Cumplimiento del GDPR

Nuestro compromiso con el GDPR

En stellar-paladin cumplimos estrictamente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Este documento complementa nuestra Política de Privacidad y proporciona información adicional sobre cómo garantizamos el cumplimiento de esta normativa.

Qué es el GDPR

El GDPR (General Data Protection Regulation) o RGPD (Reglamento General de Protección de Datos) es la normativa europea que regula el tratamiento de datos personales en la Unión Europea. Entró en vigor el 25 de mayo de 2018 y establece normas estrictas sobre cómo las organizaciones deben recopilar, almacenar y utilizar información personal.

Principios que seguimos

Nuestra actividad de tratamiento de datos personales se rige por los siguientes principios establecidos en el GDPR:

Licitud, lealtad y transparencia

Tratamos tus datos de forma lícita, leal y transparente. Te informamos claramente sobre qué datos recopilamos, para qué los usamos y cuál es la base legal que nos permite hacerlo.

Limitación de la finalidad

Recogemos tus datos para finalidades específicas, explícitas y legítimas. No los utilizamos posteriormente de manera incompatible con esas finalidades.

Minimización de datos

Solo recopilamos los datos estrictamente necesarios para la finalidad específica. No pedimos información innecesaria.

Exactitud

Mantenemos tus datos actualizados y exactos. Proporcionamos mecanismos para que puedas corregir datos inexactos.

Limitación del plazo de conservación

Conservamos tus datos únicamente durante el tiempo necesario para las finalidades establecidas o cuando exista una obligación legal de conservación.

Integridad y confidencialidad

Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de tus datos contra tratamiento no autorizado, pérdida, destrucción o daño accidental.

Responsabilidad proactiva

No solo cumplimos con el GDPR, sino que también podemos demostrar nuestro cumplimiento a través de documentación, políticas internas y auditorías.

Bases legales del tratamiento

Todo tratamiento de datos personales requiere una base legal. En stellar-paladin tratamos tus datos bajo las siguientes bases legales:

Consentimiento

Cuando nos contactas voluntariamente o te suscribes a nuestras comunicaciones, nos das tu consentimiento para tratar tus datos. Este consentimiento es libre, específico, informado e inequívoco.

Puedes retirar tu consentimiento en cualquier momento contactándonos.

Ejecución de contrato

Si eres cliente nuestro, tratamos tus datos porque es necesario para ejecutar el contrato de servicios que hemos firmado contigo.

Obligación legal

Tratamos ciertos datos porque tenemos obligaciones legales que cumplir, como conservar facturas durante el período establecido por la normativa fiscal.

Interés legítimo

En ciertos casos, tratamos datos basándonos en nuestro interés legítimo, siempre que no prevalezcan tus derechos y libertades. Por ejemplo, para mejorar nuestros servicios o para fines de seguridad de la información.

Tus derechos bajo el GDPR

El GDPR te otorga derechos significativos sobre tus datos personales. Estamos comprometidos a facilitarte el ejercicio de estos derechos:

Derecho de acceso

Tienes derecho a saber si estamos tratando tus datos personales y, en caso afirmativo, a acceder a ellos y obtener información sobre cómo los tratamos.

Qué incluye: Una copia de tus datos personales y detalles sobre su tratamiento (finalidades, destinatarios, plazos de conservación, etc.).

Derecho de rectificación

Tienes derecho a que corrijamos datos inexactos o incompletos sobre ti.

Plazo: Atenderemos tu solicitud sin dilación indebida y, en todo caso, en el plazo de un mes.

Derecho de supresión (derecho al olvido)

Tienes derecho a que eliminemos tus datos personales cuando se dé alguna de estas circunstancias:

• Ya no son necesarios para los fines para los que fueron recogidos
• Retiras el consentimiento en el que se basaba el tratamiento
• Te opones al tratamiento y no prevalecen intereses legítimos
• Los datos han sido tratados ilícitamente
• Existe una obligación legal de supresión

Excepciones: No podemos eliminar datos cuando exista una obligación legal de conservarlos (por ejemplo, datos fiscales) o cuando sea necesario para el ejercicio o defensa de reclamaciones.

Derecho a la limitación del tratamiento

Puedes solicitar que limitemos el tratamiento de tus datos en los siguientes casos:

• Impugnas la exactitud de los datos (durante el tiempo necesario para verificarla)
• El tratamiento es ilícito pero te opones a la supresión
• Ya no necesitamos los datos pero tú los necesitas para reclamaciones legales
• Te has opuesto al tratamiento (mientras verificamos si prevalecen nuestros motivos legítimos)

Derecho a la portabilidad

Tienes derecho a recibir tus datos personales en formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable.

Aplica cuando: El tratamiento se basa en el consentimiento o en un contrato, y se efectúa por medios automatizados.

Derecho de oposición

Tienes derecho a oponerte al tratamiento de tus datos personales cuando se base en interés legítimo o cuando se traten para marketing directo.

Efecto: Dejaremos de tratar tus datos salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre tus intereses.

Decisiones automatizadas y elaboración de perfiles

Tienes derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o te afecten significativamente.

Información importante: En stellar-paladin no realizamos toma de decisiones automatizada ni elaboración de perfiles.

Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos:

1. Envía un email a [email protected]
2. Especifica claramente qué derecho deseas ejercer
3. Adjunta copia de tu DNI o documento identificativo para verificar tu identidad
4. Si actúas en representación de otra persona, acredita dicha representación

Plazo de respuesta: Te responderemos en el plazo de un mes desde la recepción de tu solicitud. En casos complejos, podemos ampliar este plazo otros dos meses, informándote de las razones de la dilación.

Gratuito: El ejercicio de estos derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas.

Medidas de seguridad técnicas

Implementamos medidas técnicas apropiadas según el estado de la técnica:

Protección de datos en tránsito

• Cifrado TLS/SSL en todas las comunicaciones web
• Conexiones VPN seguras para accesos remotos
• Protocolos de email seguros (SPF, DKIM, DMARC)

Protección de datos en reposo

• Cifrado de bases de datos
• Cifrado de discos en servidores
• Copias de seguridad cifradas

Control de accesos

• Autenticación multifactor para sistemas críticos
• Principio de mínimo privilegio
• Revisión periódica de permisos
• Registro de accesos a datos sensibles

Monitorización y detección

• Sistemas de detección de intrusiones
• Monitorización de logs de seguridad
• Alertas automáticas ante actividades anómalas
• Auditorías de seguridad periódicas

Medidas organizativas

Formación del personal

Todo nuestro personal recibe formación periódica en protección de datos y cumplimiento del GDPR.

Confidencialidad

Todos los empleados y colaboradores firman acuerdos de confidencialidad que incluyen compromisos específicos respecto a la protección de datos personales.

Políticas internas

Disponemos de políticas y procedimientos internos que regulan el tratamiento de datos personales en todas las áreas de la empresa.

Registro de actividades de tratamiento

Mantenemos un registro actualizado de todas las actividades de tratamiento de datos personales que realizamos, conforme al artículo 30 del GDPR.

Evaluaciones de impacto

Cuando iniciamos tratamientos que pueden suponer un alto riesgo para los derechos y libertades de las personas, realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) para identificar y mitigar riesgos.

Violaciones de seguridad

En caso de que se produzca una brecha de seguridad que afecte a datos personales:

• Lo notificaremos a la Agencia Española de Protección de Datos en un plazo de 72 horas
• Si el riesgo es alto para tus derechos y libertades, te notificaremos directamente sin dilación indebida
• Tomaremos medidas inmediatas para contener y remediar la brecha
• Documentaremos el incidente, sus efectos y las medidas correctivas adoptadas

Transferencias internacionales

Cuando sea necesario transferir datos fuera del Espacio Económico Europeo, garantizamos protección adecuada mediante:

• Cláusulas contractuales tipo aprobadas por la Comisión Europea
• Certificaciones de adecuación del país receptor
• Normas corporativas vinculantes cuando sea aplicable

Siempre evaluamos la necesidad de la transferencia y buscamos alternativas dentro del EEE cuando es posible.

Proveedores y encargados del tratamiento

Cuando trabajamos con proveedores que tratan datos personales en nuestro nombre (encargados del tratamiento):

• Firmamos contratos de encargo del tratamiento que cumplen con el artículo 28 del GDPR
• Nos aseguramos de que ofrezcan garantías suficientes de cumplimiento del GDPR
• Realizamos auditorías y revisiones periódicas de su cumplimiento
• Solo seleccionamos proveedores que demuestran compromiso con la protección de datos

Protección de datos desde el diseño

Aplicamos el principio de privacidad desde el diseño (privacy by design):

• Consideramos la protección de datos desde la concepción de nuevos servicios o procesos
• Implementamos medidas técnicas para garantizar el cumplimiento por defecto
• Minimizamos la recopilación de datos desde el inicio
• Evaluamos el impacto en privacidad antes de implementar cambios

Delegado de Protección de Datos

Aunque por nuestro tamaño y naturaleza de actividad no estamos legalmente obligados a designar un Delegado de Protección de Datos (DPO), hemos designado internamente un responsable de protección de datos que supervisa el cumplimiento del GDPR.

Puedes contactar con esta persona en: [email protected]

Derecho a reclamar ante la autoridad de control

Si consideras que no hemos tratado tus datos conforme al GDPR o que no hemos atendido adecuadamente el ejercicio de tus derechos, tienes derecho a presentar una reclamación ante la autoridad de control:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid
Tel: 901 100 099 / 912 663 517
Web: www.stellar-paladin.com

Sin embargo, te animamos a contactarnos primero para que podamos resolver cualquier preocupación.

Nuestro compromiso continuo

El cumplimiento del GDPR no es un proyecto puntual, sino un compromiso continuo. Revisamos regularmente nuestras prácticas y las actualizamos según:

• Cambios en la legislación
• Nuevas directrices de las autoridades de protección de datos
• Evolución de las mejores prácticas del sector
• Cambios en nuestros servicios o procesos

Más información

Para información adicional sobre cómo tratamos tus datos personales, consulta también:

• Política de Privacidad
• Política de Cookies
• Términos de Uso

Contacto

Para cualquier consulta relacionada con el GDPR o la protección de tus datos personales:

Email: [email protected]
Dirección postal: Calle Serrano 45, 3º B, 28001 Madrid, España