Preguntas frecuentes sobre la protección de datos en Trusted Shops

¿Concluye Trusted Shops un acuerdo adicional sobre el procesamiento de datos por encargo con el comerciante en línea?

Como parte del contrato de adhesión de Trusted Shops, Trusted Shops celebro un acuerdo sobre el tratamiento de datos por encargo con el proveedor del sitio web. Puedes encontrar las condiciones aquí:

Acuerdo sobre el tratamiento de datos por encargo de acuerdo con el RGPD y sus anexos (incluida la lista de TOM y de subcontratistas) en el sitio web mencionado en el preámbulo en la siguiente página: https://support.trustedshops.com/lp/en/legal_order_processing_appendices

Las operaciones de tratamiento por encargo contempladas en el acuerdo de tratamiento de datos por encargo se identifican de forma específica en el preámbulo de dicho acuerdo.

Incluyendo:

  1. La representación gráfica del Trustbadge en la presencia en línea, así como también
  2. El envío de invitaciones/solicitudes para dejar una valoración la herramienta Recopilador de valoraciones automatizadas, así como la API de Trusted Shops.

¿Cuándo se realiza un acuerdo de tratamiento por encargo y cuánto tiempo se almacenan los datos?

Trusted Shops como responsable vs. Encargardo

Tratamiento

Responsable

Encargado del tratamiento

Uso del sistema en línea B2B

Trusted Shops

 

Uso del sistema en línea B2C

Trusted Shops

 

Uso del sistema de valoraciones

Trusted Shops

 

Contenido del Trustbadge / Uso de los servicios de Trusted Shops

Trusted Shops

 

Trustbadge-Visualización en la tienda en línea

Tienda en línea

Trusted Shops

Recopilador de valoraciones

Tienda en línea

Trusted Shops

Recolección automática

Tienda en línea

Trusted Shops

Interfaz de programación de aplicaciones (siglas en inglés API)

Tienda en línea

Trusted Shops

Textos legales de Trusted Shops / Generador de directorio de procesamiento

Tienda en línea

Trusted Shops

Delimitaciones

Representación gráfica del Trustbadge, Recolector de valoraciones, recolector automático, API

Los comerciantes de las tiendas en línea son responsables, ya que son los únicos que deciden los propósitos y los medios del tratamiento de datos. Los consentimientos de los interesados son obtenidos por los operadores de las tiendas en línea, sobre la base de los cuales Trusted Shops envía recordatorios de valoraciones, que se consideran como publicidad.

Trustbadge

Trusted Shops es responsable del contenido del Trustbadge y del tratamiento de datos que se realiza a través de él cuando se utilizan los servicios de Trusted Shops (adhesión a  Trusted Shops para compradores - protección del comprador de Trusted Shops, recordatorios de valoraciones).

Trusted Shops actúa en nombre del adherido. Sólo cuando se utiliza el Recopilador de valoraciones, el Recopilador automático o la API, enviando recordatorios de valoraciones en su nombre. Los consentimientos necesarios de los interesados son obtenidos por la parte responsable. Además de ello, se lleva a cabo la visualización gráfica del Trustbadge en su presencia en línea en su nombre.

Más detalles: Trustbadge – Documentación para comerciantes en línea

¿Por qué la información sobre los destinatarios de los recordatorios de valoraciones está parcialmente oculta en el centro de control?

Hay dos vistas generales en el centro de control:

Los recordatorios de valoraciones enviados como parte de un  tratamiento por encargo (véase supra) puede mostrarse en el historial de invitaciones, junto con la información asociada a los destinatarios.

Sin embargo, los recordatorios de valoraciones enviados por Trusted Shops como responsable del tratamiento no pueden presentarse con la información asociada sobre los destinatarios, ya que ello implicaría un cambio en la finalidad del tratamiento y los datos personales se transferirían a un tercero, para lo cual no hay fundamento jurídico.

 

Trusted Shops envía los recordatorios de valoraciones como responsable sobre la base legal de "publicidad a clientes existentes para productos/servicios similares a los contratados " de acuerdo con el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Por lo tanto, no obtiene un consentimiento expreso para dichos recordatorios. Esto sólo funciona en el contexto de los contratos con los clientes existentes y también sólo para los clientes de Trusted Shops. Por esta misma razón, el envío de tales recordatorios de valoraciones no puede tener lugar en el marco del procesamiento de pedidos por parte del comerciante en línea.

