• en
  • nl
  • de
  • it
  • tr
  • zh
  • Français

Política de privacidad

Introducción

Al asesorar sobre productos o servicios financieros y al contratarlos, solicitamos a nuestros clientes una gran cantidad de información confidencial. Los clientes de Insure To Study deben poder confiar en que trataremos con cuidado la información que nos proporcionen y que esta no se compartirá con terceros sin su consentimiento expreso.

El tratamiento adecuado del registro y la transmisión de datos personales es, en este sentido, una condición esencial para ofrecer servicios financieros responsables. La confidencialidad es un principio fundamental tanto para nuestra empresa como para la actuación de nuestros profesionales.

Para llevar a cabo eficazmente nuestras tareas, en ocasiones es necesario intercambiar datos personales con terceros, como proveedores de servicios (por ejemplo, servicios de reparación) o partes contrarias, ya que esta función forma parte de nuestro rol como intermediario financiero. Asimismo, puede ocurrir que debamos facilitar datos, por ejemplo, a la Agencia Tributaria neerlandesa (Belastingdienst) o a la Autoridad de los Mercados Financieros de los Países Bajos (AFM), en virtud de obligaciones legales.

Hemos documentado y registrado el tratamiento de datos personales en nuestro registro interno de actividades de tratamiento. Los clientes y demás personas interesadas pueden solicitar una copia. En él encontrarán información sobre los datos que tratamos y las entidades con las que podríamos compartir dicha información.

1. Definiciones

En el presente reglamento se aplican las siguientes definiciones:

  • la ley: el Reglamento General de Protección de Datos (RGPD) y la Ley de aplicación del RGPD;
  • datos personales: toda información relativa a una persona física identificada o identificable;
  • tratamiento de datos personales: cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, que incluye, entre otros, la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
  • fichero: cualquier conjunto estructurado de datos personales, accesible conforme a criterios determinados, centralizado o distribuido de forma funcional o geográfica, y relativo a varias personas;
  • responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales;
  • encargado del tratamiento: la persona que trata los datos personales por cuenta del responsable del tratamiento, sin estar bajo su autoridad directa;
  • interesado: la persona física a la que se refieren los datos personales;
  • tercero: cualquier persona, distinta del interesado, del responsable del tratamiento, del encargado del tratamiento, o de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado;
  • destinatario: la persona a quien se comunican los datos personales;
  • consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
  • autoridad supervisora: la Autoridad de Protección de Datos (Autoriteit Persoonsgegevens);
  • comunicación de datos personales: la revelación o puesta a disposición de datos personales;
  • recogida de datos personales: la obtención de datos personales.

2. Ámbito de aplicación

  1. El presente reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales. También se aplica al tratamiento no automatizado de datos personales contenidos en un fichero o destinados a formar parte de un fichero.
  2. Este reglamento se aplica dentro de Insure To Study y cubre el tratamiento de datos personales de clientes, empleados y otras personas físicas interesadas.

3. Finalidad

  1. La finalidad de la recogida y el tratamiento de datos personales es disponer de la información necesaria para cumplir los objetivos establecidos en los estatutos, planes anuales y demás planes de Insure To Study, así como para el cumplimiento de obligaciones legales y la formulación de políticas y gestión en el marco de dichos objetivos.
  2. Las finalidades concretas para las que se recogen y tratan datos dentro de Insure To Study están definidas explícitamente en el anexo.

4. Representación del interesado

  1. Si la persona interesada es menor de edad y no ha cumplido los 16 años, o si es mayor de edad y se encuentra bajo tutela legal, se requerirá el consentimiento de su representante legal en lugar del consentimiento del propio interesado. Este consentimiento deberá otorgarse por escrito. Si el interesado ha otorgado una autorización escrita al responsable del tratamiento en favor de un representante, será necesario el consentimiento conjunto del representante autorizado por escrito.
  2. El consentimiento podrá ser revocado en cualquier momento por el interesado, su representante autorizado o su representante legal.

