Política de procesamiento de datos

¡Hola! ¡Bienvenido a StreetSmart! Nos alegra que utilices nuestra plataforma para que tu organización y sus voluntarios y trabajadores juveniles puedan documentar sus actividades y el progreso y el comportamiento de sus miembros de manera más eficiente.

El uso de la aplicación web y la aplicación móvil StreetSmart conduce al procesamiento de datos personales por parte de Mobile School. Por lo tanto, hemos adoptado esta Política de procesamiento de datos que le rogamos que lea.

Puede estar seguro de que procesaremos los datos personales en beneficio de los trabajadores juveniles y los jóvenes. Al leer esta Política, estará debidamente informado sobre nuestras responsabilidades legales con respecto al procesamiento de datos personales y las medidas de seguridad que hemos adoptado para garantizar que los datos personales se procesen de manera segura.

1. INTRODUCCIÓN

StreetSmart es una solución desarrollada por Mobile School VZW, una sociedad constituida y constituida con arreglo a las leyes de Bélgica, con domicilio social en BE-3000 Leuven, Brabançonnestraat 25, con el número de IVA/sociedad BE-0478.688.664 (en adelante, «Mobile School», «nosotros» o «nos»). Cuando usted (en adelante, «usted» o el «Cliente») confía en la plataforma StreetSmart, nosotros:
- tendrá acceso a los datos personales; y
- tendrá que procesar los datos personales en su nombre.

Esta Política de procesamiento de datos (en adelante, «Política») se aplica al procesamiento de datos personales por parte de Mobile School para el cliente y determina:
- cómo Mobile School gestionará, protegerá y procesará los datos personales; y
- Obligación de ambas partes de cumplir con la legislación de privacidad.

Al confiar en los Servicios de Mobile School, usted reconoce haber leído y aceptado esta Política y, en consecuencia, la forma en que Mobile School procesa los datos personales.

2. DEFINICIONES

En esta Política, los siguientes conceptos tienen el significado descrito en este artículo (cuando se escriben en mayúscula):

Aplicación

La aplicación móvil desarrollada por Mobile School a través de la cual se recopila información del menor para crear y monitorear información sobre la Plataforma.

Controlador

La entidad (siendo en este caso el Cliente), que determina los fines y los medios del procesamiento de datos personales;

Sujeto de datos

La persona física (en este caso, trabajadores juveniles y menores) a la que se refieren los datos personales;

Violación de datos

la divulgación, el acceso, el abuso, la pérdida, el robo o la destrucción accidental o ilegal no autorizados de datos personales;

Usuario final

Las personas autorizadas por el Cliente para usar la Plataforma y la Aplicación (principalmente trabajadores jóvenes);

Datos personales

Cualquier información relacionada con una persona física identificada o identificable (es decir, el sujeto de datos). Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.

Plataforma

La plataforma desarrollada por Mobile School. La plataforma se utiliza (sin carácter limitativo) para: (i) centralizar y resumir la información que se recopila a través de la aplicación y (ii) crear y supervisar información para mejorar las actividades de la trabajadora juvenil con el menor y fomentar la conexión y la comunicación con el menor.

Legislación de privacidad

(i) la Ley belga de privacidad de 30 de julio de 2018 relativa a la protección de las personas en lo que respecta al tratamiento de datos personales, (ii) el Reglamento general de protección de datos 2016/679 de 27 de abril de 2016 relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, (iii) la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al procesamiento de datos personales y protección de la privacidad en el sector de las comunicaciones electrónicas («privacidad electrónica») directiva') y/o (iv) la (futura) legislación belga relativa a la aplicación de la legislación europea sobre privacidad;

Proceso/procesamiento

Cualquier operación o conjunto de operaciones que se realice con datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, incluidos, entre otros: recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción de datos personales;

Procesador

La entidad (en este caso Mobile School) que procesa los datos personales en nombre del cliente como controlador;

Servicios

Todos los servicios proporcionados por Mobile School al Cliente que implican el procesamiento de datos personales, que incluyen, entre otros: proporcionar un derecho de acceso a la Plataforma, una licencia para la Aplicación y todo el soporte relacionado con la misma.

