Declaración sobre la Seguridad de la Información

El 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) se convirtió en ley en todos los estados miembros de la Unión Europa. El nuevo Reglamento reemplazará a la actual Ley Orgánica de Protección de Datos (​Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal​), la cual fue elaborada en un momento en el que casi todo el tratamiento de datos aún se hacía sobre documentos en papel. Además había un entendimiento limitado del impacto que la tecnología tendría sobre nuestra forma de tratar los datos.

El RGPD está diseñado para ofrecer una legislación efectiva para el Tratamiento de datos en el siglo XXI. Sus principios fundamentales son prácticamente iguales a los de la Ley Orgánica de Protección de Datos existente. No obstante, se han realizado cambios y mejoras clave que es importante entender si se quiere cumplir con la nueva ley.

En este documento repasaremos con usted algunos puntos clave del RGPD y cómo los vamos a implementar como Encargados del tratamiento de sus Datos. Tenga en cuenta que este documento ​solo​ detalla cómo maneja sus datos Commify Iberia S.L. como su ​Encargado del tratamiento​. Para evitar dudas, nos referimos a los datos que nos transfiere con el propósito de transmitir comunicaciones. A dichos datos nos referiremos en este documento como “datos del usuario final”, que son los datos que usted controla y contrata con Nosotros para procesar en su nombre. Si desea obtener más información acerca de cómo procesamos sus datos como Responsable del tratamiento, puede ver nuestra Política de Privacidad en nuestra página web.

Consentimiento

Es uno de los fundamentos legales para el tratamiento de datos y bajo la LOPD, probablemente el fundamento más común para su tratamiento. Bajo el RGPD, los requisitos para usar el consentimiento como su derecho fundamental han sido establecidos en un nivel superior a cualquiera anterior. El consentimiento debe ser obtenido, registrado y gestionado de una forma mucho más detallada que bajo la LOPD.  

El servicio que le proporcionamos establece que Commify Iberia S.L. es el Encargado del tratamiento de la información que usted comparte con nosotros con el propósito de transmitir comunicaciones y usted es el Responsable del tratamiento.  

Commify Iberia S.L. actúa siguiendo solo sus instrucciones y procesa sus datos para enviar comunicaciones a sus usuarios finales. Commify Iberia S.L. no obtiene, registra ni gestiona consentimientos de los interesados en su nombre. Es su responsabilidad como Responsable del tratamiento asegurarse de que tiene y puede acreditar, cuando sea necesario, los registros de consentimiento del interesado que sean necesarios para que nosotros transmitamos comunicaciones usando la información que nos proporcione. Nosotros no interactuamos directamente con sus usuarios finales como Commify Iberia S.L. Todas las comunicaciones serán enviadas siguiendo sus instrucciones como si viniesen directamente de usted y somos “transparentes” en el proceso de entrega de comunicaciones.

Conservación de datos  

Commify Iberia S.L. entiende que una conservación excesiva de datos no cumple con las normas aplicables de Protección de datos antiguas ni con las nuevas. Por lo tanto, Commify Iberia S.L. conservará sus datos de mensajería por un periodo no superior a seis (6) años desde la fecha en la que envía la comunicación (salvo que se diga lo contrario).

Los campos que contengan Datos identificables personalmente (PID) son redactados tras el periodo de conservación, antes de ser eliminados permanentemente. Los datos de mensajería están limitados al número de móvil y al contenido del mensaje.  

El almacenamiento de Datos personales se realiza en entornos seguros y de acceso controlado, separados del resto de redes de trabajo de Commify Iberia S.L.

Datos de registro

Como parte de nuestro proceso de registro, usamos una herramienta de terceros llamada Sift para evaluar la legitimidad de la información de registro que envía un usuario. Procesamos una combinación de las categorías de datos de la cuenta y de las categorías de datos de uso para llevar a cabo este análisis y tomar una decisión sobre si un usuario puede acceder a nuestra plataforma y servicios en función del resultado que recibamos de Sift.

Además de los datos de la cuenta y de uso, Sift también procesará identificadores basados en hardware, identificadores del dispositivo, información y metadatos sobre el dispositivo. Puede encontrar la política de privacidad completa de Sift aquí: https://sift.com/legal-and-compliance

Procesamos estos datos con el fin de proteger nuestros servicios, sistemas, usuarios y negocio del uso fraudulento e indebido. El fundamento jurídico para este procesamiento es adoptar medidas para formalizar un contrato según su solicitud y nuestros intereses legítimos, es decir, garantizar la seguridad continuada de nuestro sitio web y servicios.

