen para recibir el pedido, la información se bloqueará y se eliminará automáticamente al cabo de un mes.

Por lo demás, los datos se eliminarán tan pronto como dejen de ser necesarios para lograr el objetivo para el que fueron recogidos. Los datos personales son almacenados por nosotros sólo con fines de prueba, anonimizados después de 6 meses, y eliminados posteriormente.

3.3.4. Posibilidad de oposición y expulsión
El consentimiento puede ser revocado en cualquier momento. La revocación se nos puede notificar haciendo clic en el enlace proporcionado en cada correo electrónico del boletín, por correo electrónico a kontakt@userwerk.com o enviando un mensaje a los datos de contacto indicados en la sección 1.1, o preferiblemente por revocación directamente al proveedor del producto, cuyo contacto figura en las ofertas y el correo electrónico de confirmación.

3.4. Comunicación
Debido al interés legítimo en una comunicación rápida y fácil para el cliente y la administración técnica, utilizamos la siguiente aplicación de acuerdo con el Art. 6 párrafo 1 lit. f y el Art. 6 párrafo 1 lit. b de la RGPD: Los correos electrónicos y las consultas por teléfono se procesan y almacenan con Zendesk, una plataforma de servicio al cliente de Zendesk Inc., 1019 Market Street San Francisco, CA 94103. Zendesk Inc. tiene varios certificados que garantizan los niveles de protección de datos aplicables. Para más información, consulte la política de privacidad de Zendesk: www.zendesk.de/product/zendesk-security

3.4.1. Consentimiento para la transferencia de datos personales a un tercer país,
sujeto a autorizaciones legales o contractuales, los datos personales sólo podrán tratarse en principio en un tercer país si existen las condiciones especiales del Art. 44 e.G. GDPR. A continuación, podrá realizarse la transferencia de datos si la Comisión Europea ha determinado, mediante una decisión en el sentido del artículo 45, apartados 1 y 3, del RGPD, que se ofrece un nivel adecuado de protección en el tercer país de que se trate en virtud de la legislación de protección de datos. La Comisión Europea certifica que los terceros países disponen de una política de protección de datos comparable a la de la norma reconocida en el Espacio Económico Europeo mediante tales decisiones de adecuación (puede encontrarse aquí una lista de estos países y una copia de las decisiones de adecuación: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html).

En la medida en que, en casos excepcionales, se produce una transferencia de datos entre los Estados Unidos y la UE, debe señalarse que los Estados Unidos no tienen tal decisión de adecuación. Por lo tanto, en principio, debería haber otras salvaguardias apropiadas para garantizar adecuadamente la protección de datos en los Estados Unidos. Por lo general, esto sería posible mediante normas vinculantes de la empresa, contratos estándar de la Comisión Europea para la protección de datos personales, certificados o códigos de conducta reconocidos.

Aunque Zendesk se ha sometido a las cláusulas contractuales estándar de la Comisión Europea, las empresas estadounidenses están obligadas a divulgar datos personales a las autoridades de seguridad sin que usted, como parte, pueda emprender acciones legales contra éllas. Por lo tanto, no se puede descartar que las autoridades estadounidenses (e.B. agencias de inteligencia) procesen, evalúen y almacenen permanentemente sus datos en servidores estadounidenses con fines de vigilancia. No tenemos influencia en estas actividades de procesamiento. Es posible que tampoco pueda hacer valer o hacer valer sus derechos de acceso al proveedor de servicios de una manera sostenible. Además, las medidas técnicas y organizativas para la protección de los datos personales en Google pueden no cumplir plenamente con los requisitos del RGPD en términos de cantidad y calidad. los requisitos del RGPD. Por lo tanto, es posible que las cláusulas contractuales tipo de la Comisión Europea utilizadas por Zendesk no constituyan garantías suficientes en el sentido del artículo 46, apartado 2, letra a), RGPD. Sin embargo, Zendesk se ha comprometido a entregar datos sólo a las agencias de seguridad estadounidenses si el proveedor de servicios ha estado legalmente obligado a hacerlo por una orden del gobierno. El proveedor de servicios también está obligado a tomar acciones legales para impugnar la orden oficial de divulgar los datos. Al dar su consentimiento a la recopilación de datos de zendesk, usted acepta expresamente la transferencia de datos presentados aquí, habiendo sido informado de los posibles riesgos de dichas transferencias de datos sin la existencia de una decisión de adecuación y sin las garantías adecuadas. Este consentimiento puede ser revocado en cualquier momento. Una revocación no afecta a la legalidad del tratamiento, que se ha llevado a cabo por el consentimiento hasta la revocación.

