DECLARACIÓN DE PRIVACIDAD DE AOC

AOC quiere proteger su privacidad de la mejor manera posible. En esta declaración de privacidad puede leer cuáles son los datos personales que AOC recopila de usted y cómo se lleva a cabo su tratamiento. Esta declaración de privacidad se aplica a los datos personales que se tratan cuando usted visita el sitio web de AOC. AOC utiliza los datos personales que usted comparte con nosotros para seguir mejorando nuestros productos y servicios, así como su experiencia. La finalidad de esta declaración de privacidad es proporcionarle una descripción clara del uso que AOC hace de los datos personales que usted proporciona, sus derechos y posibilidades de gestionar sus datos personales, y la forma en que AOC protege su privacidad. Asimismo, define cuáles son los datos personales que AOC recopila cuando usted visita sus sitios web o tiendas, o utiliza sus aplicaciones (móviles) y productos de software, así como la forma en que AOC utiliza sus datos personales y con qué terceros comparte dichos datos. En esta declaración de privacidad también puede consultar con qué fines AOC o sus empresas asociadas pueden utilizar sus datos personales.

Modificaciones

AOC se reserva el derecho a realizar cambios en su declaración de privacidad, por ejemplo, debido a cambios en la legislación. En esta página siempre podrá encontrar la versión más reciente.

Información de contacto

AOC forma parte del Grupo TPV Technology y su sede se encuentra ubicada en Prins Bernhardplein 200 8, 1097 JB, Ámsterdam, Países Bajos. La dirección de correo electrónico general es: info@tpv-tech.com. Para toda la correspondencia relativa a asuntos de privacidad, póngase en contacto con el responsable de privacidad de AOC, con quien puede comunicarse en privacy@tpv-tech.com o por teléfono en el +31 020 504 6931.

Esta declaración de privacidad se actualizó el 25 de mayo de 2018.

AOC como responsable

En lo que respecta a este sitio web, AOC actúa en calidad de responsable de los datos y, por lo tanto, determina el fin y los medios del tratamiento de datos personales, así como las disposiciones aplicables declaración de privacidad. Toda referencia que se haga a AOC a continuación también se referirá a sus filiales. Las filiales de AOC se encuentran en diversos países de la Unión Europea y son responsables del tratamiento de sus datos personales si usted utiliza los servicios de la empresa en cuestión en esos países.

Introducción y ámbito de esta declaración de privacidad

AOC utiliza los datos personales que usted comparte con nosotros para mejorar los productos y servicios que le ofrecemos, y para que

su experiencia sea la mejor posible. Por medio de esta declaración de privacidad, AOC le notifica cómo utiliza sus datos personales, le protege y le brinda la posibilidad de gestionar directamente sus datos personales. Se proporciona información sobre los datos personales que se recopilan acerca de usted cuando visita nuestros sitios web o utiliza nuestros servicios, productos y aplicaciones, y con qué terceros comparte AOC sus datos personales. AOC utiliza sus datos personales con los fines que se describen más adelante.

Datos personales que se recopilan sobre usted

El término «datos personales», tal como se utiliza en esta declaración de privacidad, abarca toda la información relativa a una persona física identificada o identificable, en particular por medio de un identificador, por ejemplo, un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más elementos característicos de la identidad física, fisiológica, genética, psicológica, económica, cultural o social de dicha persona física. AOC recopila diversos tipos de datos personales, incluidos los siguientes (si procede):

Información recopilada automáticamente

AOC recopila también datos personales por medio del uso de sus sitios web y aplicaciones, por ejemplo:

 Sitios web: datos sobre su visita y su comportamiento de navegación. Cuando visita uno de los sitios web de AOC, se envían datos desde su navegador a los servidores de AOC. Por lo tanto, AOC recopila datos personales como los siguientes:

o su dirección IP;

o la fecha, la hora y la duración de la visita;

o la URL de referencia (el sitio desde el que llega el visitante);

o las páginas visitadas en nuestro sitio web;

o e información sobre el dispositivo y el navegador (por ejemplo, tipo y versión de navegador, sistema operativo, etc.).

