¿Concluye Trusted Shops un acuerdo adicional sobre el procesamiento de datos por encargo con el comerciante en línea según el Art. 28 del RGPD?
Dentro del marco del contrato Trusted Shops no presta servicios como encargado de acuerdo con el Art. 28 del RGPD. Se trata más bien de un tratamiento de datos bajo responsabilidad conjunta. Por lo tanto, un Acuerdo de corresponsabilidad del tratamiento (ACT), es decir, un acuerdo de responsabilidad conjunta de conformidad con el Art. 26 del RGPD, sustituye al acuerdo de tratamiento por encargo. El Acuerdo de corresponsabilidad del tratamiento es parte integral de las Condiciones Generales de Adhesión de Trusted Shops e incluye normas específicas sobre el tratamiento de datos al utilizar los servicios ofrecidos por Trusted Shops.
Dentro del marco del Contrato de adhesión Trusted Shops celebra un acuerdo en conformidad con el Art. 26 del RGPD (Corresponsabilidad del tratamiento) con el adherido de la tienda en línea. Puede encontrar las disposiciones al respecto aquí:
Corresponsabilidad de conformidad con el RGPD, así como las medidas técnicas y organizativas
Las operaciones relacionadas con el tratamiento de datos contempladas en el acuerdo se especificarán en el mismo.
Se trata, en particular de:
- La integración del Trustbdge en la presencia en línea,
- La transmisión de datos personales para la celebración del servicio de Protección al Comprador para los pedidos realizados
- El envío de invitaciones para realizar una valoración dentro del marco de la Protección al Comprador en nombre de la tienda en línea utilizando las herramientas Recopilador de valoraciones y AutoCollection, así como la interfaz de programación de aplicaciones API de Trusted Shops, igualmente
- La obtención de valoraciones a través de la plataforma de valoraciones, así como su comentario.
¿Cuándo se realiza un acuerdo de tratamiento por encargo y cuánto tiempo se almacenan los datos?
|
Tratamiento |
Trusted Shops |
Tienda en línea (adherido) |
|
Uso del sistema en línea B2B |
Único responsable |
|
|
Uso del sistema en línea B2C |
Único responsable |
|
|
Uso del sistema de valoraciones |
Único responsable |
|
|
Contenido del Trustbadge / Uso de los servicios de Trusted Shops |
Corresponsables |
Corresponsables |
|
Trustbadge-Visualización en la tienda en línea |
Único responsable |
|
|
Envío de invitaciones por correo electrónico |
Corresponsables |
Corresponsables |
|
Recopilador de valoraciones |
Corresponsables |
Corresponsables |
|
Recolección automática |
Corresponsables |
Corresponsables |
|
Interfaz de programación de aplicaciones (siglas en inglés API) |
Corresponsables |
Corresponsables |
|
Textos legales de Trusted Shops / Generador de directorio de procesamiento |
Corresponsables |
Corresponsables |
Para más detalles, consulte el Acuerdo de corresponsabilidad del tratamiento de conformidad con el RGPD.
¿Por qué la información sobre los destinatarios de las invitaciones de valoración está parcialmente oculta en el centro de control?
Hay dos vistas generales en el centro de control:
- La crónica de invitaciones de valoración, es decir, el historial de invitaciones
- El Buzón de valoraciones, es decir, el panorama de valoraciones obtenidas
Las invitaciones de valoración enviadas en su nombre (véase más arriba) pueden mostrarse en el historial de invitaciones junto con la información asociada sobre los destinatarios.
Sin embargo, es Trusted Shops el único responsable del envío de las invitaciones de valoración. Estos no pueden mostrarse con la información asociada a los destinatarios de los mismos, porque esto supondría un cambio en la finalidad del tratamiento y los datos personales también son transferidos a un tercero, para lo que no existe base legal.
Trusted Shops envía estas invitaciones de valoración como responsable dentro marco del cumplimiento del contrato de usuario final y, por tanto, no obtiene un consentimiento por separado.
En el buzón de valoraciones puede la dirección de correo electrónico de quien valora aparecer, en relación con las valoraciones realizadas, ya que la visualización es necesaria para que el comerciante pueda comprobar la autenticidad de la transacción y la autenticidad de la valoración. Los interesados serán informados de ello antes del tratamiento de los datos.