En el Buzón de valoraciones la dirección de correo electrónico de la persona que realiza la valoración,  puede aparecer en relación con las valoraciones presentadas, ya que la visualización es necesaria para que el comerciante pueda comprobar la autenticidad de la transacción y la autenticidad de la valoración. Los interesados son informados de ello antes de que se procesen los datos.

¿Tengo que adaptar mi política de protección de datos al usar el Trustbadge?

Al mostrar el Trustbadge y al usarle dentro del proceso del pedido en su presencia en línea, usted como responsable de la protección de los datos debe:

  • Añadir información a su lista de actividades de tratamiento,
  • Llevar a cabo una ponderación de intereses de acuerdo con el Art. 6 párr. 1 letra f del RGPD y
  • Adaptar su declaración de protección de datos.

Puede utilizar las siguientes herramientas para realizar dichos ajustes:

¿Qué datos de nuestros clientes son tratados y almacenados?

En el contexto del tratamiento por encargo, usted como responsable decide qué datos procesa Trusted Shops en su nombre. Datos mínimos requeridos: Para la exhibición Trustbadge, se tramita la dirección IP del cliente. Para enviar recordatorios de valoraciones a través del Recopilador de valoraciones, la función de Automatización o la API, son la dirección de correo electrónico, el número de pedido y la fecha de pedido los datos necesarios. Opcionalmente, se pueden transmitir y procesar datos adicionales como el nombre, el apellido y los detalles del producto (sólo para valoraciones de producto).

¿Con qué fines se tramitan los datos -  para recordatorios de valoraciones?

Al usar Review-Collector y Auto-Collect o el API, Trusted Shops envía recordatorios de valoración en su nombre. Trusted Shops no hace ningún otro uso o almacenamiento de los datos. Sólo si el interesado realiza una valoración, acepta las condiciones de uso y el uso posterior de los datos a los efectos de la finalización del contrato.

¿Se transmiten los datos a Trusted Shops cuando un cliente hace clic en el enlace de valoraciones dentro del recordatorio de valoraciones del comerciante en línea?

Si hace clic en un enlace de valoraciones de Trusted Shops, su dirección de correo electrónico y número de pedido serán transmitidos a Trusted Shops para rellenar previamente el formulario de la valoración.

Esto es necesario para el cumplimiento de nuestros intereses legítimos y preponderantes de  presentar los servicios de valoraciones vinculados al pedido específico y para evitar errores al introducir los datos de conformidad con el artículo 6 párr. 1 letra f RGPD.

Si no presenta el formulario de la valoración posteriormente, los datos transmitidos se borrarán automáticamente y serán utilizados por Trusted Shops exclusivamente para la tramitación del contrato referente al uso del sistema de valoraciones.

Las declaraciones anteriores sólo se aplican a los enlaces de valoraciones que han sido creados manualmente por el comerciante y a través de los cuales se debe presentar una valoración de la tienda y no una valoración de producto.

¿Se transmiten los datos a qué terceros y/o a terceros países?

Trusted Shops utiliza proveedores de servicios de alojamiento e infraestructura. Igualmente se utilizan los servicios de Amazon Web Services (AWS). AWS tiene su sede en los Estados Unidos. Sin embargo, Trusted Shops y AWS acordaron que Alemania fuera el servidor y lugar de procesamiento. En consecuencia, no son aplicables los artículos 44 y siguientes del RGPD sobre la transferencia de datos personales a un tercer país. Por lo tanto, el fallo del TJCE Schrems II no tiene un impacto directo en el procesamiento.

La transmisión a los Estados Unidos sólo puede producirse en el siguiente caso excepcional: Para poder mostrar correctamente el Trustbadge, AWS se utiliza como proveedor de CDN. El procesamiento necesario para ello suele tener lugar en servidores de la Unión Europea, en particular en Alemania. Sin embargo, puede suceder que también se utilicen servidores de terceros países si la visita al sitio web se hace desde algún tercer país.

Además, cuando se visita el sitio web y se muestra el Trustbadge, se escribe un archivo de registro y se almacena en los servidores proporcionados por AWS. En este caso, también, el tratamiento tiene lugar dentro de la Unión Europea.

También se garantiza un nivel adecuado de protección de los datos mediante la concertación de cláusulas contractuales tipo de la UE.

¿Los datos son anonimizados?

Para la transmisión de los datos personales se utiliza la más moderna codificación de transporte. La anonimización en el sentido de la ley de protección de datos no se aplica.

