El 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) se convirtió en ley en todos los estados miembros de la Unión Europa. El nuevo Reglamento reemplazará a la actual Ley Orgánica de Protección de Datos (​Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal​), la cual fue elaborada en un momento en el que casi todo el tratamiento de datos aún se hacía sobre documentos en papel. Además había un entendimiento limitado del impacto que la tecnología tendría sobre nuestra forma de tratar los datos.

El RGPD está diseñado para ofrecer una legislación efectiva para el Tratamiento de datos en el siglo XXI. Sus principios fundamentales son prácticamente iguales a los de la Ley Orgánica de Protección de Datos existente. No obstante, se han realizado cambios y mejoras clave que es importante entender si se quiere cumplir con la nueva ley.

En este documento repasaremos con usted algunos puntos clave del RGPD y cómo los vamos a implementar como Encargados del tratamiento de sus Datos. Tenga en cuenta que este documento ​solo​ detalla cómo maneja sus datos Commify Iberia S.L. como su ​Encargado del tratamiento​. Para evitar dudas, nos referimos a los datos que nos transfiere con el propósito de transmitir comunicaciones. A dichos datos nos referiremos en este documento como “datos del usuario final”, que son los datos que usted controla y contrata con Nosotros para procesar en su nombre. Si desea obtener más información acerca de cómo procesamos sus datos como Responsable del tratamiento, puede ver nuestra Política de Privacidad en nuestra página web.

Consentimiento

Es uno de los fundamentos legales para el tratamiento de datos y bajo la LOPD, probablemente el fundamento más común para su tratamiento. Bajo el RGPD, los requisitos para usar el consentimiento como su derecho fundamental han sido establecidos en un nivel superior a cualquiera anterior. El consentimiento debe ser obtenido, registrado y gestionado de una forma mucho más detallada que bajo la LOPD.  

El servicio que le proporcionamos establece que Commify Iberia S.L. es el Encargado del tratamiento de la información que usted comparte con nosotros con el propósito de transmitir comunicaciones y usted es el Responsable del tratamiento.  

Commify Iberia S.L. actúa siguiendo solo sus instrucciones y procesa sus datos para enviar comunicaciones a sus usuarios finales. Commify Iberia S.L. no obtiene, registra ni gestiona consentimientos de los interesados en su nombre. Es su responsabilidad como Responsable del tratamiento asegurarse de que tiene y puede acreditar, cuando sea necesario, los registros de consentimiento del interesado que sean necesarios para que nosotros transmitamos comunicaciones usando la información que nos proporcione. Nosotros no interactuamos directamente con sus usuarios finales como Commify Iberia S.L. Todas las comunicaciones serán enviadas siguiendo sus instrucciones como si viniesen directamente de usted y somos “transparentes” en el proceso de entrega de comunicaciones.

Conservación de datos  

Commify Iberia S.L. entiende que una conservación excesiva de datos no cumple con las normas aplicables de Protección de datos antiguas ni con las nuevas. Por lo tanto, Commify Iberia S.L. conservará sus datos de mensajería por un periodo no superior a seis (6) años desde la fecha en la que envía la comunicación (salvo que se diga lo contrario).

Los campos que contengan Datos identificables personalmente (PID) son redactados tras el periodo de conservación, antes de ser eliminados permanentemente. Los datos de mensajería están limitados al número de móvil y al contenido del mensaje.  

El almacenamiento de Datos personales se realiza en entornos seguros y de acceso controlado, separados del resto de redes de trabajo de Commify Iberia S.L.

Medidas para la protección de los datos

Como resumen ilustrativo más detallado, Commify Iberia S.L. ha tomado las siguientes medidas, entre otras:  

Control de Acceso

Cortafuegos

Usamos cortafuegos en todos los elementos de nuestra infraestructura con acceso Internet para proteger los datos y controlar el tráfico que entra y sale de nuestra empresa. Los cortafuegos además están activados en todas las terminales de los empleados en todo momento.

Equipamiento seguro, incluidos ordenadores portátiles y teléfonos móviles

Datos en tránsito / Cifrado

Copia de seguridad, recuperación en caso de desastre y continuidad del negocio

Programamos y realizamos copias de seguridad regularmente para garantizar que todos los datos están almacenados a salvo, de forma segura y están disponibles para ser recuperados ante una situación de desastre.

Supervisión

Educación y formación de los empleados

Riesgos

Commify Iberia S.L. evalúa continuamente todos los riesgos. Las evaluaciones de riesgos detallan planes de tratamiento que actúan como recomendaciones para ayudar a que el negocio reduzca el impacto y/o la probabilidad del riesgo identificado. Los riesgos y los planes de tratamiento son revisados regularmente, evaluamos riesgos relacionados con nuestros sistemas, personal, bienes y actividades operativas. Commify Iberia S.L. ha identificado esta como un área que también está adherida al principio de mejora constante.

Usamos programas empresariales para la gestión de riesgos para apoyar y mejorar nuestro enfoque hacia la gestión de riesgos. Identificamos las dependencias como riesgos para nuestro negocio y los objetivos de seguridad mediante registros de riesgos, con actividades planteadas para solventar estos riesgos de manera efectiva.

Notificación de violaciones de la seguridad

Commify Iberia S.L. sigue todas las medidas anteriores para proteger sus datos como parte de sus actividades de Tratamiento de datos. En caso de una violación de la seguridad de los datos, le informaremos en las 24 horas siguientes al conocimiento de que algún problema de seguridad ha conducido a una filtración de datos que incluya algún dato del cliente.  

También hemos:  

Delegados de protección de datos

Commify Iberia S.L. tiene un equipo exclusivo que se encarga de todas la preguntas, solicitudes, problemas y consultas relacionadas con la Protección de datos en toda la organización. Commify Iberia S.L. actualmente no tiene la obligación de tener un Delegado de protección de datos (DPO) bajo el criterio establecido en el RGPD. Sin embargo, esta posición será revisada regularmente.

Cualquier pregunta que tenga relacionada con la Protección de datos puede planteársela a su gestor de cuenta. Las solicitudes de acceso están detalladas en la siguiente sección.  

Derechos de los interesados

Como Encargado del tratamiento, Commify Iberia S.L. no responderá directamente a solicitudes realizadas por alguno de nuestros clientes cuyos datos hayamos procesado. Contactaremos con usted para hacerle consciente de la solicitud y le ayudaremos a la hora de cumplir sus obligaciones con el RGPD. Estos son ejemplos de cómo le podemos ayudar a cumplir con los derechos de un interesado:

Solicitudes de acceso del interesado

Es un derecho que proviene de la LOPD, que debería ser un concepto familiar para la mayoría de Responsables del tratamiento. Cambios clave bajo el RGPD:  

Los datos que usted haya transferido a Commify Iberia S.L. pueden ser puestos a su disposición por este motivo, dando por hecho que aún los tenemos almacenados Nosotros. Puede presentar Solicitudes de acceso del interesado a Commify Iberia S.L. mediante comunicación escrita a contacto@smsup.es​. ​Hay una coste asociado a peticiones de esta naturaleza- por favor, contacte con su gestor de cuenta para saber más. Las Solicitudes de acceso del interesado serán aceptadas en los 30 días siguientes a la recepción de su solicitud.

Derecho al olvido y borrado de datos

Se ha hablado mucho de las mejoras a este derecho bajo la RGPD, que le proporcionará a las personas interesadas el derecho a pedir que su información sea borrada si se oponen al tratamiento, o si retiran su consentimiento. En España, este derecho ha sido usado para corregir información incorrecta sobre los interesados, por ejemplo, en resultados de búsquedas de Google. Aunque las mejoras no proporcionan un derecho absoluto al olvido, el resultado serán más solicitudes de borrado de datos recibidas por los Responsables del tratamiento. Puede realizar solicitudes de borrado de datos específicos a su gestor de cuenta.  

Registros de la actividad del tratamiento

Commify Iberia S.L. es un Encargado del tratamiento de toda la información del cliente. Como tal, solo tratamos sus datos siguiendo sus instrucciones y con la intención de proporcionarle el servicio de comunicaciones que forma parte del cumplimiento del contrato entre Usted y Nosotros. La única intención de nuestras actividades de tratamiento es la transmisión y la entrega de comunicaciones a sus usuarios finales.

Mantenemos un registro de todos los mensajes que enviamos en su nombre acorde con nuestra política de conservación de datos. Como se detalla en la sección de Conservación de datos, esto se hará durante no más de 6 años desde la fecha en la que la comunicación sea enviada.

Transferencias a terceros

Commify Iberia S.L. le pasa su información a operadores de red con la intención de entregar sus comunicaciones a los terminales móviles de los Usuarios finales o al Equipo de terminación de red. Este tipo de transferencia es intrínseca a la provisión de nuestros productos y servicios.

Respecto a las redes de terceros que usamos, hemos realizado la auditoría con la diligencia debida para garantizar que cada proveedor ha tomado las medidas técnicas y organizativas adecuadas requeridas para ofrecer estándares de seguridad que sean sustancialmente similares a aquellos descritos en este documento para nuestras propias infraestructuras.  

También hemos iniciado (o estamos en el proceso de iniciar) contratos con todos los terceros que garanticen las obligaciones de protección de datos por parte de todas las partes y amplíen los requisitos mínimos detallados en cualquier Acuerdo de tratamiento de datos entre Usted y Nosotros con nuestros proveedores.  

Contratos para el Tratamiento de Datos

Commify Iberia S.L. ha elaborado un Contrato para el tratamiento de datos (DPA) que puede ser usado por nuestros clientes para asegurarse de que usted cumple con sus obligaciones como Responsable del tratamiento bajo la RGPD. Nuestro DPA está a disposición bajo petición de su gestor de cuenta y forma parte de nuestros actualizados ​términos y condiciones​.

Mapas de datos

Como parte de nuestro marco de protección de la privacidad, Commify Iberia S.L. ha realizado mapeados exhaustivos de los datos de nuestros sistemas para proporcionar “Ciclos de Vida de la Información” de todos los PID que tratamos y controlamos. Versiones para el cliente de nuestros mapeados de los datos serán elaborados durante las siguientes semanas y estarán disponibles previa petición para ayudarle a cumplir con sus obligaciones bajo el principio de responsabilidad del RGPD. Podrá plantearle peticiones a su gestor de cuenta, quien podrá compartir mapas de datos específicos de Nuestros productos y servicios que Usted usa.

Evaluaciones del impacto del tratamiento de datos (DPIA)

Entendemos que determinados tipos de tratamientos pueden requerir que nuestros clientes completen un DPIA para demostrar que han considerado los derechos y libertades de los interesados antes de ponerse con sus actividades de tratamiento propuestas. Commify Iberia S.L. es un proveedor de servicios para comunicaciones empresariales y no tiene visibilidad del contenido que usted envía mediante nuestra plataforma. Si sus actividades de tratamiento son consideradas de alto riesgo, o si está tratando categorías especiales de datos, tal vez requiera nuestra contribución a su DPIA. Por favor, diríjase a su gestor de cuenta para cualquier consulta de esta naturaleza.