3.4.2. Base legal para el tratamiento de datos
La base legal para el tratamiento de sus datos es el art. 6 párr. 1 p. 1 lit. a y f RGPD. El tratamiento se basa en un consentimiento implícito y en nuestros intereses legítimos. En este sentido, asumimos que las posiciones protegidas por los derechos fundamentales no se ven seriamente afectadas y, por tanto, no prevalecen.

3.5. Loopingo
Mostramos ofertas de vales de loopingo GmbH, Nymphenburgerstr. 12, 80335 Múnich en la integración de nuestra oferta en línea. Para preparar el vale, transmitimos la dirección de correo electrónico a loopingo de forma encriptada (la base legal para esto es el Art. 6 para.1 b, f RGPD), así como cualquier código de vale utilizado. La dirección IP, que es utilizada por loopingo exclusivamente para la seguridad de los datos, se anonimiza después de siete días. Además, transmitimos el número de pedido, el valor del pedido con la moneda, el código postal, el sexo y el registro temporal a loopingo de forma seudonimizada para la preparación de la oferta. Para más información sobre el tratamiento de sus datos por parte de loopingo, consulte la información sobre protección de datos en línea en www.loopingo.com/datenschutz

3.6. Integración de servicios de Amazon Web Services(AWS)

3.6.1. Descripción y alcance del procesamiento de datos
Utilizamos servicios, concretamente soluciones en la nube, proporcionados por Amazon Web Services (en adelante AWS)EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburgo, una filial de Amazon Web Services, Inc, 410 Terry Avenue North, Seattle WA 98109, Estados Unidos. Amazon Web Services, Inc. (en adelante „AWS“) es una sociedad constituida y registrada bajo las leyes del Estado de Delaware (Número de Registro: 4152954, Secretaría del Estado de Delaware, Número de Identificación Fiscal: 204938068).

Durante el uso de los servicios de AWS, también se procesa y almacena información personal. De acuerdo con el contrato con AWS, esta información se procesa generalmente sólo dentro de la UE o del EEE (Espacio Economico Europeo). No obstante, no puede excluirse una transferencia de datos fuera de la UE. No tenemos ninguna influencia en esta transferencia de datos.

3.6.2. Finalidad del procesamiento de datos
El uso de los servicios de AWS es esencial para el funcionamiento y la plena prestación de nuestros contenidos y servicios. La finalidad puede ser la prestación de servicios para el cumplimiento de la relación contractual existente con usted.

3.6.3. Consentimiento para la transferencia de datos personales a un tercer país
El uso de los servicios de AWS Sujeto a permisos legales o contractuales, los datos personales sólo pueden ser procesados, en principio, en un tercer país si se cumplen los requisitos especiales de los artículos 44 y siguientes. La RGPD se cumple. Por lo tanto, los datos pueden ser transferidos si la Comisión Europea ha determinado mediante una decisión en el sentido del artículo 45 (1), (3) del RGPD que se proporciona un nivel adecuado de protección de datos en el tercer país en cuestión. La Comisión Europea certifica a terceros países, mediante las llamadas decisiones de adecuación, un nivel de protección de datos comparable al estándar aceptado en el Espacio Económico Europeo (una lista de estos países, así como una copia de las decisiones de adecuación, puede encontrarse aquí: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.html). En la medida en que, en el presente caso, se produce una transferencia de datos entre los EE.UU. y la UE en casos excepcionales, cabe señalar que no existe ninguna decisión de adecuación de este tipo para los EE.UU. Por lo tanto, en principio, habría que establecer otras salvaguardias adecuadas para que la protección de datos esté suficientemente garantizada en Estados Unidos. En general, esto sería posible mediante normas corporativas vinculantes, cláusulas contractuales estándar de la Comisión Europea sobre la protección de datos personales, certificados o códigos de conducta reconocidos. Aunque AWS se ha adherido a las cláusulas contractuales estándar de la Comisión Europea, las empresas estadounidenses siguen estando obligadas a revelar datos personales a las autoridades de seguridad sin que usted, como sujeto de los datos, pueda recurrir legalmente. Por lo tanto, no se puede descartar que las autoridades estadounidenses (por ejemplo, los servicios de inteligencia) procesen, evalúen y almacenen permanentemente sus datos ubicados en servidores estadounidenses con fines de vigilancia. No tenemos ninguna influencia en estas actividades de procesamiento. Además, es posible que no pueda hacer valer o hacer cumplir sus derechos de acceso frente a AWS a largo plazo. Además, las medidas técnicas y organizativas para la protección de los datos personales en AWS pueden no cumplir plenamente con los requisitos del GDPR en términos de cantidad y calidad. Por lo tanto, existe la posibilidad de que las cláusulas contractuales estándar de la Comisión Europea utilizadas por AWS no constituyan garantías suficientes en el sentido del artículo 46 (2) a) del RGPD. Sin embargo, según el documento disponible aquí: https://ec.europa.eu/info/law/law-topic/data-protection_es