Subprocesador

Cualquier procesador contratado por Mobile School.

La Política incluye los siguientes anexos:

Anexo I

Descripción general de (i) los datos personales, qué partes esperan que sean objeto del procesamiento, (ii) las categorías de interesados, qué partes esperan que sean objeto del procesamiento, (iii) el uso (es decir, las formas de procesamiento) de los datos personales, el propósito y los medios de dicho procesamiento y (iv) los plazos durante los cuales se almacenarán los (diferentes tipos de) datos personales;

Anexo II

Descripción y descripción de las medidas de seguridad adoptadas por Mobile School para proteger los datos personales que se procesan durante la prestación de los Servicios.

Anexo III

Descripción general de los subprocesadores en los que se basa Mobile School para el procesamiento de datos personales.

3. USO DE LOS SERVICIOS

3.1 Las partes acuerdan que:
- De acuerdo con la legislación de privacidad, el Cliente será considerado el «Controlador» y Mobile School el «Procesador».
- La Escuela Móvil actúa como facilitadora de los Servicios. Por lo tanto, el Cliente será responsable de cómo y en qué medida los utilice;
- El Cliente es responsable de todos los actos y omisiones de los Usuarios finales (es decir, en caso de que el Usuario final (no) tome las medidas suficientes para proteger su cuenta en la Aplicación/Plataforma). El Cliente informará a los usuarios finales sobre la legislación de privacidad aplicable, esta Política y/o cualquier otra legislación pertinente y se asegurará de que el usuario final actúa de conformidad con ellas;
- Mobile School permite al Cliente realizar ajustes y/o cambios en los Datos personales y nunca consultará ni ajustará estos Datos personales por sí mismo, a menos que el Cliente solicite a Mobile School que lo haga;
- El Cliente es responsable del material y/o los datos proporcionados por el Sujeto de los datos. Por lo tanto, el Cliente es responsable, en su calidad de Controlador, de cumplir con la legislación sobre privacidad y/o cualquier otra normativa en relación con el material o los datos antes mencionados;
- El Cliente deberá cumplir con todas las leyes y reglamentos (por ejemplo, con respecto al período de retención o los derechos del sujeto de datos (véase el artículo 10)) que se le impongan al hacer uso de los Servicios.

3.2 El Cliente, en interés de los menores con los que trabaja, evitará cualquier uso indebido de los Servicios, la Plataforma y/o la Aplicación. En caso de uso indebido por parte del Cliente o de los Usuarios Finales, el Cliente acepta que Mobile School no será responsable en este sentido ni por ningún daño que pudiera producirse.

4. OBJETO

4.1 El Cliente reconoce que, como consecuencia del uso de los Servicios, Mobile School procesará los datos personales.

4.2 Mobile School siempre procesará los datos personales de manera adecuada y cuidadosa y de acuerdo con la legislación de privacidad y otras normas aplicables relacionadas con el procesamiento de datos personales. Más específicamente, Mobile School adoptará todas las medidas de seguridad necesarias (véase el anexo II) y aportará todos sus conocimientos técnicos para prestar los Servicios de conformidad con las normas del art.

4.3 Nos aseguramos de que solo procesaremos los datos personales si así lo solicita y de acuerdo con sus instrucciones, a menos que alguna obligación legal indique lo contrario.

4.4 Usted tiene el control total sobre lo siguiente: (i) cómo Mobile School debe procesar los datos personales, (ii) los tipos de datos personales procesados, (iii) el propósito del procesamiento y (iv) el hecho de si dicho procesamiento es proporcionado.

4.5 Debido al hecho de que usted recopila principalmente datos personales de menores, Mobile School le solicita que se asegure de que la recopilación de esos datos personales es legal. Por lo tanto, es importante que informe al interesado sobre su propia política de privacidad o principios de privacidad en un idioma que sea fácil de entender para todos (incluidos los menores).