o Cookies y técnicas similares: AOC y sus socios utilizan técnicas para recopilar y almacenar datos durante su visita y el uso que usted hace de sus sitios web, por ejemplo, el envío de una o más cookies, u otras técnicas similares, a su dispositivo. En la página de Cookies de AOC puede obtener más información sobre el uso de cookies y otras técnicas similares, y cómo deshabilitarlas.

o Datos de localización: Si utiliza un servicio en un dispositivo web que tenga habilitada la localización, le avisaremos previamente para obtener su autorización para recopilar y tratar sus datos actuales de localización, por ejemplo, mediante señales GPS enviadas por un dispositivo móvil. Por lo general, podrá deshabilitar el envío de su localización en los ajustes del dispositivo. Siempre le avisaremos cuando utilicemos datos de localización.

Fuentes de información

La mayor parte de los datos personales que AOC recopila sobre usted constituyen información que usted ha proporcionado voluntariamente, por ejemplo, a través de nuestros sitios web, servicios o productos, etc. Otras fuentes por medio de las cuales se obtienen sus datos personales:

• otras partes de AOC;

• terceros (por ejemplo, agencias de calificación crediticia, fuerzas del orden / organismos reguladores e intermediarios de datos, etc.), que también pueden proporcionar datos de origen a disposición del público.

AOC le proporcionará una copia de los datos personales tratados en este contexto.

Uso de sus datos personales

Los datos personales que AOC recopila, por ejemplo, cuando usted se registra en el sitio web, se utilizan con fines de identificación y autenticación. AOC le crea un perfil con la información necesaria para proporcionarle productos o servicios. Esa información también se puede combinar con datos personales obtenidos a través de otras fuentes internas y externas. Estos datos personales se pueden utilizar con los fines siguientes:

1. Mejora de los productos y servicios: sus datos personales se tratan para crear su perfil con el objetivo de entender la forma en que utiliza nuestros productos y servicios, para que AOC pueda desarrollar productos y servicios mejores y más relevantes, y mejorar los sitios web. Este tipo de tratamiento es necesario para los intereses legítimos de AOC, para poder ofrecer productos y servicios mejores tanto a usted como a otros clientes.

2. Prestación del servicio de atención al cliente: en caso de contactar con el servicio de atención al cliente, se realiza el tratamiento de datos personales, por ejemplo, datos de sus pedidos e historial de contacto, con el fin de procesar sus peticiones y prestarle servicio. La legalidad de este tratamiento reside en la necesidad de tratar los datos para ejecutar un contrato con una empresa de AOC, o si tuviéramos que cumplir una obligación jurídica. Si no existiera una necesidad sobre la base de cualquiera de estos motivos, el tratamiento se considerará necesario para los intereses legítimos de AOC, con el fin de garantizar la prestación del mejor servicio posible.

3. Marketing: Si se suscribe a boletines, utiliza el sitio web, compra productos o servicios en línea, o hace comentarios al respecto, se creará un perfil sobre usted. Este tipo de tratamiento resulta necesario para los intereses legítimos de AOC con el fin de generar unos archivos correctos sobre usted. Su perfil se creará de conformidad con sus preferencias para proporcionarle una buena experiencia personalizada, para enviarle mensajes de marketing y boletines personalizados, y para realizar encuestas. A continuación se describe el uso que se hace de sus datos personales con esos fines.

o Redefinición de objetivos: Los sitios web de AOC pueden utilizar técnicas para redefinir objetivos, con el fin de mostrar anuncios en sitios web de socios a los visitantes que ya estuvieran interesados en los productos o servicios. Si tiene lugar una redefinición de objetivos, se lleva a cabo con su consentimiento explícito.

o Publicidad: colabora con socios externos, por ejemplo, SSP (Plataformas del lado de la venta, por sus siglas en inglés) y DSP (Plataformas del lado de la demanda, por sus siglas en inglés) que utilizan técnicas de seguimiento para mostrar anuncios en nombre de AOC en Internet. Esos socios recopilan información personal sobre sus visitas a sitios web o aplicaciones de AOC, y su interacción, por ejemplo, en relación con la publicidad. Únicamente recopilarán esos datos cuando usted haya autorizado la instalación de cookies con fines de marketing. Consulte asimismo la política de cookies.

