Política de protección de datos personales

Introducción

El Reglamento general de protección de datos (RGPD) es el marco jurídico que regula el tratamiento de datos personales en Europa a partir del 25 de mayo de 2018. Al contrario que la directiva 95/46/CE que deroga, el RGPD es directamente aplicable en la Unión y no necesita ser transpuesto a la legislación nacional. Por esa razón, va a favorecer la armonización de los regímenes jurídicos en materia de protección de datos personales en Europa y, lo que es aún mejor, goza de un principio de extraterritorialidad que, en determinadas circunstancias, le permite extender su ámbito de aplicación más allá de las fronteras europeas.

Si su organización trata datos personales, es altamente probable que las disposiciones del RGPD le sean aplicables y que, por consiguiente, esté sujeto a obligaciones que deba cumplir. Lo mismo sucede para Closure, que, en función de su situación, tendrá distintas obligaciones: como encargado o como responsable del tratamiento.

Definiciones

Entender las implicaciones reales y concretas de un reglamento europeo no siempre es fácil, especialmente cuando este consta de 99 artículos, 173 considerandos y numerosas líneas directivas destinadas a aclarar su interpretación. Y, sin embargo, es fundamental para evitar las consecuencias que podrían derivarse de una interpretación demasiado genérica o imprecisa de las obligaciones reglamentarias que incumban a su organización. Así pues, es importante entender correctamente los términos que se definen a continuación:

  • datos personales: Toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente.
  • tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no (recogida, registro, transmisión, almacenamiento, conservación, extracción, consulta, utilización, interconexión...).
  • responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento.
  • encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Closure como encargado del tratamiento

Se considera que Closure es el «encargado» cuando trata datos personales por cuenta del responsable del tratamiento. Este suele ser el caso cuando usted utiliza los servicios de Closure (cualquiera de nuestras apps) y almacena datos personales en una infraestructura de Closure. Dentro de sus limitaciones técnicas, Closure solo podrá tratar los datos almacenados siguiendo sus instrucciones, y por cuenta de usted.

Compromisos de Closure como encargado

Como encargado del tratamiento, Closure se compromete a llevar a cabo las siguientes acciones:
  • Tratar los datos personales con el único fin de la correcta ejecución de los servicios. Closure nunca tratará su información con otros fines (marketing, etc.).
  • No transmitir sus datos fuera la Unión Europea o a un país que la Comisión Europea considere que no garantiza un nivel de protección suficiente.
    Actualmente Closure utiliza los servicios de computación en la nube y servidores dedicados de OVH y Amazon AWS, siempre en centros de datos situados dentro de la Unión Europea.
  • Informarle en caso de cambiar los encargados que pudieran tratar sus datos personales (servicios de computación y servidores dedicados), que siempre cumplirán con los preceptos del GDPR y estarán situados en los límites de la Unión Europea o paises que la Comisión Europea considera que proporcionan un nivel de protección suficiente.
  • Implementar altos estándares de seguridad con el fin de ofrecer un elevado nivel de protección a nuestros servicios. Actualmente todos nuestros servicios son accesibles mediante protocolo HTTPS con cifrado de datos.
  • Notificar sin dilación indebida cualquier violación de la seguridad de los datos.
  • Ayudarle a cumplir sus obligaciones reglamentarias ofreciéndole una documentación adecuada sobre nuestros servicios.

Preguntas frecuentes

¿Quién es el propietario de los datos personales utilizados y almacenados por el cliente en el marco de los servicios?

Los datos alojados por el cliente en el marco de los servicios de Closure son propiedad del cliente.

Closure no accede a esos datos ni los utiliza, salvo que sea necesario en el marco de la ejecución de los servicios y dentro de las limitaciones técnicas de estos últimos.

Closure no revende estos datos ni los utiliza con fines personales (como minería de datos, elaboración de perfiles o marketing directo).

¿En qué casos puede Closure verse obligada a acceder a los datos almacenados y utilizados por el cliente en el marco de los servicios?
Closure solo accede a estos datos bajo dos circunstancias:
  • Para garantizar la correcta ejecución de los servicios y mejorar la atención al cliente cuando este último contacta con el soporte de Closure. En este caso, el acceso a los datos del cliente está regulado mediante permisos específicos y medidas concretas de control y de seguridad.
  • Para cumplir con las obligaciones legales en el marco de requerimientos judiciales y/o administrativos. Estos requerimientos están estrictamente regulados.
Acceso en el marco del soporte de Closure:

Cuando el cliente contacta con el soporte de Closure, en función del motivo de la consulta, Closure puede acceder a dos categorías de datos. Por un lado, con el objetivo de atender mejor la solicitud del cliente, el soporte de Closure accede a la información proporcionada por el cliente al crear su cuenta del servicio correspondiente de Closure (nombre, apellidos, teléfono, correo electrónico...).

Por otro lado, exclusivamente a petición expresa del cliente y con sujeción a las limitaciones técnicas propias de cada servicio, el soporte de Closure puede acceder a los datos almacenados por el cliente en los servicios de Closure con el objetivo de identificar el origen de un problema y, en su caso, resolverlo.

Acceso en el marco de la solicitud de una autoridad judicial o administrativa:

Para cumplir con la reglamentación en vigor, Closure está obligada a responder a las solicitudes provenientes de las autoridades judiciales o administrativas. Estas solicitudes de acceso a los datos se rigen por un estricto marco legal, por lo que Closure solo las autoriza una vez que ha comprobado su validez y fundamento. Además, siempre que la solicitud o la ley no lo impidan, Closure se compromete a informar al cliente de dicha petición a la mayor brevedad posible. Las solicitudes provenientes de un país tercero solo se tramitarán cuando se basen en un acuerdo internacional, como un tratado de cooperación judicial vigente entre el país solicitante y la Unión o un Estado miembro.

Closure como responsable del tratamiento

Se considera que Closure es el «responsable del tratamiento» cuando él mismo determina los fines y los medios de sus tratamientos de datos personales.

Esto sucede normalmente cuando Closure recoge datos con fines de facturación, gestión de cobros, mejora de la calidad de los servicios y del rendimiento, operaciones de venta, gestión comercial..., pero también cuando Closure trata los datos personales de sus propios empleados.

Por lo tanto, esto excluye a sus datos (es decir, los datos que nuestros clientes almacenan en los servicios de Closure). En cambio, sí puede incumbir a determinados datos sobre usted o sus empleados (identidad e información de contacto del interlocutor en el marco de una solicitud de asistencia técnica, por ejemplo). Por ese motivo, le ofrecemos a continuación toda la información relativa a las garantías aplicadas para asegurar la protección de dichos datos personales:

  • Limitar la recogida de datos a los estrictamente necesarios. Al contratar un servicio, solo se pide a los usuarios que introduzcan los datos necesarios para que Closure pueda prestar servicios de facturación, de soporte o cumplir con sus propias obligaciones legales en materia de conservación de datos.
  • No utilizar los datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente.
  • Conservar los datos personales durante un período limitado y proporcional. Así pues, por ejemplo, los datos tratados con fines de gestión de la relación entre el cliente y Closure (nombre, apellido, dirección postal, correo electrónico, etc.) serán conservados por Closure durante toda la vigencia del contrato y los 36 meses siguientes. Una vez finalizado el plazo de conservación, los datos y copias de seguridad serán eliminados de todos los soportes.
  • No transferir esos datos a terceros distintos de las empresas asociadas a Closure que intervengan en el ámbito de ejecución del contrato, y los servicios de computación y servidores dedicados que Closure utiliza para poder prestar sus servicios.
  • Aplicar medidas técnicas y organizativas adecuadas para garantizar un alto nivel de seguridad.

Medidas de seguridad

Seguridad de los datos alojados por el cliente

El cliente es el único responsable de garantizar la seguridad de los recursos y sistemas de aplicaciones que despliegue en el marco del uso de los servicios. Closure pone a disposición de los clientes diversas herramientas para ayudarles a securizar sus datos: cifrado por HTTPS/SSL de todas las comunicaciones, acceso regulado mediante contraseñas no almacenadas, encriptación de todos los datos almacenados en copias de seguridad, etc.

Seguridad de las infraestructuras

Closure se compromete a mantener una seguridad óptima de sus aplicaciones y sistemas, tal y como los encargados del tratamiento utilizados por Closure a su vez también lo hacen.

Comunicaciones y solicitudes

Puede ejercer sus derechos dirigiéndose a Closure mediente comunicación escrita acompañada de su D.N.I. a:

Closure Software S.L.
C/ General Moscardó, 4
45600 Talavera de la Reina (Toledo)

Cumplimiento del GDPR por parte de los encargados del tratamiento utilizados por Closure

Puede consultar más información sobre el cumplimiento de los preceptos del GDPR por parte de nuestros proveedores (encargados del tratamiento):