¿Tengo que adaptar mi política de protección de datos al usar el Trustbadge?
Al mostrar el Trustbadge y al usarle dentro del proceso del pedido en su presencia en línea, usted como responsable de la protección de los datos debe:
- Añadir información a su lista de actividades de tratamiento,
- Llevar a cabo una ponderación de intereses de acuerdo con el Art. 6 párr. 1 letra f del RGPD y
- Adaptar su declaración de protección de datos.
Puede utilizar las siguientes herramientas para realizar dichos ajustes:
- Guía de protección de datos – Visualización del Trustbadge
- Guía de protección de datos – Reconocimiento de clientes registrados en Trusted Shops
- Guía de protección de datos – Suministro de los datos de pedido requeridos
- Guía de protección de datos – Recolector de valoraciones, AutoCollection y API
- Guía de protección de Datos – Generación de enlaces de valoraciones a través de la API
- Texto modelo para su política de protección de datos (Trustbadge)
¿Qué datos de nuestros clientes son tratados y almacenados?
En el contexto del tratamiento por encargo, usted como responsable decide qué datos procesa Trusted Shops en su nombre. Datos mínimos requeridos: Para la exhibición Trustbadge, se tramita la dirección IP del cliente. Sin embargo, esta se anonimiza inmediatamente. Para enviar invitaciones de valoración a través del Recopilador de valoraciones, la función de Automatización o la API, son la dirección de correo electrónico, el número de pedido y la fecha de pedido los datos necesarios. Opcionalmente, se pueden transmitir y procesar datos adicionales como el nombre, el apellido y los detalles del producto (sólo para valoraciones de producto).
¿Con qué fines se tramitan los datos - para invitaciones de valoración?
Al usar Review-Collector y Auto-Collect o el API, Trusted Shops envía invitaciones de valoración en su nombre. Trusted Shops no hace ningún otro uso o almacenamiento de los datos. Sólo si el interesado realiza una valoración, acepta las condiciones de uso y el uso posterior de los datos a los efectos de la finalización del contrato.
¿Se transmiten los datos a Trusted Shops cuando un cliente hace clic en el enlace de valoraciones dentro de la invitación de valoración del comerciante en línea?
Si hace clic en un enlace de valoraciones de Trusted Shops, su dirección de correo electrónico y número de pedido serán transmitidos a Trusted Shops para rellenar previamente el formulario de la valoración.
Esto es necesario para el cumplimiento de nuestros intereses legítimos y preponderantes de presentar los servicios de valoraciones vinculados al pedido específico y para evitar errores al introducir los datos de conformidad con el artículo 6 párr. 1 letra f RGPD.
Si no presenta el formulario de la valoración posteriormente, los datos transmitidos se borrarán automáticamente y serán utilizados por Trusted Shops exclusivamente para la tramitación del contrato referente al uso del sistema de valoraciones.
Las declaraciones anteriores sólo se aplican a los enlaces de valoraciones que han sido creados manualmente por el comerciante y a través de los cuales se debe presentar una valoración de la tienda y no una valoración de producto.
¿Se transmiten los datos a qué terceros y/o a terceros países?
Trusted Shops utiliza proveedores de servicios de alojamiento e infraestructura. Igualmente se utilizan los servicios de Amazon Web Services (AWS). AWS tiene su sede en los Estados Unidos. Sin embargo, Trusted Shops y AWS acordaron que Alemania fuera el servidor y lugar de procesamiento. En consecuencia, no son aplicables los artículos 44 y siguientes del RGPD sobre la transferencia de datos personales a un tercer país. Por lo tanto, el fallo del TJCE Schrems II no tiene un impacto directo en el procesamiento.
La transmisión a los Estados Unidos sólo puede producirse en el siguiente caso excepcional: Para poder mostrar correctamente el Trustbadge, AWS se utiliza como proveedor de CDN. El procesamiento necesario para ello suele tener lugar en servidores de la Unión Europea, en particular en Alemania. Sin embargo, puede suceder que también se utilicen servidores de terceros países si la visita al sitio web se hace desde algún tercer país.