4. Calidad de los datos y generación de perfiles: si sus datos personales se hubieran obtenido a través de varias fuentes, esos datos se combinarán en algunos casos para mejorar su comprensión de los productos y servicios (por ejemplo, los datos que usted haya proporcionado directamente se pueden combinar con datos

que se recopilan automáticamente, por ejemplo, metadatos, direcciones IP, datos del navegador, información obtenida lícitamente de terceros, etc.). Esta información se puede utilizar para enviarle mensajes de marketing más personalizados o para crear campañas de marketing más efectivas. Este tipo de tratamiento es necesario para los intereses legítimos de AOC, con el fin de garantizar que usted reciba las ofertas más apropiadas de sus productos y personalizar su experiencia. Puede cancelar la combinación de datos personales con la información obtenida de otras fuentes poniéndose en contacto con AOC.

5. Análisis: sus datos personales se utilizan para realizar análisis e investigaciones. Este tipo de tratamiento es necesario para los intereses legítimos de AOC, para poder entender mejor a los clientes y garantizar que los servicios satisfagan las necesidades de sus clientes. Esto se aplica a los análisis en los que

los datos (por ejemplo, datos personales o datos sensibles obtenidos mediante el uso de una aplicación de AOC o mediante el historial de navegación) se combinan y almacenan con los fines siguientes:

a) obtener más información sobre los clientes y sus preferencias;

b) identificar patrones y tendencias;

c) poder proporcionar datos, contenido y ofertas ajustadas a las necesidades de los clientes;

d) con fines generales de investigación y estadísticas;

e) desarrollar nuevos productos y servicios;

f) supervisar el rendimiento de los productos y servicios, o para mejorar el uso de la tecnología utilizada;

g) enviar mensajes de marketing personalizados;

h) mostrarle publicidad en línea.

6. Análisis de AOC: mediante la anonimización de sus datos personales y su combinación con otros datos personales de clientes, el análisis de ventas, la cadena de suministro y finanzas, para determinar cuál es el rendimiento de AOC y en qué aspectos se puede mejorar. Este tipo de tratamiento de los datos personales es necesario para los intereses legítimos de AOC, con el fin de medir su rendimiento y determinar cómo se puede mejorar.

AOC le pedirá autorización en caso de que quiera usar sus datos personales con fines distintos a los contemplados en esta declaración de privacidad. AOC no utilizará sus datos personales con otros

fines antes de recibir esa autorización.

Suministro de datos personales

AOC trata su información personal con cuidado y de forma confidencial, y no la comparte con terceros distintos a los que aparecen enumerados a continuación.

Unidades de negocio de AOC

Cada unidad de negocio de AOC con la que usted entre en contacto podría compartir una parte limitada de los datos personales que usted proporciona al registrarse (su nombre, dirección de correo electrónico, contraseña y fecha de nacimiento), con otros componentes de AOC con fines de registro y autenticación. Este tipo de tratamiento resulta necesario para los intereses legítimos de AOC, para que se pueda ejecutar un contrato con usted. Cada unidad de negocio podría compartir información de su perfil con otras entidades de AOC o TPV, si

ambas entidades son responsables de sus datos personales o si las otras entidades actúan en calidad de encargados de nuestro tratamiento. Por lo tanto, todas las partes del grupo AOC pueden acceder a todos los datos de los que son responsables, para poder cumplir la legislación. Todas las partes del grupo AOC podrían compartir sus datos personales, así como los datos anónimos y agrupados, con otras unidades de negocio de AOC (por ejemplo, la empresa matriz

del grupo o, si fuera necesario, con otras partes de AOC para llevar a cabo análisis de tendencias, si resultara necesario para sus intereses legítimos, con el fin de analizar su rendimiento.

Con proveedores de servicios

En lo que respecta a los datos personales que usted proporciona al registrarse en AOC (su nombre, dirección de

correo electrónico, contraseña y fecha de nacimiento), AOC solo podrá compartirlos con proveedores de servicios en la nube, para que usted pueda iniciar sesión rápidamente y en cualquier lugar. Si fuera necesario, sus datos personales se compartirán también con terceros que realicen el tratamiento de sus datos personales en nombre de AOC, únicamente con los fines y los motivos legítimos descritos más arriba. Se puede tratar de terceros de los sectores de alojamiento, transporte, pago y gestión del fraude, agencias de calificación crediticia y plataformas de análisis. Se han

formalizado acuerdos estrictos con esos terceros en lo que respecta al tratamiento de sus datos personales, incluido el uso exclusivo de sus datos personales de conformidad con las instrucciones de AOC y con la legislación.

