Jurídico

Política de Privacidad

1. Ámbito de aplicación

Esta Política de Privacidad (en adelante denominada “Política”) tiene como objetivo presentar los compromisos de Pluris Investments S.A., sociedad anónima con sede en la Rua de Miragaia, n.º 103, Oporto, inscrita en el Registro Mercantil con el número único de matrícula y de persona jurídica 508 767 881, y del grupo societario que encabeza (definido más abajo), en relación con la gestión de la privacidad y la protección de los datos personales de los titulares cuyo tratamiento es de su responsabilidad, y responder a las exigencias del Reglamento General de Protección de Datos (en adelante denominado “Reglamento”)[1] y de la correspondiente legislación nacional de aplicación[2].

Esta Política se aplica, por tanto, a todas las sociedades que, directa o indirectamente, integran el grupo societario encabezado por Pluris Investments S.A., es decir, sus filiales actuales y futurass[3], aplicándose asimismo a las sociedades cuyo capital social y derechos de voto estén detenidos en más de un 50% directamente por los accionistas mayoritarios de Pluris Investments S.A. (en adelante, denominadas colectivamente “PLURIS” o “Grupo Pluris”), no siendo aplicable, sin embargo, a título de excepción, a las sociedades del Grupo Pluris que dispongan de una política de privacidad propia, la cual se aplicará en dichas sociedades con preferencia a la presente Política.

Asimismo, se pretende demostrar cómo serán tratados los datos personales en el contexto de las actividades desarrolladas en el ámbito del Grupo Pluris y sus colaboradores, mediante la definición de normas internas que cumplan con los requisitos exigidos por el Reglamento, en particular los relativos a la legitimidad, tratamiento y conservación.

Todos los datos personales serán tratados y gestionados conforme a la presente Política junto con la Política de Gestión de la Seguridad de la Información, a la cual se puede acceder a través del siguiente enlace […], teniendo en cuenta un inventario realizado y actualizado de dichos datos personales.

[1]  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y sus posteriores modificaciones.
[2]  La Ley n.º 58/2019, de 8 de agosto (y sus posteriores modificaciones), que garantiza la aplicación en el ordenamiento jurídico nacional del Reglamento General de Protección de Datos.
[3]  A los efectos del presente documento, se entenderá por filial toda sociedad participada, directa o indirectamente, en al menos un 10% de su capital social por la empresa Pluris Investments, S.A.

2. Funciones y Responsabilidades

La Administración del Grupo Pluris garantizará que la presente Política esté alineada con la estrategia de dicho Grupo, a fin de asegurar su mejora continua en lo que respecta a la seguridad de la información y la privacidad.

El Delegado de Protección de Datos (EPD) (en adelante “DPO” – Data Protection Officer) tiene como función, entre otras, asegurar de forma continua y sistemática el cumplimiento de los requisitos del Reglamento, garantizar que se respeten todos los derechos de los titulares y que se implementen los controles de seguridad adecuados para los objetivos aquí definidos.

La Administración del Grupo Pluris designa y atribuye al DPO las funciones y responsabilidades descritas anteriormente en relación con todas las empresas del Grupo Pluris, con excepción de aquellas que cuenten con su propio DPO, el cual asumirá dichas funciones y responsabilidades en esas sociedades.

Todos los empleados del Grupo Pluris, así como sus subcontratistas –en la medida en que les sea aplicable–, tienen la responsabilidad de colaborar con, cumplir y hacer cumplir los compromisos de esta Política.

En el caso de los barcos fluviales y marítimos, se definirá además un “DPO Local” por barco, cuya misión consiste en ejercer las funciones de DPO local cuando las embarcaciones se encuentren en situación de crucero, y que actuará conforme a las normas de la presente Política.