AWS se ha comprometido a revelar datos a las autoridades de seguridad estadounidenses sólo si AWS ha sido obligada legalmente a hacerlo por una orden gubernamental. AWS también está obligada a emprender acciones legales para impugnar la orden del gobierno de divulgar los datos. Al consentir la recopilación de datos por parte de AWS, usted también consiente expresamente la transferencia de datos según lo establecido en el presente documento, y ha sido informado anteriormente de los riesgos potenciales de dichas transferencias sin una decisión de adecuación y sin las salvaguardias apropiadas. Este consentimiento puede ser revocado en cualquier momento. La revocación no afecta a la legalidad del tratamiento realizado sobre la base del consentimiento hasta la revocación.

3.6.4. Base legal para el tratamiento de datos
La base legal para el procesamiento de sus datos es el Art. 6 Párr. 1 S. 1 lit. a y f del RGPD. El procesamiento tiene lugar sobre la base de un consentimiento otorgado implícitamente, así como sobre la base de nuestros intereses legítimos. Si el objetivo de utilizar los servicios de AWS es celebrar un contrato, la base legal adicional para el procesamiento es el Art. 6 Párr. 1 S. 1 lit. b del RGPD.

3.6.5. Para obtener más
información sobre el propósito y el alcance de la recopilación de datos y su procesamiento, así como más información sobre sus derechos en este sentido y las opciones de configuración para proteger su privacidad, visite: https://d1.awsstatic.com/legal/privacypolicy/AWS_Privacy_Notice_Spanish_2020-08-15.pdf y https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf

3.7. Instagram

3.7.1. Descripción y alcance del procesamiento de datos
Mantenemos un perfil en la red social Instagram. Contamos con los datos de comunicación de los usuarios que se comunican con nosotros.

3.7.2. Finalidad del tratamiento de datos
El uso se realiza para comunicarse con los usuarios registrados e informar sobre nuestros productos, servicios y noticias.

3.7.3. Base legal
Cuando utiliza y accede a nuestro perfil en la red respectiva, se aplican la información de protección de datos y los términos de uso del proveedor de redes sociales respectivo. El procesamiento de sus datos personales cuando visita nuestro perfil en Instagram se basa en nuestros intereses legítimos en una presentación externa diversa de nuestra empresa y en el uso de una opción de información y comunicación efectiva con usted. La base jurídica es el artículo 6, apartado 1, letra f) del RGPD. En la medida en que haya otorgado al responsable de la red social su consentimiento para el procesamiento de sus datos personales, la base legal es el artículo 6 (1) (a) RGPD.

3.7.4. Mas información
No tenemos ninguna influencia en el procesamiento de datos personales por parte del respectivo proveedor de redes sociales. Como regla general, cuando visita nuestros perfiles, el proveedor de redes sociales guarda cookies en su navegador, en las que su comportamiento de uso o sus intereses se guardan con fines publicitarios y de investigación de mercado. Para obtener información detallada sobre el procesamiento de datos al utilizar nuestros perfiles de redes sociales y sus derechos, consulte la política de privacidad del proveedor de redes sociales: Instagram (proveedor: Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda ). Exclusión voluntaria: https://instagram.com/about/legal/privacy

4. Transferencia de datos a terceros
No compartimos datos personales con empresas, organizaciones o personas ajenas a la empresa, excepto en una de las siguientes circunstancias:

4.1. Con consentimiento
Transmitimos datos personales a empresas, organizaciones o personas ajenas a la empresa si se ha obtenido el consentimiento del cliente para ello; esto se relaciona en particular con los problemas de uso presentados anteriormente.