Órganos jurisdiccionales o autoridades supervisoras

AOC divulgará los datos personales si así se lo exigiera la legislación o una decisión judicial, con el fin de proteger sus intereses, en investigaciones de las fuerzas del orden o de las autoridades reguladoras, para proteger y

defender las propiedades y los derechos jurídicos de AOC, y para garantizar la seguridad personal de los usuarios de los

servicios de AOC.

Periodos de retención

AOC conservará sus datos personales durante 39 meses a partir de la última vez que se ponga en contacto con nosotros, por ejemplo, la fecha de supresión de su cuenta, su última compra, la última vez que utilizó una de nuestras aplicaciones, o con cualquier otra forma de interacción o contacto, a menos que la legislación requiera un periodo de conservación más largo o más corto, resulte necesario en relación con procesos jurídicos o se requiera con un fin concreto en virtud de la legislación aplicable.

A continuación se dan ejemplos que indican durante cuánto tiempo AOC conserva sus datos personales en relación con un

fin concreto:

• Los datos personales obtenidos en caso de compra se conservan de acuerdo con las disposiciones de la legislación fiscal (p. ej., siete años en los Países Bajos).

• Si solicita la supresión de sus datos personales, AOC intentará suprimirlos en un plazo máximo de un mes a partir de la fecha de la solicitud.

• Los datos personales relacionados con promociones se conservarán durante un plazo máximo de un mes a partir de la finalización de la oferta.

Tratamiento de datos fuera de la UE y del EEE

A menos que se indique lo contrario, sus datos personales se almacenarán y tratarán en la Unión

Europea. Ocasionalmente, sus datos personales se podrían tratar fuera del Espacio Económico Europeo («EEE»), en un país que no ofrezca el mismo nivel de protección que la legislación europea en el país en el que usted utiliza normalmente sus productos o servicios. Esto podría ocurrir, por ejemplo, si el encargado del tratamiento se encuentra ubicado fuera del EEE, o si utiliza subencargados del tratamiento ubicados fuera del EEE, por ejemplo, proveedores de soluciones de nube. En esos casos, AOC tomará las medidas necesarias para garantizar que sus datos personales se protejan adecuadamente, por ejemplo, para llevar a cabo evaluaciones de la seguridad y para formalizar acuerdos del encargado del tratamiento con los destinatarios, con el fin de garantizar que tomen las mismas medidas técnicas y organizativas, o medidas comparables, que AOC, de forma que sus datos queden protegidos adecuadamente.

Datos de menores de edad

AOC, en calidad de responsable de los datos, no realiza el tratamiento de datos personales de menores de 16 años. Si esto ocurriera de forma no intencionada, se tomarán medidas para suprimir dichos datos lo antes posible, a menos que la legislación exija que se conserven. Si se supiera que un menor tiene más de 16 años pero, en virtud de la legislación, se le considerara menor de edad, se solicitará la autorización del padre o la madre, o del tutor legal, antes de utilizar los datos personales del menor en cuestión.

Sus derechos

AOC cumple plenamente las obligaciones contempladas en el Reglamento General de Protección de Datos, que considera primordial el principio de transparencia. Con este fin, AOC ha utilizado medios para garantizar que usted pueda ejercer todos sus derechos en relación con el tratamiento de sus datos personales.

Derecho de consulta, rectificación y supresión

Si utiliza productos o servicios, o ha creado una cuenta, podrá consultar sus datos personales a través de esos sitios web, si la función estuviera disponible. Si sus datos personales no estuvieran disponibles en el sitio web en cuestión, podrá presentar una solicitud gratuita de acceso a esa información.