3. Titulares de datos personales

Para la ejecución de sus actividades y las finalidades de tratamiento asociadas, el Grupo Pluris recoge datos personales procedentes de las siguientes fuentes:

  • Clientes corporativos por contrato;
  • Clientes registrados a través de herramientas web;
  • Clientes por adquisición de billetes;
  • Candidatos mediante presentación de candidaturas espontáneas o respuesta a ofertas de empleo publicadas;
  • Empleados internos y de proveedores de servicios contratados;
    Proveedores y prestadores de servicios;
  • Visitantes de las instalaciones físicas o náuticas;
  • Terceros que soliciten un contacto y/o el envío de boletines informativos (newsletters).

4. Garantía de Confidencialidad y Privacidad de los Datos Personales

Los datos personales identificados en la presente Política serán tratados individualmente por las entidades pertenecientes al Grupo Pluris, en su calidad de responsables respectivos del tratamiento de datos personales.

Con el fin de garantizar la confidencialidad y la privacidad de los datos, el Grupo Pluris asegura que estos solo serán accedidos por empleados formalmente autorizados para el desempeño de sus funciones.

Las responsabilidades de cada empleado en materia de seguridad, privacidad y protección de datos personales se detallan en los contratos celebrados con el Grupo Pluris, incluyendo las obligaciones de confidencialidad y secreto a las que estén sujetos.

Además, los datos personales recogidos por el Grupo Pluris no se comparten con terceros sin el consentimiento de su titular, salvo en los casos permitidos por la legislación aplicable, como por ejemplo, cuando el titular de los datos contrate con el Grupo Pluris servicios que sean prestados por otras entidades responsables del tratamiento de datos personales, o cuando la compartición derive de una obligación legal a la que el Grupo Pluris esté sujeta, o bien cuando sea necesaria para el cumplimiento de intereses legítimos del Grupo Pluris o de un tercero.

En caso de producirse una compartición de datos personales con terceros, se realizarán los esfuerzos razonables para garantizar que el destinatario utilice dichos datos de manera coherente con la presente Política.

5. Identificación del responsable del tratamiento de datos personales

Cada empresa integrante del Grupo Pluris que, en particular, contrate con el titular de los datos, es individual y singularmente responsable del tratamiento de los datos personales que realice en el ejercicio de su actividad y en la consecución de sus fines.

Sin perjuicio de lo dispuesto anteriormente, el Grupo Pluris, de acuerdo con la legislación aplicable y con la presente Política, podrá recurrir a entidades terceras subcontratadas para que, en su nombre y conforme a sus instrucciones, procedan al tratamiento de datos personales (para más detalles, véase el punto 7.3 a) más abajo).

6. Evaluación de Impacto de Protección de Datos

En los casos en que las operaciones de tratamiento de datos puedan suponer un riesgo cuyo nivel no sea aceptable para el Grupo Pluris, este llevará a cabo, antes del inicio del tratamiento, una evaluación de impacto, conforme al artículo 35 del Reglamento, con el objetivo de identificar, reducir y/o eliminar dichos riesgos.

7. Recolección, procesamiento, compartición y retención de datos personales

Los datos personales recogidos y tratados por el Grupo Pluris consisten esencialmente en información relativa al nombre, género, fecha de nacimiento, teléfono, móvil, correo electrónico, dirección, número de identificación fiscal y datos de tarjeta de crédito (recogidos únicamente a efectos de pago). Además, pueden recogerse otros datos personales cuando sean necesarios o convenientes para la prestación o cobro de servicios por parte del Grupo Pluris.

 

7.1. Recogida de datos personales


a) Recogidos directamente
Los datos personales se recogen directamente a través de las siguientes formas:

  • Candidaturas espontáneas o respuesta a ofertas de empleo con la presentación del currículum vitae;
  • Cumplimentación de formularios en papel;
  • Captación de imágenes y vídeos en las instalaciones fijas y a bordo de barcos marítimos o fluviales;
  • Datos biométricos;
  • Correo electrónico;
  • Teléfono (en el caso de empleados);
  • Compra de billetes, productos de marketing u otros materiales adquiridos en tiendas físicas o embarcaciones del Grupo Pluris, incluidos servicios de restauración;
  • Sitios web de compras 

