Protección de Datos

See Tickets se compromete a proteger los datos personales proporcionados por sus clientes, subscriptores, empleados y otras personas naturales.

El propósito de este documento es el de:
- Establecer procedimientos para regular la gestión de estos datos personales
- Demostrar el compromiso por parte de See Tickets en relación con la protección de datos personales
- Minimizar el riesgo de filtraciones de información
- Cumplir con las leyes y regulaciones que resulten de aplicación (en particular, la Ley Orgánica de Protección de Datos de Carácter Personal y el RGPD (GDPR))

Esta normativa será actualizada, como mínimo, una vez al año, por parte de Alex Spencer, Senior Project Manager.

1. Definición y principios de la protección de datos

1.1. Definiciones

Datos Personales Toda información relacionada con una persona natural identificada o identificable, ya sea de forma directa o indirecta
Categorías Especiales de Datos Personales Información que revele el origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, pertenencia a organizaciones sindicales, información genética, información biométrica, información sobre la salud, vida sexual o inclinación sexual de una persona natural
Interesado Persona natural, identificada o identificable por los datos personales
Tratamiento Cualquier operación o conjunto de operaciones realizado, de forma automática o manual, aplicado sobre datos personales o conjuntos de datos de personales (tales como recopilación, registro, almacenamiento, modificación, consulta, distribución, reconciliación, eliminación o destrucción, etc.)
Responsable del tratamiento Persona natural o jurídica, autoridad pública, servicio u otro organismo que, de manera individual o conjuntamente, determina los propósitos y medios para el tratamiento
Encargado del tratamiento Persona natural o jurídica, autoridad pública, servicio u otro organismo que realice el tratamiento de los datos de personales, sea o no una tercera parte
Destinatario La persona natural o jurídica, autoridad pública, servicio u otro organismo que reciba datos personales, sea o no una tercera parte
Tercera Parte Persona natural o jurídica, autoridad pública, servicio u otro organismo que no sea el interesado, el responsable del tratamiento, el encargado del tratamiento o aquellos autorizados a tratar los datos personales
Consentimiento Toda manifestación, específica, informada y otorgada voluntariamente, mediante la cual el interesado acepta, mediante una declaración o mediante una acción positiva y clara, que haga entender el tratamiento de los datos personales
Violación de la seguridad de los datos personales Compromiso en la seguridad, derivando en la destrucción, pérdida, alteración o divulgación no autorizada, de manera ilegal o accidental, de datos personales transmitidos, almacenados o procesados de otra forma, incluyendo el acceso no autorizado a los datos
Autoridad de Control Entidad púbica independiente establecida por un Miembro Estado en cumplimiento del artículo 51 del GDPR

1.2. Principios para la protección de datos

Tratamiento justo, legítimo y transparente Los datos personales deben ser tratados de manera legítima, justa y transparente, en relación con el interesado.
Principio de limitación de la finalidad Los datos personales solamente podrán ser recopilados para finalidades concretas, específicas y legitimadas, no debiendo ser tratados de forma que resulte incompatible con dichas finalidades.
Minimización de datos Los datos personales deben ser apropiados y relevantes, limitándose a lo necesario en relación con la finalidad para la cual esos datos están siendo tratados.
Precisión Los datos personales deben ser precisos y, cuando sea necesario, deben permanecer actualizados. Debe realizarse todo lo que resulte razonablemente posible para asegurar que los datos personales que no sean precisos sean eliminados o rectificados sin demora.
Período de retención de datos Los datos personales deben ser retenidos de forma que permitan la identificación de los interesados, durante un período no más largo de lo necesario, de acuerdo con la finalidad del tratamiento de esos datos.
Seguridad de los Datos Los datos personales deben ser tratados de manera que se ofrezca la seguridad adecuada para esos datos, incluyendo protección contra tratamiento no autorizado o ilegítimo y contra pérdida, destrucción o daños accidentales, utilizando los medios técnicos u organizativos adecuados.
Responsabilidad El responsable del tratamiento es responsable por el cumplimiento de los principios para la protección de datos, debiendo ser capaz de así demostrarlo.

2. Roles y Responsabilidades

[El gobierno de la entidad en relación con la protección de datos y responsabilidad queda al cargo del Delegado de Protección de Datos:

Alex Spencer. Puede contactar con él, para asuntos relacionados con la Protección de Datos en la dirección alex.spencer@seetickets.com.

Para todas las consultas relacionadas con atención al consumidor sobre compra de entradas, rogamos acceda a: https://www.seetickets.com/customerservice.

3. Instrumentos de comprobación

Registro de actividades de tratamiento de datos - See Tickets mantiene un registro actualizado de sus actividades relacionadas con el tratamiento de datos, de acuerdo con el artículo 30 del RGPD (GDPR). Este registro debe ponerse a disposición de la autoridad supervisora cuando así sea solicitado por la misma.

PIA - En los casos en los que una clase de tratamiento, en particular utilizando tecnologías innovadoras, considerando la naturaleza, alcance y contexto de la finalidad del tratamiento, sea propenso a la creación de un riesgo elevado para los derechos y libertades de personas naturales, See Tickets llevará a cabo, antes del tratamiento, un análisis del impacto previsto del tratamiento de datos personales. Se ha formalizado un modelo PIA en formato Excel.

4. Gestión de terceras partes

Como responsable del tratamiento
Para el tratamiento en el que estén involucradas terceras partes, See Tickets implementa contratos con los encargados, incluyendo, como mínimo, los requisitos enunciados en el artículo 28 del RGPD (GDPR), así como instrucciones para el encargado, una cláusula de notificación por violación de seguridad, una cláusula de auditoría, una cláusula de responsabilidad y disposiciones que el encargado debe seguir a la finalización del contrato

Como encargado del tratamiento
Cuando See Tickets sea el encargado del tratamiento, actuará únicamente según las instrucciones preestablecidas por el responsable de tratamiento
- Verificar que las instrucciones no constituyan una infracción de las leyes y regulaciones que sean de aplicación
- Retener una copia de las instrucciones

En caso de que See Tickets reclute a un encargado, deben implementar un contrato vinculante entre ellos y el encargado del tratamiento

See Tickets implementa los procedimientos necesarios por ley y las regulaciones aplicables, incluyendo el registro de actividades de tratamiento de datos.

Prueba de Concepto (Proof of Concept - POC)
Las evaluaciones de "Prueba de Concepto" también son reguladas mediante normativa legal, para reforzar, como mínimo, las instrucciones y medidas que deben ser adoptadas si la Prueba de Concepto no resultase de aplicación (en particular, los procedimientos de intercambio de datos y los procedimientos de destrucción de datos, en caso de que la Prueba de Concepto no proceda).

5. Derechos de los interesados

Los interesados tienen ciertos derechos en relación con sus datos personales:
- Derecho de acceso
- Derecho de rectificación
- Derecho de eliminación ("derecho a ser olvidado")
- Derecho a restringir el tratamiento
- Derecho de portabilidad de datos
- Derecho de oponerse al tratamiento
- Derecho a no ser evaluado en base al tratamiento automático.

See Tickets ha implementado un procedimiento para la gestión de solicitudes de los interesados (incluyendo el ejercicio de sus derechos. El procedimiento es el siguiente:

Paso 1: El consumidor alega una Solicitud de Acceso de Interesado

Paso 2: See envía a los consumidores un Fichero Zip codificado con todos los datos que esta, sus encargados y otros responsables asociados con See Tickets posean sobre el interesado.

Paso 3: Si un consumidor desea que sus datos sean eliminados, See, sus encargados y otros responsables asociados con See Tickets eliminarán los datos del interesado.

Paso 4: Una confirmación mediante correo electrónico será enviada para confirmar esto al Interesado.

6. Datos Personales

6.1. Recopilación

Menores de edad - En relación con el RGPD (GDPR), la mayoría de edad relativa está fijada en los 16 años de edad. La regulación prevé, no obstante, que cada estado, de forma individual, pueda reducir esta edad hasta un mínimo de 13 años.

Existen disposiciones especiales para el tratamiento de datos personales relacionados con menores, especialmente en lo relativo al consentimiento.

Fundamentos jurídicos - Para poder realizar el tratamiento de datos personales, es necesario identificar los fundamentos jurídicos asociados para el tratamiento. See Tickets puede confiar en 4 fundamentos jurídicos:
- Consentimiento del interesado
- Realización de un contrato del cual forma parte el interesado, o la ejecución de medidas precontractuales
- Cumplimiento de una obligación legal
- Interés legítimo del responsable del tratamiento

Las otras dos bases descritas en el RGPD no resultan de aplicación para See Tickets.

Consentimiento - Un procedimiento específico ha sido formalizado para la gestión del consentimiento. Este procedimiento se manifiesta marcando una casilla de consentimiento en la página de compra.

Minimización de datos - En lo referente a recopilación de datos, See Tickets solamente recopila los datos estrictamente necesarios para cumplir la finalidad(es) del tratamiento. En caso de que se produjese algún cambio en el tratamiento, See Tickets verificará que los datos recopilados sigan siendo relevantes al tratamiento actualizado.

Introducción de datos en formato libre - La utilización de campos libres de formato implica riesgos de privacidad, ya que estos campos (generalmente notas o comentarios) podrían contener comentarios inapropiados o datos personales.

6.2. Almacenamiento

Medios - Existen diferentes medios que se utilizan en el tratamiento (y, por lo tanto, diferentes localizaciones de almacenamiento para los datos personales tratados). Resulta esencial identificarlos todos ellos, para proteger los datos de manera correcta y limitar el riesgo de filtraciones de datos personales.

Confidencialidad de los datos - Las reglas de confidencialidad de aplicación general también deben acatarse en relación con datos personales. El acceso a los datos debe realizarse según el principio de "necesidad de conocimiento", en combinación con la gestión de acceso de aplicación. Los documentos en papel que contengan datos personales especiales deben ser almacenados en armarios con llave.

Entornos de no-producción - Con independencia de que los datos se encuentren en un entorno de producción o de preproducción, estos deben ser protegidos de la misma manera, ya que el riesgo para los interesados es el mismo en caso de que la seguridad se vea comprometida, sea cual fuere su origen. Cuando fuese posible, es preferible evitar el almacenamiento de datos personales en entornos de preproducción; si fuese posible, deberían ser almacenados en bases de datos anónimas.

6.3. Comunicación

Destinatarios - Toda persona natural o jurídica que tenga acceso a datos personales se considera como destinatario (con independencia de que estén vinculados de forma interna o externa a la organización que esté actuando como responsable del tratamiento). See Tickets solamente compartirá datos personales con aquellos destinatarios que sean estrictamente necesarios para cumplir con la finalidad(es) expresada del tratamiento.

Transferencias internacionales - Toda transferencia de datos personales, en tratamiento o con objetivo de ser tratada tras la transferencia a un tercer estado o a una organización internacional, solamente podrá llevarse a cabo contando con las medidas de seguridad adecuadas, o si otras excepciones específicas resultasen de aplicación. La normativa según la cual se rigen las transferencias de datos resulta de aplicación para transferencias internas de Vivendi, así como para transferencias externas.

6.4. Destrucción

Período de retención - See Tickets ha definido los períodos de retención para cada una de las categorías de datos personales, de acuerdo con el propósito del tratamiento. See Tickets retendrá sus datos durante 15 años.

Archivamiento de datos personales - Una vez que los datos dejen de ser tratados en producción, son archivados durante el período de retención. El acceso a estos archivos es limitado, y existen medidas de seguridad suplementarias para proteger los datos archivados.

7. Seguridad

Teniendo en cuenta la tecnología, los costes de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo, con variante probabilidad y severidad, en favor de los derechos y libertades de las personas naturales, See Tickets y los responsables del tratamiento, deberán implementar medidas de seguridad adecuadas para garantizar un nivel de seguridad adaptado al riesgo. Existen diferentes categorías de medidas de seguridad que pueden ser utilizadas para proteger datos personales:

Medidas de seguridad físicas - Pueden existir medidas de seguridad físicas, tales como controles de acceso físicos, la utilización de materiales específicos, medidas contra riesgos relacionados con agua, fuego, etc.

Medidas de seguridad lógicas - Para proteger la información ubicada en sistemas de información, existen medidas de seguridad lógicas tales como la codificación, empleo de pseudónimos, trazabilidad, controles de acceso lógico, ajustes, redes dedicadas, etc.

Medidas organizativas - También deben existir medidas organizativas, tales como gestión apropiada, políticas y procedimientos, metodología de proyecto, monitorización a través de informes y paneles de control, etc.

Registros - Resulta importante mantener registros para permanecer al corriente de cualquier cambio o desarrollo, y para llevar a cabo inspecciones con el fin de verificar que las medidas de seguridad funcionen correctamente.

8. Entrenamiento y Concienciación

Entrenamiento para individuos fundamentales - See Tickets ha identificado aquellos individuos que, en el contexto de su actividad profesional, necesitan tratar grandes cantidades de datos personales, o datos personales especiales (de la forma descrita en el artículo 9 del RGPD (GDPR)) Estos individuos son entrenados por el DPO.

Concienciación para todos los empleados - See Tickets despliega una campaña de concienciación anual para recordar a todos los empleados acerca de las reglas y principios de protección de datos personales.

Punto de contacto - See Tickets ha designado un punto de contacto para responder las preguntas de los empleados relacionadas con la protección de datos personales: Alex Spencer, Delegado de Protección de Datos.

9. Controles y gestión de incidentes

Controles - See Tickets ha implementado controles para asegurar que se siguen las obligaciones reglamentarias en relación con la protección de datos. Los controles deben ser documentados, y los resultados registrados.

Notificación en caso de violación de la seguridad de los datos personales - En el caso de que se produzca una violación de la seguridad de los datos personales, See Tickets evaluará el riesgo para los interesados y, en caso de que exista riesgo, notificará a la autoridad supervisora competente dentro de un plazo de 72 horas. En caso de que la evaluación de riesgo indique un riesgo elevado para los interesados, See Tickets comunicará la violación de la seguridad de los datos personales a los interesados. Se ha formalizado un procedimiento específico en relación con la gestión de incidentes de seguridad.

Monitorización de violaciones de la seguridad de datos personales y documentación - See Tickets ha implementado un registro para las violaciones de la seguridad de los datos personales. En caso de que se produzca una violación de la seguridad de los datos personales, See Tickets analizará el origen y formalizará recomendaciones para resolver el riesgo(s). Las recomendaciones serán obedecidas para limitar el riesgo de que se repita un incidente.