Acuerdo de procesamiento de datos

Descargar el DPA de iLost

Abrir DPA (PDF)

Basándose en dos fases de procesamiento distintas, tal y como se muestra en la descripción visual al final de esta página, se describe cómo se procesan los datos personales dentro de la plataforma iLost. Se explican los tipos de datos personales involucrados, las funciones de las partes y el marco regulatorio aplicable, sin hacer referencia a artículos legales específicos de cada jurisdicción.

Definiciones

  1. Reclamación/Notificación de pérdida: Información enviada por un usuario a través de la plataforma iLost con el fin de reivindicar la propiedad o el derecho sobre un objeto encontrado.
    Una reclamación solo surtirá efecto una vez que se haya verificado la cuenta del usuario, lo que incluye el envío de una dirección de correo electrónico y la validación a través de un enlace de verificación, así como la aceptación por parte de iLost de acuerdo con sus políticas. Tras dicha aceptación, la información de la reclamación se pone a disposición del cliente correspondiente y el objeto encontrado se asocia al usuario.
    Este momento marca la transición de la fase 1 a la fase 2, tal y como se describe a continuación.

  2. Cliente: Una organización, empresa o institución (incluidos, entre otros, hoteles, recintos, operadores de transporte e instituciones públicas) que utiliza la plataforma iLost para registrar y gestionar objetos encontrados.
    Para evitar dudas, un cliente no es una persona física.

  3. Responsable del tratamiento: La entidad que determina los fines y los medios esenciales del tratamiento de datos personales.

  4. Artículo encontrado: Un artículo registrado en la plataforma iLost por un cliente. Es posible que un artículo encontrado no esté vinculado inicialmente a una persona identificable y que, tras la presentación y verificación de una reclamación, se asocie a un usuario.

  5. Plataforma iLost: La solución de software como servicio en línea operada por iLost, incluida su interfaz web y los widgets de búsqueda integrados, que permite a los clientes registrar y gestionar objetos encontrados y a los usuarios buscar, informar, reclamar y recuperar objetos perdidos.

  6. Datos personales: cualquier información relacionada con una persona física identificada o identificable, incluyendo, entre otros, el nombre, los datos de contacto, los datos de identificación, las fotografías, la información relacionada con las reclamaciones y los identificadores en línea, como las direcciones IP.

  7. Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, como la recogida, el almacenamiento, el uso, la divulgación o la supresión.

  8. Encargado del tratamiento: La entidad que trata los datos personales en nombre del responsable del tratamiento.

  9. Usuario: Una persona física que interactúa directamente con la plataforma iLost para buscar, reclamar o recuperar un objeto perdido y cuyos datos personales se tratan en ese contexto. Cuando sea de aplicación la legislación en materia de protección de datos, el usuario se considerará «interesado», «persona física» o cualquier otro concepto jurídico equivalente en dicha legislación.

1. Fase 1: tratamiento iniciado por el cliente

En la fase 1, los datos personales son introducidos en la plataforma iLost por un miembro del personal del cliente en el contexto del registro y la gestión de los objetos encontrados.

Acciones como notificar de forma proactiva a un posible propietario o cotejar un objeto en un mostrador de atención al público se consideran parte de la fase 1 y siguen siendo responsabilidad del cliente como responsable del tratamiento.

Esto puede incluir, entre otras cosas:

  • Datos de contacto de un propietario conocido o presunto que aún no es usuario
  • Notas añadidas a un objeto encontrado
  • Información personal introducida para confirmar la recogida de un objeto sin reclamación online

Funciones en la fase 1

En la fase 1:

  • El cliente determina la finalidad del tratamiento, es decir, la devolución de los objetos encontrados a sus legítimos propietarios.
  • El cliente actúa como responsable del tratamiento.
  • iLost actúa como encargado del tratamiento, tratando los datos personales introducidos por y en nombre del cliente.

La relación de tratamiento en la fase 1 se rige por el Acuerdo de tratamiento de datos (DPA) aplicable.

2. Fase 2: Tratamiento iniciado por el usuario (posterior a la verificación)

La fase 2 comienza solo después de que un usuario haya presentado una reclamación o un informe de pérdida y iLost haya completado su proceso de verificación.
Esta verificación incluye la confirmación de los datos de contacto del usuario (como la verificación del correo electrónico) y el cumplimiento de las políticas internas de validación y lucha contra el abuso de iLost.

Hasta que se complete la verificación, los datos personales proporcionados por el usuario son procesados exclusivamente por iLost y no se ponen a disposición del cliente.

Una vez que iLost verifica y aprueba una reclamación o un informe de pérdida, la fase 2 se activa y los datos personales relevantes del usuario pueden ponerse a disposición del cliente para su posterior procesamiento.

Datos personales proporcionados por el usuario

Durante el proceso de reclamación o denuncia de pérdida, el usuario puede proporcionar datos personales tales como:

  • Nombre y datos de contacto
  • Información relacionada con la reclamación o explicaciones destinadas a demostrar la propiedad
  • Mensajes intercambiados a través de la plataforma iLost
  • Datos de envío y dirección para la devolución de un artículo
  • Imágenes o documentos de apoyo

Al enviar una reclamación o denuncia de pérdida y aceptar la política de privacidad y los términos aplicables, el usuario acepta el tratamiento de estos datos personales por parte de iLost con el fin de operar la plataforma iLost y facilitar la recuperación de objetos perdidos.

Función de iLost en la fase 2

En la fase 2:

  • iLost actúa como responsable independiente del tratamiento de todos los datos procesados por iniciativa del usuario en la plataforma iLost, incluyendo:
  • Verificación del usuario
  • Gestión de cuentas
  • Tramitación de reclamaciones
  • Flujos de trabajo de comunicación

  • Inicio del envío

  • iLost determina si los datos personales del usuario se ponen a disposición del cliente y en qué momento, basándose en los resultados de la verificación y en las políticas de la plataforma.

Identificabilidad de los objetos encontrados en la fase 2

Un objeto encontrado registrado en la fase 1 no constituye automáticamente un dato personal.

Un objeto encontrado se vincula a una persona identificable solo cuando iLost ha verificado la reclamación o la denuncia de pérdida del usuario.

A partir de ese momento, el objeto encontrado se considera un dato personal rastreable dentro de la plataforma iLost.

Divulgación de datos personales al cliente

Tras la verificación, ciertos datos personales del usuario (por ejemplo, información relacionada con la reclamación o detalles de envío) pueden ser divulgados al cliente cuando y en la medida en que sea necesario para:

  • Verificar la propiedad
  • Tomar una decisión definitiva sobre la coincidencia
  • Preparar y completar el envío o la entrega física del objeto

No se comparte ningún dato personal del usuario con el cliente antes de la verificación y aprobación de iLost.

3. Relación entre responsables del tratamiento en la fase 2

Una vez que los datos personales del usuario se revelan al cliente tras la verificación, los datos personales se procesan e intercambian en un marco de responsable a responsable (C2C).

En este marco:

  • iLost sigue siendo el responsable del tratamiento de los datos iniciado por el usuario dentro de la plataforma iLost, incluyendo la verificación, la comunicación y los flujos de trabajo a nivel de la plataforma.
  • El cliente sigue siendo el responsable del tratamiento de sus propios datos posteriores, incluyendo:
  • Verificar la propiedad y tomar la decisión final sobre la coincidencia
  • Mantener registros internos
  • Preparar y completar el envío o la entrega física

Cada parte determina de forma independiente sus propios fines y medios esenciales de tratamiento y es responsable del cumplimiento de las leyes de protección de datos aplicables en relación con sus propias actividades de tratamiento.

4. Resumen de la asignación de responsabilidades

Fase 1

  • Cliente: Responsable del tratamiento
  • iLost: Encargado del tratamiento (en virtud del DPA)

Fase 2 (posverificación y divulgación)

  • iLost: Responsable independiente del tratamiento (tratamiento iniciado por el usuario)
  • Cliente: Controlador independiente (procesamiento operativo propio)
  • Los datos personales se intercambian en virtud de una cláusula de controlador a controlador

5. Normativa aplicable en materia de protección de datos y privacidad

La siguiente lista no es exhaustiva.
Los requisitos aplicables dependen de la ubicación del cliente, el usuario y las actividades de procesamiento pertinentes (fase 1 y/o fase 2).

América

  • Estados Unidos (seleccionado): Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de California (CCPA/CPRA) – principalmente Fase 2
  • Estados Unidos: Otras leyes estatales de privacidad (según corresponda) – Fase 1 y/o Fase 2
  • Brasil: Ley General de Protección de Datos (LGPD): fase 1 y fase 2
  • Canadá: PIPEDA y leyes provinciales de privacidad aplicables: fase 1 y fase 2
  • México: Ley Federal de Protección de Datos Personales en Posesión de Particulares: fase 1 y fase 2
  • Argentina: Ley de Protección de Datos: fase 1 y fase 2

Asia-Pacífico

  • China: Ley de Protección de Datos Personales – Fase 1 y Fase 2 (cuando corresponda)
  • Japón: Ley de Protección de Datos Personales – Fase 1 y Fase 2
  • Singapur: Ley de Protección de Datos Personales: Fase 1 y Fase 2
  • Australia: Ley de Privacidad de 1988: Fase 1 y Fase 2
  • Corea del Sur: Ley de Protección de Datos Personales: Fase 1 y Fase 2
  • India: Ley de Protección de Datos Personales Digitales: Fase 1 y Fase 2 (cuando corresponda)
  • Indonesia: Ley de Protección de Datos Personales: Fase 1 y Fase 2
  • Tailandia: Ley de Protección de Datos Personales: Fase 1 y Fase 2
  • Malasia: Ley de Protección de Datos Personales: Fase 1 y Fase 2
  • Filipinas: Ley de Privacidad de Datos: Fase 1 y Fase 2
  • Vietnam: Decreto de Protección de Datos Personales: Fase 1 y Fase 2
  • Hong Kong: Ordenanza sobre Datos Personales (Privacidad): Fase 1 y Fase 2
  • Taiwán: Ley de Protección de Datos Personales – Fase 1 y Fase 2

Europa

  • Unión Europea / EEE: Reglamento General de Protección de Datos (RGPD) – Fase 1 y Fase 2
  • Reino Unido: RGPD del Reino Unido y Ley de Protección de Datos de 2018 – Fase 1 y Fase 2
  • Suiza: Ley Federal de Protección de Datos (FADP) – Fase 1 y Fase 2

Oriente Medio y África

  • Emiratos Árabes Unidos / DIFC / ADGM Normativa de protección de datos – Fase 1 y Fase 2
  • Qatar: Ley de protección de datos – Fase 1 y Fase 2
  • Israel: Ley de protección de la privacidad – Fase 1 y Fase 2
  • Arabia Saudí: Ley de protección de datos personales (PDPL) – Fase 1 y Fase 2
  • Baréin / Omán: Leyes nacionales de protección de datos aplicables – Fase 1 y Fase 2
  • Turquía: Ley de Protección de Datos Personales – Fase 1 y Fase 2
  • Sudáfrica: Ley de Protección de Información Personal (POPIA) – Fase 1 y Fase 2
  • Nigeria: Ley de Protección de Datos de Nigeria (NDPA) – Fase 1 y Fase 2
  • Kenia: Ley de Protección de Datos – Fase 1 y Fase 2

Cada parte sigue siendo responsable de cumplir con las leyes de protección de datos aplicables a sus propias actividades de procesamiento y jurisdicción, y deberá informar a iLost por escrito de cualquier adición o cambio sustancial a lo anterior.

Resumen visual del flujo

A continuación se muestra un diagrama visual que ilustra el flujo completo de datos entre la Fase 1 y la Fase 2, incluidas las funciones de la organización y el usuario, y la transición de las responsabilidades del responsable del tratamiento.

Diagrama del flujo de datos de la fase 1 y la fase 2