1. Objectif de la politique de confidentialité
2. Définitions
3. Identité du responsable du traitement
4. Lois et réglementations applicables
5. Principes applicables au traitement des données personnelles
6. Activités de traitement des données réalisées
7. Informations nécessaires et actualisées
8. Données personnelles des mineurs
9. Mesures de sécurité techniques et organisationnelles
10. Droits des personnes concernées
11. Réclamations auprès de l’autorité de contrôle
12. Acceptation et modifications de la politique de confidentialité

1. Objectif de la politique de confidentialité

La présente « Politique de confidentialité et de protection des données » a pour objet de faire connaître les conditions régissant la collecte et le traitement des données à caractère personnel par Tram Castellón, en s’efforçant au maximum de veiller aux droits fondamentaux, à l’honneur et aux libertés des personnes dont les données personnelles sont traitées, dans le respect des réglementations et lois en vigueur régissant la protection des données personnelles selon l’Union européenne et l’État membre espagnol, et notamment celles mentionnées dans la section « Activités de traitement » de la présente politique de confidentialité.

La présente politique informe les utilisateurs du site web https://tramcastellon.com de tous les détails qui les concernent quant à la manière dont ces traitements sont effectués, à leurs finalités, aux entités tierces susceptibles d’accéder à leurs données et aux droits dont disposent les utilisateurs.

2. Définitions

« Données à caractère personnel » :

Toute information se rapportant à une personne physique identifiée ou identifiable (« l’utilisateur du site web ») ; est réputée être une personne physique identifiable toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement » :

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Limitation du traitement » :

Le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.

« Profilage » :

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

« Pseudonymisation » :

Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

« Fichier » :

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

« Responsable du traitement » ou « responsable » :

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

« Sous-traitant » ou « sous-traitant » :

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

« Destinataire » :

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires.

« Tiers » :

La personne physique ou morale, l’autorité publique, le service ou l’organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

« Consentement de la personne concernée » :

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

« Violation de données à caractère personnel » :

Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

« Données génétiques » :

Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question.

« Données biométriques » :

Les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment l’identification unique de cette personne physique, telles que des images faciales ou des données dactyloscopiques.

« Données concernant la santé » :

Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

« Autorité de contrôle » :

L’autorité publique indépendante instituée par un État membre en vertu de l’article 51 du RGPD. En Espagne, il s’agit de l’Agence espagnole de protection des données (AEPD).

3. Identité du responsable du traitement

Le responsable du traitement des données est la personne physique ou morale, de nature publique ou privée, ou l’organe administratif qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Dans le cadre de la présente politique de protection des données, l’identité et les coordonnées du responsable du traitement sont les suivantes :

La Hispano del Cid, S.A. – NIF/CIF A12007555

Camino Caminás, 133 – Cruce Camino Viejo del Mar. 12003, Castellón (Castellón), Espagne

E-mail : hicid@hicid.com

Téléphone : +34 964 200 122

L’utilisateur du site web peut exercer l’un quelconque des droits mentionnés en s’adressant au responsable du traitement, après identification, via les coordonnées suivantes :

Responsable : La Hispano del Cid, S.A.

Adresse : Camino Caminás, 133 – Cruce Cami Vell de la Mar

E-mail : hicid@hicid.com

Site web : https://hicid.com

4. Lois et réglementations applicables

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
• Loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPD/GDD).
• Loi 34/2002, du 11 juillet, relative aux services de la société de l’information et au commerce électronique (LSSICE).

