PREGUNTAS FRECUENTES SOBRE EL RGPD DE AJAX
Conceptos básicos
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (también conocido como Reglamento 2016/679 o "RGPD") es un Reglamento de la legislación de la UE sobre la protección de datos y privacidad en la UE y el Espacio Económico Europeo (EEE). Aunque fue elaborado y aprobado por la Unión Europea (UE), el reglamento impone obligaciones de protección de datos a las organizaciones en cualquier país del mundo, si utilizan o recopilan datos personales relacionados con los residentes de los estados miembros de la UE.
¿Qué son los datos personales?
Los datos personales son cualquier información relativa a una persona física que pueda ser identificada directa o indirectamente. La información recopilada de varias fuentes que pueden ayudar a identificar a una determinada persona también son datos personales.
Los datos personales que han sido desidentificados, cifrados o seudonimizados, pero que se pueden utilizar para reidentificar a una persona, también están sujetos a la ley.
Estos son algunos ejemplos de datos personales:
- su nombre y apellido;
- una dirección;
- una dirección de correo electrónico;
- un número de tarjeta de identidad;
- datos de localización;
- una dirección IP;
- ID de cookie;
- el identificador publicitario del teléfono.
¿Qué es el procesamiento de datos?
La definición del procesamiento de datos cubre una amplia gama de operaciones realizadas con datos personales, incluso por medios manuales o automatizados. Estos incluyen la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, así como la modificación, la extracción, la consulta, el uso, la divulgación por transmisión, la distribución o puesta a disposición, la alineación o la combinación, la restricción, la eliminación o la destrucción de datos personales. Si realiza alguna acción con los datos de la forma mencionada anteriormente, esto significa que está procesando los datos.
¿Cuál es la diferencia entre un procesador de datos y un controlador de datos?
Un controlador de datos es una organización, una institución o un individuo que determina las reglas y el procedimiento para el procesamiento de datos personales. En la práctica, esto significa que un controlador de datos es responsable de determinar cómo y con qué propósito una organización utilizará los datos. En la mayoría de los casos, el controlador de datos es una persona u organización que recopila los datos y luego determina cómo se utilizarán.
A diferencia del procesador de datos. Según el RGPD, un procesador de datos es una organización, una institución o un individuo que implementa las reglas de procesamiento de datos establecidas por el controlador de datos. Normalmente, un procesador de datos es una parte que procesa los datos bajo la dirección y la discreción de un controlador de datos. Un procesador de datos no es propietario ni controla los datos que procesa. Es decir, un procesador de datos no tiene derecho a cambiar el contenido de los datos, determinar cómo se utilizarán y solo debe actuar de acuerdo con las instrucciones.
Aquí hay algunas preguntas para comprender la diferencia entre las funciones de un controlador y un procesador de datos:
El controlador de datos toma las siguientes decisiones:
- la organización que recopila los datos en primer lugar y tiene la base legal para hacerlo;
- con qué propósito se utilizarán los datos personales;
- si los datos se divulgarán y, en caso afirmativo, a quién;
- si se aplican los permisos de acceso de los sujetos y otras personas y si hay excepciones;
- cuánto tiempo se conservarán los datos o si es necesario cambiarlos de una manera que no sea prevista por las reglas.
El procesador de datos toma las siguientes decisiones:
- los métodos utilizados para la recopilación y el almacenamiento de datos personales;
- cómo se protegen los datos;
- los medios utilizados para transferir los datos personales de una organización a otra;
- cómo se recopilan los datos personales;
- el método para garantizar el cumplimiento de un horario de conservación;
- cómo se eliminan los datos personales.
¿Cuáles son las condiciones del RGPD para el procesamiento de datos personales?
El artículo 6 del RGPD contiene una lista de condiciones (también conocidas como base legal) bajo las cuales es legal procesar los datos personales:
- Consentimiento. Consentimiento significa que la persona interesada ha dado su consentimiento explícito a una actividad de procesamiento de datos personales para uno o varios propósitos específicos. La noción de propósito es fundamental. Si la persona interesada, también conocida como persona física, da su consentimiento al procesamiento sin conocer los propósitos específicos en su totalidad y de una manera fácil de comprender, el consentimiento no es una base legal para el procesamiento, ya que debe darse voluntariamente, ser preciso, informado e inequívoco. Además, el consentimiento no puede darse en conjunto. Por lo tanto, la regla general es que se requiere un consentimiento separado para cada actividad de procesamiento de datos dentro de una operación más amplia.
- El procesamiento es necesario para ejecutar o preparar la conclusión de un contrato en el que la persona interesada es parte. Una organización puede referirse a esta base legal si necesita procesar los datos personales de una persona para cumplir con las obligaciones contractuales o porque esa persona ha solicitado a la organización que brinde ciertos servicios antes de firmar un contrato (por ejemplo, hacer una oferta).
- El procesamiento de datos es necesario para cumplir con una obligación legal. Si el controlador tiene una obligación legal para la que es necesario procesar determinados datos personales, entonces el procesamiento está permitido. Este cumplimiento de una obligación legal para la que es necesario el procesamiento y a la que está sujeto el controlador tampoco es nuevo.
- Es necesario procesar los datos para salvar la vida de alguien. Esta base también se conoce como «interés vital». En este caso, no es necesario que la persona física sea una persona interesada; también puede ser otra persona física. El controlador no determina qué es un interés vital. Esta base se refiere más a las circunstancias que pongan en peligro la vida cuando no exista otra base legal para el procesamiento, pero cuando el rechazo de procesar los datos personales resultaría en la muerte de una persona si el procesador no toma medidas y, por lo tanto, necesita conocer algunos datos sobre una persona física que se encuentra en peligro.
- El procesamiento es necesario para realizar una tarea de interés público o para llevar a cabo alguna función oficial. Una organización puede referirse a esta base legal si necesita procesar los datos personales "en el ejercicio de sus funciones oficiales". Esto se refiere a las funciones y poderes públicos definidos por la legislación, o para realizar una tarea específica de interés público definida por la legislación.
- El controlador tiene un interés legítimo en procesar los datos personales de una persona. El tratamiento de datos personales en este contexto puede no estar necesariamente justificado por una obligación legal o llevarse a cabo para ejecutar los términos de un contrato con una persona física. En dichos casos, el procesamiento de los datos personales puede justificarse por motivos de interés legítimo. Por ejemplo, un procesador tiene un interés legítimo cuando el procesamiento tiene lugar en el marco de una relación con un cliente, con fines de marketing directo, para prevenir el fraude o para garantizar la seguridad de la red y de la información de los sistemas informáticos.
¿Cómo funciona el consentimiento según el RGPD?
Existen reglas estrictas sobre el consentimiento de una persona interesada para procesar sus datos:
- El consentimiento debe darse voluntariamente, ser preciso, informado e inequívoco.
- Las solicitudes de consentimiento deben distinguirse claramente de los demás asuntos y presentarse en un lenguaje claro y sencillo.
- Las personas interesadas pueden revocar el consentimiento previamente dado en cualquier momento y usted debe respetar su decisión. No es posible simplemente cambiar la base legal del procesamiento de datos con cualquier otra justificación.
- Se debe conservar la documentación del consentimiento.
¿Cuáles son los derechos individuales en virtud del RGPD?
El RGPD otorga los siguientes derechos a las personas físicas:
- El derecho a ser informado (las personas físicas tienen el derecho a ser informadas sobre el modo en que las empresas recopilan y utilizan sus datos personales, cuánto tiempo tienen previsto conservarlos y con quién los compartirán);
- El derecho de acceso (las personas físicas tienen el derecho a conocer exactamente qué datos han recopilado las empresas, cómo almacenan y procesan esos datos y qué van a hacer con ellos);
- El derecho de rectificación (las personas físicas tienen el derecho a que se completen los datos incompletos y se corrijan los incorrectos);
- El derecho de eliminación (las personas físicas tienen el derecho a que se eliminen definitivamente sus datos personales. También se conoce como el «derecho al olvido»);
- El derecho a restringir el procesamiento (si los individuos no pueden exigir que los controladores eliminen sus datos personales, pueden restringir la capacidad de los controladores para procesar dichos datos);
- El derecho a la portabilidad de los datos (los individuos tienen el derecho a obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios);
- El derecho de oposición (las personas físicas tienen el derecho a oponerse al procesamiento de sus datos personales en determinadas circunstancias);
- El derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles (los individuos tienen el derecho a exigir la intervención humana, en lugar de que algoritmos tomen decisiones importantes).
¿Cuáles son los siete principios del RGPD?
Según el RGPD, existen siete principios fundamentales de protección de datos y responsabilidad:
- Legalidad, equidad y transparencia: el procesamiento debe ser legal, equitativo y transparente para la persona interesada.
- Limitación de la finalidad: los datos deben procesarse para los fines legítimos, explícitamente especificados al interesado a la hora de recopilarlos.
- Minimización de datos: la recopilación y el procesamiento de datos deben limitarse a lo necesario en relación con los fines especificados.
- Precisión: los datos personales deben ser exactos y estar actualizados.
- Limitación de almacenamiento: los datos personales solo pueden conservarse durante el tiempo necesario para el fin especificado.
- Integridad y confidencialidad: el procesamiento debe realizarse de forma que se garantice la seguridad, la integridad y la confidencialidad adecuadas (por ejemplo, utilizando el cifrado).
- Rendición de cuentas: el controlador de datos es responsable de demostrar el cumplimiento del RGPD con todos estos principios.
¿El RGPD exige que los datos personales de los residentes de la UE permanezcan en la UE?
El RGPD no impone una restricción directa para que los datos personales de los residentes de la UE permanezcan únicamente en la UE. Sin embargo, la protección de datos de la UE funciona según el principio de que el RGPD conserva con los datos, lo que significa que las normas que protegen los datos personales siguen aplicándose independientemente de dónde provienen los datos. Este principio también se aplica cuando los datos personales se transfieren a un país que no es miembro de la UE.
Procesamiento de datos en Ajax
¿Ajax procesa mis datos personales?
Sí, Ajax puede procesar sus datos personales. Hay 4 escenarios principales en los que podemos procesar sus datos:
- a través de nuestros dispositivos de seguridad (como Ajax Hub u otros);
- a través de nuestras apps móviles (como Ajax Security System y Ajax PRO: Tool for Engineers) y apps de escritorio (a las que llamamos nuestros Productos o Servicios);
- si visita el sitio web https://ajax.systems/
- en el marco de la cooperación comercial entre usted y Ajax (independientemente de si es un partner o un subcontratista directo o indirecto de Ajax)
¿Qué tipos de datos puede procesar Ajax?
Ajax puede procesar diferentes tipos de datos, en función del escenario de la cooperación con usted.
A través de nuestros dispositivos de seguridad, podemos procesar:
- Información sobre su hub (su modelo y número de serie, la información de red, incluidos la dirección IP, los registros de actividad del dispositivo, la configuración previa y actual del dispositivo, su ubicación).
- Datos ambientales de los dispositivos Ajax, como la temperatura, el nivel de ruido o los datos de movimiento.
Mientras utiliza nuestros Productos o Servicios, podemos procesar:
- Información sobre usted (su nombre, apellido, correo electrónico, número de teléfono y su foto).
- Información que usted comparte con nosotros desde el directorio telefónico de su dispositivo cuando invita a usuarios al Producto (como el correo electrónico o el número de teléfono de una persona a la que invita al Producto).
- Identificadores únicos para nuestros Servicios (como su nombre de usuario y contraseña).
- Identificadores únicos de los usuarios que usted ha conectado al Producto, como el nombre de usuario, el rol del usuario en el Producto y su dirección de correo electrónico; información sobre sus dispositivos móviles y de escritorio, como el tipo de dispositivo, el sistema operativo y el idioma del sistema.
- Datos basados en la ubicación para proporcionarle recordatorios para armar/desarmar el sistema si activa la función de Geofence en nuestra app.
- Para los usuarios de Android e iOS, los SMS con el código de autorización necesario durante la registración o la modificación de la cuenta.
- Información acerca de su uso de nuestros Productos y Servicios (como las solicitudes de la app a nuestro servidor).
Si visita nuestro sitio web, podemos procesar:
- La información que proporciona al completar los formularios, que puede incluir sus datos personales y de contacto.
- ID de cookie (a través de una herramienta conforme al RGPD).
- Su dirección IP para definir el país de su ubicación.
En caso de cooperación comercial, podemos procesar:
- Datos personales y de contacto de los representantes de la empresa (nombre, cargo, correo electrónico y número de teléfono).
¿Cuál es la finalidad y la base legal del procesamiento?
- Todos los datos que recibimos a través de nuestros dispositivos de seguridad o mientras utiliza nuestros Productos o Servicios solo se procesan para proporcionarle los servicios de seguridad solicitados. Esto significa que procesamos todos esos datos para cumplir el compromiso que tenemos con usted. Además, esto significa que no recopilamos datos que no sean específicamente necesarios para prestarle dichos servicios.
- Si decide suscribirse a nuestro boletín o newsletter, le enviaremos correos electrónicos con información acerca de nosotros y nuestras actualizaciones más recientes. Nos amparamos en su consentimiento, el cual nos proporciona al confirmar su suscripción. Además, personalizaremos estos correos electrónicos en función de la información que tenemos sobre usted, para que sean más pertinentes y más útiles para usted.
- Si ha compartido los registros de operaciones desde su app, en el caso de que hubiera tenido algún problema, los procesaremos para resolver su problema técnico y para mejorar nuestros Productos y Servicios. Los procesamos en función de nuestros intereses legítimos para hacer nuestros ofrecimientos comerciales más competitivos.
- Utilizamos los datos que usted comparte con nosotros desde el directorio telefónico de su dispositivo cuando usted invita a usuarios al Producto (como el correo electrónico o el número de teléfono de una persona a la que invita al Producto) para enviar la invitación solamente a tales personas.
¿Dónde se almacena la información?
Todos los tipos de datos que Ajax pueda recopilar de usted se almacenan en el almacenamiento en la nube ubicado en Irlanda, Alemania y Francia (dentro del EEE); la elección de dónde almacenar los datos (en Irlanda, Alemania y Francia) está sujeta a la disponibilidad de la infraestructura de AWS.
¿Durante cuánto tiempo se almacena la información?
Todos los datos se almacenan durante toda la relación con el cliente, excepto la memoria de notificaciones push que está limitada a 500 transacciones. Para el historial de eventos de la cuenta PRO Desktop, la duración del almacenamiento de notificaciones de eventos es de 2 años. Sin embargo, algunos tipos de datos (como el nombre de los representantes, su cargo y los datos de contacto mencionados en los contratos) pueden almacenarse durante un periodo superior al de cooperación para cumplir nuestras obligaciones legales.
Tipo de datos | Propósito de procesamiento | Base legal | Periodo de almacenamiento |
Información sobre el hub (su modelo y número de serie, la información de red, incluidos los registros de actividad del dispositivo, la configuración previa y actual del dispositivo, su ubicación) | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Contrato, en el caso de soporte de técnico, un interés legítimo | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Identificadores únicos (nombre de usuario y contraseña) | Autorización del usuario | Contrato | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Datos basados en la ubicación | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Contrato y/o interés legítimo | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Información acerca de su uso de nuestros Productos y Servicios (como las solicitudes de la app a nuestro servidor) | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Contrato | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
La información que proporciona al completar los formularios, que puede incluir datos personales y de contacto | Comunicación, servicios de entrega de productos, promociones de marketing | Consentimiento | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Dirección IP | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Contrato o consentimiento | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Nombre, apellido y datos de contacto | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Consentimiento | Durante todo el período de la relación con el cliente o hasta el momento de su eliminación solicitada/realizada por parte del usuario. Almacenamiento de copias de seguridad durante 12 meses |
Fotos tomadas a través de los dispositivos Ajax | Para garantizar el correcto funcionamiento del hub, de los dispositivos y de las apps | Contrato | -App móvil: el periodo de conservación de los archivos multimedia para las cuentas de usuario y PRO es de 2 años. Es posible que las fotos se eliminen antes junto con los eventos correspondientes si se alcanza el límite de eventos de la app móvil (500 eventos). -Ajax PRO Desktop (cuenta de la empresa): depende de la configuración (de 7 días a 2 años). -Ajax Translator no almacena las imágenes; sin embargo, los enlaces están activos durante 7 días desde el momento de su generación |
¿Quién tiene acceso al sistema y a la información por parte de Ajax?
Ajax sigue los principios de minimización de la disponibilidad y de los mínimos privilegios en el acceso a los datos. Por lo tanto, el acceso a los datos solo podrá otorgarse a los empleados de Ajax encargados de apoyar el proceso de prestación de los servicios y de los proyectos. Cuando los empleados de Ajax acceden a los datos, su equipamiento está protegido mediante el cifrado y otras herramientas, tal como exigen las normas técnicas más exigentes del mercado. Todos los empleados han firmado un acuerdo de confidencialidad y realizan anualmente una evaluación de la protección de datos. Todas las acciones de los empleados quedan registradas, y los registros se comprueban automáticamente en tiempo real. En caso de sospecha de acceso excesivo, restringimos el acceso y comenzamos inmediatamente a investigar el caso. Sin embargo, tenga en cuenta que Ajax nunca accede a los datos a menos que exista una base legal para hacerlo. En algunos casos, Ajax puede ser encargado por un usuario (bajo su propia responsabilidad) de otorgar acceso a los datos del usuario a terceros proveedores asignados por el usuario (compañías de seguridad, instaladores) a través de las apps móviles o de escritorio. En dichos casos, las empresas elegidas por el usuario también tendrán acceso a los datos que el usuario quiere que se transfieran.
¿Qué medidas toma Ajax para cumplir con la legislación internacional de protección de datos? ¿Cómo Ajax demuestra el cumplimiento del RGPD?
Para cumplir con las leyes internacionales de protección de datos, Ajax toma un número considerable de medidas, mecanismos y procedimientos. Por ejemplo, Ajax aplica los principios de limitación del procesamiento de datos (privacidad por diseño y por defecto), minimización de datos, control de acceso, políticas de procesamiento de datos (políticas de almacenamiento, procesamiento, eliminación, etc.). Durante la transferencia de datos, Ajax utiliza varias medidas, incluidas las medidas de organización y técnicas y las cláusulas contractuales estándar. Encontrará más información al respecto en la sección Transferencia de datos.
¿Cómo puedo ejercer mi derecho a la privacidad?
Para ejercer sus derechos a la privacidad (eliminar, oponerse o ser informado sobre sus datos personales, restringir el procesamiento, etc.), puede ponerse en contacto con nosotros a través del correo electrónico support@ajax.systems.
Transferencia de datos
¿Con quién Ajax puede compartir mis datos? ¿Qué tipos de datos pueden compartirse y en qué casos?
En general, solo podemos compartir sus datos personales cuando sea necesario para prestarle los servicios solicitados. Dichos datos pueden ser comunicados a nuestros proveedores y prestadores de servicios, quienes proporcionan ciertos servicios para que nuestros Productos y Servicios funcionen. Estos servicios incluyen el alojamiento de datos, la asistencia técnica, la comunicación, etc. Nos aseguraremos de que dichos proveedores traten sus datos personales con el mismo cuidado que nosotros.
Podemos compartir sus datos de contacto (como el número de teléfono celular, el apodo y el correo electrónico) con los proveedores de servicios de seguridad física si usted nos lo solicita seleccionando dicho proveedor en nuestra app. Tenga en cuenta que esos proveedores de servicios controlarán los datos por cuenta propia, siendo responsables de sus datos personales. A pesar de que elegimos partners de confianza para ofrecer en nuestra app, recomendamos revisar sus políticas de privacidad antes de solicitarnos la transferencia de sus datos a las empresas seleccionadas.
Para determinadas necesidades, Ajax puede utilizar los servicios de terceros sub-procesadores fuera del EEE. Dichas necesidades pueden incluir el alojamiento de datos, la comunicación técnica para la registración, la instalación y otras actividades de organización por correo electrónico o teléfono.
Ajax hace todo lo posible para garantizar que dichas transferencias se realicen de conformidad con todas las leyes de protección de datos pertinentes. Por lo tanto, Ajax ha firmado los acuerdos de procesamiento de datos (DPA) con todos los sub-procesadores (incluidas las cláusulas contractuales tipo (SCC) en caso de transferencias transfronterizas de datos), así como medidas complementarias adicionales que tienen lugar en las transferencias y el procesamiento de datos. Todos los sub-procesadores de Ajax tienen sus propias políticas de privacidad y otros documentos relacionados con la privacidad que son revisados con regularidad por los profesionales de Ajax para garantizar su cumplimiento.
Lista de los sub-procesadores aprobados por Ajax:
Servicio | Proveedor | Finalidad de uso | Enlace a la política de privacidad y al DPA |
AWS | Amazon | Alojamiento de datos y copias de seguridad | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | SMS programables | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Comunicación programable por correo electrónico | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Servicio de correo electrónico transaccional | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Proveedor de servicios de bases de datos | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Análisis, mejora del servicio | https://policies.google.com/privacy |
¿Qué son las cláusulas contractuales tipo?
Las cláusulas contractuales tipo (SCC) son modelos normalizados y preaprobados de cláusulas de protección de datos que permiten a los controladores y a los procesadores cumplir con sus obligaciones de acuerdo con la legislación de protección de datos de la UE. Pueden ser incluidas por los controladores y los procesadores en sus acuerdos contractuales con otras partes, como los partners comerciales. Las cláusulas se pueden utilizar de forma voluntaria para demostrar el cumplimiento de los requisitos de protección de datos que requieren una obligación contractual vinculante para su cumplimiento. La Comisión Europea tiene el poder de adoptar las CCT (1) relativas a la relación entre los controladores y los procesadores y (2) a la transferencia de datos personales a países fuera del EEE.
¿Qué son las medidas complementarias?
Las medidas complementarias son procedimientos técnicos y de organización especialmente implementados que se utilizan para lograr un nivel efectivo de garantía sobre los datos transferidos equivalente al procesamiento de los datos en el EEE.
Ajax ha implementado, entre otras, las siguientes medidas de organización:
- formación y tests regulares de los empleados de Ajax;
- un sistema automatizado para monitorear violaciones y vulnerabilidades en tiempo real;
- registro continuo de todos los procesos;
- inspección y validación regulares y personalizadas del sistema Ajax para detectar las vulnerabilidades.
Ajax ha implementado, entre otras, las siguientes medidas técnicas:
- Medidas para impedir que las personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en los locales y las instalaciones (incluidas las bases de datos, los servidores de apps y el hardware relacionado), donde se procesan los datos personales, incluida la creación de zonas de seguridad, la restricción de las vías de acceso, la creación de autorizaciones de acceso para los empleados y los terceros, el bloqueo de las puertas (abrepuertas eléctricos, etc.).
- Medidas para impedir que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas, incluidos los procedimientos de identificación y autenticación de los usuarios, los procedimientos de seguridad de ID/contraseñas y el cifrado de los soportes de datos archivados.
- Medidas para garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos solo accedan a dichos datos personales de conformidad con sus permisos de acceso, y que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización, incluidas las políticas y los procedimientos internos, los sistemas de autorización de control, los derechos de acceso diferenciados (perfiles, roles, transacciones y objetos), la monitorización y el registro de los accesos, las medidas disciplinarias contra los empleados que accedan a los datos personales sin autorización.
- Medidas para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes (manuales o electrónicos), y para verificar a qué empresas u otras entidades jurídicas se revelan los datos personales, incluidos el cifrado, el registro y la seguridad del transporte. Todos los datos personales son cifrados con el algoritmo SHA256 en reposo y son sujetos a la transferencia vía HTTPS con el cifrado SHA128 y TLS 1.2.
- Medidas para monitorizar si los datos se han introducido, modificado o eliminado (borrado) y quién lo ha hecho, de los sistemas de procesamiento de datos, incluidos los sistemas de registro y reporte, las pistas de auditoría y la documentación.
- Medidas para garantizar que los datos personales están protegidos contra la destrucción o la pérdida accidental (física/lógica), incluidos los procedimientos de copia de seguridad, los sistemas de alimentación ininterrumpida (SAI), el almacenamiento remoto, los sistemas antivirus/firewall, el plan de recuperación ante desastres, el plan de desarrollo sostenible de la empresa.
- Medidas para garantizar que los datos personales recopilados para diferentes fines puedan procesarse por separado, incluida la separación de bases de datos, la limitación del uso, la separación de las funciones (producción/tests).
¿Qué es una evaluación del impacto de la transferencia de datos?
Una evaluación del impacto de la transferencias (TIA) es un análisis realizado por un controlador o un procesador de datos sobre las implicaciones para la seguridad de una transferencia de datos personales a países no pertenecientes a la UE ni al EEE, o que se benefician de una decisión de adecuación.