¿Cuánto tiempo se almacenan los datos de los clientes? ¿Hay entonces una supresión automática? (¿Períodos de supresión o algún concepto de supresión?)

Cuando se utiliza el Trustbadge, el servidor web guarda automáticamente el denominado archivo de registro del servidor, que también contiene su dirección IP, la fecha y la hora de la visita, la cantidad de datos transferidos y el proveedor solicitante (datos de acceso) y documenta la visita. Los datos de acceso individuales se almacenan en una base de datos de seguridad para el análisis de las anomalías de seguridad. Los archivos de registro se eliminan automáticamente a más tardar 90 días después de su creación.

Los datos tramitados para el envío de los recordatorios de valoraciones se eliminan automáticamente después de tres meses, tras lo cual no se pueden enviar más valoraciones para el en cuestión. Sólo en la medida en que el destinatario presente una valoración a través del recordatorio de valoraciones, antes del vencimiento del plazo, acepta las condiciones de uso de Trusted Shops y consiente en que se siga utilizando la dirección de correo electrónico con el fin de iniciar sesión en su cuenta.

¿Cómo podemos cumplir con las solicitudes de los clientes relacionadas con la supresión de sus datos personales? ¿Tenemos que informar a Trusted Shops sobre cada petición de un cliente para que los datos también sean borrados en TS?

Según el artículo 19 del RGPD, todos los destinatarios de los datos deben ser informados del ejercicio de sus derechos, es decir, también Trusted Shops, si se trata de clientes cuyos datos fueron procesados por Trusted Shops en nombre del comerciante en línea.

¿Hay que señalar el derecho de oposición de acuerdo con el Art. 21 del RGPD?

Visualización del Trustbadge

Para la visualización del Trustbadge, de la cual el adherido es responsable y Trusted Shops actúa como encargado (con la participación de Akamai), debe éste informar sobre el derecho de oposición. La opción más sencilla es proporcionar una dirección de contacto para que los interesados puede ejercer dicho derecho. Además, se puede hacer referencia optativa a herramientas con cuya ayuda el usuario de las páginas puede suprimir por sí mismo el contenido de terceros del sitio web, por ejemplo, Privacy Badger o Ghostery.

Esto último no es obligatorio, ya que antes de que surta efecto el derecho de oposición del cliente, el responsable del tratamiento debe poder verificar si el tratamiento de los datos es necesario para el ejercicio o la defensa de las reclamaciones legales, o si se pueden demostrar motivos legítimos preponderantes para el tratamiento.

Esto último no es obligatorio, ya que antes de que surta efecto la objeción del cliente en el caso concreto, el responsable del tratamiento debe poder verificar si el tratamiento de los datos es necesario para la afirmación, el ejercicio o la defensa de las reclamaciones legales, o si se pueden demostrar motivos legítimos convincentes para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado.

Por consiguiente, incluso en los casos en que ya se haya realizado el tratamiento, éste podrá continuar sobre la base del artículo 21 del RGPD. Como puede ver en el texto de modelo de la política de protección de datos, el período de almacenamiento de la dirección IP es a veces superior a 7 días (ninguna otra fecha de carácter personal se ve afectada). Sin embargo, el almacenamiento sólo tiene lugar en casos individuales y sólo en base a la seguridad de los datos, para poder evitar los ataques de denegación de servicio (en inglés: DoS), entre otros. No se realiza una evaluación de dicho caso.

En aras de la integración:

El tratamiento de datos dentro del contexto del reconocimiento de los compradores registrados en Trusted Shops

Trusted Shops es responsable de este tratamiento e informa a los usuarios en su propia política de protección de datos, que está enlazada en el Trustbadge.

Sin embargo, los datos necesarios para el reconocimiento (seudónimo de la dirección de correo electrónico, valor hash) se recogen automáticamente de los datos del pedido a través de del Trustbadge. Como se puede ver en el texto modelo actual, este procesamiento también se basa en el Art. 6 párr. 1 letra f del RGPD.

En cuanto a los derechos de oposición del interesado se remite a las declaraciones anteriormente expuestas de forma análoga.

¿Quién es delegado de protección de datos en Trusted Shops GmbH?

El delegado de protección de datos de Trusted Shops GmbH:

Trusted Shops GmbH,
Delegado de Protección de datos
Subbelrather Str. 15c,
50823 Colonia
privacy@trustedshops.com

 


¿Ha sido útil el artículo?

Usuarios a los que les pareció útil: 0 de 0