5. Principes applicables au traitement des données à caractère personnel

• Principe de licéité, de loyauté et de transparence : tout traitement de données effectué via ce site sera licite et loyal, et il sera parfaitement clair pour l’utilisateur quand ses données sont collectées, utilisées, consultées ou traitées.
• Principe de limitation des finalités : toutes les données seront collectées à des fins déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement de manière incompatible avec ces finalités.
• Principe de minimisation des données : les données collectées seront adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Principe d’exactitude : les données seront exactes et, si nécessaire, tenues à jour.
• Principe de limitation de la durée de conservation : les données seront conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Principe d’intégrité et de confidentialité : les données seront traitées de façon à garantir une sécurité appropriée des données à caractère personnel.
• Principe de responsabilité : l’entité propriétaire du site web sera responsable du respect des principes exposés dans le présent article et sera en mesure d’en apporter la preuve.

6. Activités de traitement des données

6.1 Activités de traitement principales

Ce sont les activités de traitement dont les finalités sont nécessaires et indispensables à la prestation des services.

Clients
Bases juridiques	(Art. 6.1.b RGPD) Existence d’une relation contractuelle avec la personne concernée
Finalités	Contact et activités commerciales avec les clients
Catégories de données	Clients (données d’identification ; données économiques, financières et d’assurance ; transactions de biens et services)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Administration fiscale ; banques, caisses d’épargne et caisses rurales
Transfert international	Non prévu
Délai de conservation	6 ans à compter de la dernière confirmation d’intérêt (art. 30 du Code de commerce)

Feuilles de réclamation
Bases juridiques	(Art. 6.1.b et 6.1.c RGPD) Relation contractuelle et obligations légales
Finalités	Gestion des feuilles de réclamation
Catégories de données	Clients (données d’identification)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Administration publique compétente en la matière
Transfert international	Non prévu
Délai de conservation	1 an à compter de la dernière confirmation d’intérêt (art. 5 RGPD)

Ressources humaines (Personnel)
Bases juridiques	(Art. 6.1.b RGPD) Existence d’une relation contractuelle
Finalités	Contrôle de présence ; formation ; gestion des salaires et contrats ; prévention des risques professionnels ; supervision
Catégories de données	Employés (données d’identification ; académiques et professionnelles ; caractéristiques personnelles ; économiques et d’assurance ; détails d’emploi)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Organismes de sécurité sociale ; administration fiscale ; banques ; administration publique compétente
Transfert international	Non prévu
Délai de conservation	5 ans à compter de la dernière confirmation d’intérêt (art. 66 à 70 de la Loi générale fiscale)

Fournisseurs
Bases juridiques	(Art. 6.1.b RGPD) Existence d’une relation contractuelle
Finalités	Gestion clients/fournisseurs, comptable, fiscale et administrative
Catégories de données	Fournisseurs (données d’identification ; économiques, financières et d’assurance ; transactions de biens et services)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Administration fiscale ; banques, caisses d’épargne et caisses rurales
Transfert international	Non prévu
Délai de conservation	6 ans à compter de la dernière confirmation d’intérêt (art. 30 du Code de commerce)

Usagers du Tram
Bases juridiques	(Art. 6.1.b RGPD) Existence d’une relation contractuelle
Finalités	Prévention de la fraude ; les documents des usagers sont demandés pour prévenir la fraude sur les abonnements avec réductions spéciales.
Catégories de données	Usagers enregistrés (données d’identification)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Non prévu
Transfert international	Non prévu
Délai de conservation	1 an à compter de la dernière confirmation d’intérêt (art. 5 RGPD 2016/679, point c)

6.2 Activités de traitement optionnelles (si l’utilisateur a coché son accord)

Bourse de l’emploi
Bases juridiques	(Art. 6.1.a RGPD) Consentement de la personne concernée
Finalités	Sélection du personnel
Catégories de données	Candidats à l’emploi (données d’identification ; académiques et professionnelles ; détails d’emploi ; circonstances sociales)
Origine des données	La personne concernée elle-même ou son représentant légal
Catégorie de destinataires	Non prévu
Transfert international	Non prévu
Délai de conservation	2 ans à compter de la dernière confirmation d’intérêt (art. 5, point c, RGPD 679/2016)

7. Informations nécessaires et actualisées

Tous les champs marqués d’un astérisque (*) dans les formulaires du site web sont obligatoires ; leur omission pourrait empêcher la prestation des services ou la fourniture des informations demandés. L’utilisateur doit fournir des informations véridiques et communiquer au responsable du traitement toute modification de ses données personnelles, dans les meilleurs délais, par e-mail à l’adresse : admistracion@tramcastellon.com. En cliquant sur le bouton « J’accepte » (ou équivalent), l’utilisateur déclare que les informations et données fournies sont exactes et véridiques, et qu’il comprend et accepte la présente politique de confidentialité.

