Treezor cumple con las obligaciones de su política de privacidad y su DPO puede ser contactado en dpo@treezor.com

Preámbulo:

Esta política ilustra los compromisos de Treezor, en su calidad de Controlador de Datos de acuerdo con el Reglamento Europeo 2016/679 de 27 de abril de 2016 sobre la protección de datos personales, aplicable desde el 25 de mayo de 2018 y, más generalmente, las medidas implementadas por Treezor para garantizar el procesamiento legal, justo y transparente de los datos personales.

Para una mejor comprensión en cuanto a la aplicación de esta política, se debe hacer referencia al artículo de Definiciones para el significado de cada término que comienza con una letra mayúscula.

En consecuencia, esta política de tratamiento de datos personales no puede traducirse en un contrato marco de servicios de pago en el sentido de la Directiva 2015/2366 de 25 de noviembre de 2015 sobre servicios de pago.

 

Artículo 1. Definiciones

ACPR: Autorité de Contrôle Prudentiel et de Résolution, 61 Rue de Taitbout, 75009 París;

CNIL: Comisión Nacional de la Informática y las Libertades, 3 Place de Fontenoy, 75334 París;

Cookie: Cookies de conexión o «trazadores» que pueden ser depositados, en forma de archivos, en la plataforma de navegación del Usuario (Internet Explorer, Opera, Firefox, Google Chrome, Safari, etc.);

Responsable de la protección de datos: La persona física delegada para proteger los datos personales en el sentido de los artículos 37, 38 y 39 del Reglamento Europeo 2016/679 de 27 de abril de 2016 ;

Destinatario: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo, que recibe la comunicación de Datos Personales, sea o no un tercero. A este respecto, cualquier autoridad pública (Autorité de contrôle prudentiel et de résolution, Commission Nationale de l’Informatique et des Libertés, Direction Générale des Finances publiques, Agence Nationale de la Sécurité des Systèmes d’Information etc. ) susceptible de recibir una comunicación, en el marco de una misión de investigación específica (control en el marco de la lucha contra el blanqueo de capitales y la financiación del terrorismo, control y auditorías de los sistemas de seguridad interna, etc.), determinada por el derecho de la Unión Europea o el derecho nacional francés, no se considera un destinatario, en el sentido de esta definición;

Datos personales: Toda la información personal que concierne al Titular o a un Usuario, una persona física identificada o que puede ser identificada (en adelante «Titular»), directa o indirectamente, por referencia a un número de identificación o a uno o varios elementos que le son propios;

Sujeto de los datos: Puede ser el Titular o el Usuario, una persona física, tal como se define en el contrato marco de servicios de pago, cuyos Datos Personales recogidos le identifican o le hacen identificable, directa o indirectamente;

Controlador de datos: Se refiere a la persona física o jurídica que ha determinado los métodos, medios y fines del tratamiento de los Datos Personales. Salvo que se estipule lo contrario, el responsable del tratamiento que garantiza el cumplimiento de esta política de privacidad es: la Société par actions simplifiée Treezor, 33 avenue de Wagram, 75017 París;

Servicios de pago: Todos los servicios de pago, previstos en el contrato marco y que son ofrecidos por Treezor SAS;

Subcontratista: La persona física o jurídica, la autoridad pública, el servicio u otra organización que trate los datos personales por cuenta del responsable del tratamiento;

Tercero: Una persona física o jurídica, una autoridad pública, un servicio o un organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas que, bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento, están autorizadas a tratar datos personales;

Tratamiento: Cualquier operación o conjunto de operaciones, automatizadas o no, que se realicen sobre Datos Personales, o sobre un conjunto de Datos Personales. Las operaciones pueden adoptar la forma de recogida, registro, almacenamiento, estructuración, adaptación o modificación, comunicación, difusión, limitación, destrucción, etc;

Violación de los datos personales: Cualquier violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo;

 

Artículo 2.¿Quién es el controlador de datos?

La sociedad anónima simplificada Treezor, con un capital social de 3.334.962 euros, situada en 33 avenue de Wagram, 75017 París. La empresa está inscrita en el Registro Mercantil de París con el número 807 465 059.

TREEZOR SAS está representada por el Sr. Eric LASSUS, en su calidad de Presidente.

 

Artículo 3.Recogida de datos personales

El interesado es el único responsable de los Datos Personales que comunica a Treezor y declara que todos los datos facilitados están perfectamente cumplimentados y son exactos.

Los Datos Personales son recogidos por el Socio (agente de servicios de pago de Treezor) con el único propósito de llevar a cabo los servicios de pago bajo el Acuerdo Marco de Servicios de Pago. El Socio actúa, en su calidad de procesador en el sentido del artículo 4 del Reglamento 2016/679 de 27 de abril de 2016.

 

Artículo 4.Datos personales tratados por Treezor

El responsable del tratamiento trata los siguientes datos:

Datos de identificación de la persona física (apellidos, nombre, fecha de nacimiento, número de documento de identidad y de pasaporte, dirección postal y de correo electrónico, número de teléfono, número de residencia fiscal y situación judicial)
Datos relacionados con la situación profesional del interesado (contrato de trabajo, nómina, etc.)
Datos relacionados con la situación de la propiedad
Datos relacionados con las operaciones y transacciones que el interesado realiza utilizando el Servicio (pagos, transferencias)
Datos bancarios (IBAN, número de tarjeta, saldo)
Datos de identificación y autentificación vinculados al uso
Datos de identificación o autentificación digital vinculados al uso (registros de conexión y uso, dirección IP, etc.).
El Responsable del Tratamiento no realiza ningún tratamiento de Datos Personales como el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, así como el tratamiento de datos biométricos o datos genéticos, de conformidad con el artículo 9 del Reglamento General Europeo de Protección de Datos 2016/679 de 27 de abril de 2016.

Sin embargo, esta prohibición puede ser dejada de lado, si las disposiciones legales o reglamentarias requieren que Treezor procese los datos personales mencionados.

 

Artículo 5.Fundamentos jurídicos y fines del tratamiento de los datos personales

Fundamentos jurídicos y fines del tratamiento de los datos personales
1. La obligación legal y reglamentaria de procesar los Datos Personales

Treezor, en su calidad de entidad de dinero electrónico, está sujeta a la legislación y la normativa bancaria, en particular en lo que respecta a las obligaciones relativas a la lucha contra el blanqueo de capitales y la financiación del terrorismo (en virtud de los artículos L.561-2 a L561-50 del Código Monetario y Financiero francés), lo que obliga al responsable del tratamiento a recopilar un conjunto de Datos Personales con fines específicos.

El Responsable del Tratamiento garantiza la licitud del tratamiento, en virtud de una obligación legal, según lo previsto en el artículo 6 (1.c.) del Reglamento General Europeo 2016/679, de 27 de abril de 2016, relativo a la protección de datos personales.Además, el Responsable del Tratamiento se compromete a tratar los citados Datos Personales (véase más arriba «Artículo 4. Datos Personales tratados por Treezor»), de acuerdo con las siguientes finalidades:

El conocimiento de la persona afectada y la actualización de sus datos personales,
El mantenimiento y la gestión de la(s) cuenta(s) de pago,
Gestión de riesgos, control y seguimiento relacionados con el control interno al que está sometido Treezor,
Seguridad y prevención de impagos y fraudes, cobros, litigios,
El cumplimiento de las obligaciones legales y reglamentarias y, en particular, la identificación de las cuentas inactivas, la lucha contra el blanqueo de capitales y la financiación del terrorismo, el intercambio automático de información relativa a las cuentas en materia fiscal,
Segmentación con fines reglamentarios,
Estudios estadísticos y fiabilidad de los datos con fines de seguridad informática,
2. La justificación de los intereses legítimos

El responsable del tratamiento también trata los datos personales (véase el artículo 3 anterior) para servir a sus intereses legítimos, de conformidad con el artículo 6 (1.f.) del Reglamento general de protección de datos europeo 2016/679.

