1. Ámbito de aplicación
Esta política tiene como objetivo presentar los compromisos de Pluris Investments S.A. (en adelante denominada PLURIS o Grupo) en relación con la gestión de la privacidad y protección de datos personales de los titulares cuyo tratamiento es de su responsabilidad, y cumplir con los requisitos del Reglamento General de Protección de Datos y la respectiva legislación nacional de ejecución. Además, tiene como objetivo demostrar cómo se tratarán los datos personales en el contexto de la actividad desarrollada por el Grupo y sus colaboradores, mediante la definición de reglas internas que cumplan con los requisitos exigidos por el Reglamento, incluyendo la legitimidad, el tratamiento y la conservación. Todos los datos personales serán tratados y gestionados de acuerdo con esta política junto con la Política de Seguridad de la Información, considerando un inventario realizado y actualizado de dichos datos personales.
2. Funciones y Responsabilidades
La Administración de Pluris garantizará que esta política esté alineada con la estrategia del Grupo, asegurando así su mejora continua en lo que respecta a la seguridad de la información y la privacidad.
El Encargado de Protección de Datos (EPD) tiene la función de asegurar la conformidad continua y sistemática con los requisitos del Reglamento, garantizando que se cumplan todos los derechos de los titulares y que se implementen los controles de seguridad adecuados para los objetivos aquí definidos.
La Administración de PLURIS designa y asigna al Encargado de Protección de Datos (o «DPO» – Data Protection Officer) las funciones y responsabilidades descritas anteriormente con respecto a todas las empresas del Grupo. Todos los colaboradores del Grupo, así como sus subcontratistas, en la medida en que corresponda, tienen la responsabilidad de colaborar y cumplir con los compromisos de esta política.
En el caso de los barcos de río y mar, también se designa un «DPO Local» por barco, cuya misión es ejercer funciones de DPO local cuando los barcos están en situación de crucero, actuando de acuerdo con las reglas de esta política.
2. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y sus posteriores modificaciones.
3. Ley n.º 58/2019, de 8 de agosto (y sus posteriores modificaciones), que asegura la implementación en el orden jurídico nacional del Reglamento General de Protección de Datos.
3. Titulares de datos personales
- Clientes corporativos por contrato
- Clientes registrados a través de herramientas web
- Clientes por adquisición de boletos
- Colaboradores internos y proveedores de servicios contratados
- Fornecedores e prestadores de serviços
- Visitantes das instalações físicas ou náuticas
4. Garantía de Confidencialidad y Privacidad de los Datos Personales
Los datos personales identificados en esta Política serán tratados por Pluris como la entidad responsable del tratamiento de datos personales. Para garantizar la confidencialidad y privacidad de los datos, el Grupo asegura que solo serán accesibles por colaboradores debidamente autorizados para desempeñar sus funciones. Las responsabilidades de cada colaborador en materia de Seguridad, Privacidad y Protección de Datos Personales se detallan en los contratos celebrados con Pluris, incluyendo las obligaciones de confidencialidad y secreto a las que están sujetos.
5. Identificación del responsable del tratamiento de datos personales
El responsable del tratamiento de datos personales es Pluris Investments, S.A., con sede en Rua de Miragaia 103, 4050-387, Oporto, Portugal, con el número de registro de persona jurídica 508 767 881. El grupo PLURIS lidera un conjunto de empresas a las cuales se aplican las responsabilidades y obligaciones derivadas de esta Política.
6. Evaluación de Impacto de Protección de Datos
En los casos en que las operaciones de tratamiento de datos sean susceptibles de resultar en un riesgo cuyo nivel no sea aceptable para el grupo, Pluris llevará a cabo, antes del inicio del tratamiento, una Evaluación de Impacto con el objetivo de identificarlos y tratarlos.
7. Recolección, procesamiento, compartición y retención de datos personales
Recolha de dados pessoais
1. Para situações que não envolvam ferramentas Web
- Candidaturas espontâneas ou resposta a ofertas de emprego com partilha do Curriculum Vitae
- Preenchimento de formulários em papel
- Captação de imagens e vídeos nas instalações fixas e a bordo de navios de mar ou rio
- Dados biométricos
- Telefone (para o caso de colaboradores)
- Na compra de bilhética, produtos de marketing ou outros materiais adquiridos em lojas físicas ou navios do Grupo, incluindo serviços de restauração
Os dados pessoais podem ser recolhidos indiretamente, através das seguintes formas:
- Importação do conteúdo do Curriculum Vitae para o registo de cadastro de recursos humanos.
- Importação de dados com responsabilidade partilhada com parceiros comerciais contratados
- Pontos de venda de marketing, serviços de restauração ou afins
- Empresas de seleção de candidatos a emprego
- Empresas de prestação de serviços médicos
- Empresas prestadoras de serviços de seguros de vida
A recolha de dados pessoais sensíveis só será realizada para os casos estritamente necessários e justificáveis pela actividade desenvolvida pela PLURIS e seu Grupo e de acordo com a legislação em vigor.
2. Para situações que envolvam ferramentas Web
Os dados pessoais são recolhidos diretamente através de ferramentas Web oficiais da organização, nomeadamente websites de compras online, ou indiretamente através de ferramentas de marketing automation e publicidade online de parceiros subcontratantes devidamente autorizados e em total cumprimento da nossa política de gestão da privacidade de dados pessoais. Poderão ainda ocorrer recolhas indiretas através de parceiros subcontratantes referentes à colocação de encomendas, nomeadamente, a aquisição de bilhética para acesso exposições ou a serviços da empresa. A política de gestão de cookies complementa este tema, apresentando as opções de “opt-in” e “opt-out” que estão disponíveis para este componente dos websites. O titular de dados pessoais poderá ainda realizar o “opt-out” de serviços de publicidade online nas ferramentas sociais, designadamente, no Facebook, Google Ads, Instagram e Linkedin.
A Pluris garante que nenhum formulário manual ou informatizado terá opções previamente preenchidas, sendo todas as alternativas selecionadas pelo titular dos dados. Os dados pessoais serão recolhidos com base nos fundamentos de licitude previstos na presente política e em respeito pelo princípio da minimização.
b) Processamento de dados pessoais
1. Para situações que não envolvam ferramentas Web
No se utilizarán datos personales para crear y utilizar perfiles de ventas o indicadores de productos, regiones o tendencias.
2. Para situaciones que involucren herramientas webTales actividades incluyen:
Compartición de datos personales
1. Para situaciones que no involucren herramientas webAdemás de los propósitos de compartición descritos a continuación, no se realizarán otros, salvo autorización previa y expresa del Encargado de Protección de Datos.
Propósitos derivados de la actividad de Pluris Investment SA y las sociedades de su Grupo, inter alia:
- Seguridad social
- Comunicación con la Autoridad Tributaria, Aduanera u otras entidades legales
- Comunicación de quejas o violaciones de privacidad
- Comunicación con el DPO
- Seguridad portuaria y control de inmigración
- Registro laboral y nómina
- Emisión de certificados médicos para fines marítimos u otros similares
- Cumplimiento de registros y obligaciones sindicales
- Creación y registro de pólizas de seguro
- Cumplimiento de obligaciones fiscales y aduaneras
Los datos personales pueden compartirse con entidades subcontratadas para los fines mencionados anteriormente, según los contratos celebrados con ellas. Pluris solo recurre a subcontratistas que garanticen, según la ley, la implementación de medidas técnicas y organizativas adecuadas para la protección de sus datos a través de acuerdos de subcontratistas, asegurando así la defensa de sus derechos bajo la ley de protección de datos aplicable. La compartición de datos clasificados como sensibles solo se realizará con entidades legales, socios proveedores de servicios médicos y similares. Estas comparticiones de datos, en general, se llevarán a cabo en el espacio europeo. Existen situaciones específicas que requieren la compartición de datos con entidades fuera del espacio europeo, incluyendo:
- Con las autoridades portuarias: para fines de seguridad y control de inmigración en cruceros marítimos, de acuerdo con las disposiciones legales aplicables.
- Con empresas del Grupo: para soporte de actividades de interés legítimo, garantizando la minimización del tratamiento de datos personales
Además de los propósitos de compartición descritos a continuación, no se realizarán otros, salvo autorización previa y expresa del Encargado de Protección de Datos.
Propósitos derivados del marketing, pagos electrónicos y otros servicios que implican el uso de herramientas electrónicas:
- Realización de campañas publicitarias
- Publicidad en lugares virtuales como Google Ads, Facebook, Instagram y Linkedin
- Necesidades operativas en la interconexión con HiPay y Paypal y otras pasarelas de pago electrónico con uso de tarjetas de crédito
- Envío de noticias, campañas y ofertas personalizadas para el cliente
Existe la posibilidad de compartir datos con subcontratistas formalmente autorizados para fines de marketing digital, y los datos personales involucrados en estas comparticiones están sujetos al consentimiento del respectivo titular, pudiendo el titular retirar su consentimiento en cualquier momento.
Estas comparticiones pueden dar lugar a transferencias de datos fuera del espacio europeo, para casos de segmentación de campañas de marketing digital con subcontratistas intercontinentales. En estos casos, la organización se asegurará de implementar controles de seguridad apropiados para cada situación de riesgo identificada, así como garantizar al titular la ejecución incondicional de sus derechos y todos los requisitos del Reglamento General de Protección de Datos.
d) Conservación de datos personales
El período de tiempo durante el cual se conservarán los datos personales variará según la finalidad para la cual se traten los datos.
Por retención se entiende el almacenamiento seguro de datos, ya sea en formato digital o en papel, asegurando las condiciones de gestión de acceso para garantizar la confidencialidad, integridad, disponibilidad de la información y no repudio, así como su preservación en las condiciones adecuadas de uso durante el tiempo definido.
Se cumplirán los requisitos legales que exigen la conservación de datos personales durante un período mínimo para cada objetivo.
Cuando no se imponga un período mínimo, los datos personales se conservarán solo durante el tiempo estrictamente necesario para lograr los fines para los cuales se recopilaron o se tratan posteriormente, o, si y cuando corresponda, durante el período determinado por la autoridad de protección de datos competente, después del cual los datos se eliminarán de manera segura de forma definitiva.
8. Uso y Propósito de las Cookies:
Son utilizadas cookies para personalizar contenidos y anuncios en función de las características del visitante, interactuar con funcionalidades de redes sociales, analizar el tráfico del sitio web, así como brindar soporte a los controles de seguridad implementados. Según las opciones del visitante de las páginas de los sitios web, los datos pueden ser compartidos con nuestros socios de redes sociales para fines publicitarios, análisis de tráfico y navegación por las páginas de los sitios web y herramientas de redes sociales en el ámbito de esta política.
En ningún caso se recopilarán datos personales a través de cookies.
a) Tipos de cookies:
Las cookies son archivos de texto que pueden ser utilizados por los sitios web para hacer la experiencia del usuario más eficiente. Según la legislación vigente, se pueden almacenar y operar cookies en el equipo en el que el visitante accede si son estrictamente necesarias para el funcionamiento del sitio web. Para todos los demás tipos de cookies, permitimos que el titular de datos personales ejerza su derecho de consentimiento informado. Algunas cookies pueden ser instaladas automáticamente por nuestros socios comerciales, siempre de forma explícita para los visitantes.
b) Los sitios web pueden utilizar los siguientes tipos de cookies:
Ba) Necesarios: Los cookies necesarios admiten la ejecución de funciones básicas como la navegación entre páginas y su rastreo correspondiente. Es importante destacar que el sitio web puede no funcionar correctamente sin estas cookies, por lo que se consideran fundamentales y justificados.
Bb) Estadísticos o Funcionales: Las cookies estadísticas ayudan al gestor del sitio web a comprender cómo interactúa el visitante con las páginas que lo componen, recopilando y procesando información de forma anónima.
Bc) Marketing: Las cookies de marketing se utilizan para rastrear el acceso y el uso de las páginas por parte del visitante. Permiten la personalización de anuncios u otros materiales de marketing para que sean relevantes y atractivos para el visitante, lo que hace que la experiencia de navegación sea más personalizada y dinámica.
El visitante del sitio web, y como titular de datos personales, debe seleccionar, en cada casilla disponible, el tipo de cookies que autoriza. Al hacer clic en el botón «Aceptar», está reconociendo la aceptación de esta política de cookies y confirmando la autorización para el tipo de cookies seleccionados.
9. Derechos de los Titulares:
A los titulares de datos se les garantizarán las condiciones para ejercer sus derechos conforme al Reglamento General de Protección de Datos.
El Encargado de Protección de Datos designado por el grupo estará involucrado en todas las cuestiones relacionadas con la protección de datos personales, y se prefiere que todas las preguntas que los titulares de datos personales consideren necesarias sean presentadas por escrito a través del correo electrónico dpo.mysticinvest@mysticinvest.com.
Si el titular de los datos desea presentar una queja o informar sobre una violación de privacidad, puede comunicarse a través del correo electrónico complaint.mysticinvest@mysticinvest.com o directamente con la autoridad de control que seleccione.
Como alternativa, el titular tendrá a su disposición un portal de comunicación web donde podrá realizar todas las interacciones mencionadas anteriormente y obtener información sobre el procesamiento de dichas solicitudes.
Después de registrar una queja o violación de privacidad, el Grupo se compromete a informar al titular sobre cada paso y avance en el proceso de su queja, sin perjuicio del cumplimiento de los plazos establecidos por el reglamento.
10. Revisión y mejora continua:
Esta política será revisada anualmente, o siempre que existan cambios significativos en el inventario de datos personales y/o en los soportes informáticos o documentales.
Cada una de estas revisiones resultará en una nueva versión de este documento.
11. Divulgación y publicación:
La Política de Gestión de Privacidad se clasifica como información de acceso público (consultar Política de clasificación de la información) y estará disponible para su consulta a través de Internet, ya sea en el sitio web oficial del Grupo, en las herramientas en línea de apoyo al negocio y también en las redes sociales del grupo.
Durante el proceso de incorporación, se proporcionará a los nuevos colaboradores información sobre esta Política, y su participación en las acciones de formación y sensibilización en seguridad, privacidad y protección de datos personales será obligatoria como parte de este proceso de incorporación.
Después de la publicación y divulgación de la política, los colaboradores están obligados a:
- Proteger los activos de información bajo su responsabilidad.
- Colaborar en la gestión del riesgo correspondiente.
- Informar sobre cualquier evento que pueda poner en peligro la seguridad de la información.
- Cumplir y hacer cumplir esta política.
Los colaboradores pueden consultar esta Política en cualquier momento a través de la plataforma de gestión documental de la red interna del grupo.
Las entidades/colaboradores que, por razones inherentes a su función, no tengan acceso a la plataforma, serán informados sobre esta política a través de un formato adecuado para cada caso.
12. Vigencia de la Política:
A presente política fue aprobada por la Administración del grupo Pluris y entrará en vigor en la fecha de su publicación.
Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación.