Acordo de tratamento de datos

Descargar o DPA de iLost

Abrir DPA (PDF)

Baseándose en dúas fases de tratamento distintas, como se mostra na visión xeral da parte inferior, esta páxina describe como se procesan os datos persoais dentro da Plataforma iLost. Explica os tipos de datos persoais implicados, os papeis das partes e o marco regulatorio aplicable, sen referencia a artigos legais específicos da xurisdición.

Definicións

  1. Reclamación/Informe de perda: Información enviada por un usuario a través da Plataforma iLost co fin de afirmar a propiedade ou o dereito a un artigo atopado. Unha reclamación só se fai efectiva despois de que se verifique a conta do usuario, o que inclúe o envío dun enderezo de correo electrónico e a validación a través dunha ligazón de verificación, e a aceptación por parte de iLost de acordo coas súas políticas. Tras esta aceptación, a información da reclamación ponse a disposición do cliente correspondente e o obxecto atopado asóciase co usuario. Este momento marca a transición da Fase 1 á Fase 2, como se describe a continuación.

  2. Cliente: Unha organización, empresa ou institución (incluíndo, entre outras, hoteis, locais, operadores de transporte e institucións públicas) que utiliza a Plataforma iLost para rexistrar e xestionar os obxectos atopados. Para evitar dúbidas, un cliente non é unha persoa física.

  3. Responsable do tratamento: A entidade que determina os fins e os medios esenciais do tratamento de datos persoais.

  4. Obxecto atopado: Un obxecto rexistrado na Plataforma iLost por un cliente. Un obxecto atopado pode non estar vinculado inicialmente a unha persoa identificable e pode, tras a presentación e verificación dunha reclamación, asociarse a un usuario.

  5. Plataforma iLost: A solución de software como servizo en liña operada por iLost, incluíndo a súa interface web e os widgets de busca integrados, que permite aos clientes rexistrar e xestionar obxectos atopados e aos usuarios buscar, denunciar, reclamar e recuperar obxectos perdidos.

  6. Datos persoais: Calquera información relativa a unha persoa física identificada ou identificable, incluíndo, entre outros, o nome, os datos de contacto, os datos de identificación, as fotografías, a información relacionada coa reclamación e os identificadores en liña, como os enderezos IP.

  7. Procesamento: Calquera operación ou conxunto de operacións realizadas con datos persoais, como a recollida, o almacenamento, o uso, a divulgación ou a eliminación.

  8. Encargado do tratamento: A entidade que procesa datos persoais en nome dun responsable do tratamento.

  9. Usuario: Unha persoa física que interactúa directamente coa plataforma iLost para buscar, reclamar ou recuperar un obxecto perdido e cuxos datos persoais se procesan nese contexto. Cando se aplique a lexislación de protección de datos, un Usuario cualifícase como "persoa afectada", "persoa física" ou concepto xurídico equivalente segundo dita lexislación.

1. Fase 1: Tratamento iniciado polo Cliente

Na Fase 1, os datos persoais son introducidos na Plataforma iLost por un membro do persoal do Cliente no contexto do rexistro e a xestión de obxectos atopados.

As accións como notificar proactivamente a un posible propietario ou comparar un obxecto nun mostrador de atención ao cliente físico considéranse parte da Fase 1 e seguen sendo responsabilidade do Cliente como Controlador.

Isto pode incluír, entre outros:

  • Datos de contacto dun propietario coñecido ou sospeitoso que aínda non é un usuario
  • Notas engadidas a un artigo atopado
  • Información persoal introducida para confirmar a recollida dun artigo sen unha reclamación en liña

Roles na Fase 1

Na Fase 1:

  • O Cliente determina o propósito do procesamento, concretamente a devolución dos artigos atopados aos seus lexítimos propietarios
  • O Cliente actúa como Responsable do tratamento
  • iLost actúa como Procedente do tratamento, procesando os datos persoais introducidos polo Cliente e en nome del

A relación de procesamento na Fase 1 réxese polo Acordo de procesamento de datos (DPA) aplicable.

2. Fase 2: procesamento iniciado polo usuario (posterior á verificación)

A Fase 2 comeza só despois de que un usuario presente unha reclamación ou un informe de perda e que iLost complete o seu proceso de verificación. Esta verificación inclúe a confirmación dos datos de contacto do Usuario (como a verificación do correo electrónico) e o cumprimento das políticas internas de validación e antiabuso de iLost.

Ata que se complete a verificación, os datos persoais proporcionados polo Usuario son procesados ​​exclusivamente por iLost e non se poñen á disposición do Cliente.

Unha vez que iLost verifica e aproba unha reclamación ou informe de perda, a Fase 2 actívase e os datos persoais relevantes do Usuario poden poñerse á disposición do Cliente para o seu posterior procesamento.

Datos persoais proporcionados polo Usuario

Durante o proceso de reclamación ou informe de perda, un Usuario pode proporcionar datos persoais como:

  • Nome e datos de contacto
  • Información ou explicacións relacionadas coa reclamación destinadas a demostrar a propiedade
  • Mensaxes intercambiadas a través da Plataforma iLost
  • Datos de envío e enderezo para a devolución dun artigo
  • Imaxes ou documentos de apoio

Ao presentar unha reclamación ou informe de perda e aceptando a política de privacidade e os termos aplicables, o Usuario acepta o tratamento destes datos persoais por parte de iLost co fin de operar a Plataforma iLost e facilitar a recuperación de obxectos perdidos.

Rol de iLost na Fase 2

Na Fase 2:

  • iLost actúa como un Controlador independente para todos os procesamentos iniciados polo usuario na Plataforma iLost, incluíndo:
  • Verificación do usuario
  • Xestión de contas
  • Xestión de reclamacións
  • Fluxos de traballo de comunicación

  • Inicio do envío

  • iLost determina se e cando os datos persoais do Usuario se poñen á disposición do Cliente, en función dos resultados da verificación e as políticas da plataforma.

Identificabilidade dos obxectos atopados na Fase 2

Un obxecto atopado rexistrado na Fase 1 non constitúe automaticamente datos persoais.

Un obxecto atopado só se vincula a unha persoa identificable cando iLost verificou a reclamación ou o informe de perda dun Usuario.

A partir dese momento, o artigo atopado cualifica como Datos persoais rastrexables dentro da plataforma iLost.

Divulgación de datos persoais ao cliente

Despois da verificación, certos datos persoais do usuario (por exemplo, información relacionada coa reclamación ou detalles de envío) poden divulgarse ao cliente cando e na medida en que sexa necesario para:

  • Verificar a propiedade
  • Tomar unha decisión final de correspondencia
  • Preparar e completar o envío ou a entrega física do artigo

Non se comparten datos persoais do usuario co cliente antes da verificación e aprobación de iLost.

3. Relación entre responsables do tratamento na fase 2

Unha vez que os datos persoais do usuario se divulgan ao cliente despois da verificación, os datos persoais procésanse e intercámbianse baixo un marco entre responsables do tratamento (C2C).

Segundo este marco:

  • iLost segue sendo o Responsable do tratamento iniciado polo usuario dentro da Plataforma iLost, incluíndo a verificación, a comunicación e os fluxos de traballo a nivel de plataforma.
  • O Cliente segue sendo o Responsable do seu propio tratamento posterior, incluíndo:
  • Verificar a propiedade e tomar a decisión final de correspondencia.
  • Mantemento de rexistros internos.
  • Preparación e finalización do envío ou entrega física.

Cada parte determina de forma independente os seus propios fins e medios esenciais de tratamento e é responsable do cumprimento das leis de protección de datos aplicables en relación coas súas propias actividades de tratamento.

