Introducción

Desde el 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) se ha convertido en ley en todos los estados miembros de la Unión Europea.

El nuevo Reglamento reemplaza a Ley de protección de datos de 1998 (LOPD), la cual fue elaborada en un momento en el que casi todo el tratamiento de datos aún se hacía sobre documentos en papel. Además había un entendimiento limitado del impacto que la tecnología tendría sobre nuestra forma de tratar los datos.

El RGPD está diseñado para ofrecer una legislación efectiva para el Tratamiento de datos en el siglo XXI. Sus principios fundamentales son prácticamente iguales a los de la Ley de protección de datos existente. No obstante, se han realizado cambios y mejoras clave que es importante entender si se quiere cumplir con la nueva ley.

En este documento repasaremos con usted algunos puntos clave del RGPD y cómo los vamos a implementar como Encargados del tratamiento de sus Datos. Tenga en cuenta que este documento solo detalla cómo maneja sus datos Esendex como su Encargado del tratamiento. Para evitar dudas, nos referimos a los datos que nos transfiere con el propósito de transmitir comunicaciones. A dichos datos nos referiremos en este documento como "datos del usuario final", que son los datos que usted controla y contrata con Nosotros para procesar en su nombre. Si desea obtener más información acerca de cómo procesamos sus datos como Responsable del tratamiento, puede ver nuestra Política de Privacidad en nuestra página web.

Consentimiento

Es uno de los fundamentos legales para el tratamiento de datos y bajo la Ley de protección de datos, probablemente el fundamento más común para su tratamiento. Bajo el RGPD, los requisitos para usar el consentimiento como su derecho fundamental han sido establecidos en un nivel superior a cualquiera anterior. El consentimiento debe ser obtenido, registrado y gestionado de una forma mucho más detallada que bajo la Ley de protección de datos. El ICO ha elaborado un borrador que proporciona una guía respecto a los cambios acerca de los requisitos del consentimiento bajo el RGPD.

El servicio que le proporcionamos establece que Esendex es el Encargado del tratamiento de la información que usted comparte con nosotros con el propósito de transmitir comunicaciones y usted es el Responsable del tratamiento.

Esendex actúa siguiendo solo sus instrucciones y procesa sus datos para enviar comunicaciones a sus usuarios finales. Esendex no obtiene, registra ni gestiona consentimientos de los interesados en su nombre. Es su responsabilidad como Responsable del tratamiento asegurarse de que tiene y puede acreditar, cuando sea necesario, los registros de consentimiento del interesado que sean necesarios para que nosotros transmitamos comunicaciones usando la información que nos proporcione.

Nosotros no interactuamos directamente con sus usuarios finales como Esendex. Todas las comunicaciones serán enviadas siguiendo sus instrucciones como si viniesen directamente de usted y somos "transparentes" en el proceso de entrega de comunicaciones.

Conservación de datos

Esendex entiende que una conservación excesiva de datos no cumple con las normas aplicables de Protección de datos antiguas ni con las nuevas. Por lo tanto, Esendex conservará sus datos de mensajería por un periodo no superior a dos años desde la fecha en la que envía la comunicación (salvo que se diga lo contrario). Por ejemplo: cuando un servicio de retención día cero ha sido aplicado a la cuenta.

Los campos que contengan Datos identificables personalmente (PID) son redactados tras el periodo de conservación, antes de ser eliminados permanentemente. Los datos de mensajería están limitados al número de móvil y al contenido del mensaje.

El almacenamiento de Datos personales se realiza en entornos seguros y de acceso controlado, separados del resto de redes de trabajo de Esendex. El hardware de estos entornos seguros es propiedad de Esendex.

Los datos almacenados de la «Descarga de elementos enviados» en AWS Dublin serán conservados durante 13 meses tras los cuales dichos datos serán borrados en el caso de AWS.

Los datos transmitidos mediante nuestra aplicación Messaging Studio tendrán copias almacenadas en Microsoft Azure en el Reino Unido. El período de retención para datos de informe/datos analíticos lo define usted, el cliente. Los datos operativos también se almacenan en Azure, que se ajusta a los periodos de conservación de datos estándar de Esendex (2 años).

