GDPR

¿Qué es el GDPR?

El nuevo Reglamento General de Protección de Datos (RGPD o GDPR en inglés) entra en vigor en mayo de 2016, es aplicable a partir de mayo de 2018, y regula el tratamiento de datos personales y a la libre circulción de estos datos. El GDPR es una norma directamente aplicable, que no requiere de normas internas de Trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación.

¿A quién afecta?

Afecta a las empresas localizadas en la UE y a cualquier otra que cuente con datos que identifiquen a personas físicas del espacio comunitario, aun cuando no disponga de oficinas o servidores en la zona. También es aplicable a organizaciones que, a la fecha, trataban datos de personas en la región y se sometan a la regulación de terceros países.

¿Cuáles son los principales cambios?

Con el GDPR, el permiso del Interesado (la persona física a quien identifica los datos personales) debe obtenerse válidamente y de forma expresa (ya no es válido hacerlo tácitamente, el método también conocido como opt-out). Se regula además la forma de obtener este consentimiento, definiendo qué información deberá ofrecerse al Interesado (p.e. ahora se debe informar sobre el plazo de Conservación) y de qué forma (concisa, sencilla, transparente, inteligible y de fácil acceso). También añade nuevos derechos del Interesado a los derechos ARCO (acceso, rectificación, cancelación y oposición), como el derecho al olvido y el derecho a la portabilidad. Las categorías de los datos que se tratan, qué tipo de tratamiento y quién hace el tratamiento, ha de ser una información transparente, mejorando así la capacidad de decisión y control del Interesado sobre los datos personales que Confían a terceros. Aparecen también exigencias en la notificación de violaciones de la seguridad de los datos, incluyendo un plazo máximo de 72 horas para notificarlas a la Agencia de Protección de Datos. El régimen sancionador también se endurece, donde las cuantas máximas pueden llegar a los 20 millones de euros o el 4% de la facturación global anual.

¿Puedo obtener el consentimiento de mis clientes con Evicertia?

SI. Con nuestros servicios de firma electrónica certificada (eviSign) puedes muy fácilmente y de forma rápida gestionar todo el proceso de consentimiento, ya que puedes realizar un envío masivo a tu base de datos de clientes o automatizarlo en tiempo real (p.e. en cada alta integrado por WebServices), y el Interesado tendrá a un click la aceptación. Tu tendrás una potente herramienta de gestión para hacer seguimiento, buscar fácilmente (por nombre, email, teléfono, etc..) y conocer en tiempo real, quién ha aceptado o no tratar sus datos personales. Además, contarás con una prueba con validez legal y sin riesgos, que ahora es necesaria. Piensa que en caso de hacerlo en tu propia web con un formulario o simplemente por email intercambiando documentos escaneados, será más complicado poder demostrar que no has alterado los registros o documentos que recogen ese consentimiento (ya que cualquiera los puede modificar), si llegado el caso, un cliente, teniendo razón o no, te demanda por un tratamiento no autorizado de sus datos.

¿Cómo afecta a los servicios que presta EVICERTIA?

Evicertia provee servicios de confianza, y por tanto procesa datos personales (por ejemplo la dirección de correo electrónico donde enviamos una comunicación certificada, como puede ser un aviso de cambio de condiciones de un contrato). Nuestro objetivo es aportar confianza y seguridad, por tanto, para nosotros es una buena noticia, ya que el GDPR aporta seguridad, confianza y pone en valor nuestros principios y servicios. El GDPR estipula que deben cumplirse ciertas medidas de seguridad, pero dichas medidas ya se vienen cumpliendo desde el nacimiento de los servicios prestados en Evicertia, ya que estamos comprometidos con la seguridad desde el diseño. Aunque el GDPR plantea solo en algunos escenarios (p.e. para empresas con más de 250 empleados) la obligatoriedad de realizar una Evaluación de Impacto (un análisis de riesgos), en Evicertia hacemos dicha Evaluación de Impacto de cualquier forma. Dicha evaluación de hecho forma parte de nuestro Sistema de Gestión de la Seguridad de la Información, certificado ISO 27001 y que utiliza los controles definidos en ISO 27002. Si los usuarios de los servicios de certificación de Evicertia, están tratando datos personales de otros interesados (p.e. las direcciones de email, números de teléfono o el propio contenido a certificar de un email certificado enviado por Evicertia), se considera que están subcontratando el tratamiento de los datos a Evicertia. En este escenario, el GDPR establece las obligaciones de cada parte, definiendo las figuras y responsabilidades del Responsable del Tratamiento y del Encargado del Tratamiento. Esta relación debe estar regulada mediante un contrato formal, que debe incluir obligatoriamente ciertos aspectos.

¿Quién es el Responsable de Tratamiento y el Encargado del Tratamiento?

El usuario CLIENTE de Evicertia (el emisor de las comunicaciones o autor de los documentos a firmar) actúa como Responsable del Tratamiento, porque es quien mantiene la relación con el destinatario de esa comunicación o documento que contiene datos personales. Al encargar a Evicertia un servicio (certificar un email o una firma), Evicertia pasa a ser el Encargado del Tratamiento. Por tanto es el Responsable quien debe obtener el consentimiento del Interesado, así como definir la categoría de los datos personales a procesar, y la finalidad del tratamiento de esos datos (en el ejemplo, usar el email para comunicar los cambios de condiciones de un contrato) . Evicertia actúa siguiendo las instrucciones del Responsable, debe adoptar las medidas de seguridad definidas en el Reglamento y no puede utilizar los datos personales para otros fines distintos de los establecidos por el Responsable.

¿Evicertia colabora con otros Encargados del Tratamiento?

SI. Por ejemplo para dar soporte a usuarios, colaboramos con una empresa que atiende el teléfono, y por tanto esa empresa que toma nota de los datos de contacto (al atender una incidencia) también pasa a ser un encargado de tratar datos personales. Para comunicarnos con nuestros clientes o para exportar un informe a una hoja de cálculo utilizamos G-Suite de Google (la versión empresarial de GMail) y por tanto encargamos a Google el procesado de algunos datos personales. Para enviar SMS utilizamos operadores de telecomunicaciones, que varian en función del destino del SMS. Estos colaboradores de EVICERTIA son los que denominamos Sub-Encargados del Tratamiento.

¿Puedo obtener un listado de Sub-Encargados?

Si eres un Responsable del Tratamiento, que encarga servicios a Evicertia, puedes solicitar una lista de Sub-Encargados de tratamiento de datos personales. Para ello crea una Solicitud en: https://support.evicertia.com. Además en la solicitud, puedes indicar que quieres una suscripción a la lista de distribución de la lista de Sub-Encargados, para que te avisemos cuando haya cambios. Si eres una persona física, cuyos datos están siendo tratados por Evicertia, aunque te atenderemos igualmente en https://support.evicertia.com, estamos obligados a reenviar tu petición al Responsable del Tratamiento (nuestro CLIENTE), que es quien recaba tus datos, tiene que atender tus derechos y nos tiene que dar las instrucciones.

Listado de sub-encargados:

  • AD LOPEZ Y ASOCIADOS ASESORES

  • AMAZON WEB SERVICES

  • ANYWAYBAC

  • BACKBLAZE, INC

  • CENTRO DE NEGOCIOS G-88, S.L

  • CLX - SINCH UK LTD

  • COOKIEBOT

  • DMARCIAN

  • EVICERTIA CENTROAMÉRICA Y CARIBE SOCIEDAD ANÓNIMA

  • EVICERTIA DEL ECUADOR CIA. LTDA.

  • FRESBE IBERIA, SL

  • GOOGLE IRELAND LIMITED

  • HUBSPOT IRELAND LTD

  • INFOBIP LTD UK

  • INTERXION ESPAÑA S.L.U.

  • JIRA-ATLASSIAN PTY LTD

  • MAILGUN TECHNOLOGIES, INC

  • MASMOVIL - XTRA TELECOM S.A.U - GIGAS HOSTING, S.A.

  • MICROSOFT IRELAND OPERATIONS

  • MOBBEEL

  • MRW (LONGITUD 3M, S.L.)

  • NEXMO / VONAGE

  • NOTARIA DON FRANCISCO CALDERÓN ÁLVAREZ

  • NRS - NET REAL SOLUTIONS S.L.

  • ODOO

  • PAYPAL

  • SOCIEDAD ESTATAL CORREOS Y TELÉGRAFOS, S.A.

  • TWILIO

  • UANATACA, S.A.