Además, cuando se visita el sitio web y se muestra el Trustbadge, se escribe un archivo de registro y se almacena en los servidores proporcionados por AWS. En este caso, también, el tratamiento tiene lugar dentro de la Unión Europea.
También se garantiza un nivel adecuado de protección de los datos mediante la concertación de cláusulas contractuales tipo de la UE.
¿Los datos son anonimizados?
Para la transmisión de los datos personales se utiliza un cifrado de transporte de última generación. La dirección IP procesada cuando se muestra el Trustbadge se anonimiza inmediatamente.
¿Cuánto tiempo se almacenan los datos de los clientes? ¿Hay entonces una supresión automática? (¿Períodos de supresión o algún concepto de supresión?)
Cuando se utiliza el Trustbadge el servidor web guarda automáticamente el denominado archivo de registro del servidor, que también contiene su dirección IP, la fecha y hora de visita, la cantidad de datos transferidos y el proveedor solicitante (datos de acceso) y documenta la visita. La dirección IP se anonimiza inmediatamente después de ser recopilada, de modo que los datos almacenados no pueden serle asignarse a usted personalmente. Los datos anonimizados se utilizan, en particular, con fines estadísticos y para el análisis de errores.
Los datos procesados para el envío de invitaciones de valoración se eliminan automáticamente una vez finalizado el plazo para realizar la valoración.
Si el destinatario realiza una valoración, los datos recibidos seguirán utilizándose dentro del marco del acuerdo del uso.
¿Cómo podemos cumplir con las solicitudes de los clientes relacionadas con la supresión de sus datos personales? ¿Tenemos que informar a Trusted Shops sobre cada petición de un cliente para que los datos también sean borrados en Trusted Shops?
Según el artículo 19 del RGPD, todos los destinatarios de los datos deben ser informados del ejercicio de sus derechos, es decir, también Trusted Shops, si se trata de clientes cuyos datos fueron procesados por Trusted Shops en nombre del comerciante en línea o bajo corresponsabilidad de Trusted Shops y el comerciante en línea.
¿Hay que señalar el derecho de oposición de acuerdo con el Art. 21 del RGPD?
Visualización del Trustbadge
Para la visualización del Trustbadge, de la cual el adherido es responsable, debe éste informar sobre el derecho de oposición. La opción más sencilla es proporcionar una dirección de contacto para que los interesados puede ejercer dicho derecho. Además, se puede hacer referencia optativa a herramientas con cuya ayuda el usuario de las páginas puede suprimir por sí mismo el contenido de terceros del sitio web, por ejemplo, Privacy Badger o Ghostery.
Esto último no es obligatorio, ya que antes de que surta efecto la objeción del cliente en el caso concreto, el responsable del tratamiento debe poder verificar si el tratamiento de los datos es necesario para la afirmación, el ejercicio o la defensa de las reclamaciones legales, o si se pueden demostrar motivos legítimos convincentes para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado.
En consecuencia, incluso en los casos en que el tratamiento ya se haya realizado, el tratamiento podrá continuar sobre la base del Art. 21 párr. 1 RGPD. Como se puede ver en el texto de modelo de la política de protección de datos, la dirección IP (ningún otro dato pb se ve afectado) se anonimiza inmediatamente después de la recogida.
El tratamiento de datos dentro del contexto del reconocimiento de los compradores registrados en Trusted Shops
Para el reconocimiento mediante Trustbadge, los datos necesarios (seudónimo de la dirección de correo electrónico, valor hash) se recogen automáticamente de los datos del pedido. En cuanto a los derechos de oposición del interesado, me remito a las declaraciones anteriores, que se aplican de forma análoga.
Trusted Shops es responsable de esta tramitación junto con el adherido de la tienda. Trusted Shops informa a los usuarios en su propia Declaración de protección de datos, que está enlazada en el Trustbadge y documenta la ponderación de interés. La base legal es el Art. 6 párr. 1 lit. f RGPD. El adherido debe informar a los interesados sobre la recopilación de datos y la base legal correspondiente.
¿Quién es delegado de protección de datos en Trusted Shops SE?
El delegado de protección de datos de Trusted Shops SE:
Trusted Shops SE,
Delegado de Protección de datos
Subbelrather Str. 15c,
50823 Colonia
privacy@trustedshops.com