Spendesk, sociedad por acciones simplificada inscrita en el Registro Mercantil y de Sociedades de París con el número 821 893 286 y con domicilio social en 51, rue de Londres - 75008 París (Francia), ofrece una plataforma de gestión de gastos para empresas, disponible en la web y como app móvil (en adelante, la "Plataforma"), y publica los sitios web accesibles en https://www.spendesk.com/es/ y www.cfoconnect.eu/en/ (en adelante, el "Sitio web").
A. Visión general / Introducción
Los términos de esta política que comienzan con mayúscula tienen el significado que se les atribuye (a) en las Condiciones Generales o (b) en su defecto, en el Reglamento General de Protección de Datos (RGPD).
Como parte de sus actividades, Spendesk debe procesar Datos Personales pertenecientes a varias categorías de personas.
Por Datos Personales se entiende cualquier información relativa a una persona física identificada o identificable; se considera "persona física identificable" a toda persona física que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de teléfono, una dirección de correo electrónico, datos de localización o un identificador en línea...
Al suscribirse y/o utilizar el Sitio Web y/o la Plataforma, usted reconoce y acepta que Spendesk trate determinados Datos Personales que le conciernen, así como determinada información sobre los gastos incurridos con las herramientas y/o registrados a través de la Plataforma. Además, Spendesk aplica medidas de seguridad destinadas a garantizar la confidencialidad, integridad y disponibilidad de sus Datos Personales y a limitar el acceso únicamente a las personas que necesitan conocerlos.
La presente Política de protección de Datos Personales tiene por objeto describir la forma en que Spendesk procesa sus Datos Personales para los fines indicados a continuación e informarle de sus derechos al respecto. Puede estar sujeta a actualizaciones, especialmente en caso de cambios en el Reglamento de Datos Personales o en caso de actualizaciones de Tratamiento. La versión aplicable es la disponible en el Sitio Web el día en que usted utilice este último y/o la Plataforma.
A continuación, encontrará las principales respuestas a las preguntas que usted pueda tener sobre los compromisos de Spendesk en materia de protección de Datos Personales.
B. Delegado de protección de Datos de Spendesk
Para supervisar los compromisos de Spendesk y su cumplimiento del Reglamento de Datos Personales, Spendesk ha nombrado a un Delegado de Protección de Datos (DPD), a quien puede contactar por correo electrónico (privacy@spendesk.com).
C. Descripción de los Tratamientos
Como parte del procesamiento de sus Datos Personales, Spendesk puede tener la función de Responsable del Tratamiento o de Encargado del Tratamiento. Los términos específicos de estas funciones se establecen a continuación.
1. Spendesk como Responsable del Tratamiento independiente
De conformidad con el Reglamento de Datos Personales, el Responsable del Tratamiento es la persona física o jurídica que determina, por sí sola, los medios y fines del Tratamiento de los Datos Personales.
Spendesk realiza los siguientes Tratamientos de Datos Personales como Responsable del Tratamiento:
| Finalidad del tratamiento | Categorías de los interesados afectados | Tipo de datos personales objeto del tratamiento | Base jurídica | Plazo de conservación de los datos |
|---|---|---|---|---|
| Gestión de la contratación de personal | Candidatos | Apellidos, nombre, número de teléfono, dirección de correo electrónico, CV | Interés legítimo de Spendesk, Consentimiento | En caso de consentimiento, hasta dos (2) años después de finalizar el proceso de contratación |
| Seguimiento de la navegación en el Sitio Web (véanse los detalles en la Política de Cookies*) | Usuarios de Internet | ID de cookie, dirección IP, información de navegación | Consentimiento | Los detalles de los períodos de retención se proporcionan en la Política de Cookies* |
| Gestión de la relación comercial: invitación a eventos, boletines informativos, recategorización como cliente potencial | Contacto comercial | Apellidos, nombre, número de teléfono, dirección de correo electrónico | Interés legítimo de Spendesk, Consentimiento | Hasta tres (3) años después del último contacto |
| Gestión de relaciones en las comunidades de Spendesk (CFO Connect) | Miembro(s) de la comunidad | Apellidos, nombre, dirección de correo electrónico, número de teléfono, empresa, cargo, ID de Slack | Interés legítimo de Spendesk, Consentimiento | Hasta tres (3) años después del último contacto |