 

b) Recogidos indirectamente
Los datos personales pueden recogerse de forma indirecta a través de las siguientes vías:
Importación del contenido del currículum vitae al registro de recursos humanos;

  • Importación de datos con responsabilidad compartida con socios comerciales contratados;
  • Puntos de venta de marketing, servicios de restauración o similares;
  • Empresas de selección de candidatos para empleo;
  • Empresas de prestación de servicios médicos;
  • Empresas proveedoras de servicios de seguros de vida;
  • Herramientas de automatización de marketing y publicidad en línea de socios subcontratistas;
  • Por socios subcontratistas relativos a la gestión de pedidos, en particular la adquisición de billetes para el acceso a exposiciones y/o productos y/o servicios del Grupo Pluris.

La recogida de datos personales sensibles solo se llevará a cabo en los casos estrictamente necesarios y justificables por la actividad desarrollada por el Grupo Pluris y conforme a la legislación vigente.

Además, para los datos personales recogidos de forma informática, la Política de Cookies complementa este tema, presentando las opciones de “opt-in” y “opt-out” que están disponibles para este componente de los sitios web. Esta Política puede consultarse a través del siguiente enlace https://www.douroazul.com/politica-de-cookies.

El titular de los datos personales también podrá realizar el “opt-out” de los servicios de publicidad en línea en las herramientas sociales, concretamente en Facebook, Google Ads, Instagram, LinkedIn, entre otras.

El Grupo Pluris garantiza que ningún formulario manual o informatizado contendrá opciones previamente seleccionadas, siendo todas las alternativas elegidas por el titular de los datos.

Los datos personales se recogerán basándose en los fundamentos de licitud previstos en la presente Política y en cumplimiento del principio de minimización.

 

7.2. Tratamiento de datos personales – Uso, finalidades y fundamento
En términos generales, el Grupo Pluris utiliza los datos personales en las situaciones y con las justificaciones, finalidades y fundamentos que se presentan a continuación:

No se realizará el uso de datos personales con fines de creación o utilización de perfiles de ventas ni de indicadores de productos, regiones o tendencias.

 

7.3. Compartición de datos personales – entidades terceras
El Grupo Pluris, como se ha mencionado, comunica datos personales a entidades terceras – subcontratadas o no –, de carácter público o privado, con las justificaciones, finalidades y fundamentos anteriormente indicados, las cuales estarán sujetas a la obligación legal de tratar los datos personales conforme a lo dispuesto en el RGPD.

a) Destinatarios de datos personales:
En términos generales, el Grupo Pluris comunica datos personales a los siguientes destinatarios:

  • Seguridad Social;
  • Autoridad Tributaria, Aduanera, agentes judiciales o otras entidades legales;
  • Compañías de seguros;
  • Empresas de licenciamiento, mantenimiento, soporte y asistencia técnica de software y sistemas;
  • Empresas de seguridad/vigilancia y empresas de mantenimiento preventivo y correctivo de sistemas de seguridad;
  • Empresas de Medicina del Trabajo;
  • AIMA (antiguo SEF);
  • Sindicatos;
  • Agencias de viajes y operadores turísticos;
  • Empresas de trabajo temporal;
  • Consultores y abogados.

b) Entidades subcontratadas
Los datos personales pueden compartirse con entidades subcontratadas conforme a los contratos celebrados con las mismas. El Grupo Pluris solo recurre a subcontratistas que garanticen, conforme a la ley, la implementación de medidas técnicas y organizativas adecuadas para la protección de los datos, mediante acuerdos de subcontratación celebrados conforme al artículo 28 del Reglamento, asegurando así la defensa de los derechos de los titulares de acuerdo con la legislación de protección de datos aplicable.

La compartición de datos clasificados como sensibles solo se realizará con entidades legales, socios prestadores de servicios médicos y similares, en los términos legalmente permitidos.

Estas comparticiones de datos se realizarán, por regla general, dentro del espacio europeo.