4.2. Procesamiento por otros organismos
Proporcionamos datos personales a otras empresas que están afiliadas al mismo grupo o grupo de empresas, así como a terceros socios comerciales, otras empresas de confianza o personas que los procesan en nuestro nombre. Esto se hace sobre la base de nuestras instrucciones y de acuerdo con la declaración de protección de datos y otras medidas apropiadas de confidencialidad y seguridad.

4.3. Por razones legales
Transmitiremos datos personales a empresas, organizaciones o personas ajenas a la empresa si se puede suponer de buena fe que el acceso a estos datos o su uso, almacenamiento o divulgación de dichos datos es razonablemente necesario para cumplir, en particular, con las leyes, regulaciones o procedimientos legales aplicables o para cumplir con una orden gubernamental exigible.

5. Transferencia de datos personales a un tercer país u organización internacional
A menos que se indique expresamente en esta declaración de protección de datos, los datos personales no se transmitirán a terceros países u organizaciones internacionales.

6. Toma de decisiones automatizada
No existe una toma de decisiones automatizada.

7. Derechos
Si se procesan datos personales, los usuarios se ven afectados en el sentido del GDPR y las personas afectadas tienen los siguientes derechos hacia nosotros, la persona responsable:

7.1. derecho a proporcionar información
Las partes afectadas pueden solicitar al responsable la confirmación de si los datos personales que les conciernen serán tratados por nosotros. Si este es el caso, puede solicitar la siguiente información al responsable:

  • Los fines para los que se procesan los datos personales.
  • Las categorías de datos personales que se procesan.
  • Los destinatarios o las categorías de destinatarios a los que se han divulgado o todavía se están divulgando los datos personales que le conciernen.
  • La duración planificada del almacenamiento de sus datos personales o, si no se dispone de información específica, los criterios para determinar la duración del almacenamiento.
  • La existencia de un derecho a corregir o eliminar sus datos personales, un derecho a restringir el procesamiento por parte del responsable o un derecho a oponerse a este procesamiento.
  • El derecho a presentar una queja ante una autoridad supervisora.
  • Toda la información disponible sobre el origen de los datos si los datos personales no se recopilan del interesado.
  • La existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles de conformidad con el artículo 22, párrafos 1 y 4 del RGPD y, al menos en estos casos, información significativa sobre la lógica involucrada y el alcance y los efectos previstos de dicho procesamiento para el interesado.

Los interesados ​​tienen derecho a solicitar información sobre si los datos personales que les conciernen se transmiten a un tercer país o a una organización internacional. En este contexto, los interesados ​​pueden solicitar ser informados sobre las garantías adecuadas de conformidad con el artículo 46 del RGPD en relación con la transmisión.

7.2. Derecho a rectificación
Los afectados tendrán derecho a rectificación y/o finalización con respecto al responsable del tratamiento, siempre que los datos personales tratados al respecto sean incorrectos o incompletos. El controlador debe realizar la corrección sin demora.

7.3. Derecho a restringir el tratamiento
En las siguientes condiciones, los interesados podrán solicitar la restricción del tratamiento de los datos personales que les conciernen:

  • Si discuten la exactitud de los datos personales que les conciernen durante un período que permite al controlador verificar la exactitud de los datos personales.
  • El tratamiento es ilegal y se niegan a eliminar los datos personales y en su lugar requieren la restricción del uso de los datos personales.
  • El responsable del tratamiento ya no necesita los datos personales para los fines del tratamiento, pero los necesita para la afirmación, el ejercicio o la defensa de reclamaciones legales.
  • Si se ha opuesto al tratamiento de conformidad con el artículo 21, apartado 1, RGDP y aún no se ha determinado si las razones legítimas del controlador superan sus razones.

Cuando se haya restringido el tratamiento de los datos personales relativos a los mismos, dichos datos podrán ser tratados, excepto por su almacenamiento, únicamente con el consentimiento o para hacer valer, ejercer o defender reclamaciones legales o para proteger los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un Estado miembro. Si la restricción del procesamiento ha sido restringida de acuerdo con las condiciones anteriores, el responsable será informado por el controlador antes de que se levante la restricción.

7.4 Derecho de supresión

7.4.1 Obligación de supresión
Los interesados pueden solicitar al responsable del tratamiento que suprima sin demora los datos personales que les conciernen, y el responsable del tratamiento está obligado a borrarlos sin demora, si se da uno de los siguientes motivos:

  • Los datos personales que les conciernen ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo.
  • Usted revoca el consentimiento en el que se basaba el tratamiento de conformidad con el artículo 6 (1) (a) o el artículo 9 (2) (a) de la RGPD y no existe ningún otro fundamento jurídico para el tratamiento.
  • Usted se opone al tratamiento de acuerdo con el artículo 21 (1) del RGPD y no existen motivos legítimos imperiosos para el tratamiento, o se opone al tratamiento de acuerdo con el artículo 21 (2) del RGPD.
  • Los datos personales que le conciernen han sido tratados ilegalmente.

La supresión de los datos personales que les conciernen es necesaria para el cumplimiento de una obligación legal en virtud del Derecho de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento. Los datos personales que les conciernen se han recogido en relación con los servicios de la sociedad de la información ofrecidos de conformidad con el artículo 8, apartado 1, del RGPD.

7.4.2. Información a terceros
Si el responsable del tratamiento ha hecho públicos los datos personales afectados y está obligado a suprimirlos de conformidad con el artículo 17, apartado 1, del RGPD, adoptará las medidas adecuadas, incluidas las medidas técnicas, teniendo en cuenta la tecnología disponible y los costes de ejecución, para informar a los responsables del tratamiento de los datos personales que ellos, como interesado, les hayan solicitado la supresión de todos los enlaces a estos datos personales o copias o réplicas de dichos datos personales.

7.4.3. Excepciones
El derecho de supresión no existe en la medida en que el tratamiento sea necesario:

  • Ejercer el derecho a la libertad de expresión e información.
  • A fin de cumplir una obligación jurídica que exija la tramitación en virtud de la legislación de la Unión o de los Estados miembros a los que esté sujeto el responsable del tratamiento, o de llevar a cabo una tarea de interés general o en el ejercicio de la autoridad oficial delegada al responsable del tratamiento.
    • Por razones de interés público en el ámbito de la salud pública con arreglo a las letras h) e i) del apartado 2 del artículo 9 y al apartado 3 del artículo 9 de la RGPD.
  • Para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, de la RGPD, en la medida en que el derecho mencionado en el apartado a) pueda hacer imposible o perjudicar gravemente la consecución de los fines de dicho tratamiento.
  • Para la afirmación, ejercicio o defensa de reclamaciones legales.

7.5 Derecho a la información
Si los interesados han hecho valer el derecho de rectificación, supresión o limitación del tratamiento frente al responsable del tratamiento, éste está obligado a informar a todos los destinatarios a los que se hayan comunicado los datos personales que les conciernen de dicha rectificación o supresión de los datos o de la limitación del tratamiento, salvo que ello resulte imposible o suponga un esfuerzo desproporcionado.

El interesado tendrá derecho ante el responsable del tratamiento a ser informado sobre estos destinatarios.

7.6. Derecho a la portabilidad de los datos
Los interesados tienen derecho a recibir los datos personales que les conciernen y que han facilitado al responsable del tratamiento en un formato estructurado, de uso común y lectura mecánica. También tienen derecho a transmitir estos datos a otro responsable del tratamiento sin que el responsable del tratamiento al que se facilitaron los datos personales se lo impida, siempre que:

  • El tratamiento se basa en el consentimiento de conformidad con el art. 6 (1) lit. a RGPD o el art. 9 (2) lit. A RGPD o en un contrato de conformidad con el art. 6 (1) lit. b RGPD.
  • El procesamiento se realiza mediante procedimientos automatizados.

En el ejercicio de este derecho, los interesados también tienen derecho a obtener que los datos personales que les conciernen se transfieran directamente de un responsable del tratamiento a otro, en la medida en que sea técnicamente posible. Las libertades y los derechos de otras personas no se verán afectados por ello. El derecho a la portabilidad de los datos no se aplicará al tratamiento de datos personales necesario para el cumplimiento de una misión de interés público o para el ejercicio de poderes públicos conferidos al responsable del tratamiento.