Una vez recibida su solicitud y la información necesaria para verificar su identidad, se le proporcionará una copia

de los datos personales que le corresponden, el origen de los datos, los fines con los que se usan los datos personales y el fundamento jurídico de dicho uso. Asimismo, podrá pedir que se realicen determinados cambios en los datos personales, si los considera incorrectos o irrelevantes. También podrá bloquear, suprimir o eliminar por completo sus datos personales (derecho al olvido). Además, podrá ponerse en contacto con nosotros por escrito para oponerse a un determinado uso de sus datos personales, para limitar su uso o para solicitar que sus datos personales se proporcionen en un formato electrónico legible, o que

se transfieran a un tercero (derecho a la portabilidad de los datos). AOC respeta todas estas aplicaciones en el marco de sus obligaciones jurídicas.

Modificaciones de esta política

AOC actualizará periódicamente esta declaración de privacidad en línea para que se pueda consultar fácilmente, para mantenerla libre de errores y para garantizar que haya suficiente información disponible sobre sus derechos y que el tratamiento realizado por AOC se haya llevado a cabo de conformidad con la legislación y siga siendo conforme. Si se realizaran cambios importantes en esta declaración de privacidad, se lo notificaremos a través de los sitios web, en los que se publicará una versión actualizada de la declaración de privacidad. AOC desea cooperar con usted de manera adecuada y siempre buscará una solución apropiada para las reclamaciones o la atención en relación con la privacidad. Si usted considera que no podemos ayudarle con su reclamación o atención, tiene derecho a presentar una reclamación a través del sitio web de su autoridad supervisora.

MEDIDAS TÉCNICAS Y ORGANIZATIVAS Introducción

AOC, en virtud del art. 28 del RGPD, está obligada a garantizar la aplicación de medidas de seguridad técnicas y

organizativas suficientes. AOC se asegurará de que se tomen las medidas de seguridad técnicas y organizativas adecuadas para proteger sus datos personales contra el tratamiento no autorizado o ilícito, y contra su pérdida, destrucción o daño accidental.

I. Descripción de las medidas que garantizan que únicamente el personal autorizado puede acceder al

tratamiento de datos personales

AOC aplica una política de autorización para determinar quién debe acceder a unos datos determinados. De acuerdo con este sistema, los empleados no pueden acceder a más datos de los que se consideran rigurosamente necesarios para su trabajo.

II. Descripción de las medidas de protección de los datos personales contra la destrucción accidental o ilícita, pérdida o alteración accidental, y almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos

Organización de los procesos de seguridad de la información y comunicación

 AOC ha elaborado un plan de política de información en el que se ha nombrado a un coordinador de seguridad de la información que se encarga de definir los riesgos relacionados con el tratamiento de datos personales, fomentar la toma de conciencia en materia de seguridad, comprobar las instalaciones y tomar medidas para garantizar el cumplimiento de la política de seguridad de la información.

 Los incidentes relativos a la seguridad de la información se documentan y utilizan para optimizar la política de seguridad de la información.

 AOC ha establecido un proceso de comunicación de incidentes relacionados con la seguridad de la información

(procedimiento de violación de datos).

Personal

• En el caso de los empleados, se formalizan declaraciones de confidencialidad y acuerdos de seguridad de la información.

 AOC fomenta la toma de conciencia y la formación relativa a la seguridad de la información.

 Los empleados no pueden acceder a más datos de lo que se considere rigurosamente necesario para realizar su trabajo, de acuerdo con un sistema de autorización.

Seguridad física y continuidad de los recursos

 El tratamiento de los datos personales se lleva a cabo únicamente en un entorno cerrado y físicamente seguro, protegido contra las amenazas externas.

 El tratamiento de los datos personales únicamente se lleva a cabo en equipos en los que se hayan tomado medidas para proteger físicamente el equipo y para garantizar la continuidad del servicio.

 Se realizan copias de seguridad periódicas para garantizar la continuidad del servicio. Esas copias de seguridad se tratan de manera confidencial y se conservan en un entorno cerrado.

 Los lugares en los que se lleva a cabo el tratamiento de los datos están protegidos mediante cerraduras, sistemas de alarma y vigilancia por vídeo, y periódicamente se llevan a cabo pruebas, mantenimiento y evaluaciones de los riesgos para la seguridad. AOC cuenta con planes de continuidad de la actividad que incluyen lugares de contingencia.

Seguridad y mantenimiento de redes, servidores aplicaciones

• El entorno de red en el que se realiza el tratamiento de los datos está protegido de forma rigurosa. Los flujos de tráfico se separan y se toman medidas contra los abusos y ataques.

• El entorno en el que se realiza el tratamiento de los datos personales está supervisado.

• Los servicios y productos digitales en los que se realiza el tratamiento de los datos personales se establecen sobre la base de una planificación de sistemas, control de la seguridad y aceptación. Los cambios que se realizan en las aplicaciones se someten a comprobaciones de vulnerabilidad antes de llevarse a producción.

• En los sistemas se instalan periódicamente los parches (de seguridad) más recientes, mediante una gestión de parches.

• Los datos tratados en las aplicaciones se clasifican de acuerdo con los riesgos.

• Periódicamente se llevan a cabo pruebas de penetración y evaluaciones de vulnerabilidad.

• Se suprime la información que se deja de utilizar.

• Se han aplicado medidas criptográficas a las contraseñas para almacenar esos datos de forma segura.

• En los procesos de inicio de sesión se utilizan conexiones cifradas. El intercambio de datos personales con terceros se lleva a cabo mediante cifrado.

III. Descripción de las medidas para identificar los puntos débiles con respecto al tratamiento de datos

personales en los sistemas

La seguridad de los sistemas de AOC se verifica periódicamente. Además, la política de seguridad de AOC

incluye procesos internos para identificar las vulnerabilidades.

Notificación

El encargado del tratamiento actualiza constantemente esta información y comunica a los usuarios los cambios aplicados a las medidas tomadas para proteger los datos personales contra abusos a través del sitio web de AOC. Si detectara riesgos para la seguridad, póngase en contacto con el servicio de asistencia de AOC.

Información sobre violaciones de datos o incidentes relacionados con la seguridad

La supervisión y la identificación de las violaciones de datos se llevan a cabo de la manera siguiente:

AOC supervisa sus servicios de manera ininterrumpida y ha tomado medidas para impedir e identificar el acceso no autorizado o ilícito a los datos. Las señales que indican una violación de los datos son evaluadas por el responsable de seguridad de AOC, que analiza si se ha podido producir una violación de datos, de qué tipo es esa violación y si se trata de un caso que incumbe a su función de encargado o de responsable de los datos.

Intercambio de información:

Si se produce una violación de los datos personales cuyo tratamiento lleva a cabo AOC en calidad de encargado, AOC informa al responsable, o se hace en su nombre, por correo electrónico y, en principio, en un plazo de 24 horas a partir de la detección de una violación de los datos. Según la situación, también se puede compartir información en nuestro sitio web y en nuestros canales de las redes sociales, o por medio de los distribuidores oficiales o agentes comerciales.

Si se produce una violación de los datos personales cuyo tratamiento lleva a cabo AOC en calidad de responsable, se notificará a la Autoridad de protección de datos de los Países Bajos en un plazo de 72 horas a partir de la detección de una filtración de datos y, en caso de que se produzcan consecuencias negativas para los interesados, estos también recibirán una notificación por las vías contempladas en la legislación, para que puedan tomar medidas.

En lo que respecta a las acciones de seguimiento o si tiene preguntas, puede ponerse en contacto con nuestro servicio de asistencia por teléfono o por correo electrónico, tal como se indica en la declaración de privacidad.

AOC comparte la siguiente información cuando se produce una violación de los datos:

• Características del incidente, por ejemplo: fecha y hora en las que se determina que se ha producido; resumen, características y carácter del incidente (en qué parte de la seguridad se ha visto, cómo ha ocurrido, si está relacionado con la lectura, copia, modificación, supresión / destrucción o el robo de datos personales).

• Causa del incidente de seguridad.

• Medidas tomadas para impedir que se produzcan daños, o más daños.

• Identificación de las personas implicadas que pudieran verse afectadas por el incidente y en qué medida podrían verse afectadas.

• Tamaño del grupo de partes interesadas.

• Tipo de datos personales afectados por el incidente (en particular, datos especiales o datos de carácter sensible, incluyendo el acceso o los datos de identificación o datos financieros).

Si se produce una situación específica, AOC puede notificar (en primer lugar) una violación de los datos a la Autoridad

de protección de datos de los Países Bajos.