4. Resumo da asignación de responsabilidades

Fase 1

  • Cliente: Responsable do tratamento
  • iLost: Encargado do tratamento (segundo o DPA)

Fase 2 (Posterior á verificación e divulgación)

  • iLost: Responsable do tratamento independente (tratamento iniciado polo usuario)
  • Cliente: Responsable do tratamento independente (tratamento operativo propio)
  • Os datos persoais intercámbianse segundo unha cláusula de responsable do tratamento a responsable do tratamento

5. Regulamento de protección de datos e privacidade aplicable

A seguinte lista non é exhaustiva.

Os requisitos aplicables dependen da localización do Cliente, do Usuario e das actividades de tramitación relevantes (Fase 1 e/ou Fase 2).

Américas

  • Estados Unidos (seleccionado): Lei de privacidade do consumidor de California / Lei de dereitos de privacidade de California (CCPA/CPRA) – principalmente Fase 2
  • Estados Unidos: Outras leis estatais de privacidade (segundo corresponda) – Fase 1 e/ou Fase 2
  • Brasil: Lei xeral de protección de datos (LGPD) – Fase 1 e Fase 2
  • Canadá: PIPEDA e leis provinciais de privacidade aplicables – Fase 1 e Fase 2
  • México: Lei federal sobre a protección de datos persoais en poder de particulares – Fase 1 e Fase 2
  • Arxentina: Lei de protección de datos – Fase 1 e Fase 2

Asia-Pacífico

  • China: Lei de protección da información persoal – Fase 1 e Fase 2 (cando corresponda)
  • Xapón: Lei de protección da información persoal – Fase 1 e Fase 2
  • Singapur: Lei de protección de datos persoais – Fase 1 e Fase 2
  • Australia: Lei de privacidade de 1988 – Fase 1 e Fase 2
  • Corea do Sur: Lei de protección da información persoal – Fase 1 e Fase 2
  • India: Lei de protección de datos persoais dixitais: fase 1 e fase 2 (cando corresponda)
  • Indonesia: Lei de protección de datos persoais: fase 1 e fase 2
  • Tailandia: Lei de protección de datos persoais: fase 1 e fase 2
  • Malaisia: Lei de protección de datos persoais: fase 1 e fase 2
  • Filipinas: Lei de privacidade de datos: fase 1 e fase 2
  • Vietnam: Decreto de protección de datos persoais: fase 1 e fase 2
  • Hong Kong: Ordenanza sobre datos persoais (privacidade): fase 1 e fase 2
  • Taiwán: Lei de protección de datos persoais: fase 1 e fase 2

Europa

  • Unión Europea / EEE: Regulamento xeral de protección de datos (RXPD): fase 1 e fase 2
  • Reino Unido: RXPD do Reino Unido e Lei de protección de datos de 2018: fase 1 e fase 2
  • Suíza: Lei federal de protección de datos (FADP): fase 1 e fase 2

Oriente Medio e África

  • Regulamento de protección de datos dos Emiratos Árabes Unidos / DIFC / ADGM: fase 1 e Fase 2
  • Qatar: Lei de protección de datos – Fase 1 e Fase 2
  • Israel: Lei de protección da privacidade – Fase 1 e Fase 2
  • Arabia Saudita: Lei de protección de datos persoais (PDPL) – Fase 1 e Fase 2
  • Bahrain/Omán: Lei nacional aplicable Leis de protección de datos: fase 1 e fase 2
  • Turquía: Lei de protección de datos persoais: fase 1 e fase 2
  • Sudáfrica: Lei de protección de información persoal (POPIA): fase 1 e fase 2
  • Nixeria: Lei de protección de datos de Nixeria (NDPA): fase 1 e fase 2
  • Quenia: Lei de protección de datos: fase 1 e fase 2

Cada parte segue sendo responsable de cumprir as leis de protección de datos aplicables ás súas propias actividades de procesamento e xurisdición e deberá informar por escrito a iLost de calquera adición ou cambio material ao anterior.

Visión xeral do fluxo visual

A continuación, atope o diagrama de mapeo visual que ilustra o fluxo de datos completo entre a fase 1 e a fase 2, incluídos os roles da organización e o usuario, e a transición das responsabilidades do controlador.

Diagrama de fluxo de datos da Fase 1 e da Fase 2