5. Responsabilidad de gestión y responsabilidad civil

  1. El responsable del tratamiento es responsable del correcto funcionamiento del tratamiento y de la gestión de los datos. Bajo su responsabilidad, normalmente se designará a un administrador encargado de la gestión efectiva de los datos personales.
  2. El responsable del tratamiento deberá garantizar la aplicación de medidas técnicas y organizativas apropiadas para proteger los datos contra pérdida o cualquier forma de tratamiento ilícito.
  3. La responsabilidad mencionada en el apartado 1, así como lo dispuesto en el apartado 2, seguirá siendo aplicable incluso cuando el tratamiento sea realizado por un encargado del tratamiento, en cuyo caso se regirá por contrato (u otro acto jurídico) celebrado entre el responsable y el encargado.
  4. El responsable del tratamiento será responsable de los daños y perjuicios causados por el incumplimiento de los requisitos legales o de lo dispuesto en este reglamento. El encargado del tratamiento será responsable en la medida en que dichos daños hayan sido causados por sus actuaciones.

6. Tratamiento lícito

  1. Los datos personales se tratarán de forma lícita, leal y cuidadosa, de conformidad con la legislación aplicable y el presente reglamento.
  2. Los datos personales solo se recogerán para los fines mencionados en este reglamento y no se tratarán ulteriormente de manera incompatible con dichos fines.
  3. Los datos personales deberán ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recogen o se tratan posteriormente. No se recopilarán ni tratarán más datos personales de los necesarios para el registro.
  4. Los datos personales solo podrán tratarse si se cumple al menos una de las siguientes condiciones:
  • El interesado ha dado su consentimiento de forma libre, específica, informada e inequívoca para el tratamiento.
  • El tratamiento es necesario para la ejecución de un contrato en el que el interesado sea parte (por ejemplo, un contrato de producto o servicio financiero, o un contrato laboral), o para la aplicación de medidas precontractuales a petición del interesado.
  • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • El tratamiento es necesario para proteger intereses vitales del interesado.
  • El tratamiento es necesario para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero, siempre que dichos intereses no prevalezcan sobre los derechos y libertades fundamentales del interesado.
  • El número de identificación fiscal (como el número de servicio al ciudadano en los Países Bajos) solo se registrará si existe una base legal para ello. En la mayoría de los casos, dicha base no estará presente para nuestros servicios.
  • Cualquier persona que actúe bajo la autoridad del responsable del tratamiento o del encargado —incluido este último— solo tratará datos personales siguiendo instrucciones del responsable, salvo que esté obligada por una disposición legal contraria.
  • Los datos solo serán tratados por personas sujetas a una obligación de confidencialidad en virtud de un contrato (laboral o de otro tipo).

7. Tratamiento de datos personales

  1. El tratamiento es realizado por empleados de nuestra empresa u otras personas físicas que presten servicios financieros bajo nuestra responsabilidad.
  2. El tratamiento se realiza, en general, en el marco de la ejecución de un contrato, concretamente un contrato de prestación de servicios. En los casos en que no exista tal contrato, el tratamiento se efectuará con el consentimiento expreso del interesado.
  3. El tratamiento se lleva a cabo con el fin de desarrollar nuestras actividades como asesores y/o intermediarios en productos y servicios financieros.

8. Datos personales especiales

  1. Está prohibido el tratamiento de datos personales relativos a la religión o convicciones, origen racial o étnico, opiniones políticas, salud, vida sexual, afiliación sindical o datos de carácter penal, salvo en aquellos casos en los que la legislación (artículos 9 y 10 del RGPD) especifique expresamente por quién, con qué finalidad y bajo qué condiciones dichos datos pueden ser tratados.
  2. Como entidad prestadora de servicios financieros, podemos tratar datos sobre tu salud si ello resulta necesario para el correcto desempeño de nuestras funciones. Asimismo, podremos solicitar información relativa a antecedentes penales, siempre que sea necesaria para la ejecución adecuada del contrato y que nos otorgues tu consentimiento expreso para ello.

9. Tratamiento de datos

Datos obtenidos del propio interesado

  1. Cuando los datos personales se obtengan directamente del interesado, el responsable del tratamiento deberá informarle, antes de su recogida, de lo siguiente:
  • su identidad;
    la finalidad del tratamiento para la cual se recogen los datos, salvo que el interesado ya conozca dicha finalidad.
  • El responsable del tratamiento deberá proporcionar al interesado información adicional cuando sea necesario —teniendo en cuenta la naturaleza de los datos, las circunstancias en las que se obtienen o el uso previsto— para garantizar un tratamiento correcto y diligente de los datos personales.

Datos obtenidos de fuentes externas

  1. Además de la información facilitada por el interesado, el responsable del tratamiento podrá, con las finalidades descritas, obtener datos de fuentes externas que considere fiables. Algunos ejemplos son Roy-data (para el registro del historial de bonificaciones), la Dirección General de Tráfico neerlandesa (RDW) para los datos de vehículos, y la Fundación CIS para la prevención y detección del fraude en el sector asegurador.
  2. El responsable del tratamiento se asegurará de que, en todo tratamiento de datos personales, solo se traten aquellos datos que sean exactos, adecuados, pertinentes y no excesivos.

10. Derecho de acceso

  1. El interesado tiene derecho a acceder a los datos personales que se estén tratando y que le conciernan.
    El responsable del tratamiento informará por escrito a cualquier persona que lo solicite —lo antes posible y en un plazo máximo de cuatro semanas desde la recepción de la solicitud— si se están tratando o no datos personales que le afecten. Podrá cobrarse una tarifa por facilitar dicha información. Además, al interesado que solicite acceso a sus datos se le podrá requerir una copia de un documento de identidad válido.
  2. Si se están tratando datos personales del solicitante, el responsable del tratamiento deberá, si así lo solicita, proporcionar por escrito —lo antes posible y dentro del mismo plazo de cuatro semanas— un resumen completo que incluya la(s) finalidad(es) del tratamiento, los datos o categorías de datos tratados, los destinatarios o categorías de destinatarios, así como el origen de los datos.
  3. Si existe un interés legítimo y relevante del solicitante, el responsable podrá atender la solicitud en una forma diferente a la escrita, siempre que se adapte a dicho interés.
  4. El responsable del tratamiento podrá rechazar la solicitud, total o parcialmente, si y en la medida en que ello sea necesario en relación con:
  • la detección y persecución de delitos penales;
  • la protección del propio interesado o de los derechos y libertades de otras personas.

11. Comunicación de datos personales

  1. En principio, los datos personales no se comunicarán a terceros salvo con el consentimiento del interesado o de su representante, excepto en los casos previstos legalmente o en situaciones de urgencia.
  2. Se exceptúa de esta norma el intercambio de información con entidades que necesiten los datos para la ejecución del contrato, como aseguradoras, bancos, entidades prestamistas o partes implicadas en la gestión de siniestros.
  3. Por último, también podremos comunicar datos personales para cumplir con obligaciones legales, por ejemplo, a la Agencia Tributaria de los Países Bajos (Belastingdienst) y a la Autoridad de los Mercados Financieros de los Países Bajos (AFM).

12. Derecho de rectificación, complemento, supresión

  1. A petición escrita del interesado, el responsable del tratamiento corregirá, completará, suprimirá y/o bloqueará los datos personales tratados si, y en la medida en que, dichos datos sean inexactos, incompletos con respecto a la finalidad del tratamiento, irrelevantes o excesivos para el registro, o si se han tratado en contravención de una disposición legal. La solicitud deberá especificar los cambios que se solicitan.
  2. El responsable del tratamiento informará por escrito al solicitante, lo antes posible y en un plazo máximo de cuatro semanas desde la recepción de la solicitud, si accede a la misma. Si no accede total o parcialmente, deberá justificar su decisión. En tal caso, el solicitante podrá recurrir al Comité de Reclamaciones del responsable.
  3. El responsable garantizará que cualquier decisión de rectificación, complemento, supresión y/o bloqueo sea ejecutada en un plazo máximo de 14 días laborables o, si esto no fuera razonablemente posible, lo antes posible.

13. Conservación de los datos

  1. Los datos personales no se conservarán en una forma que permita la identificación del interesado durante más tiempo del necesario para cumplir con las finalidades para las que fueron recogidos o tratados posteriormente.
  2. El responsable del tratamiento determinará el plazo durante el cual se conservarán los datos personales registrados.
  3. Si ha expirado el plazo de conservación o si el interesado solicita la supresión antes de dicho plazo, los datos correspondientes se eliminarán en un plazo máximo de tres meses.
  4. No obstante, la supresión no se llevará a cabo si existe una base razonable para considerar que:
  • la conservación es de gran importancia para una persona distinta del interesado;
  • la conservación es obligatoria en virtud de una disposición legal (incluida la Ley de Supervisión Financiera), o
  • existe un acuerdo entre el interesado y el responsable del tratamiento al respecto.

14. Registro de actividades de tratamiento

  1. Todo tratamiento de datos personales, total o parcialmente automatizado, destinado a la consecución de una finalidad o finalidades relacionadas, ha sido identificado y documentado en un registro de actividades de tratamiento interno antes de que se inicie dicho tratamiento.
  2. En aquellos casos en los que un tratamiento automatizado de datos personales implique un alto riesgo para los derechos del interesado —teniendo en cuenta la naturaleza y el contexto de los datos tratados— se realizará una evaluación de impacto relativa a la protección de datos (DPIA) antes de comenzar el tratamiento. Además, se adoptarán las medidas necesarias para gestionar adecuadamente los riesgos y garantizar así la protección de los derechos del interesado.
  3. El registro interno de actividades de tratamiento incluirá:
  • el nombre y la dirección del responsable del tratamiento;
  • la(s) finalidad(es) del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos relativos a ellos;
  • los destinatarios o categorías de destinatarios a quienes se pueden comunicar los datos;
  • los plazos de conservación aplicados.

15. Violaciones de seguridad de datos personales

  1. En caso de una violación de seguridad de datos, el responsable del tratamiento deberá investigar si se ha producido una pérdida de datos personales o si no puede descartarse un tratamiento ilícito.
  2. Si dicha investigación revela que se han filtrado datos personales de carácter sensible o que existe (un riesgo significativo de) consecuencias negativas para la protección de los datos personales tratados, el responsable notificará la violación de seguridad a la Autoridad de Protección de Datos (Autoriteit Persoonsgegevens).
  3. Si el responsable no ha cifrado adecuadamente todos los datos filtrados, o si la filtración puede tener consecuencias negativas para la privacidad de los interesados por otros motivos, también se notificará el incidente a la Autoridad de los Mercados Financieros (Autoriteit Financiële Markten). En consulta con las autoridades mencionadas, podrá decidirse asimismo informar a los interesados sobre la posible violación de seguridad.

16. Procedimiento de reclamaciones

Si el interesado considera que no se han cumplido las disposiciones del presente reglamento, podrá dirigirse a:

  • el responsable del tratamiento;
  • si no queda satisfecho con la resolución de su reclamación, podrá presentar una queja ante el Instituto de Reclamaciones de Servicios Financieros (KiFiD) en La Haya;
  • la Autoridad de Protección de Datos, solicitando su mediación y asesoramiento en el conflicto entre el interesado y el responsable;
  • el Juzgado de Primera Instancia competente.

17. Modificación, entrada en vigor y copia

  1. Las modificaciones del presente reglamento serán realizadas por la persona responsable.
  2. Las modificaciones entrarán en vigor cuatro semanas después de haber sido comunicadas a las personas afectadas.
  3. Este reglamento puede consultarse en la oficina del responsable. A solicitud del interesado, se podrá obtener una copia del mismo a precio de coste.

18. Supuestos no previstos

En los casos no contemplados en el presente reglamento, decidirá el responsable del tratamiento, respetando lo dispuesto en la legislación aplicable, así como el objetivo y el espíritu de este reglamento.

Información sobre el Reglamento General de Protección de Datos (RGPD):