Además, los fines del tratamiento al servicio de los intereses legítimos son los siguientes:

Mantenimiento y gestión de las cuentas de pago;
Prevención de los riesgos de fraude y de los abusos (incluido el control de las transacciones anormales);
Gestión informática para garantizar la disponibilidad, integridad y confidencialidad de los datos personales;
Mantener el registro relativo a la gestión de las solicitudes de los titulares de los datos (incluidas las solicitudes relativas a los derechos de las personas);
Segmentación de los clientes con fines reglamentarios.
Las finalidades del tratamiento pueden modificarse posteriormente, en función de nuevas obligaciones legales o reglamentarias, así como de la evolución de la actividad del responsable del tratamiento. El interesado será notificado de cualquier cambio en este acuerdo.

3. El carácter obligatorio del tratamiento de los datos personales

La negativa de la Persona interesada a proporcionar los Datos Personales mencionados constituirá un obstáculo para la apertura de la cuenta de pago o para el acceso a los Servicios de Treezor.

 

Artículo 6. Comunicación e intercambio de datos personales

El responsable del tratamiento comunica y comparte los datos personales objeto de la recogida. Los datos personales podrán ser comunicados a los siguientes destinatarios:

Los departamentos internos de Treezor con fines de análisis, detección de fraudes, gestión de las solicitudes de los interesados relativas a sus derechos;
Subcontratistas para el tratamiento de datos personales:
Los agentes que prestan servicios de pago
El anfitrión del sitio
Procesador de tarjetas de pago
Treezor garantiza que los distintos subcontratistas implementan las medidas de seguridad necesarias y adecuadas para garantizar la seguridad, confidencialidad e integridad de los datos personales tratados en nombre de Treezor.

Treezor también se comunica en el marco de la ejecución de los servicios que subcontrata:

Gestores y fabricantes de tarjetas de pago
Gestores de pagos móviles
Miembros de la red bancaria SEPA (Zona Única de Pagos en Euros)
Gestores de cheques
Por exigencias legales y reglamentarias, en particular en el marco de una inspección de la ACPR o de la CNIL, o de una solicitud de los órganos judiciales, del fiscal, etc.

 

Artículo 7. Transferencia de datos personales fuera de la Unión Europea

El tratamiento y el alojamiento de los datos personales se establecen en el territorio de la Unión Europea.

No obstante, si Treezor transfiere Datos Personales fuera del territorio de la Unión Europea, Treezor garantiza que estas transferencias se ejecutan a Estados, que están sujetos a una decisión de adecuación por parte de la Comisión Europea, que justifica un nivel adecuado de protección, en el sentido del artículo 45 del Reglamento General Europeo 2016/679 de 27 de abril de 2016 sobre la protección de datos personales.

En ausencia de una decisión de adecuación, Treezor podrá transferir Datos Personales fuera de la Unión Europea a Subcontratistas, en las condiciones previstas en el artículo 46 del Reglamento General Europeo 2016/679, de 27 de abril de 2016, sobre la protección de datos personales, en particular mediante la elaboración de cláusulas tipo de subcontratación aprobadas por la CNIL.

 

Artículo 8. Confidencialidad y seguridad del tratamiento de los datos personales

El responsable del tratamiento y cualquier persona bajo su autoridad están investidos de una obligación de seguridad en lo que respecta a las operaciones relativas a los datos personales.

Por un lado, el responsable del tratamiento se compromete a proteger los datos personales mediante la aplicación de medidas técnicas y organizativas:

la seudonimización de los datos personales;
los medios para garantizar la confidencialidad, la integridad, la disponibilidad y la resistencia constantes de los sistemas y servicios de tratamiento de datos personales
los medios para restablecer la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico;
un procedimiento para probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales;
cualquier otra medida apropiada para preservar la seguridad, disponibilidad, confidencialidad e integridad de dichos Datos Personales, en particular contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la distribución o el acceso no autorizados.
Por otro lado, el Responsable del Tratamiento se compromete a garantizar la confidencialidad de los Datos Personales, y a exigir a cualquier persona bajo su autoridad que respete esta obligación de confidencialidad.

No obstante, el responsable del tratamiento no será responsable en caso de que un tercero recoja los datos personales por cuenta propia.

 

Artículo 9. Política sobre el uso de cookies

Las diferentes Cookies que pueden ser depositadas en el servidor de navegación (Internet Explorer, Google Chrome, Firefox, Safari, Opera, etc.) de la persona interesada son

Cookies de sesión de usuario que permiten conservar la información introducida en todos los formularios puestos a disposición por el Responsable del Tratamiento;
Cookies de autentificación del usuario que rastrean la información relativa a los identificadores de la persona en cuestión;
Cookies de personalización que tienen por objeto adaptar la presentación del sitio según las preferencias de la persona interesada;
Cookies de seguridad, que tienen por objeto aplicar medidas de seguridad (desconexión tras un periodo de tiempo);
Las cookies estadísticas se utilizan para supervisar el uso y el rendimiento del sitio del responsable del tratamiento, en particular para mejorar su contenido;
Cookies de redes sociales, que se utilizan para publicar un enlace al sitio web Treezor.com, utilizando operadores de plataformas online (Facebook, Twitter, Linkedin, etc.).
Si la persona afectada rechaza el depósito de cookies, no podrá acceder ni utilizar todos los servicios ofrecidos en el sitio web Treezor.com.

 

Artículo 10. Duración del almacenamiento de los datos personales

El Responsable del Tratamiento se compromete a conservar los Datos Personales durante un periodo de cinco (5) años tras el cierre de la cuenta de pago de la Persona en cuestión, de acuerdo con las disposiciones del artículo L561-12 del código monetario y financiero.

De acuerdo con la deliberación nº 2013-378 del 5 de diciembre de 2013 emitida por la Comisión Nacional de la Informática y las Libertades sobre las recomendaciones relativas a las cookies y otros rastreadores, el periodo de conservación de estos últimos, en caso de que se haya obtenido el consentimiento, no podrá superar los trece (13) meses. Al final de los primeros trece meses, debe obtenerse de nuevo el consentimiento de la persona afectada.

Puede visitar nuestra página sobre las cookies para saber más sobre ellas.

Haga clic aquí para cambiar sus preferencias de cookies

 

Artículo 11. Ejercicio de los derechos del interesado

1. Solicitud de acceso a los datos personales por parte del interesado

El Titular de los datos puede obtener una copia de los datos que se están procesando, de acuerdo con el artículo 15 del Reglamento General Europeo 2016/679 de 27 de abril de 2016 sobre la protección de datos personales, sujeto a restricciones legales.

La copia de los datos se transmitirá gratuitamente a la persona interesada, previa presentación de un documento de identidad oficial por parte de ésta.

En el caso de una solicitud de una copia adicional, el responsable del tratamiento tiene derecho a solicitar el pago de una tasa, basada en los costes administrativos.

Por último, de conformidad con el artículo L561-45 del Código Monetario y Financiero, toda solicitud de acceso a los datos personales sujetos a la legislación y la reglamentación bancaria, en particular las relativas a la lucha contra el blanqueo de capitales y la financiación del terrorismo, debe dirigirse a la CNIL.

2. Solicitud de rectificación de datos personales

El interesado puede solicitar al responsable del tratamiento que modifique los datos personales inexactos o incompletos.

En este caso, el responsable del tratamiento puede exigir pruebas adicionales para rectificar los datos personales.

3. Solicitud de oposición al tratamiento

El interesado puede oponerse al tratamiento de los datos personales por motivos relacionados con su situación particular.

No obstante, el interesado no podrá ejercer este derecho en relación con el tratamiento cuya base jurídica sea una obligación legal, en particular en lo que respecta a la obligación de luchar contra el blanqueo de capitales y la financiación del terrorismo (véase el punto 3. «Fines del tratamiento de datos personales»).

4. Solicitud de limitación del tratamiento

El Titular de los datos puede solicitar la limitación del tratamiento de los Datos Personales, según los casos previstos en el artículo 18 del Reglamento General Europeo 2016/679 de 27 de abril de 2016 sobre la protección de datos personales.

5. Ejercicio del derecho de supresión

El Titular de los datos puede solicitar la supresión de los Datos Personales, según lo prescrito en el artículo 17 del Reglamento General Europeo 2016/679 de 27 de abril de 2016 sobre la protección de los Datos Personales.

No obstante, el Titular de los datos no podrá solicitar la supresión de los Datos Personales, si su tratamiento es necesario en virtud de una obligación legal, en particular en relación con la obligación de luchar contra el blanqueo de capitales y la financiación del terrorismo.

6. Derecho a la portabilidad de los datos

El interesado puede solicitar que sus datos personales sean transmitidos, en un soporte duradero (en particular en formato .PDF), a otro responsable del tratamiento.

En todos los casos en los que el tratamiento de los datos se base en una obligación legal, el responsable del tratamiento podrá negarse a proceder a la portabilidad de los datos personales.

Artículo 12. Comunicación de una violación de datos personales a las personas afectadas

En caso de que se produzca una violación de los datos personales, el responsable del tratamiento se asegurará de que el interesado sea notificado de la violación en un plazo que no podrá exceder de cuarenta y ocho (48) horas a partir del momento en que el responsable del tratamiento tenga conocimiento de la misma. Esta notificación deberá incluir:

La naturaleza de la violación que afecta a los datos personales;
Los datos de contacto del responsable de la protección de datos (DPO);
Las probables consecuencias de la violación de los datos personales;
Las medidas adoptadas por el controlador de datos.
No obstante, el responsable del tratamiento no estará obligado a notificar la violación de los datos personales al interesado en ninguno de los siguientes casos:

La aplicación de medidas técnicas y organizativas que hagan inaccesibles e incomprensibles los datos personales a los que una persona no está autorizada a acceder, como el cifrado, la anonimización, la seudonimización, etc. ;
La aplicación de medidas técnicas y organizativas que garanticen que ya no es probable que se materialice el riesgo para los derechos y libertades de los interesados;
La notificación de la violación daría lugar a esfuerzos desproporcionados, especialmente en el caso de que los datos personales no hayan sido recogidos directamente del interesado. Bajo esta condición, el responsable del tratamiento puede proceder a una comunicación pública sin dirigirse específicamente al interesado.

Artículo 13. Datos de contacto del responsable del tratamiento y del responsable de la protección de datos

Para ejercer sus derechos, el interesado deberá enviar una carta, por correo o por medios electrónicos, especificando el derecho o los derechos que desea ejercer.

A partir de la fecha de recepción de la solicitud, el responsable del tratamiento tiene un plazo máximo de un mes para dar una respuesta.

No obstante, el responsable del tratamiento debe motivar su respuesta si no puede atender las solicitudes.

Dirección de correo electrónico:
dpo@treezor.com

Dirección postal:
SAS TREEZOR,
33 avenue de Wagram
75017 París

Artículo 14. Denuncia ante la Comisión Nacional de la Informática y las Libertades (CNIL)

En caso de que no se hayan respetado los derechos del interesado, y tras haberse puesto en contacto con el responsable del tratamiento, el interesado podrá presentar una reclamación ante la CNIL:

Comisión Nacional de Informática y Libertades
3 Place de Fontenoy,
75334 PARÍS

Enlace útil: https://www.cnil.fr/fr/webform/adresser-une-plainte