Declaración sobre la Seguridad de la Información

Introducción

El 25 de mayo de 2018, entró en vigor el Reglamento General de Protección de Datos (RGPD) en todos los Estados miembros de la Unión Europea. Aunque el Reino Unido saldrá de la UE, las directrices actuales establecen que el RGPD continuará siendo aplicable al Reino Unido a través de una legislación nacional o pertenencia a un mercado único.

El RGPD se ha diseñado para ofrecer una legislación efectiva para el Tratamiento de Datos en el siglo XXI.

En este documento repasaremos con usted algunos puntos clave del RGPD y cómo los vamos a implementar como Encargado del Tratamiento de Datos. Tenga en cuenta que en este documento solo se detalla cómo maneja sus datos Esendex como Encargado del Tratamiento de Datos. Para evitar dudas, nos referimos a los datos que nos transfiere con el propósito de transmitir comunicaciones. En este documento, llamaremos a estos datos «datos del usuario final», que son los datos de los que Usted es responsable y ha contratado para que Nosotros los tratemos en su nombre. Si desea obtener más información acerca de cómo procesamos sus datos como Responsable del Tratamiento de Datos, puede consultar nuestra Política de Privacidad en nuestro sitio web.

Consentimiento

De conformidad con el RGPD, los requisitos para usar el consentimiento como su argumento legal se han establecido en un nivel superior a cualquier nivel anterior. El consentimiento debe obtenerlo, registrarlo y gestionarlo el Responsable del Tratamiento de Datos. La AEPD ha elaborado las directrices sobre los cambios en torno a los requisitos del consentimiento conforme al RGPD, y están publicadas en su sitio web.

El servicio que le proporcionamos establece que Esendex es el Encargado del Tratamiento de Datos de la información que usted comparte con nosotros con el propósito de transmitir comunicaciones y usted es el Responsable del Tratamiento de Datos.

Esendex actúa siguiendo solo sus instrucciones y procesa sus datos para enviar comunicaciones a sus usuarios finales. Esendex no obtiene, registra ni gestiona consentimientos de los titulares de los datos en su nombre. Es su responsabilidad como Responsable del Tratamiento de Datos asegurarse de que tiene y puede acreditar, cuando sea necesario, los registros de consentimiento de los titulares de los datos que sean necesarios para que nosotros transmitamos comunicaciones usando la información que nos proporcione. Nosotros no interactuamos directamente con sus usuarios finales como Esendex. Todas las comunicaciones se envían siguiendo sus instrucciones como si viniesen directamente de usted y somos «transparentes» en el proceso de entrega de las comunicaciones.

Conservación de datos

Esendex entiende que una conservación excesiva de datos no cumple con las normas de Protección de Datos. Por lo tanto, Esendex conservará sus datos de mensajería por un periodo no superior a dos años desde la fecha en la que envía la comunicación (salvo que se indique de otro modo). Por ejemplo, cuando un servicio de retención día cero se ha aplicado a la cuenta.

Los campos que contengan datos de Identificación Personal (DIP) se borran tras el periodo de conservación, antes de eliminarse permanentemente. Los datos de mensajería están limitados al número de teléfono o dirección de correo electrónico y al contenido del mensaje.

El almacenamiento de los DIP se realiza en entornos seguros y de acceso controlado, separados del resto de redes de trabajo de Esendex. Esendex es el propietario y se encarga del mantenimiento del hardware de estos entornos seguros.

Los datos almacenados de la «Descarga de Elementos Enviados» que se guardan en Microsoft Azure (Reino Unido) se conservan durante 12 meses, tras los cuales dichos datos se borran en la instancia de Azure.

Los datos transmitidos mediante nuestra aplicación Messaging Studio tendrán copias almacenadas en Microsoft Azure en el Reino Unido. El periodo de retención para Datos de informes/Datos analíticos lo define usted, el cliente. Los Datos operativos también se almacenan en Azure, que se ajusta a los periodos de conservación de Datos estándar de Esendex (2 años). Si un destinatario no tiene un teléfono que funcione con RCS y el mensaje se envía mediante SMS, seguirá siendo de aplicación el periodo de conservación de dos años.

Los Datos transmitidos mediante nuestros canales de voz de salida se conservan durante dos años.

Medidas para la protección de los datos

Esendex cuenta con el certificado de la norma ISO 27001 de Información de la Seguridad y opera conforme a esta. Puede encontrar una copia de nuestro certificado aquí .

Esta norma se aplica a todas las áreas de la empresa. Tanto nuestras oficinas como nuestros entornos de producción los certifica anualmente un auditor externo acreditado.

Existe también una versión dirigida al cliente de nuestro Manual del Sistema de Gestión de Seguridad de la Información (MSGSI) que detalla estas medidas si se solicita. Este manual proporciona información acerca de cómo implementamos los controles ISO 27001 en Esendex.

Como resumen ilustrativo más detallado, Esendex ha tomado, entre otras, las siguientes medidas:

Control de acceso

Cortafuegos

Antivirus

Equipamiento seguro, incluidos ordenadores portátiles y teléfonos móviles

Datos en tránsito/Cifrado

Copia de seguridad, recuperación en caso de desastre y continuidad del negocio

Programamos y realizamos copias de seguridad regularmente para garantizar que todos los Datos están almacenados a salvo, de forma segura y están disponibles para ser recuperados ante una situación de desastre.

Supervisión

Educación y formación de los empleados

Todos los empleados:

Políticas y procedimientos

Además de lo anterior, mantenemos, aplicamos y apoyamos políticas y procedimientos conforme a la norma ISO 270001 en relación con:

Todas estas medidas y todos los sistemas ISO los audita internamente el equipo de cumplimiento y externamente nuestro organismo de acreditación de terceros cada año. El equipo de cumplimiento también realiza barridos de seguridad según las necesidades para garantizar que todo el personal cumple determinadas políticas.

Riesgos

Esendex evalúa continuamente todos los riesgos. Las evaluaciones de riesgos detallan planes de tratamiento que actúan como recomendaciones para ayudar a que el negocio reduzca el impacto o la probabilidad del riesgo identificado. Los riesgos y los planes de tratamiento se revisan regularmente; evaluamos riesgos relacionados con nuestros sistemas, personal, bienes y actividades operativas. Esendex ha identificado esta como un área que, aunque cumple los requisitos de ISO 27001, también está adherida al principio de mejora constante.

Usamos programas empresariales para la gestión de riesgos para apoyar y mejorar nuestro enfoque hacia la gestión de riesgos. Identificamos las dependencias como riesgos para nuestro negocio y los objetivos de seguridad mediante registros de riesgos, con actividades planteadas para solventar estos riesgos de manera efectiva.

Notificación de violaciones de la seguridad

Esendex sigue todas las medidas anteriores para proteger sus datos como parte de sus actividades de Tratamiento de Datos. En el caso de una violación de la seguridad de los datos, le informaremos sin demora indebida que un problema de seguridad ha provocado una violación de los datos que incluye los datos de sus clientes.

También hemos:

Delegados de Protección de Datos

Esendex tiene un equipo exclusivo que se encarga de todas la preguntas, solicitudes, problemas y consultas relacionadas con la protección de datos en toda la organización. Esendex actualmente no tiene la obligación de tener un Delegado de Protección de Datos (DPD) según el criterio establecido en el RGPD. Sin embargo, este puesto se revisará regularmente.

Cualquier pregunta que tenga relacionada con la Protección de Datos puede planteársela a su gestor de cuenta. Las solicitudes de acceso de los titulares de datos se detallan en la siguiente sección.

Derechos de los titulares de datos

Como Encargado del Tratamiento, Esendex no responderá directamente a solicitudes realizadas por alguno de sus clientes cuyos datos hayamos procesado. Nos pondremos en contacto con usted para hacerle conocedor de la solicitud y le ayudaremos a la hora de cumplir sus obligaciones con el RGPD. Estos son ejemplos de cómo podemos ayudar a cumplir con los derechos de un titular de datos:

Solicitudes de acceso de los titulares de datos

Los Responsables del Tratamiento de Datos son responsables de garantizar que responden a las solicitudes de acceso de los titulares de datos conforme a los requisitos del RGPD. Los Responsables del Tratamiento de Datos que necesiten orientación sobre sus obligaciones deben ponerse en contacto con la AEPD directamente o buscar asesoramiento legal de forma independiente.

Los datos que usted haya transferido a Esendex pueden ser puestos a su disposición por este motivo, dando por hecho que Nosotros aún los tengamos almacenados. Las solicitudes de acceso del titular de datos pueden presentarse a Esendex mediante nuestra Solicitud de acceso de información personal. Hay una coste asociado a solicitudes de esta naturaleza; póngase en contacto con su gestor de cuenta para obtener más información. Las solicitudes de acceso del titular de datos se darán curso en los 30 días siguientes a la recepción de la solicitud.