8. Données relatives aux mineurs

Conformément à l’article 8 du RGPD et à l’article 7 de la LOPD/GDD, seules les personnes âgées de 14 ans et plus peuvent donner leur consentement licite au traitement de leurs données personnelles par Tram Castellón. Les personnes âgées de moins de 14 ans ne peuvent pas utiliser les services disponibles via le site web sans l’autorisation préalable de leurs parents, tuteurs ou représentants légaux.

9. Mesures de sécurité techniques et organisationnelles

Le responsable du traitement adopte les mesures organisationnelles et techniques nécessaires pour garantir la sécurité et la confidentialité des données, afin d’éviter leur altération, perte, traitement ou accès non autorisé. Ces mesures comprennent notamment :

• Garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.
• Rétablir la disponibilité et l’accès aux données personnelles dans les meilleurs délais en cas d’incident physique ou technique.
• Vérifier, évaluer et apprécier régulièrement l’efficacité des mesures techniques et organisationnelles mises en œuvre.
• Pseudonymiser et chiffrer les données à caractère personnel lorsqu’il s’agit de données sensibles.

10. Droits des personnes concernées

• Droit d’accès : obtenir confirmation du traitement de ses données personnelles et, le cas échéant, y avoir accès.
• Droit de rectification : faire corriger les données personnelles inexactes ou incomplètes.
• Droit à l’effacement (« droit à l’oubli ») : obtenir l’effacement des données lorsqu’elles ne sont plus nécessaires.
• Droit à la limitation du traitement : limiter le traitement dans certaines circonstances.
• Droit à la portabilité des données : recevoir ses données dans un format structuré et les transmettre à un autre responsable du traitement.
• Droit d’opposition : s’opposer au traitement de ses données personnelles.
• Droit de ne pas faire l’objet de décisions automatisées : ne pas être soumis à une décision fondée uniquement sur un traitement automatisé.
• Droit de retirer son consentement : retirer à tout moment le consentement donné.

Contact pour exercer ces droits :

Responsable : Via Reservada, S.A.

Adresse : C/ Carcagente, 1. 12005, Castellón

E-mail : admistracion@tramcastellon.com

Site web : https://tramcastellon.com

11. Droit de réclamation auprès de l’autorité de contrôle

L’utilisateur est informé de son droit de déposer une réclamation auprès de l’Agence espagnole de protection des données (AEPD) s’il estime qu’une infraction à la législation en matière de protection des données a été commise.

Agence espagnole de protection des données (AEPD)

E-mail : info@aepd.es | Téléphone : 900 293 183 | Site web : https://www.aepd.es

Adresse : C/ Jorge Juan, 6. 28001, Madrid (Espagne)

12. Acceptation et modifications de la politique de confidentialité

Il est nécessaire que l’utilisateur du site web ait lu et accepté les conditions de protection des données contenues dans la présente politique de confidentialité, afin que le responsable du traitement puisse procéder au traitement de ses données dans les formes, délais et finalités indiqués. Le responsable du traitement se réserve le droit de modifier la présente politique de confidentialité, selon son propre critère ou en raison d’un changement législatif, jurisprudentiel ou doctrinal de l’AEPD. Tout changement affectant les finalités, les délais de conservation, les cessions de données à des tiers, les transferts internationaux de données ou tout droit de l’utilisateur sera communiqué de manière explicite.