Medidas para la protección de los datos

Como resumen ilustrativo más detallado, Commify Iberia S.L. ha tomado las siguientes medidas, entre otras:  

Control de Acceso

  • El acceso a todos los sistemas por parte de los empleados está controlado por un nombre de usuario y una contraseña única. Commify Iberia S.L. tiene una Política de contraseñas que fija unos requisitos de complejidad mínimos y procedimientos para garantizar que todo el personal cambia las contraseñas regularmente
  • En Commify Iberia S.L. cualquier acceso se realiza conforme a la política de “privilegio mínimo”, ya que los empleados solo tienen acceso a la cantidad mínima de datos que necesitan para realizar su trabajo.
  • El acceso a datos de los clientes es estrictamente limitado como resultado de nuestra política de «privilegios mínimos». Cualquier acceso se revisa frecuentemente para garantizar que todos los equipos correspondientes cumplen con los nuevos procedimientos para el personal que empieza, se transfiere o acaba.  

Cortafuegos

Usamos cortafuegos en todos los elementos de nuestra infraestructura con acceso Internet para proteger los datos y controlar el tráfico que entra y sale de nuestra empresa. Los cortafuegos además están activados en todas las terminales de los empleados en todo momento.

Equipamiento seguro, incluidos ordenadores portátiles y teléfonos móviles

  • Todos los ordenadores portátiles y teléfonos móviles tienen los discos totalmente cifrados y están protegidos por contraseña individualmente. Toda la documentación creada por Commify Iberia S.L. debe ser almacenada en un almacenamiento en línea seguro, nunca en terminales de los empleados.
  • Los datos de los clientes solo se almacena dentro de los entornos de producción de Commify Iberia S.L. Los empleados de Commify Iberia S.L. no almacenan datos de clientes en sus terminales ni tratan datos fuera de nuestros entornos de producción seguros. Debido a que casi todo el personal usa ordenadores portátiles, generalmente no se necesitan dispositivos de almacenamiento extraíbles. En caso de ser usado, el dispositivo de almacenamiento extraíble está sujeto a los mismos controles de nuestra política para dispositivos móviles y de datos de clientes  
  • Hacemos conscientes a los empleados de los riesgos de sacar el equipo de la empresa fuera de las oficinas y de la importancia de proteger su propio equipo.

Datos en tránsito / Cifrado

  • Sus conexiones a nuestros sistemas se protegen dependiendo del método usado:
    • Si se conecta a nosotros mediante nuestras aplicaciones web, la conexión será cifrada y autentificada usando TSL 1.2.  
    • Si se conecta a nosotros usando alguna de nuestras API, la seguridad de la conexión dependerá de su integración. Le recomendamos encarecidamente que use HTTPS en sus integraciones a nosotros, en lugar de HTTP.  

Copia de seguridad, recuperación en caso de desastre y continuidad del negocio

Programamos y realizamos copias de seguridad regularmente para garantizar que todos los datos están almacenados a salvo, de forma segura y están disponibles para ser recuperados ante una situación de desastre.

  • Se realizan diariamente copias de seguridad completas de los servidores y de las bases de datos.
  • Las copias de seguridad se conservan en nuestro Centro de datos de recuperación en caso de desastre
  • Tenemos planes para la continuidad de negocio y para la recuperación de datos en caso de desastre para garantizar que podemos minimizar los daños al negocio ante un problema grave que afecte al personal, a las oficinas, a los equipos y ubicaciones del centro de datos.

Supervisión

  • Nuestra plataforma es supervisada constantemente por nuestro equipo de operaciones. Commify Iberia S.L. tiene un equipo de guardia dedicado que garantiza que todas las plataformas son supervisadas las 24 horas del día, los 365 días del año. Cualquier incidencia será comunicada a la parte interesada y estará sujeta a nuestros robustos procedimientos de gestión de incidentes para garantizar que nuestros bienes permanecen seguros y libre de errores.
  • Nos suscribimos a medios que informan sobre vulnerabilidades en la industria y revisamos todas las vulnerabilidades conocidas por la industria regularmente, siendo las nuevas amenazas evaluadas diariamente. Cuando descubrimos que estamos usando algún componente potencialmente vulnerable, este riesgo es evaluado en el contexto de nuestras operaciones y entorno de negocio y, si procede, solucionamos el problema lo antes posible.

Educación y formación de los empleados

  • Todos los empleados;
    • Están sujetos a un escrutinio estricto previo a su contratación acorde con nuestra Política de contratación. Deben completar con éxito múltiples test de aptitud y superar cierto número de controles que se llevan a cabo antes de hacerles una oferta de trabajo completa. Estos controles incluyen: educación, vida laboral, derecho a trabajar y comprobación de antecedentes penales. Deben superar controles adicionales para determinados puestos: por ejemplo, para los relacionados con las finanzas.
    • Son formados acerca de la importancia de la seguridad de los datos en Commify Iberia S.L. y se les enseñan las medidas que tienen que tomar para proteger sus datos personales, los de la empresa y los de los clientes como parte de su proceso de reclutamiento y cada mes como parte de nuestra iniciativa de aprendizaje electrónico.
    • Todo el personal tiene obligaciones de confidencialidad establecidas con claridad como parte de su contrato de trabajo.

Riesgos

Commify Iberia S.L. evalúa continuamente todos los riesgos. Las evaluaciones de riesgos detallan planes de tratamiento que actúan como recomendaciones para ayudar a que el negocio reduzca el impacto y/o la probabilidad del riesgo identificado. Los riesgos y los planes de tratamiento son revisados regularmente, evaluamos riesgos relacionados con nuestros sistemas, personal, bienes y actividades operativas. Commify Iberia S.L. ha identificado esta como un área que también está adherida al principio de mejora constante.

Usamos programas empresariales para la gestión de riesgos para apoyar y mejorar nuestro enfoque hacia la gestión de riesgos. Identificamos las dependencias como riesgos para nuestro negocio y los objetivos de seguridad mediante registros de riesgos, con actividades planteadas para solventar estos riesgos de manera efectiva.

Notificación de violaciones de la seguridad

Commify Iberia S.L. sigue todas las medidas anteriores para proteger sus datos como parte de sus actividades de Tratamiento de datos. En caso de una violación de la seguridad de los datos, le informaremos en las 24 horas siguientes al conocimiento de que algún problema de seguridad ha conducido a una filtración de datos que incluya algún dato del cliente.  

También hemos:  

  • Implementado medidas de seguridad en nuestros sistemas informáticos, redes de trabajo, y prácticas generales del negocio para detectar y responder a problemas de seguridad de una manera efectiva.
  • Elaborado un Procedimiento de respuesta a incidentes para responder a todos los incidentes y hemos formado a todo el personal acerca de cómo responder en caso de incidente.
  • Definido las comunicaciones con el cliente en caso de incidente.  

Delegados de protección de datos

Commify Iberia S.L. tiene un equipo exclusivo que se encarga de todas la preguntas, solicitudes, problemas y consultas relacionadas con la Protección de datos en toda la organización. Commify Iberia S.L. actualmente no tiene la obligación de tener un Delegado de protección de datos (DPO) bajo el criterio establecido en el RGPD. Sin embargo, esta posición será revisada regularmente.

Cualquier pregunta que tenga relacionada con la Protección de datos puede planteársela a su gestor de cuenta. Las solicitudes de acceso están detalladas en la siguiente sección.  

Derechos de los interesados

Como Encargado del tratamiento, Commify Iberia S.L. no responderá directamente a solicitudes realizadas por alguno de nuestros clientes cuyos datos hayamos procesado. Contactaremos con usted para hacerle consciente de la solicitud y le ayudaremos a la hora de cumplir sus obligaciones con el RGPD. Estos son ejemplos de cómo le podemos ayudar a cumplir con los derechos de un interesado:

Solicitudes de acceso del interesado

Es un derecho que proviene de la LOPD, que debería ser un concepto familiar para la mayoría de Responsables del tratamiento. Cambios clave bajo el RGPD:  

  • Marco temporal: Los Responsables del tratamiento ahora tienen un mes natural para responder a una Solicitud de acceso del interesado, que antiguamente eran 40 días naturales
  • Costes: Bajo la LOPD, los Responsables pueden aplicar un «coste razonable» a cualquier Solicitud de acceso del interesado. Esto ha sido cambiado en el RGPD y la primera copia de los datos solicitados por un interesado debe serle entregada de forma gratuita. Los Responsables pueden aplicar un coste razonable para las subsiguientes copias.

Los datos que usted haya transferido a Commify Iberia S.L. pueden ser puestos a su disposición por este motivo, dando por hecho que aún los tenemos almacenados Nosotros. Puede presentar Solicitudes de acceso del interesado a Commify Iberia S.L. mediante comunicación escrita a contacto@smsup.es​. ​Hay una coste asociado a peticiones de esta naturaleza- por favor, contacte con su gestor de cuenta para saber más. Las Solicitudes de acceso del interesado serán aceptadas en los 30 días siguientes a la recepción de su solicitud.

Derecho al olvido y borrado de datos

Se ha hablado mucho de las mejoras a este derecho bajo la RGPD, que le proporcionará a las personas interesadas el derecho a pedir que su información sea borrada si se oponen al tratamiento, o si retiran su consentimiento. En España, este derecho ha sido usado para corregir información incorrecta sobre los interesados, por ejemplo, en resultados de búsquedas de Google. Aunque las mejoras no proporcionan un derecho absoluto al olvido, el resultado serán más solicitudes de borrado de datos recibidas por los Responsables del tratamiento. Puede realizar solicitudes de borrado de datos específicos a su gestor de cuenta.  

Registros de la actividad del tratamiento

Commify Iberia S.L. es un Encargado del tratamiento de toda la información del cliente. Como tal, solo tratamos sus datos siguiendo sus instrucciones y con la intención de proporcionarle el servicio de comunicaciones que forma parte del cumplimiento del contrato entre Usted y Nosotros. La única intención de nuestras actividades de tratamiento es la transmisión y la entrega de comunicaciones a sus usuarios finales.

Mantenemos un registro de todos los mensajes que enviamos en su nombre acorde con nuestra política de conservación de datos. Como se detalla en la sección de Conservación de datos, esto se hará durante no más de 6 años desde la fecha en la que la comunicación sea enviada.

Transferencias a terceros

Commify Iberia S.L. le pasa su información a operadores de red con la intención de entregar sus comunicaciones a los terminales móviles de los Usuarios finales o al Equipo de terminación de red. Este tipo de transferencia es intrínseca a la provisión de nuestros productos y servicios.

Respecto a las redes de terceros que usamos, hemos realizado la auditoría con la diligencia debida para garantizar que cada proveedor ha tomado las medidas técnicas y organizativas adecuadas requeridas para ofrecer estándares de seguridad que sean sustancialmente similares a aquellos descritos en este documento para nuestras propias infraestructuras.  

También hemos iniciado (o estamos en el proceso de iniciar) contratos con todos los terceros que garanticen las obligaciones de protección de datos por parte de todas las partes y amplíen los requisitos mínimos detallados en cualquier Acuerdo de tratamiento de datos entre Usted y Nosotros con nuestros proveedores.  

Contratos para el Tratamiento de Datos

Commify Iberia S.L. ha elaborado un Contrato para el tratamiento de datos (DPA) que puede ser usado por nuestros clientes para asegurarse de que usted cumple con sus obligaciones como Responsable del tratamiento bajo la RGPD. Nuestro DPA está a disposición bajo petición de su gestor de cuenta y forma parte de nuestros actualizados ​términos y condiciones​.

Mapas de datos

Como parte de nuestro marco de protección de la privacidad, Commify Iberia S.L. ha realizado mapeados exhaustivos de los datos de nuestros sistemas para proporcionar “Ciclos de Vida de la Información” de todos los PID que tratamos y controlamos. Versiones para el cliente de nuestros mapeados de los datos serán elaborados durante las siguientes semanas y estarán disponibles previa petición para ayudarle a cumplir con sus obligaciones bajo el principio de responsabilidad del RGPD. Podrá plantearle peticiones a su gestor de cuenta, quien podrá compartir mapas de datos específicos de Nuestros productos y servicios que Usted usa.

Evaluaciones del impacto del tratamiento de datos (DPIA)

Entendemos que determinados tipos de tratamientos pueden requerir que nuestros clientes completen un DPIA para demostrar que han considerado los derechos y libertades de los interesados antes de ponerse con sus actividades de tratamiento propuestas. Commify Iberia S.L. es un proveedor de servicios para comunicaciones empresariales y no tiene visibilidad del contenido que usted envía mediante nuestra plataforma. Si sus actividades de tratamiento son consideradas de alto riesgo, o si está tratando categorías especiales de datos, tal vez requiera nuestra contribución a su DPIA. Por favor, diríjase a su gestor de cuenta para cualquier consulta de esta naturaleza.