5. SEGURIDAD DEL PROCESAMIENTO

5.1 Dado que los intereses de los menores se ven afectados, Mobile School se toma muy en serio la seguridad de las actividades de procesamiento. Teniendo en cuenta el estado de la técnica, Mobile School implementa las medidas técnicas y organizativas adecuadas para proteger (i) los datos personales, incluida la protección contra el uso o el procesamiento negligente, inapropiado, no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidentales; (ii) la confidencialidad e integridad de los datos personales, tal como se establece en el anexo II.

6. SUBPROCESADORES

6.1 El Cliente acepta que Mobile School puede contratar subprocesadores de terceros en relación con la prestación de los Servicios. En tal caso, Mobile School se asegurará de que los subprocesadores estén al menos sujetos a las mismas obligaciones a las que Mobile School está obligada en virtud de esta Política.

6.2 Los subprocesadores actuales contra los que solicitamos la prestación de los Servicios figuran en el anexo III, que incluye las identidades de esos subprocesadores y su país de ubicación. Actualizaremos la lista cada vez que cambie un subprocesador (por ejemplo, se añada un subprocesador nuevo, se sustituya un subprocesador, etc.) y le notificaremos cuando se produzcan cambios (significativos). Si desea ejercer su derecho de oposición, notifíquenoslo por escrito a más tardar en un plazo de treinta (30) días a partir de la actualización de la lista.

6.3 Si la objeción está bien fundada, Mobile School hará todos los esfuerzos razonables para (i) poner a su disposición un cambio en los Servicios o (ii) recomendar un cambio comercialmente razonable en su uso de los Servicios a fin de evitar el procesamiento de datos personales por parte del nuevo subprocesador objetado sin que ello suponga una carga excesiva para usted. Sin embargo, si no podemos poner a su disposición dicho cambio en un período de tiempo razonable (que no excederá de treinta (30) días después de su objeción, puede cancelar los Servicios si:
- No puede usar los Servicios sin apelar al nuevo subprocesador objetado;
- Dicha terminación solo se refiere a los Servicios que Mobile School no puede proporcionar sin apelar al nuevo subprocesador objetado;
- Usted nos notifica su deseo de cancelar los Servicios a Mobile School dentro de un plazo razonable.

6.4 Mobile School asume la responsabilidad de los actos y omisiones de sus subprocesadores en la misma medida que si prestara los Servicios por sí misma, directamente según los términos de esta Política.

7. TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES

7.1 Mobile School asegura al Cliente que la transferencia de datos personales a un tercer país u organización internacional siempre estará sujeta a (i) una decisión de adecuación por parte de la Comisión o (ii) a las siguientes garantías:
- Cerrar un acuerdo de transferencia de datos con el destinatario del tercer país, que contendrá las cláusulas contractuales estándar, tal como se indica en la «Decisión de la Comisión Europea de 5 de febrero de 2010 (Decisión 2010/87/CE)». Antes de que se lleve a cabo la transferencia, el destinatario o el procesador de datos personales de Mobile School en el tercer país debe garantizar a Mobile School que se garantiza un nivel adecuado de cumplimiento de la privacidad en ese tercer país; y/o;
- Normas corporativas vinculantes. Como ocurre con las cláusulas contractuales estándar, el destinatario o el procesador de datos personales de Mobile School en el tercer país tiene que garantizar a Mobile School que garantiza un nivel adecuado de cumplimiento de la privacidad en el tercer país; y/o;
- Mecanismos de certificación.

8. CONFIDENCIALIDAD

8.1 Mobile School mantendrá la confidencialidad de los datos personales y, por lo tanto, no divulgará ni transferirá ningún dato personal a terceros sin su permiso, a menos que dicha divulgación y/o transferencia sea requerida por ley o por una decisión judicial u otra decisión gubernamental (de cualquier tipo). En tal caso, Mobile School, antes de cualquier divulgación o anuncio, le informará con total transparencia sobre el alcance y la forma de hacerlo.

