El Reglamento General de Protección de Datos (RGPD) es una ley europea sobre protección de datos y privacidad que está en vigor desde mayo de 2018. Impone normas a las empresas que tratan datos personales. CRM Persona se esfuerza por cumplir con el RGPD en la medida de lo posible, al tiempo que ayuda a sus clientes a cumplir con sus obligaciones en virtud del RGPD.
Conceptos importantes
Para entender cómo CRM Persona trata el RGPD, es importante que estés familiarizado con los siguientes términos:
Datos personales
Cualquier dato que pueda utilizarse para identificar a una persona. Se trata de un concepto muy amplio, que no se limita solo a nombres, direcciones y datos de contacto. Por ejemplo, en algunos casos, las direcciones IP pueden considerarse datos personales.
Tratamiento de datos
Todo lo que haga con datos personales: recopilarlos, almacenarlos, gestionarlos, analizarlos, consultarlos, compartirlos, venderlos. Lo que desee hacer.
Interesado
La persona cuyos datos personales se están tratando. En otras palabras, la persona que puede ser identificada a partir de sus datos recopilados.
Responsable y encargado
El RGPD hace una distinción clara entre dos roles:
- El «responsable del tratamiento»: determina qué datos personales se tratan y con qué fines se utilizan (decisión);
- El «encargado del tratamiento»: trata determinados datos personales por cuenta del responsable del tratamiento (facilitación).
Las responsabilidades de las partes en relación con los datos personales son diferentes según su rol.
Es posible que una parte actúe como responsable del tratamiento en algunos casos y como encargado del tratamiento en otros. Este es nuestro caso.
El cliente como responsable y CRM Persona como encargado
El cliente como responsable
Al utilizar nuestro software de gestión, introduce en su cuenta datos personales de terceros (por ejemplo, nombre, número de teléfono, dirección de correo electrónico, etc.). Estos terceros pueden ser clientes de su empresa u organización, clientes potenciales, socios comerciales, etc. («contactos»). Básicamente, cualquier persona cuyos datos personales haya recopilado para sus propios fines, por ejemplo, para prestar sus servicios. Usted es el responsable del tratamiento de sus datos personales.
CRM Persona como encargado
Facilitamos la gestión de los datos de sus contactos a través de nuestro software. Al ingresar sus datos personales en su cuenta, está compartiendo estos datos con nosotros. Nuestro trabajo consiste en mantener estos datos, de los que usted es el responsable, disponibles y seguros en su nombre. Eso nos convierte aquí en el encargado.
En la medida de lo posible, proporcionamos herramientas y asistencia que le permiten cumplir con sus obligaciones en virtud del RGPD. Aunque hacemos esfuerzos razonables para ayudarle con el cumplimiento del RGPD, sigue siendo su responsabilidad final como responsable cumplir con sus obligaciones en virtud del RGPD.
El acuerdo sobre tratamiento de datos (ATD)
Para definir claramente las respectivas responsabilidades RGPD de nosotros (como encargado) y usted (como responsable), nos hemos asegurado de que haya un ATD en su lugar. Puede consultarlo aquí.
En el ATD, enumeramos las diferentes medidas técnicas y organizativas que tomamos para salvaguardar la seguridad de sus datos y la fiabilidad de nuestro software. El ATD también establece un procedimiento claro y bien definido en caso de violación de los datos.
Además, el ATD incluye una descripción general de los datos personales que esperamos tratar en su nombre.
Subencargados
Como encargado, contratamos a un número limitado de subencargados. Estas partes pueden procesar algunas partes de los datos personales, de los que usted es el responsable, para fines específicos.
Confiamos en estos subencargados de confianza por tres razones principales:
- Hospedar nuestras aplicaciones y garantizar su correcto funcionamiento;
- Ofrecer determinadas funcionalidades integradas («integraciones estándar»); y
- Brindar soporte al cliente.
Todos estos subencargados fueron cuidadosamente seleccionados por sus estrictas políticas de protección de datos y sus minuciosas medidas de seguridad. Hemos llegado a los acuerdos contractuales necesarios con cada uno de ellos para asegurarnos de que cumplan las mismas normas estrictas establecidas en nuestra DPA con usted.
Lugar de hosepedaje
Todos los datos de los clientes se hospedan en servidores ubicados en la UE:
- Servidores de AWS en París, Francia.
Eliminación de datos
Esta sección del ATD merece atención adicional.
Mientras sea cliente nuestro, conservaremos los datos en su cuenta. Por supuesto, usted es libre de eliminar cualquier dato de su cuenta, por ejemplo, para cumplir sus propias obligaciones como responsable del tratamiento en relación con la minimización de datos y la limitación del almacenamiento.
Cuando finalice su contrato con nosotros, tendrá la posibilidad de exportar los datos de su cuenta. Eliminaremos permanentemente los datos personales de su cuenta en un breve periodo de tiempo tras la finalización de su contrato con nosotros.
El motivo por el que conservamos los datos temporalmente una vez finalizado el contrato es poder restablecer su cuenta si así lo desea. Siempre puede solicitar que los datos se eliminen antes. Una vez realizada la eliminación, ya no podremos restaurar su cuenta ni proporcionarle una exportación de sus datos.
Al eliminar los datos personales de su cuenta, anonimizamos efectivamente los datos. En otras palabras, ya no tenemos forma de identificar a sus contactos con los datos que quedan. Conservamos el resto de los datos anonimizados con fines de investigación, capacitación, educativos, estadísticos y comerciales. Esto también está claramente estipulado en nuestras condiciones de servicio. Los datos anónimos no están cubiertos por el RGPD y pueden utilizarse libremente.
CRM Persona como controlador
Somos responsable del tratamiento cuando decidimos recopilar y utilizar sus datos personales para nuestros propios fines comerciales. Lo hacemos principalmente para prestar y mejorar nuestros servicios.
Lea nuestra Declaración de privacidad para obtener más información sobre por qué recopilamos determinados datos personales sobre usted, durante cuánto tiempo los almacenamos, qué derechos de privacidad tiene, etc.
Como responsable del tratamiento, contratamos a varios proveedores de servicios a los que encargamos el tratamiento de sus datos personales en nuestro nombre para diversos fines, por ejemplo, para enviarle nuestro boletín de noticias o recopilar sus comentarios. Disponemos de DPA con todos estos encargados para garantizar que aplican las mismas normas estrictas de protección de datos que nosotros.
Buenas prácticas
Además de todo lo mencionado anteriormente, contamos con algunas políticas y procedimientos internos estrictos para tratar con cuidado todos los datos personales. Por ejemplo, en un número limitado de casos bien definidos, los compañeros de nuestros equipos de Desarrollo, Soporte y Éxito del cliente pueden acceder a los datos de su cuenta. Los derechos de acceso están restringidos únicamente al personal autorizado, basándose en el principio del mínimo privilegio. Todas las acciones de la cuenta quedan debidamente registradas. Estos registros de auditoría se revisan periódicamente para evitar abusos.
También organizamos iniciativas recurrentes de concientización para garantizar que la protección de datos siga siendo una prioridad para nuestros colegas en todo momento.
Garantizar la seguridad de sus datos y cumplir con la legislación sobre protección de datos es una parte importante de nuestra misión. Seguimos invirtiendo esfuerzos y recursos para realizar mejoras en este ámbito.
Estamos aquí para ayudarle
Si tiene alguna pregunta o comentario sobre nuestras prácticas de privacidad, no dude en ponerse en contacto con nuestro Delegado de Protección de Datos (Data Protection Officer o DPO) a través de hello@crmpersona.com.