7.7. Las personas con derecho a oponerse al tratamiento de datos personales que les conciernen sobre
la base del artículo 6. 1) encendieron e o f RGPD en cualquier momento por razones derivadas de su situación particular, incluida la elaboración de perfiles basados en estas disposiciones. El controlador ya no procesa los datos personales que le conciernen, a menos que pueda demostrar motivos legítimos convincentes para el procesamiento que superen sus intereses, derechos y libertades, o el procesamiento sirva para afirmar, ejercer o defender reclamaciones legales. Cuando los datos personales que les conciernen sean tratados con el fin de dirigir la comercialización directa por parte de los proveedores de productos, tendrán derecho a oponerse en cualquier momento al tratamiento de los datos personales que les conciernen a efectos de dicha publicidad; esto también se aplica a la elaboración de perfiles en la medida en que esté relacionada con dicha comercialización directa por parte de los proveedores de productos. Si se opone al tratamiento con fines de marketing directo, los datos personales relativos a ellos ya no se procesarán para estos fines. Tienen la posibilidad, en relación con la utilización de los servicios de la sociedad de la información, de ejercer su derecho de oposición, a pesar de la Directiva 2002/58/CE, mediante procedimientos automatizados mediante especificaciones técnicas.

7.8. Derecho de oposición
Los interesados tienen derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de los datos personales que les conciernen y que se lleva a cabo sobre la base del artículo 6, apartado 1, letras e) o f) de la RGPD; esto también se aplica a la elaboración de perfiles basados en estas disposiciones. El responsable del tratamiento dejará de tratar los datos personales que les conciernen, a menos que pueda demostrar motivos legítimos imperiosos para el tratamiento que prevalezcan sobre sus intereses, derechos y libertades, o para el establecimiento, ejercicio o defensa de reclamaciones legales. Si los datos personales que les conciernen se procesan con fines de marketing directo por parte del Proveedor de Productos, tienen derecho a oponerse en cualquier momento al procesamiento de los datos personales que les conciernen para dicho marketing; esto también se aplica a la elaboración de perfiles en la medida en que esté relacionada con dicho marketing directo por parte del Proveedor de Productos. Si se opone al tratamiento con fines de marketing directo, los datos personales que le conciernen dejarán de ser tratados para estos fines. Usted tiene la posibilidad, en relación con el uso de los servicios de la sociedad de la información, no obstante la Directiva 2002/58/CE, de ejercer su derecho de oposición mediante procedimientos automatizados utilizando especificaciones técnicas.

7.9. Derecho a revocar la declaración de consentimiento según la ley de protección de datos.
Los interesados tienen derecho a revocar en cualquier momento su declaración de consentimiento conforme a la ley de protección de datos. La revocación del consentimiento no afecta a la legalidad del tratamiento realizado sobre la base del consentimiento hasta la revocación.

7.10. Derecho a no ser sometido a una toma de decisiones automatizada en casos individuales, incluida la elaboración de perfiles.
Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ellos o les afecte de forma similar. Esto no se aplica:

  • Cuando la decisión sea necesaria para la celebración o ejecución de un contrato entre ellos y el responsable del tratamiento.
  •  Lo permite la legislación de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento, y dicha legislación contiene medidas adecuadas para salvaguardar sus derechos y libertades y sus intereses legítimos.
  •  Se hace con su consentimiento explícito.

Sin embargo, estas decisiones no deben basarse en categorías especiales de datos personales, tal como se definen en el artículo 9, apartado 1, del RGPD, a menos que se aplique el artículo 9, apartado 2, letras a) o g), del RGPD y se hayan tomado las medidas adecuadas para proteger sus derechos y libertades y sus intereses legítimos. Con respecto a los casos mencionados en (1) y (3), el responsable del tratamiento adoptará medidas razonables para salvaguardar los derechos y libertades, así como sus intereses legítimos. Lo que incluye, como mínimo, el derecho a obtener la intervención de una persona por parte del responsable, a presentar su propio punto de vista y a impugnar la decisión.

7.11. Derecho a reclamar ante una autoridad de control
Sin perjuicio de cualquier otro recurso administrativo o judicial, los interesados tienen derecho a presentar una reclamación ante una autoridad de control. En particular, en el Estado miembro de su residencia, lugar de trabajo o lugar de la presunta infracción, si consideran que el tratamiento de los datos personales que les conciernen infringe el RGPD. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante de la situación y el resultado de la misma, incluida la posibilidad de interponer un recurso judicial con arreglo al artículo 78 del RGPD.

Estatus: marzo de 2021