8.2 Le aseguramos que nuestro personal, que participa en la prestación de los Servicios, esté informado de la naturaleza confidencial de los datos personales, conozca bien sus responsabilidades y esté sujeto a acuerdos de confidencialidad por escrito. Nos aseguramos de que dichas obligaciones de confidencialidad sobrevivan a la rescisión del contrato de trabajo.

8.3 Le garantizamos que el acceso de nuestro personal a los Datos personales se limita al personal que presta los Servicios de conformidad con la Política.

9. NOTIFICACIÓN

9.1 Haremos todo lo posible para informarle tan pronto como sea razonablemente posible cuando:
- Recibir una solicitud de información, una citación o una solicitud de inspección o auditoría de una autoridad pública competente en relación con el procesamiento de datos personales;
- Tener la intención de divulgar datos personales a una autoridad pública competente;
- Determinar o sospechar razonablemente que se ha producido una violación de datos en relación con los datos personales.

9.2 En caso de una violación de datos, nosotros:
- Notificarle sin demora indebida después de tener conocimiento de esta violación de datos. En caso de que así lo desee, le proporcionaremos, en la medida de lo posible, asistencia con respecto a su obligación de informar en virtud de la legislación sobre privacidad;
- Comprometerse, tan pronto como sea razonablemente posible, a tomar las medidas correctivas adecuadas para poner fin a la violación de datos y prevenir y/o limitar cualquier violación de datos futura.

10. DERECHOS DE LOS INTERESADOS

10.1 Mobile School le notificará de inmediato si recibimos una solicitud de un sujeto de datos que invoque sus derechos de privacidad en virtud de la legislación de privacidad. Mobile School no responderá a ninguna solicitud de un interesado de este tipo sin su consentimiento previo por escrito.

10.2 Si un sujeto de datos solicita ejercer sus derechos, debe ayudar al sujeto de datos en su solicitud. Solo si no tiene la capacidad de corregir, modificar, bloquear o eliminar los datos personales (según lo exige la legislación sobre privacidad), le ayudaremos (siempre que sea comercialmente razonable).

11. RESPONSABILIDAD

11.1 Cada una de las partes es responsable individualmente ante las autoridades supervisoras autorizadas y/o los interesados por las reclamaciones y/o multas que sean el resultado de su propio incumplimiento o incumplimiento de (i) las disposiciones de esta política de procesamiento de datos y (ii) la legislación de privacidad u otras normas aplicables en relación con los datos personales. Mobile School y el Cliente se indemnizan mutuamente a este respecto.

11.2 La responsabilidad de Mobile School por el incumplimiento de esta política de procesamiento de datos es limitada tal como se describe en la documentación contractual aplicable (es decir, las Condiciones del servicio).

12. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

12.1 Tras la finalización de los Servicios, las cuentas del Cliente se desactivarán y los Datos personales dejarán de estar disponibles para el Cliente.

12.2 Sin embargo, Mobile School conservará los datos personales durante el resto del año calendario para garantizar que se puedan cumplir las solicitudes de exportación o reactivación del Cliente. Mobile School nunca accederá a los datos personales inactivos. Tan pronto como finalice el año natural, Mobile School anonimizará los datos personales, que luego se utilizarán únicamente con fines estadísticos.

12.3 En caso de que el perfil de un sujeto de datos se elimine de la solución, todos los datos personales relacionados con el mismo también se anonimizarán de inmediato.

13. CONTROLAR

13.1 Mobile School está dispuesta a proporcionarle toda la información necesaria para permitir la verificación si cumplimos con las disposiciones de esta Política.

13.2 A este respecto, Mobile School le permitirá llevar a cabo inspecciones, como, entre otras, una auditoría, y proporcionarle la asistencia necesaria para ello.