Existen situaciones específicas que requieren la transferencia de datos a entidades fuera del espacio europeo, concretamente:

  • Con las autoridades portuarias: a efectos de seguridad y control de inmigración en buques de crucero marítimos, conforme a las disposiciones legales aplicables;
  • Con empresas del Grupo Pluris: para el soporte de actividades de interés legítimo, garantizando la minimización del tratamiento de los datos personales.

Existe la posibilidad de compartición de datos con subcontratistas formalmente autorizados para fines de marketing digital, siendo los datos personales involucrados en estas comparticiones objeto de consentimiento por parte del titular correspondiente, quien podrá en cualquier momento ejercer el “opt-out” y retirar su consentimiento.

Estas comparticiones pueden dar lugar a transferencias de datos fuera del espacio europeo, en los casos de segmentación de campañas de marketing digital con socios subcontratistas intercontinentales. En dichos casos, la organización adoptará las medidas de seguridad adecuadas a cada situación de riesgo identificada, así como garantizará al titular el ejercicio pleno e incondicional de sus derechos y el cumplimiento de todos los requisitos del Reglamento.

 

7.4. Conservación de datos personales

Los datos se conservan durante el período necesario para las finalidades para las que son tratados, variando dicho período en función de las finalidades en cuestión; cuando se conservan durante períodos más prolongados, se adoptan las medidas legalmente prescritas al efecto. Los datos personales se conservan, inter alia, para cumplir con la legislación vigente (por ejemplo, de naturaleza fiscal, laboral y/o contable), y/o por necesidades operativas y de intereses legítimos del Grupo Pluris (por ejemplo, prevención del blanqueo de capitales y financiación del terrorismo, y soporte de procesos jurídicos), y/o para la defensa de los intereses vitales del titular de los datos o de otra persona física.

En términos generales, la tabla siguiente indica el período de conservación que el Grupo Pluris adopta en función de los datos personales en cuestión.

En cualquier caso, y prevaleciendo sobre lo indicado en la tabla anterior, si un dato personal debe conservarse a efectos de seguimiento de alguna reclamación, procedimiento inspector de carácter sancionador, administrativo o judicial, procedimiento de reparación de accidente de trabajo/enfermedad profesional, entre otros, dichos datos se conservarán durante un período de 7 años a partir de la fecha en que dicha inspección, reclamación o procedimiento sancionador, administrativo o judicial haya concluido definitivamente, sin posibilidad de impugnación o recurso, o, en el caso de datos relacionados con la reparación de accidentes de trabajo/enfermedades profesionales, durante un período de 5 años después de que la eventual incapacidad del trabajador se haya estabilizado definitivamente, sin posibilidad de modificación futura.

Además, para todos los efectos, el Grupo Pluris se reserva el derecho de conservar los datos personales que hayan sido objeto de tratamiento en cuestiones específicas hasta el final del plazo de prescripción aplicable a dichas cuestiones, siempre que dicho plazo sea superior a cualquiera de los indicados en la tabla anterior.

Por retención se entiende el almacenamiento seguro de datos, en formato digital y/o en papel, garantizando las condiciones de gestión de acceso necesarias para asegurar la confidencialidad, integridad, disponibilidad de la información y no repudio, así como su conservación en las debidas condiciones de uso durante el tiempo definido.

Como se ha mencionado, se cumplirán los requisitos legales que exigen la conservación de datos personales durante un período mínimo para cada finalidad.

Cuando no exista un período mínimo legalmente impuesto, los datos personales se conservarán:
(i) si y cuando sea aplicable, durante el período determinado por la autoridad de protección de datos competente para los casos específicos en cuestión; o
(ii) durante los períodos indicados anteriormente, considerados necesarios para la consecución de las finalidades para las cuales los datos fueron recogidos o serán posteriormente tratados,
tras los cuales los datos serán eliminados de forma definitiva y segura.

8. Uso y Propósito de las Cookies:

Se utilizan cookies para personalizar contenidos y anuncios en función de las características del usuario, interactuar con funcionalidades de redes sociales, analizar el tráfico del sitio web, así como dar soporte a los controles de seguridad implementados.