Derecho al olvido y borrado de datos

Los titulares de los datos tienen derecho a solicitar que su información se elimine si se oponen a su tratamiento o a retirar su consentimiento. En el Reino Unido, este derecho se ha usado para corregir información incorrecta sobre los titulares de datos, por ejemplo, en resultados de búsquedas de Google. Aunque el RGPD no ofrece un derecho absoluto al olvido, ha dado como resultado que los Responsables del Tratamiento de Datos reciban más solicitudes de eliminación de datos.

Puede solicitar la eliminación de datos específicos a su gestor de cuenta.

Registros de la actividad del tratamiento

Esendex es un Encargado del Tratamiento de Datos de toda la información del cliente. Como tal, solo tratamos sus datos siguiendo sus instrucciones y con la intención de proporcionarle el servicio de comunicaciones que forma parte del cumplimiento del contrato entre Usted y Nosotros. La única intención de nuestras actividades de tratamiento es la transmisión y la entrega de comunicaciones a sus usuarios finales.

Mantenemos un registro de todos los mensajes que enviamos en su nombre acorde con nuestra política de conservación de datos. Como se detalla en la sección de Conservación de Datos, esto se hará durante no más de dos años desde la fecha en la que la comunicación sea enviada.

Transferencias a terceros

Esendex le pasa su información a operadores de red con la intención de entregar sus comunicaciones a los terminales móviles de los Usuarios Finales o al Equipo de Terminación de Red. Este tipo de transferencia es intrínseca a la provisión de nuestros productos y servicios.

Para las comunicaciones por SMS en el Reino Unido, usamos solamente nuestras conexiones directas con redes móviles del Reino Unido para garantizar que podemos hacer un seguimiento de sus datos desde nuestros sistemas hasta el terminal del usuario final.

Los datos transmitidos mediante nuestros productos de voz se transmiten mediante un Protocolo de Inicio de Sesión (SIP) que está en nuestro Centro de datos de Derby, Nodo 4. El SIP del Centro de datos proporciona conexiones a operadores de red para la entrega de las comunicaciones.

Una de las funciones que ofrece nuestro servicio, la Descarga de Elementos Enviados, está alojada en Microsoft Azure (Reino Unido).

Los datos de Messaging Studio y de Rich Content/Communicacions Service (RCS) están en Microsoft Azure (Reino Unido) por fines operativos.

Respecto a las redes de terceros que usamos, hemos realizado la auditoría con la diligencia debida para garantizar que cada proveedor ha tomado las medias técnicas y organizativas adecuadas requeridas para ofrecer estándares de seguridad que sean sustancialmente similares a aquellos descritos en este documento para nuestras propias infraestructuras.

También hemos firmado contratos con todos los terceros que garanticen las obligaciones de protección de datos por parte de todas las partes y amplíen los requisitos mínimos detallados en cualquier Contrato de Tratamiento de Datos entre Usted y Nosotros con nuestros proveedores.

Contrato de Tratamiento de Datos

Esendex ha elaborado un Contrato de Tratamiento de Datos (CTD) que forma parte de nuestras Condiciones Generales del Servicio. Esto ayuda a nuestros clientes a garantizar que Usted cumple con sus obligaciones como Responsable del Tratamiento de Datos conforme al RGPD.

Mapas de datos

Como parte de nuestro marco de protección de la privacidad, Esendex ha realizado mapeados exhaustivos de los datos de nuestros sistemas para proporcionar «Ciclos de Vida de los Datos» de todos los DIP que tratamos y controlamos. Existen versiones para los clientes de nuestros mapas de datos si se solicitan con el fin de que Usted cumpla sus obligaciones conforme al principio de responsabilidad del RGPD. Podrá dirigir las solicitudes a su gestor de cuenta, quien podrá compartir mapas de datos específicos de Nuestros productos y servicios que Usted usa.

Evaluación del Impacto relativa a la Protección de Datos (EIPD)

Entendemos que determinados tipos de tratamientos pueden requerir que nuestros clientes completen una EIPD para demostrar que han tenido en cuenta los derechos y libertades de los titulares de datos antes de llevar a cabo sus actividades de tratamiento propuestas. Esendex es un proveedor de servicios para comunicaciones empresariales y no tiene visibilidad del contenido que usted envía mediante nuestra plataforma. Si sus actividades de tratamiento se consideran de alto riesgo, o si trata categorías especiales de datos, tal vez requiera nuestra contribución a su EIPD. Diríjase a su gestor de cuenta para cualquier solicitud de esta naturaleza.