14. TÉRMINO

14.1 Esta política de procesamiento de datos dura mientras los Servicios no hayan finalizado.

Anexos:

- Anexo I — Descripción general de los datos personales
- Anexo II — Descripción de las medidas de seguridad
- Anexo III — Lista de subprocesadores

Anexo I — Descripción general de los datos personales

I. Descripción general de los datos personales que las partes esperan procesar:

General

✓ Nombre y apellidos
✓ Apodo
✓ Dirección de correo electrónico
✓ Fotografía
✓ Dirección IP del dispositivo

✓ Todos los demás datos personales proporcionados voluntariamente por el interesado al cliente
✓ Número de teléfono
✓ Dirección
✓ Género
✓ Fecha de nacimiento

De los menores específicamente:

✓ Nacionalidad
✓ Idioma
✓ Estado vital (vivo/fallecido)
✓ Estatus legal (ciudadano/inmigrante/solicitante de asilo/refugiado)
✓ Estado de residencia (personas sin hogar, barrios marginales, centro de alojamiento/campo de refugiados/en movimiento)
✓ Permiso de residencia (sí/no/desconocido)
✓ Tarjeta de identificación (sí/no/desconocido)
✓ Pasaporte (sí/no/desconocido)
✓ Permiso de residencia temporal (sí/no/desconocido)
✓ Certificado de nacimiento (sí/no/desconocido)
✓ Habilidades
✓ Personas de contacto (profesor/pareja/padre/hermano, etc.)
✓ Evaluaciones

Informes
✓ Lugar de participación
✓ Actividades asistidas
✓ Descripción general de la actividad (movimiento y deportes/artes y artesanía/cultura y religión/música)
✓ Estado de ánimo (positividad y actividad promedio y estados de ánimo registrados (negativo-activo/positivo-activo/negativo-inactivo/positivo-inactivo)
✓ Confianza y estado de aprendizaje promedio
✓ Notas (incluidos detalles, dirección, estado de ánimo, fecha, tema, acontecimiento vital y visibilidad)
✓ Mapa social
✓ Objetivos (objetivos iniciados y finalizados (alcanzados/fallidos/cancelados/iniciados), tipos de objetivos, estados de evaluación de objetivos)

De los trabajadores juveniles específicamente:

✓ Título del puesto

Observación:
• Estos datos personales no se consideran categorías especiales de datos personales de acuerdo con la legislación de privacidad, ni datos personales relacionados con condenas e delitos penales.
• La lista incluye los datos personales estándar que se procesan a través de los Servicios. Sin embargo, puede cambiar los datos personales que se recopilan de forma discrecional (por ejemplo, reducir o ampliar la cantidad de datos personales procesados). Mobile School no se hace responsable de ningún cambio de este tipo realizado por el cliente (por ejemplo, la adición de categorías especiales de datos personales).

II. Las categorías de sujetos de datos cuyos datos personales se procesarán:

o Menores
o Personas de contacto de los menores (profesor, pareja, padre, hermano, etc.)
o Trabajadores juveniles

III. El uso (= forma (s) de procesamiento) de los datos personales y los fines y medios del procesamiento:

Uso de datos personales:
Coleccionar
o Tienda
o Estructurar y analizar
o Recuperar
o Consultar
o Alinear, combinar y crear
o Transferir
o Actualizar
o Borrar y destruir

Medios de procesamiento:
o Plataforma
o Aplicación

Propósito del procesamiento:
o Alojamiento
o Soporte

IV. Los plazos durante los cuales se almacenarán los (diferentes tipos de) datos personales:

Mobile School conservará los datos personales mientras los Servicios no se hayan cancelado formalmente. Tras la finalización de los Servicios, las cuentas del Cliente se desactivarán y los datos personales dejarán de estar disponibles para el Cliente. Sin embargo, Mobile School conservará los datos personales durante el resto del año calendario para garantizar que se puedan cumplir las solicitudes de exportación o reactivación del cliente. Mobile School nunca accederá a los datos personales inactivos. Tan pronto como finalice el año natural, Mobile School anonimizará los datos personales, que luego se utilizarán únicamente con fines estadísticos. En caso de que el perfil de un sujeto de datos se elimine de la solución, todos los datos personales relacionados con él también se anonimizarán inmediatamente.