Los sitios web en los que se utilizan cookies son los siguientes:

www.Douroazul.com, www.mysticcruises.com, www.mysticocean.de, www.riversightseeing.pt, www.portosightseeing.pt, www.worldofdiscoveries.com, www.quintadacarlota.com, www.almada234.com, www.pluris.com, www.fotobeleza.com.

Según las opciones elegidas por el usuario, los datos pueden compartirse con nuestros socios de redes sociales con fines publicitarios, para el análisis del tráfico y de la navegación en las páginas de los sitios web y herramientas de redes sociales, en el marco de la presente Política.

En ningún caso se recogerán datos personales a través de cookies.

Para más detalles, podrá consultarse la política vigente para tal fin, en particular la Política de Cookies, disponible en los sitios web institucionales del Grupo Pluris, a través del siguiente enlace https://www.douroazul.com/politica-de-cookies, y en sus redes internas existentes.

 

8.1. TIPOS DE COOKIES
Las cookies son archivos de texto que pueden ser utilizados por los sitios web para hacer que la experiencia del usuario sea más eficiente.

De acuerdo con la legislación vigente, pueden almacenarse y utilizarse cookies en el dispositivo de acceso del usuario si son estrictamente necesarias para el funcionamiento del sitio web.

Para todos los demás tipos de cookies, se permite que el usuario, titular de los datos personales, ejerza su derecho de consentimiento informado.

Algunas cookies pueden ser instaladas automáticamente por nuestros socios comerciales. Sin embargo, dicha instalación se realiza siempre de forma explícita para el usuario.

Los sitios web pueden utilizar los siguientes tipos de cookies:

a) Necesarias
Las cookies necesarias soportan la ejecución de funciones básicas, como la navegación entre páginas y su trazabilidad.
Es importante destacar que el sitio web puede no funcionar correctamente sin estas cookies, por lo que se consideran fundamentales y justificadas.

b) Estadísticas o Funcionales
Las cookies estadísticas ayudan al administrador del sitio web a entender cómo interactúa el usuario con las páginas que lo componen, recopilando y tratando información de manera anónima.

c) Marketing
Las cookies de marketing se utilizan para seguir el acceso y la secuencia de navegación del usuario por las páginas.
Permiten la personalización de anuncios y/u otros materiales de marketing que se presenten y que sean relevantes y atractivos para el usuario, haciendo que la experiencia de navegación sea más personalizada y dinámica.

El usuario del sitio web, y por tanto titular de los datos personales, debe seleccionar, en cada casilla disponible, el tipo de cookies que autoriza expresamente.
Al hacer clic en el botón “Acepto”, el usuario reconoce la aceptación de esta Política y de la Política de Cookies, y confirma la autorización para los tipos de cookies previamente seleccionados por él.

9. Derechos de los Titulares:

De acuerdo con la legislación de protección de datos y según la situación específica, el titular de los datos podrá tener derecho

i. Solicitar el acceso a sus datos personales:

Tiene derecho a obtener confirmación sobre si sus datos personales están o no siendo tratados y, en caso afirmativo, solicitar acceso a los mismos.
Podrá tener derecho a obtener una copia de los datos personales que están siendo objeto de tratamiento.

ii.Solicitar la rectificación de sus datos personales:

Tiene derecho a obtener la rectificación de las inexactitudes relativas a sus datos personales. Teniendo en cuenta la finalidad del tratamiento, tiene derecho a que sus datos personales incompletos sean completados, incluso mediante una declaración adicional.

iii. Solicitar la supresión de sus datos personales:
En determinadas circunstancias, puede tener derecho a obtener la supresión de sus datos personales, comprometiéndose el Grupo Pluris, en los casos en que esté obligado a ello, a eliminar dichos datos personales.

iv. Solicitar la limitación del tratamiento de sus datos personales:

En determinadas circunstancias, puede tener derecho a obtener la limitación del tratamiento de sus datos personales. En ese caso, los datos correspondientes serán marcados y solo podrán ser tratados por el Grupo Pluris con su consentimiento o para fines determinados.

v. Solicitar la portabilidad de los datos:

En determinadas circunstancias, puede tener derecho a recibir los datos personales que haya proporcionado al Grupo Pluris en un formato estructurado, de uso común y lectura automática, y puede tener derecho a transmitir dichos datos a otra entidad sin que el Grupo Pluris lo impida.

vi. Oponerse al tratamiento de los datos:

En determinadas circunstancias, puede tener derecho a oponerse, por motivos relacionados con su situación particular, al tratamiento de los datos personales que le conciernan.

vii. Retirar, en cualquier momento, el consentimiento otorgado.

 

Por último, se informa que puede presentar una reclamación ante la autoridad de control nacional (Comisión Nacional de Protección de Datos – https://www.cnpd.pt/index.asp) cuando no haya obtenido satisfacción en el ejercicio de sus derechos.

A los titulares de los datos se les garantizarán las condiciones necesarias para ejercer sus derechos previstos en el Reglamento.

El DPO designado por el Grupo Pluris participará en todas las cuestiones relacionadas con la protección de datos personales. Todas las cuestiones que los titulares de los datos consideren necesarias deberán formularse preferentemente por escrito a través del correo electrónico dpo.mysticinvest@mysticinvest.com.

En caso de que el titular de los datos desee reportar una violación de privacidad, deberá recurrir al Canal de Denuncias disponible o, si este no fuera aplicable, presentar una reclamación a través del correo electrónico complaint.mysticinvest@mysticinvest.com o directamente ante la autoridad de control competente.

Como alternativa, el titular dispondrá de un portal de comunicación web, donde podrá realizar todas las interacciones mencionadas y obtener información sobre la tramitación de dichas solicitudes.

A raíz del registro de reclamaciones y/o de violaciones de privacidad, el Grupo Pluris se compromete a informar al titular sobre cada paso y avance del proceso de su reclamación, sin perjuicio del cumplimiento de los plazos definidos por el Reglamento.

El derecho al olvido o a la supresión de los datos personales por parte de sus titulares solo será ejercido por el Grupo Pluris cuando no exista una legislación aplicable que exija su conservación durante un período legal determinado (por ejemplo, prevención del blanqueo de capitales y financiación del terrorismo).

10. Revisión y mejora continua:

La presente Política podrá ser revisada en cualquier momento, especialmente cuando existan cambios significativos en el inventario de datos personales y/o en los soportes informáticos o documentales del Grupo Pluris.
Cada revisión dará lugar a una nueva versión de esta Política.

11. Divulgación y publicación:

La presente Política está clasificada como información de acceso público y estará disponible para su consulta en Internet, ya sea en el sitio web institucional, en las herramientas de soporte al negocio en línea o en las redes sociales internas del Grupo Pluris.

Durante el proceso de incorporación, se informará a los nuevos colaboradores sobre esta Política, y formará parte de dicho proceso su participación obligatoria en las acciones de formación y sensibilización en materia de seguridad, privacidad y protección de datos personales que forman parte del programa de acogida.

Tras la publicación y difusión de la Política, los colaboradores estarán obligados a:
➢ Proteger los activos de información bajo su responsabilidad;
➢ Colaborar en la gestión del riesgo correspondiente;
➢ Informar de cualquier evento que pueda comprometer la seguridad de la información;
➢ Cumplir y hacer cumplir la presente Política.

Los colaboradores podrán consultar esta Política en cualquier momento a través de la plataforma de gestión documental de la red interna del Grupo Pluris.
Las entidades/colaboradores que, por razones inherentes a su función, no tengan acceso a la plataforma, tendrán conocimiento de esta Política a través del formato de comunicación adecuado en cada caso.

12. Vigencia de la Política:

La presente Política fue aprobada por la Administración del Grupo Pluris y entra en vigor en la fecha de su publicación.
Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación.