En el marco de la ejecución del Contrato con el Cliente, Spendesk y SFS SAS (Spendesk Financial Services SAS) (definidas respectivamente en las Condiciones Generales) tienen la obligación de tratar conjuntamente, en calidad de Responsables conjuntos del Tratamiento, Datos Personales específicos del Cliente, a saber, los relativos a sus beneficiarios efectivos, sus representantes legales, su Usuario Principal y los Usuarios designados por el Cliente (los «Interesados»).
Para proteger esos Datos Personales, y de conformidad con la Legislación sobre protección de datos, Spendesk y SFS SAS han suscrito un acuerdo de control conjunto que especifica sus respectivas funciones y obligaciones para con el Cliente y los Interesados cuyos Datos Personales se tratan con el fin de prestar los Servicios de Pago.
Además, SFS SAS podrá actuar como Responsable del Tratamiento independiente cuando trata los Datos Personales de los Interesados en calidad de entidad de pago, para cumplir con sus obligaciones legales y reglamentarias, así como para satisfacer su interés legítimo.
Esta nota informativa (la «Nota») incluye (1) los puntos principales del acuerdo de control conjunto entre Spendesk y SFS SAS, (2) la información relativa al Tratamiento realizado por SFS SAS en calidad de Responsable del Tratamiento independiente y (3) las medidas técnicas y operativas establecidas, incluidas las medidas de seguridad y el reparto de responsabilidades entre Spendesk y SFS SAS para garantizar la protección de los Datos Personales y la gestión de los derechos de los Interesados.
El Cliente se compromete a informar a los Interesados del Tratamiento descrito en la Nota, y a proporcionarles información sobre cómo pueden hacer valer sus derechos ante Spendesk y SFS SAS.
Esta Nota podrá actualizarse, en particular, en caso de modificación de la Legislación sobre protección de datos, o en caso de modificación de los Servicios.
En esta Nota, los términos en mayúsculas no definidos de forma específica tienen el significado que se les atribuye (a) en el Acuerdo de Tratamiento de Datos anexo a las Condiciones Generales, (b) en su defecto, en el cuerpo de las Condiciones Generales o, (c) en su defecto, en el RGPD.
1. Tratamiento realizado por SFS SAS y Spendesk como Responsables conjuntos
A. Características del Tratamiento
Para prestar los Servicios de Pago y cumplir con sus obligaciones legales y contractuales, Spendesk y SFS SAS tratan conjuntamente los Datos Personales recogidos de los Interesados, como se establece a continuación:
| Finalidades del Tratamiento de Datos Personales | Categorías de Interesados | Categorías de Datos Personales tratados | Base legal para el Tratamiento de Datos Personales |
|---|---|---|---|
| Apertura y provisión de la Cuenta en nombre del Cliente | Usuario Principal// Beneficiarios reales y representantes legales del Cliente | Datos identificativos: apellidos, nombre(s), fecha de nacimiento, nacionalidad // Datos de contacto: dirección postal, dirección de correo electrónico profesional (solo para el Usuario Principal) // Otros datos: naturaleza de la relación con el Cliente (solo para los beneficiarios reales) // Documento de identidad y cualquier otra prueba necesaria para la validación del cumplimiento de la normativa por parte del Cliente de los requisitos para establecer una relación empresarial | Cumplimiento de una obligación legal// Ejecución del Contrato |
| Emisión de Tarjetas | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Datos de contacto: número de teléfono, dirección de correo electrónico profesional, dirección postal (solo para la entrega de la Tarjeta física) | Ejecución del Contrato |
| Gestión de Operaciones de Pago | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Datos de contacto: número de teléfono // Datos de conexión: dirección IP // Datos financieros: IBAN, datos transaccionales de las Operaciones de Pago relacionadas con los gastos empresariales | Ejecución del Contrato |
| Gestión de solicitudes | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Contenido de la solicitud | Ejecución del Contrato |
| Gestión de quejas relacionadas con los Servicios de Pago | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Datos financieros: datos transaccionales de las Operaciones de Pago relacionadas con los gastos empresariales // Contenido de la queja | Cumplimiento de una obligación legal |
El Tratamiento de los Datos Personales antes mencionados es obligatorio. En su defecto, el Cliente no podrá beneficiarse de los Servicios de Pago.
B. Periodos de retención de los Datos Personales
Spendesk y SFS SAS se comprometen a conservar los Datos Personales solo durante los periodos necesarios para alcanzar los fines descritos anteriormente.
Determinados Datos Personales podrán conservarse durante un periodo adicional de cinco (5) años, de conformidad con el plazo de prescripción ordinario en materia civil y mercantil, para permitir a Spendesk y a SFS SAS defender sus derechos e intereses en caso de controversia.
Para el Tratamiento realizado en virtud de una obligación legal, Spendesk y SFS SAS cumplen los periodos de conservación impuestos por la normativa aplicable.
C. Destinatarios de Datos Personales
Es posible que Spendesk y SFS SAS tengan que compartir determinados Datos Personales con sus subencargados del tratamiento y proveedores de servicios de pago asociados cuando sea necesario para la prestación de los Servicios de Pago, así como comunicarlos a las autoridades competentes en la medida en que así se lo exija la normativa aplicable.
2. Tratamiento realizado por SFS SAS como Responsable independiente
A. Características del Tratamiento
SFS SAS, como Responsable del Tratamiento independiente, trata los Datos Personales recogidos indirectamente de los Interesados, a través de Spendesk o de terceros (y en particular de fuentes de información disponibles públicamente, organismos administrativos y autoridades públicas), como se establece a continuación:
| Finalidades del Tratamiento de Datos Personales | Categorías de Interesados | Categorías de Datos Personales tratados | Base legal para el Tratamiento de Datos Personales |
|---|---|---|---|
| Garantizar la seguridad y la continuidad de los Servicios de Pago | Usuarios designados por el Cliente | Datos identificativos: ID de usuario // Datos de conexión: registros, dirección IP | Interés legítimo |
| Optimización de los Servicios de Pago | Usuarios designados por el Cliente | Datos identificativos: ID de usuario // Datos de conexión: registros, dirección IP | Interés legítimo |
| Cumplimiento de las normas contables y fiscales | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Datos financieros: datos transaccionales de las Operaciones de Pago relacionadas con los gastos empresariales | Cumplimiento de una obligación legal |
| Gestión de seguimiento de quejas relacionadas con los Servicios de Pago | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s) // Datos financieros: datos transaccionales de las Operaciones de Pago relacionadas con los gastos empresariales Contenido de la queja | Cumplimiento de una obligación legal |
| Anti-lavado de dinero y contra la financiación del terrorismo (ALD-CFT) | Usuario Principal// Beneficiarios reales y representantes legales del Cliente | Datos identificativos: apellidos, nombre(s), fecha de nacimiento, lugar y país de nacimiento, nacionalidad // Datos de contacto: dirección postal, dirección de correo electrónico profesional (solo para el Usuario Principal) // Otros datos: naturaleza de la relación con el Cliente (solo para los beneficiarios reales) // Documento de identidad y cualquier otra prueba necesaria para cumplir con los requisitos del marco ALD-CFT en función del riesgo identificado // Cualquier información disponible públicamente para cumplir con los requisitos del marco ALD-CFT en función del riesgo identificado | Cumplimiento de una obligación legal |
| Anti-lavado de dinero y contra la financiación del terrorismo (ALD-CFT) | Usuarios designados por el Cliente | Datos identificativos: apellidos, nombre(s), fecha de nacimiento, lugar y país de nacimiento, nacionalidad // Datos de conexión: dirección IP // Datos financieros: IBAN, datos transaccionales de las Operaciones de Pago relacionadas con los gastos empresariales | Cumplimiento de una obligación legal |
El Tratamiento de los Datos Personales antes mencionados es obligatorio. En su defecto, el Cliente no podrá beneficiarse de los Servicios de Pago.
B. Periodos de retención de los Datos Personales
SFS SAS se compromete a conservar los Datos Personales solo durante el periodo necesario para alcanzar los fines descritos anteriormente.
Determinados Datos Personales podrán conservarse durante un periodo adicional de cinco (5) años, de conformidad con el plazo de prescripción ordinario en materia civil y mercantil, para permitir a SFS defender sus derechos e intereses en caso de controversia.
Para el Tratamiento realizado en virtud de una obligación legal, SFS SAS cumple los periodos de conservación impuestos por la normativa aplicable.
Para el Tratamiento necesario para la lucha contra el blanqueo de capitales y la financiación del terrorismo, los documentos e información relativos a la identidad de los beneficiarios reales, representantes legales y Usuario Principal del Cliente se conservarán durante un plazo de cinco (5) años a partir de la finalización de la relación empresarial con el Cliente, y los documentos e información relativos a las Operaciones de Pago realizadas por los Usuarios se conservarán durante un periodo de cinco (5) años a partir de su ejecución.
C. Destinatarios de Datos Personales
SFS SAS puede necesitar compartir ciertos Datos Personales con sus subencargados del tratamiento y ciertas profesiones reguladas, así como revelarlos a las autoridades competentes, en particular para responder a cualquier demanda o solicitud emitida en el marco de la normativa aplicable.
3. Medidas técnicas y organizativas para garantizar la protección de los Datos Personales
A. Medidas de seguridad
Spendesk y SFS SAS otorgan la máxima importancia a la seguridad y la integridad de los Datos Personales que se les confían. SFS SAS y Spendesk se comprometen a tomar todas las medidas necesarias para preservar la seguridad de los Datos Personales y, en particular, a proteger los Datos Personales contra la destrucción, la pérdida, la alteración (accidental o ilícita), la divulgación o el acceso no autorizado, así como contra cualquier otra forma de Tratamiento ilícito o divulgación a personas no autorizadas.
Con este fin, SFS SAS y Spendesk aplican medidas de seguridad normales del sector para proteger los Datos Personales frente a divulgaciones no autorizadas. Con el fin de evitar, en particular, el acceso no autorizado y garantizar la exactitud y el uso adecuado de los Datos Personales, SFS SAS y Spendesk han puesto en marcha procedimientos electrónicos, físicos y de gestión adecuados para salvaguardar y preservar los Datos Personales recogidos a través de los Servicios.
Estos compromisos son válidos independientemente del control del Tratamiento definido en los apartados 1 y 2 de esta Nota.
B. Transferencias de Datos Personales
Los Datos Personales tratados por Spendesk y SFS SAS se alojan dentro del territorio de la Unión Europea.
Para proporcionar Servicios de Pago a los Usuarios, por ejemplo, al permitir Operaciones de Pago con Tarjeta o reembolsos de gastos empresariales, ciertos Datos Personales pueden transmitirse a subencargados del tratamiento ubicados fuera de la Unión Europea.
Spendesk y SFS SAS se comprometen a establecer un mecanismo de transferencia adecuado de conformidad con la normativa aplicable, en particular las Cláusulas Contractuales Tipo. También requieren que cada uno de los subencargados cumpla con la Legislación sobre protección de datos, y que proporcione garantías contractuales en cuanto a la seguridad y la confidencialidad del Tratamiento de Datos Personales.
C. Derechos de los Interesados
De conformidad con la Legislación sobre protección de datos, los Interesados tienen derecho a acceder, rectificar, limitar y suprimir los Datos Personales que les conciernen, así como el derecho a oponerse, el derecho a la portabilidad y el derecho a dar instrucciones sobre el tratamiento de los Datos Personales después de su muerte.
De conformidad con el acuerdo de control conjunto entre Spendesk y SFS SAS, Spendesk es responsable de gestionar las solicitudes de los Interesados que ejercen sus derechos en virtud del RGPD.
Por lo tanto, Spendesk y SFS SAS han determinado que el punto de contacto con preferencia para ejercer los derechos de los Interesados es el delegado de Protección de Datos (DPO) de Spendesk. Por lo tanto, las solicitudes de información y las solicitudes de ejercicio de derechos deben dirigirse preferentemente:
por correo electrónico a: privacy@spendesk.com; o
por correo postal: Spendesk SAS - Delegado de Protección de Datos (DPO) - 51 rue de Londres, 75008 París, Francia.
Sin embargo, los Interesados pueden hacer valer sus derechos ante cualquier Responsable del Tratamiento.
SFS SAS también ha nombrado a un delegado de Protección de Datos (DPO), con el que se puede contactar por correo electrónico escribiendo a: privacy@spendesk-sfs.com.
En cualquier caso, se informa al Interesado de que existen excepciones en lo que respecta a los derechos antes mencionados. En particular, SFS SAS o Spendesk pueden negarse a cumplir con una solicitud si:
existen motivos legítimos e imperiosos para tratar los Datos Personales, o que ello es necesario para el establecimiento, ejercicio o defensa de derechos legales;
el Tratamiento correspondiente es necesario para el cumplimiento de las Condiciones Generales; o
Existe una obligación legal de tratar los Datos Personales del Interesado.
Por ejemplo, SFS SAS no puede responder a una solicitud de derecho de acceso a los Datos Personales del Interesado tratados con fines de ALD-CFT, de conformidad con el artículo L. 561-45 del CMF. La solicitud de derecho de acceso relacionada con ALD-CFT debe dirigirse indirectamente a la Autoridad de Control Francesa, la Commission Nationale de l'Informatique et des Libertés (CNIL) en: www.cnil.fr
Por último, el Interesado tiene derecho a notificar a la CNIL a través de su sitio web (www.cnil.fr) o por correo postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 París Cedex 07).