Anexo II — Descripción de las medidas de seguridad

I. Descripción de las medidas de seguridad técnicas y organizativas adoptadas por Mobile School.

Mobile School garantiza y se compromete con respecto a todos los datos personales que procesa en nombre del cliente a mantener y mantener en todo momento las medidas de seguridad técnicas y organizativas adecuadas y suficientes para proteger dichos datos personales o información contra la destrucción accidental o ilegal o la pérdida accidental, el daño, la alteración, la divulgación o el acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma ilegal de procesamiento. Dichas medidas incluirán, pero no se limitan a:
• Los datos «en reposo» se cifran mediante el algoritmo AES-256;
• Los datos «en tránsito» se cifran, mientras se transfieren, mediante el protocolo TLS 1.3;
• Las credenciales de usuario final se almacenan en una base de datos MySQL 8.0 independiente. Las contraseñas de los usuarios finales se cifran con el algoritmo PBKDF2;
• Los datos recopilados y almacenados en la Plataforma se almacenan en una base de datos MySQL 8.0 separada;
• Las copias de seguridad diarias de los datos se almacenan en una red privada de AWS durante 7 días y se cifran mediante los mecanismos antes mencionados;
• Los sujetos de datos que eliminen sus datos personales de la Plataforma se borrarán; solo las evaluaciones se conservarán con fines estadísticos sin posibilidad de identificar al sujeto de datos;
• Todos los archivos multimedia (fotografías, posibles vídeos, etc.) se almacenan en «AWS S3» y, por lo tanto, no están a disposición del público. Solo se puede acceder a estos archivos a través de la CDN de AWS Cloudfront, por lo que se utilizan URL que caducan a los 5 minutos.
• En caso de que la aplicación móvil se utilice sin conexión a Internet, la información parcial del interesado se almacena en el propio teléfono móvil. Estos datos están cifrados y solo se puede acceder a ellos cuando el cliente de la aplicación (el sujeto de los datos) introduce un código PIN que se configuró durante la fase de configuración de la aplicación. Una vez que la aplicación móvil se conecta a Internet o el cliente de la aplicación la elimina, también se eliminan los datos cifrados;
• Las bases de datos de la nube de AWS se ejecutan en una red privada; el acceso solo se acepta desde el sistema de back-end que se ejecuta en la misma red privada. Estos accesos se protegen mediante el uso de credenciales que tienen los privilegios mínimos requeridos por el sistema para desempeñar las funciones empresariales;
• Los cambios de esquema en las bases de datos no se realizan de forma manual sino automática mediante el sistema de back-end, con scripts SQL implementados por los desarrolladores y probados en entornos de control de calidad y ensayo antes de ejecutarlos en producción;
• El sistema de backend se ejecuta en una red privada, cada instancia de la cual se ejecuta en un contenedor Docker aislado. Este aislamiento adicional evita que los posibles atacantes que podrían haber accedido a la red privada accedan o modifiquen la memoria de ejecución o la configuración del sistema de fondo;
• Toda la comunicación procedente de Internet a través de las API de AWS se realiza mediante el protocolo HTTPS;
• Los mecanismos de autorización y autenticación se implementan mediante el protocolo OpenID Connect y Keycloack. Este protocolo y esta aplicación de código abierto están ampliamente adoptados y están maduros, lo que refuerza la seguridad general del sistema;
• Los desarrolladores que acceden a la nube de AWS para supervisar o actualizar la infraestructura tienen su propio conjunto de credenciales y la autenticación se realiza mediante un método de dos factores. Durante 90 días, se lleva a cabo una auditoría en la que se hace un seguimiento del acceso y las acciones de los desarrolladores en la nube de AWS.

Anexo III — Lista de subprocesadores

I. Subprocesadores en los que Mobile School solicita la prestación de los Servicios:

Nombre: Amazon Web Services EMEA (SARL)
Tipo de procesamiento: Alojamiento de la nube
País: Alemania

Nombre: Halcyon
Tipo de procesamiento: Desarrollo
país: Rumania