| Prospección comercial | Clientes potenciales | Apellidos, nombre, dirección de correo electrónico, número de teléfono, empresa, cargo | Interés legítimo de Spendesk, Consentimiento | Hasta tres (3) años después del último contacto |
| Gestión comercial y contractual con el Cliente de Spendesk | Contacto de ventas del Cliente | Apellidos, nombre, número de teléfono, dirección de correo electrónico, empresa, cargo | Interés legítimo de Spendesk | Mientras dure la relación contractual con el Cliente y hasta cinco (5) años después de finalizar la relación comercial |
| Investigación y desarrollo de la Plataforma y del Sitio web (pruebas A/B) | Internautas, Usuarios | Datos de navegación, ID de cookie u otro(s) rastreador(es), ID de dispositivo(s) (dirección IP, IDFA, ADID, etc.), sesión | Interés legítimo de Spendesk, Consentimiento | Dependiendo del proyecto |
| Grabación de vídeo y audio de llamadas con fines de mejora de los Servicios, formación y supervisión del rendimiento del personal de Spendesk | Empleado, Cliente potencial, Cliente, Usuario | Apellidos, nombre, número de teléfono, dirección de correo electrónico, voz, imagen | Interés legítimo de Spendesk, Consentimiento | Hasta seis (6) meses después de la fecha de la grabación |
| Notificación de incidentes a través de la página https://spendesk.statuspage.io/ | Persona que se suscribió a la notificación | Número de teléfono, dirección de correo electrónico, ID de Slack | Consentimiento | Hasta la exclusión voluntaria de las notificaciones |
| Supervisión de las cuentas de los Usuarios a efectos de asistencia técnica y formación del personal de Spendesk | Usuarios | Apellidos, nombre, empresa, cargo, transacciones financieras | Interés legítimo de Spendesk, Consentimiento | Durante la supervisión de la cuenta |
| Seguridad de los sistemas / Detección, prevención y mitigación de actividades fraudulentas u otras actividades ilegales | Candidatos, Empleados, Usuarios | Datos de inicio de sesión (ID de usuario, ID de dispositivo, registros), dirección IP | Interés legítimo de Spendesk | Hasta trescientos sesenta y cinco (365) días después de la recogida de los registros de inicio de sesión |
*Política de Cookies: https://www.spendesk.com/es/legals/cookies-policy/.
En lo que respecta a la gestión de la comunidad Spendesk (CFO Connect), los miembros autorizan a Spendesk a utilizar sus datos con fines de prospección comercial y segmentación publicitaria, respetando sus derechos tal y como se establecen en la presente Política de protección de datos.
Los Datos Personales tratados en este marco se recopilan directamente de usted o indirectamente, en particular en el marco de acuerdos de colaboración, servicios encargados por Spendesk, a través de redes sociales (Datos Personales que usted ha hecho públicos) o mediante el uso de cookies, píxeles y otros dispositivos de rastreo. Para más información sobre las cookies y otros dispositivos de rastreo, Spendesk le invita a consultar la Política de Cookies.
2. Spendesk como Responsable conjunto del Tratamiento con Spendesk Financial services (Clientes y Usuarios del EEE)
De conformidad con el Reglamento de Datos Personales, los Responsables conjuntos del Tratamiento son las entidades que determinan conjuntamente los fines y los medios del Tratamiento.
Para la prestación de Servicios de Pago y de conformidad con la normativa aplicable, Spendesk y Spendesk Financial Services SAS (entidad de pago) también tratan Datos Personales como Responsables conjuntos del Tratamiento. Las funciones respectivas de cada uno de los Responsables conjuntos se definen en un acuerdo de responsabilidad conjunta de conformidad con la normativa aplicable, cuya información relevante para el Cliente se pone a su disposición en la Nota informativa de Spendesk Financial Services SAS.
3. Spendesk como Encargado del Tratamiento
De conformidad con el Reglamento de Datos Personales, el encargado de datos es la persona jurídica o física que trata Datos Personales en nombre del Responsable del Tratamiento y siguiendo sus instrucciones.
Con respecto al Tratamiento llevado a cabo en el contexto y a los efectos del uso de la Plataforma, Spendesk trata los Datos Personales de los Usuarios como encargado de su Cliente que actúa como Responsable del Tratamiento. Los detalles de los Tratamientos llevados a cabo por Spendesk como Encargado están disponibles en el Anexo A del Acuerdo sobre el Tratamiento de Datos celebrado con el Cliente, al que se puede acceder aquí.
Los Datos Personales se recopilan directamente de los Usuarios cuando rellenan su información personal en su cuenta de Usuario, o indirectamente a través del Cliente, como Responsable del Tratamiento, que importa los Datos Personales de los Usuarios para permitirles acceder a su cuenta de Usuario (en particular en el contexto de la integración de API de plataformas de terceros en la Plataforma).
D. Destinatarios de los Datos Personales
Con el fin de prestarle los servicios que ofrecemos, Spendesk puede transmitir algunos de sus Datos Personales a terceros.
1. Transferencia de sus Datos Personales a Encargados del Tratamiento
Sus Datos Personales podrán ser transmitidos a proveedores de servicios a los que Spendesk recurra para subcontratar la totalidad o parte del Tratamiento descrito anteriormente.
Spendesk elige a sus encargados del Tratamiento con el máximo cuidado y solo utiliza encargados que ofrezcan garantías suficientes en términos de cumplimiento del GDPR y seguridad. Los encargados solo tienen acceso a los Datos Personales estrictamente necesarios para realizar sus tareas y no están autorizados a utilizar sus Datos Personales para ningún otro fin. Además, hemos celebrado acuerdos con cada uno de ellos para garantizar la protección y confidencialidad de sus Datos Personales, así como su Tratamiento en cumplimiento del RGPD.
Como Cliente y Usuario de la Plataforma, puede consultar la lista de Subencargados que participan en la prestación de los Servicios en la siguiente página:
https://www.spendesk.com/es/legals/subprocessors/
2. Transferencia de sus Datos Personales a Responsables del Tratamiento independientes
Algunos de sus Datos Personales también pueden transmitirse a proveedores de servicios que actúan como Responsables del Tratamiento independientes cuando usted desea acceder a determinados servicios.
Estos Responsables de Tratamiento son entidades independientes de nuestra organización, que determinan de forma autónoma los fines y medios del Tratamiento de los Datos Personales que les transmitimos para prestar los servicios. Cuando compartimos sus Datos Personales con estas entidades, nos aseguramos de que esta transmisión se realice de forma segura.
A continuación figura una lista de proveedores de servicios que actúan como Responsables independientes del Tratamiento para determinados servicios:
Proveedores de servicios de pago:
Clientes y Usuarios Reino Unido: Adyen (https://www.adyen.com/privacy-policy) ;
Clientes y Usuarios Estados Unidos: Sutton Bank (https://suttonbank.com/_/kcms-doc/85/84421/PrivacyPolicy2024.pdf) o Dwolla (https://www.dwolla.com/legal/privacy);
Proveedores de billeteras digitales:
Clientes y Usuarios Reino Unido: Apple Pay (https://support.apple.com/es-es/101554)
Le invitamos a consultar sus políticas de protección de datos (enlaces anteriores) para obtener más información sobre el Tratamiento realizado por estos socios.
3. Transferencia de sus Datos Personales a Spendesk Financial Services como Responsable conjunto del Tratamiento (Clientes y Usuarios del EEE)
En el marco del uso de la Plataforma, Spendesk SAS y Spendesk Financial Services SAS se ven abocadas a tratar conjuntamente, en calidad de Responsables conjuntos, determinados Datos Personales con el fin de prestar los Servicios de Pago y cumplir con sus obligaciones legales y contractuales.
Le invitamos a consultar la Nota Informativa sobre el Tratamiento de Datos Personales realizado por Spendesk Financial Services SAS y Spendesk SAS para obtener más información sobre estos Tratamientos de Datos.
4. Transferencia de sus Datos Personales a las autoridades
Spendesk puede verse obligada a comunicar la totalidad o parte de sus Datos Personales a autoridades públicas, organismos gubernamentales u otras instituciones financieras, de conformidad con una ley, un reglamento o una decisión de una autoridad reguladora o judicial competente.
Nos comprometemos a cumplir cualquier requisito legal que pueda impedir, restringir o regular la divulgación de información o datos, incluido el cumplimiento de la legislación aplicable en materia de protección de datos.
E. Medidas de seguridad
Spendesk concede la máxima importancia a la seguridad de los Datos Personales que se le confían. De conformidad con el Reglamento de Datos Personales, Spendesk se compromete a tomar todas las precauciones necesarias para preservar la seguridad de los Datos Personales y, en particular, para protegerlos contra la destrucción accidental o ilícita, la pérdida accidental, la corrupción, la difusión o el acceso no autorizado, así como contra cualquier otra forma de tratamiento ilícito o divulgación a personas no autorizadas.
Por ello, Spendesk:
implementa prácticas y medidas de seguridad de acuerdo con los estándares de nuestro sector para garantizar la integridad, disponibilidad y confidencialidad de sus Datos Personales;
aplica una política de gestión de los derechos de acceso a sus Datos Personales basada en el principio de mínimo privilegio, necesidad de conocer y función (Control de Acceso Basado en Funciones);
aplica medidas y procedimientos técnicos y organizativos para salvaguardar y preservar los datos tratados y garantizar la confidencialidad de los Datos Personales, en consonancia con la política de gestión de accesos;
garantiza que sólo utiliza socios y/o subcontratistas que cumplen los requisitos de seguridad solicitados por Spendesk;
realiza controles de seguridad y auditorías periódicas en sus sistemas para poder dar fe de su solidez.
F. Almacenamiento y transferencia de Datos Personales
Los Datos Personales tratados por Spendesk se alojan en servidores seguros dentro de la Unión Europea.
En caso de que los Datos Personales se transfieran fuera de la Unión Europea, Spendesk se compromete a aplicar las medidas exigidas por el Reglamento de Datos Personales (transferencia a un país considerado adecuado por la Comisión Europea, firma de las Cláusulas Contractuales Tipo de la Comisión Europea, medidas de seguridad adicionales, etc.).
G. Derechos sobre sus Datos Personales
De conformidad con el Reglamento de Datos Personales, usted tiene en todo momento derecho de acceso, rectificación, limitación, supresión y cancelación de los Datos Personales que le conciernen, así como derecho de oposición y derecho de portabilidad.
También puede enviarnos por adelantado sus instrucciones sobre el Tratamiento de sus Datos Personales tras su fallecimiento.
Para ejercer sus derechos, o para obtener más información sobre los mismos, puede ponerse en contacto con nuestro Delegado de Protección de Datos
por correo postal: Spendesk SAS – Delegado de Protección de Datos (DPD) - 51 rue de Londres, 75008 París, Francia;
por correo electrónico : privacy@spendesk.com
Responderemos a su solicitud en un plazo de treinta (30) días, posiblemente renovable, y podremos solicitar una copia de su documento de identidad únicamente para su verificación.
No obstante, es posible que no respondamos a algunas de sus solicitudes de ejercicio de derechos, en particular cuando el Tratamiento de sus Datos Personales sea necesario para la ejecución del contrato en curso, o el Tratamiento se lleve a cabo en virtud de una obligación legal aplicable a Spendesk.
En cuanto a las solicitudes relacionadas con los Datos Personales procesados como parte de la Plataforma, usted puede editar en cualquier momento sus datos de identificación personal (cargo, nombre, apellidos, correo electrónico, número de teléfono, contraseña) iniciando sesión en la sección "Mi perfil" de su cuenta, de conformidad con la política de identificación y uso de la Plataforma posiblemente implementada por su empleador.
Puede solicitar el ejercicio de sus derechos poniéndose en contacto con su empleador (responsable del tratamiento), así como escribiéndonos directamente a privacy@spendesk.com. Informaremos a su empleador de la naturaleza de su solicitud y de las medidas a tomar.
Si considera que Spendesk no cumple con sus obligaciones en materia de protección de Datos Personales o no responde a sus solicitudes de forma satisfactoria, puede remitir el asunto a la autoridad de control francesa - Comisión Nacional de Informática y Libertades (CNIL) - a través de su sitio web (www.cnil.fr/en) o por correo postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).
Por último, de conformidad con lo dispuesto en el artículo L.561-45 del Código Monetario y Financiero francés, debe enviar su solicitud de derecho de acceso relativa al Tratamiento efectuado en el marco de nuestras obligaciones en materia de ALD-CFT indirectamente a la autoridad de control francesa, la Comisión Nacional de Informática y Libertades (CNIL).
Para obtener más información sobre sus derechos de protección de Datos Personales, visite el sitio web de la CNIL en www.cnil.fr/en.