Los datos transmitidos mediante nuestros canales de voz de salida son retenidos durante dos años.

Medidas para la protección de los datos

Las medidas para la protección de los datos tomadas por Esendex están basadas en el estándar de Seguridad en la Información ISO 27001. Este estándar se aplica a todas las áreas de la empresa. Tanto nuestras oficinas como nuestros entornos de producción son certificados anualmente por un auditor externo acreditado.

Una versión dirigida al cliente de nuestro Manual del Sistema de gestión de seguridad de la información (MSGSI) que detalla estas medidas está a disposición del cliente bajo solicitud. Este manual proporciona información acerca de cómo implementamos los controles ISO 27001 en Esendex.

Como resumen ilustrativo más detallado, Esendex ha tomado las siguientes medidas, entre otras:

Control de Acceso

  • El acceso a todos los sistemas por parte de los empleados está controlado por un nombre de usuario y una contraseña única. Esendex tiene una Política de contraseñas que fija unos requisitos de complejidad mínimos y procedimientos para garantizar que todo el personal cambia las contraseñas regularmente
  • En Esendex cualquier acceso se realiza conforme a la política de "privilegio mínimo", ya que los empleados solo tienen acceso a la cantidad mínima de datos que necesitan para realizar su trabajo
  • El acceso a datos de los clientes es estrictamente limitado como resultado de nuestra política de «privilegios mínimos». Cualquier acceso se revisa frecuentemente para garantizar que todos los equipos correspondientes cumplen con los nuevos procedimientos para el personal que empieza, se transfiere o acaba.

Cortafuegos

  • Usamos cortafuegos en todos los elementos de nuestra infraestructura con acceso Internet para proteger los datos y controlar el tráfico que entra y sale de nuestra empresa. Los cortafuegos además están activados en todas las terminales de los empleados en todo momento
  • Tenemos IDS e IPS activados en los cortafuegos de nuestros entornos de producción.

Antivirus

  • Todos nuestros equipos y servidores están protegidos mediante programas antivirus en tiempo real, «antispyware» y «antimalware» apropiados
  • Tenemos en vigor una política «antimalware» para garantizar que todo el personal es totalmente consciente de sus obligaciones y no obstruye el funcionamiento de la aplicación.

Equipamiento seguro, incluidos ordenadores portátiles y teléfonos móviles

  • Todos los ordenadores portátiles y teléfonos móviles tienen los discos totalmente cifrados y están protegidos por contraseña individualmente. Toda la documentación creada por Esendex debe ser almacenada en un almacenamiento en línea seguro, nunca en terminales de los empleados
  • Los datos de los clientes solo se almacena dentro de los entornos de producción de Esendex. Los empleados de Esendex no almacenan datos de clientes en sus terminales ni tratan datos fuera de nuestros entornos de producción seguros. Debido a que casi todo el personal usa ordenadores portátiles, generalmente no se necesitan dispositivos de almacenamiento extraíbles. En caso de ser usado, el dispositivo de almacenamiento extraíble está sujeto a los mismos controles de nuestra política para dispositivos móviles y de datos de clientes
  • Hacemos conscientes a los empleados de los riesgos de sacar el equipo de la empresa fuera de las oficinas y de la importancia de proteger su propio equipo.

Datos en tránsito / Cifrado

  • Todas las transferencias de datos del usuario final desde los equipos y las redes propiedad y controladas por Esendex se realizan mediante conexiones VPN, que es como sus datos son transmitidos a los Operadores de Red para la entrega de comunicaciones
  • Sus conexiones a nuestros sistemas se protegen dependiendo del método usado:
  • Si se conecta a nosotros mediante nuestras aplicaciones web, la conexión será cifrada y autentificada usando TSL 1.2.
  • Si usa una automatización mediante SFTP para transmitir archivos a Esendex, esta será asegurada vía SSH
  • ○ Si se conecta a nosotros usando alguna de nuestras API, la seguridad de la conexión dependerá de su integración. Le recomendamos encarecidamente que use HTTPS en sus integraciones a nosotros, en lugar de HTTP.

Copia de seguridad, recuperación en caso de desastre y continuidad del negocio

Programamos y realizamos copias de seguridad regularmente para garantizar que todos los datos están almacenados a salvo, de forma segura y están disponibles para ser recuperados ante una situación de desastre.

  • Se realizan diariamente copias de seguridad completas de los servidores y de las bases de datos
  • Se realizan copias de seguridad del registro de transacciones cada 15 minutos
  • Las copias de seguridad se conservan en nuestro Centro de datos de recuperación en caso de desastre
  • Tenemos planes para la continuidad de negocio y para la recuperación de datos en caso de desastre para garantizar que podemos minimizar los daños al negocio ante un problema grave que afecte al personal, a las oficinas, a los equipos y ubicaciones del centro de datos.

Supervisión

  • Nuestra plataforma es supervisada constantemente por nuestro equipo de operaciones. Esendex tiene un equipo de guardia dedicado que garantiza que todas las plataformas son supervisadas las 24 horas del día, los 365 días del año. Cualquier incidencia será comunicada a la parte interesada y estará sujeta a nuestros robustos procedimientos de gestión de incidentes para garantizar que nuestros bienes permanecen seguros y libre de errores
  • Nos suscribimos a medios que informan sobre vulnerabilidades en la industria y revisamos todas las vulnerabilidades conocidas por la industria regularmente, siendo las nuevas amenazas evaluadas diariamente. Cuando descubrimos que estamos usando algún componente potencialmente vulnerable, este riesgo es evaluado en el contexto de nuestras operaciones y entorno de negocio y, si procede, solucionamos el problema lo antes posible
  • Tenemos establecidos procesos para garantizar que todos los equipos para el almacenamiento de datos son destruidos de forma física y segura al final de su vida. No reciclamos medios pero sí conservamos copias de los certificados de destrucción de medios de nuestro proveedor certificado y de confianza
  • Realizamos pruebas de penetración anualmente usando un tercer proveedor certificado. Además, llevamos a cabo escaneos internos y externos de vulnerabilidad usando Proveedores de escaneo autorizados (ASV) y aplicaciones que evalúan la vulnerabilidad.

Educación y formación de los empleados

Todos los empleados:

  • ○ están sujetos a un escrutinio estricto previo a su contratación acorde con nuestra Política de contratación. Deben completar con éxito múltiples test de aptitud y superar cierto número de controles que se llevan a cabo antes de hacerles una oferta de trabajo completa. Estos controles incluyen: educación, vida laboral, derecho a trabajar y comprobación de antecedentes penales. Deben superar controles adicionales para determinados puestos: por ejemplo, para los relacionados con las finanzas;
  • ○ Son formados acerca de la importancia de la seguridad de los datos en Esendex y se les enseñan las medidas que tienen que tomar para proteger sus datos personales, los de la empresa y los de los clientes como parte de su proceso de reclutamiento y cada mes como parte de nuestra iniciativa de aprendizaje electrónico;
  • Todo el personal tiene obligaciones de confidencialidad establecidas con claridad como parte de su contrato de trabajo.

Políticas y procedimientos

Además de lo anterior mantenemos, aplicamos y apoyamos políticas y procedimientos al estándar ISO 270001 para:

  • la seguridad de las instalaciones físicas;
  • la seguridad de los datos almacenados in situ;
  • el almacenamiento, la eliminación y la destrucción segura de los datos del cliente;
  • la prohibición del uso de dispositivos o de cuentas personales para fines laborales;
  • el uso correcto del equipo propiedad de Esendex.

Todas estas medidas y todos los sistemas ISO son auditados internamente por el equipo de cumplimiento y externamente por nuestro organismo de acreditación de terceros. El equipo de cumplimiento también realiza barridos de seguridad según las necesidades para garantizar que determinadas políticas son aplicadas por todo el personal.

Riesgos

Esendex evalúa continuamente todos los riesgos. Las evaluaciones de riesgos detallan planes de tratamiento que actúan como recomendaciones para ayudar a que el negocio reduzca el impacto y/o la probabilidad del riesgo identificado. Los riesgos y los planes de tratamiento son revisados regularmente, evaluamos riesgos relacionados con nuestros sistemas, personal, bienes y actividades operativas. Esendex ha identificado esta como un área que, aunque cumple con requisitos como los del ISO 27001, también está adherida al principio de mejora constante.

Usamos programas empresariales para la gestión de riesgos para apoyar y mejorar nuestro enfoque hacia la gestión de riesgos. Identificamos las dependencias como riesgos para nuestro negocio y los objetivos de seguridad mediante registros de riesgos, con actividades planteadas para solventar estos riesgos de manera efectiva.

Notificación de violaciones de la seguridad

Esendex sigue todas las medidas anteriores para proteger sus datos como parte de sus actividades de Tratamiento de datos. En caso de una violación de la seguridad de los datos, le informaremos en las 24 horas siguientes al conocimiento de que algún problema de seguridad ha conducido a una filtración de datos que incluya algún dato del cliente.

También hemos:

  • Implementado medidas de seguridad en nuestros sistemas informáticos, redes de trabajo, y prácticas generales del negocio para detectar y responder a problemas de seguridad de una manera efectiva
  • Elaborado un Procedimiento de respuesta a incidentes para responder a todos los incidentes y hemos formado a todo el personal acerca de cómo responder en caso de incidente
  • Definido las comunicaciones con el cliente en caso de incidente.

Delegados de protección de datos

Esendex tiene un equipo exlusivo que se encarga de todas la preguntas, solicitudes, problemas y consultas relacionadas con la Protección de datos en toda la organización. Esendex actualmente no tiene la obligación de tener un Delegado de protección de datos (DPO) bajo el criterio establecido en el RGPD. Sin embargo, esta posición será revisada regularmente.

Cualquier pregunta que tenga relacionada con la Protección de datos puede planteársela a su gestor de cuenta. Las solicitudes de acceso están detalladas en la siguiente sección.

Derechos de los interesados

Como Encargado del tratamiento, Esendex no responderá directamente a solicitudes realizadas por alguno de nuestros clientes cuyos datos hayamos procesado. Contactaremos con usted para hacerle consciente de la solicitud y le ayudaremos a la hora de cumplir sus obligaciones con el RGPD. Estos son ejemplos de cómo le podemos ayudar a cumplir con los derechos de un interesado:

Solicitudes de acceso del interesado

Es un derecho que proviene de la Ley de protección de datos, que debería ser un concepto familiar para la mayoría de Responsables del tratamiento. Cambios clave bajo el RGPD:

  • Marco temporal - Los Responsables del tratamiento ahora tienen un mes natural para responder a una Solicitud de acceso del interesado, que antiguamente eran 40 días naturales
  • Costes - Bajo la LPD, los Responsables pueden aplicar un «coste razonable» a cualquier Solicitud de acceso del interesado, que ha sido acordado de forma general como de 10€. Esto ha sido cambiado en el RGPD y la primera copia de los datos solicitados por un interesado debe serle entregada de forma gratuita. Los Responsables pueden aplicar un coste razonable para las subsiguientes copias.

Los datos que usted haya transferido a Esendex pueden ser puestos a su disposición por este motivo, dando por hecho que aún los tenemos almacenados Nosotros. Puede presentar Solicitudes de acceso del interesado a Esendex mediante nuestro Formulario de solicitud de acceso del interesado. Hay una coste asociado a peticiones de esta naturaleza- por favor, contacte con su gestor de cuenta para saber más. Las Solicitudes de acceso del interesado serán aceptadas en los 30 días siguientes a la recepción de su solicitud.

Derecho al olvido y borrado de datos

Se ha hablado mucho de las mejoras a este derecho bajo la RGPD, que le proporcionará a las personas interesadas el derecho a pedir que su información sea borrada si se oponen al tratamiento, o si retiran su consentimiento. En el Reino Unido, este derecho ha sido usado para corregir información incorrecta sobre los interesados, por ejemplo, en resultados de búsquedas de Google. Aunque las mejoras no proporcionan un derecho absoluto al olvido, el resultado serán más solicitudes de borrado de datos recibidas por los Responsables del tratamiento.

Puede realizar solicitudes de borrado de datos específicos a su gestor de cuenta.

Registros de la actividad del tratamiento

Esendex es un Encargado del tratamiento de toda la información del cliente. Como tal, solo tratamos sus datos siguiendo sus instrucciones y con la intención de proporcionarle el servicio de comunicaciones que forma parte del cumplimiento del contrato entre Usted y Nosotros. La única intención de nuestras actividades de tratamiento es la transmisión y la entrega de comunicaciones a sus usuarios finales.

Mantenemos un registro de todos los mensajes que enviamos en su nombre acorde con nuestra política de conservación de datos. Como se detalla en la sección de Conservación de datos, esto se hará durante no más de 2 años desde la fecha en la que la comunicación sea enviada.

Transferencias a terceros

Esendex le pasa su información a operadores de red con la intención de entregar sus comunicaciones a los terminales móviles de los Usuarios finales o al Equipo de terminación de red. Este tipo de transferencia es intrínseca a la provisión de

Los datos transmitidos mediante nuestros productos de voz se transmiten mediante un Protocolo de inicio de sesión (SIP) que está en nuestro Centro de datos de Derby, Nodo 4. El SIP del Centro de datos proporciona conexiones a operadores de red para la entrega de comunicaciones.

Una de las funciones que ofrece nuestro servicio - Descarga de elementos enviados - está alojada en Amazon Web Services (AWS) Dublin.

Los datos de Messaging Studio y de Rich Content/Communicacions Service (RCS) están en Microsoft Azure (Reino Unido) por fines operativos.

Respecto a las redes de terceros que usamos, hemos realizado la auditoría con la diligencia debida para garantizar que cada proveedor ha tomado las medias técnicas y organizativas adecuadas requeridas para ofrecer estándares de seguridad que sean sustancialmente similares a aquellos descritos en este documento para nuestras propias infraestructuras.

También hemos iniciado (o estamos en el proceso de iniciar) contratos con todos los terceros que garanticen las obligaciones de protección de datos por parte de todas las partes y amplíen los requisitos mínimos detallados en cualquier Acuerdo de tratamiento de datos entre Usted y Nosotros con nuestros proveedores.

Contratos para el Tratamiento de Datos

Esendex ha elaborado un Contrato para el tratamiento de datos (DPA) que puede ser usado por nuestros clientes para asegurarse de que usted cumple con sus obligaciones como Responsable del tratamiento bajo la RGPD. Nuestro DPA está a disposición bajo petición de su gestor de cuenta y forma parte de nuestros actualizados términos y condiciones disponibles aquí.

Mapas de datos

Como parte de nuestro marco de protección de la privacidad, Esendex ha realizado mapeados exhaustivos de los datos de nuestros sistemas para proporcionar «Ciclos de Vida de la Información» de todos los PID que tratamos y controlamos. Versiones para el cliente de nuestros mapeados de los datos serán elaborados durante las siguientes semanas y estarán disponibles previa petición para ayudarle a cumplir con sus obligaciones bajo el principio de responsabilidad del RGPD. Podrá plantearle peticiones a su gestor de cuenta, quien podrá compartir mapas de datos específicos de Nuestros productos y servicios que Usted usa.

Evaluaciones del impacto del tratamiento de datos (DPIA)

Entendemos que determinados tipos de tratamientos pueden requerir que nuestros clientes completen un DPIA para demostrar que han considerado los derechos y libertades de los interesados antes de ponerse con sus actividades de tratamiento propuestas. Esendex es un proveedor de servicios para comunicaciones empresariales y no tiene visibilidad del contenido que usted envía mediante nuestra plataforma. Si sus actividades de tratamiento son consideradas de alto riesgo, o si está tratando categorías especiales de datos, tal vez requiera nuestra contribución a su DPIA. Por favor, diríjase a su gestor de cuenta para cualquier consulta de esta naturaleza.