Introducción
El 25 de mayo de 2018, entró en vigor el Reglamento General de Protección de Datos (RGPD) en todos los Estados miembros de la Unión Europea. Aunque el Reino Unido saldrá de la UE, las directrices actuales establecen que el RGPD continuará siendo aplicable al Reino Unido a través de una legislación nacional o pertenencia a un mercado único.
El RGPD se ha diseñado para ofrecer una legislación efectiva para el Tratamiento de Datos en el siglo XXI.
En este documento repasaremos con usted algunos puntos clave del RGPD y cómo los vamos a implementar como Encargado del Tratamiento de Datos. Tenga en cuenta que en este documento solo se detalla cómo maneja sus datos Esendex como Encargado del Tratamiento de Datos. Para evitar dudas, nos referimos a los datos que nos transfiere con el propósito de transmitir comunicaciones. En este documento, llamaremos a estos datos «datos del usuario final», que son los datos de los que Usted es responsable y ha contratado para que Nosotros los tratemos en su nombre. Si desea obtener más información acerca de cómo procesamos sus datos como Responsable del Tratamiento de Datos, puede consultar nuestra Política de Privacidad en nuestro sitio web.
Consentimiento
De conformidad con el RGPD, los requisitos para usar el consentimiento como su argumento legal se han establecido en un nivel superior a cualquier nivel anterior. El consentimiento debe obtenerlo, registrarlo y gestionarlo el Responsable del Tratamiento de Datos. La AEPD ha elaborado las directrices sobre los cambios en torno a los requisitos del consentimiento conforme al RGPD, y están publicadas en su sitio web.
El servicio que le proporcionamos establece que Esendex es el Encargado del Tratamiento de Datos de la información que usted comparte con nosotros con el propósito de transmitir comunicaciones y usted es el Responsable del Tratamiento de Datos.
Esendex actúa siguiendo solo sus instrucciones y procesa sus datos para enviar comunicaciones a sus usuarios finales. Esendex no obtiene, registra ni gestiona consentimientos de los titulares de los datos en su nombre. Es su responsabilidad como Responsable del Tratamiento de Datos asegurarse de que tiene y puede acreditar, cuando sea necesario, los registros de consentimiento de los titulares de los datos que sean necesarios para que nosotros transmitamos comunicaciones usando la información que nos proporcione. Nosotros no interactuamos directamente con sus usuarios finales como Esendex. Todas las comunicaciones se envían siguiendo sus instrucciones como si viniesen directamente de usted y somos «transparentes» en el proceso de entrega de las comunicaciones.
Conservación de datos
Esendex entiende que una conservación excesiva de datos no cumple con las normas de Protección de Datos. Por lo tanto, Esendex conservará sus datos de mensajería por un periodo no superior a dos años desde la fecha en la que envía la comunicación (salvo que se indique de otro modo). Por ejemplo, cuando un servicio de retención día cero se ha aplicado a la cuenta.
Los campos que contengan datos de Identificación Personal (DIP) se borran tras el periodo de conservación, antes de eliminarse permanentemente. Los datos de mensajería están limitados al número de teléfono o dirección de correo electrónico y al contenido del mensaje.
El almacenamiento de los DIP se realiza en entornos seguros y de acceso controlado, separados del resto de redes de trabajo de Esendex. Esendex es el propietario y se encarga del mantenimiento del hardware de estos entornos seguros.
Los datos almacenados de la «Descarga de Elementos Enviados» que se guardan en Microsoft Azure (Reino Unido) se conservan durante 12 meses, tras los cuales dichos datos se borran en la instancia de Azure.
Los datos transmitidos mediante nuestra aplicación Messaging Studio tendrán copias almacenadas en Microsoft Azure en el Reino Unido. El periodo de retención para Datos de informes/Datos analíticos lo define usted, el cliente. Los Datos operativos también se almacenan en Azure, que se ajusta a los periodos de conservación de Datos estándar de Esendex (2 años). Si un destinatario no tiene un teléfono que funcione con RCS y el mensaje se envía mediante SMS, seguirá siendo de aplicación el periodo de conservación de dos años.
Los Datos transmitidos mediante nuestros canales de voz de salida se conservan durante dos años.
Medidas para la protección de los datos
Esendex cuenta con el certificado de la norma ISO 27001 de Información de la Seguridad y opera conforme a esta. Puede encontrar una copia de nuestro certificado aquí .
Esta norma se aplica a todas las áreas de la empresa. Tanto nuestras oficinas como nuestros entornos de producción los certifica anualmente un auditor externo acreditado.
Existe también una versión dirigida al cliente de nuestro Manual del Sistema de Gestión de Seguridad de la Información (MSGSI) que detalla estas medidas si se solicita. Este manual proporciona información acerca de cómo implementamos los controles ISO 27001 en Esendex.
Como resumen ilustrativo más detallado, Esendex ha tomado, entre otras, las siguientes medidas:
Control de acceso
- El acceso a todos los sistemas por parte de los empleados está controlado por un nombre de usuario y una contraseña única. Esendex tiene una Política de Contraseñas que fija unos requisitos de complejidad mínimos y procedimientos para garantizar que todo el personal cambia las contraseñas regularmente.
- En Esendex cualquier acceso se realiza conforme a la política de «privilegio mínimo», ya que los empleados solo tienen acceso a la cantidad mínima de datos que necesitan para realizar su trabajo.
- El acceso a Datos de los clientes es estrictamente limitado como resultado de nuestra política de «privilegios mínimos». Cualquier acceso se revisa frecuentemente para garantizar que todos los equipos correspondientes cumplen con los nuevos procedimientos para el personal que empieza, se transfiere o deja la empresa.
Cortafuegos
- Usamos cortafuegos en todos los elementos de nuestra infraestructura con acceso a Internet para proteger los Datos y controlar el tráfico que entra y sale de nuestra empresa. Los cortafuegos además están activados en todas las terminales de los empleados en todo momento.
- Tenemos IDS e IPS activados en los cortafuegos de nuestros entornos de producción.
Antivirus
- Todos los terminales de nuestros empleados y servidores están protegidos mediante programas antivirus en tiempo real, «antispyware» y «antimalware» apropiados.
- Tenemos en vigor una política «antimalware» para garantizar que todo el personal es totalmente consciente de sus obligaciones y no obstruye el funcionamiento de la aplicación.
Equipamiento seguro, incluidos ordenadores portátiles y teléfonos móviles
- Todos los ordenadores portátiles y teléfonos móviles tienen los discos totalmente cifrados y están protegidos por contraseña individualmente. Toda la documentación creada por Esendex debe ser almacenada en un almacenamiento en línea seguro, nunca en terminales de los empleados.
- Los Datos de los clientes solo se almacena dentro de los entornos de producción de Esendex. Los empleados de Esendex no almacenan Datos de clientes en sus terminales ni tratan Datos fuera de nuestros entornos de producción seguros. Debido a que casi todo el personal usa ordenadores portátiles, generalmente no se necesitan dispositivos de almacenamiento extraíbles. En caso de usarse, el dispositivo de almacenamiento extraíble está sujeto a los mismos controles de nuestra política para dispositivos móviles y de Datos de clientes.
- Hacemos conscientes a los empleados de los riesgos de sacar el equipo de la empresa fuera de las oficinas y de la importancia de proteger su propio equipo.
Datos en tránsito/Cifrado
- Todas las transferencias de Datos del usuario final desde los equipos y las redes propiedad y controladas por Esendex se realizan mediante conexiones VPN, que es como se transmiten sus Datos a los Operadores de Red para la entrega de comunicaciones.
- Sus conexiones a nuestros sistemas se protegen en función del método usado:
- Si se conecta a nosotros mediante nuestras aplicaciones web, la conexión será cifrada y autenticada usando TSL 1.2.
- Si usa una automatización mediante SFTP para transmitir archivos a Esendex, esta se asegurará vía SSH
- Si se conecta a nosotros usando alguna de nuestras API, la seguridad de la conexión dependerá de su integración. Le recomendamos encarecidamente que use HTTPS en sus integraciones a nosotros, en lugar de HTTP.
Copia de seguridad, recuperación en caso de desastre y continuidad del negocio
Programamos y realizamos copias de seguridad regularmente para garantizar que todos los Datos están almacenados a salvo, de forma segura y están disponibles para ser recuperados ante una situación de desastre.
- Se realizan diariamente copias de seguridad completas de los servidores y de las bases de datos.
- Se realizan copias de seguridad del registro de transacciones cada 15 minutos.
- Ciertas copias de seguridad se conservan en nuestro Centro de Datos de Recuperación en caso de Desastre
- Tenemos planes para la continuidad de negocio y para la recuperación de Datos en caso de desastre para garantizar que podemos minimizar los daños al negocio ante un problema grave que afecte al personal, a las oficinas, a los equipos y ubicaciones del centro de datos.
Supervisión
- Nuestra plataforma la supervisa constantemente nuestro equipo de operaciones. Esendex tiene un equipo de guardia dedicado que garantiza que todas las plataformas se supervisan las 24 horas del día, los 365 días del año. Cualquier incidencia será comunicada a la parte interesada y estará sujeta a nuestros robustos procedimientos de gestión de incidentes para garantizar que nuestros bienes permanecen seguros y libre de errores.
- Nos suscribimos a medios que informan sobre vulnerabilidades en la industria y revisamos todas las vulnerabilidades conocidas por la industria regularmente, y evaluamos las nuevas amenazas diariamente. Cuando descubrimos que estamos usando algún componente potencialmente vulnerable, este riesgo se evalúa en el contexto de nuestras operaciones y entorno de negocio y, si procede, solucionamos el problema lo antes posible.
- Tenemos establecidos procesos para garantizar que todos los equipos para el almacenamiento de Datos se destruyen de forma física y segura al final de su vida. No reciclamos medios, pero sí conservamos copias de los certificados de destrucción de medios de nuestros proveedores certificados y de confianza para la destrucción de hardware segura.
- Realizamos pruebas de penetración anualmente usando un proveedor certificado externo. Además, llevamos a cabo escaneos internos y externos de vulnerabilidad usando Proveedores de Escaneo Autorizados y aplicaciones que evalúan la vulnerabilidad.
Educación y formación de los empleados
Todos los empleados:
- Están sujetos a un escrutinio estricto previo a su contratación acorde con nuestra Política de Contratación. Deben completar con éxito múltiples test de aptitud y superar cierto número de controles que se llevan a cabo antes de hacerles una oferta de trabajo completa. Estos controles incluyen: educación, vida laboral, derecho a trabajar y comprobación de antecedentes penales. Deben superar controles adicionales para determinados puestos: por ejemplo, para los relacionados con las finanzas.
- Reciben formación acerca de la importancia de la seguridad de los datos en Esendex y se les enseñan las medidas que tienen que tomar para proteger sus datos personales, los de la empresa y los de los clientes como parte de su proceso de introducción inicial a la empresa y cada mes como parte de nuestra iniciativa de aprendizaje electrónico continuada.
- Todo el personal tiene obligaciones de confidencialidad y seguridad establecidas con claridad como parte de su contrato de trabajo.
Políticas y procedimientos
Además de lo anterior, mantenemos, aplicamos y apoyamos políticas y procedimientos conforme a la norma ISO 270001 en relación con:
- la seguridad de las instalaciones físicas;
- la seguridad de los datos almacenados in situ;
- el almacenamiento, la eliminación y la destrucción de forma segura de los datos de clientes;
- la prohibición del uso de dispositivos o cuentas personales para fines laborales;
- el uso correcto del equipo propiedad de Esendex.
Todas estas medidas y todos los sistemas ISO los audita internamente el equipo de cumplimiento y externamente nuestro organismo de acreditación de terceros cada año. El equipo de cumplimiento también realiza barridos de seguridad según las necesidades para garantizar que todo el personal cumple determinadas políticas.
Riesgos
Esendex evalúa continuamente todos los riesgos. Las evaluaciones de riesgos detallan planes de tratamiento que actúan como recomendaciones para ayudar a que el negocio reduzca el impacto o la probabilidad del riesgo identificado. Los riesgos y los planes de tratamiento se revisan regularmente; evaluamos riesgos relacionados con nuestros sistemas, personal, bienes y actividades operativas. Esendex ha identificado esta como un área que, aunque cumple los requisitos de ISO 27001, también está adherida al principio de mejora constante.
Usamos programas empresariales para la gestión de riesgos para apoyar y mejorar nuestro enfoque hacia la gestión de riesgos. Identificamos las dependencias como riesgos para nuestro negocio y los objetivos de seguridad mediante registros de riesgos, con actividades planteadas para solventar estos riesgos de manera efectiva.
Notificación de violaciones de la seguridad
Esendex sigue todas las medidas anteriores para proteger sus datos como parte de sus actividades de Tratamiento de Datos. En el caso de una violación de la seguridad de los datos, le informaremos sin demora indebida que un problema de seguridad ha provocado una violación de los datos que incluye los datos de sus clientes.
También hemos:
- Implementado medidas de seguridad en nuestros sistemas informáticos, redes de trabajo, y prácticas generales del negocio para detectar y responder a problemas de seguridad de una manera efectiva.
- Elaborado un Procedimiento de Respuesta a incidentes para responder a todos los incidentes y hemos formado a todo el personal acerca de cómo responder en caso de incidente.
- Definido las comunicaciones con el cliente en caso de incidente.
Delegados de Protección de Datos
Esendex tiene un equipo exclusivo que se encarga de todas la preguntas, solicitudes, problemas y consultas relacionadas con la protección de datos en toda la organización. Esendex actualmente no tiene la obligación de tener un Delegado de Protección de Datos (DPD) según el criterio establecido en el RGPD. Sin embargo, este puesto se revisará regularmente.
Cualquier pregunta que tenga relacionada con la Protección de Datos puede planteársela a su gestor de cuenta. Las solicitudes de acceso de los titulares de datos se detallan en la siguiente sección.
Derechos de los titulares de datos
Como Encargado del Tratamiento, Esendex no responderá directamente a solicitudes realizadas por alguno de sus clientes cuyos datos hayamos procesado. Nos pondremos en contacto con usted para hacerle conocedor de la solicitud y le ayudaremos a la hora de cumplir sus obligaciones con el RGPD. Estos son ejemplos de cómo podemos ayudar a cumplir con los derechos de un titular de datos:
Solicitudes de acceso de los titulares de datos
Los Responsables del Tratamiento de Datos son responsables de garantizar que responden a las solicitudes de acceso de los titulares de datos conforme a los requisitos del RGPD. Los Responsables del Tratamiento de Datos que necesiten orientación sobre sus obligaciones deben ponerse en contacto con la AEPD directamente o buscar asesoramiento legal de forma independiente.
Los datos que usted haya transferido a Esendex pueden ser puestos a su disposición por este motivo, dando por hecho que Nosotros aún los tengamos almacenados. Las solicitudes de acceso del titular de datos pueden presentarse a Esendex mediante nuestra Solicitud de acceso de información personal. Hay una coste asociado a solicitudes de esta naturaleza; póngase en contacto con su gestor de cuenta para obtener más información. Las solicitudes de acceso del titular de datos se darán curso en los 30 días siguientes a la recepción de la solicitud.
Derecho al olvido y borrado de datos
Los titulares de los datos tienen derecho a solicitar que su información se elimine si se oponen a su tratamiento o a retirar su consentimiento. En el Reino Unido, este derecho se ha usado para corregir información incorrecta sobre los titulares de datos, por ejemplo, en resultados de búsquedas de Google. Aunque el RGPD no ofrece un derecho absoluto al olvido, ha dado como resultado que los Responsables del Tratamiento de Datos reciban más solicitudes de eliminación de datos.
Puede solicitar la eliminación de datos específicos a su gestor de cuenta.
Registros de la actividad del tratamiento
Esendex es un Encargado del Tratamiento de Datos de toda la información del cliente. Como tal, solo tratamos sus datos siguiendo sus instrucciones y con la intención de proporcionarle el servicio de comunicaciones que forma parte del cumplimiento del contrato entre Usted y Nosotros. La única intención de nuestras actividades de tratamiento es la transmisión y la entrega de comunicaciones a sus usuarios finales.
Mantenemos un registro de todos los mensajes que enviamos en su nombre acorde con nuestra política de conservación de datos. Como se detalla en la sección de Conservación de Datos, esto se hará durante no más de dos años desde la fecha en la que la comunicación sea enviada.
Transferencias a terceros
Esendex le pasa su información a operadores de red con la intención de entregar sus comunicaciones a los terminales móviles de los Usuarios Finales o al Equipo de Terminación de Red. Este tipo de transferencia es intrínseca a la provisión de nuestros productos y servicios.
Para las comunicaciones por SMS en el Reino Unido, usamos solamente nuestras conexiones directas con redes móviles del Reino Unido para garantizar que podemos hacer un seguimiento de sus datos desde nuestros sistemas hasta el terminal del usuario final.
Los datos transmitidos mediante nuestros productos de voz se transmiten mediante un Protocolo de Inicio de Sesión (SIP) que está en nuestro Centro de datos de Derby, Nodo 4. El SIP del Centro de datos proporciona conexiones a operadores de red para la entrega de las comunicaciones.
Una de las funciones que ofrece nuestro servicio, la Descarga de Elementos Enviados, está alojada en Microsoft Azure (Reino Unido).
Los datos de Messaging Studio y de Rich Content/Communicacions Service (RCS) están en Microsoft Azure (Reino Unido) por fines operativos.
Respecto a las redes de terceros que usamos, hemos realizado la auditoría con la diligencia debida para garantizar que cada proveedor ha tomado las medias técnicas y organizativas adecuadas requeridas para ofrecer estándares de seguridad que sean sustancialmente similares a aquellos descritos en este documento para nuestras propias infraestructuras.
También hemos firmado contratos con todos los terceros que garanticen las obligaciones de protección de datos por parte de todas las partes y amplíen los requisitos mínimos detallados en cualquier Contrato de Tratamiento de Datos entre Usted y Nosotros con nuestros proveedores.
Contrato de Tratamiento de Datos
Esendex ha elaborado un Contrato de Tratamiento de Datos (CTD) que forma parte de nuestras Condiciones Generales del Servicio. Esto ayuda a nuestros clientes a garantizar que Usted cumple con sus obligaciones como Responsable del Tratamiento de Datos conforme al RGPD.
Mapas de datos
Como parte de nuestro marco de protección de la privacidad, Esendex ha realizado mapeados exhaustivos de los datos de nuestros sistemas para proporcionar «Ciclos de Vida de los Datos» de todos los DIP que tratamos y controlamos. Existen versiones para los clientes de nuestros mapas de datos si se solicitan con el fin de que Usted cumpla sus obligaciones conforme al principio de responsabilidad del RGPD. Podrá dirigir las solicitudes a su gestor de cuenta, quien podrá compartir mapas de datos específicos de Nuestros productos y servicios que Usted usa.
Evaluación del Impacto relativa a la Protección de Datos (EIPD)
Entendemos que determinados tipos de tratamientos pueden requerir que nuestros clientes completen una EIPD para demostrar que han tenido en cuenta los derechos y libertades de los titulares de datos antes de llevar a cabo sus actividades de tratamiento propuestas. Esendex es un proveedor de servicios para comunicaciones empresariales y no tiene visibilidad del contenido que usted envía mediante nuestra plataforma. Si sus actividades de tratamiento se consideran de alto riesgo, o si trata categorías especiales de datos, tal vez requiera nuestra contribución a su EIPD. Diríjase a su gestor de cuenta para cualquier solicitud de esta naturaleza.