Dolead & RGPD

Resumen

En resumen, el RGPD ha obligado a las organizaciones a reflexionar más en profundidad sobre su enfoque en materia de recopilación y tratamiento de datos personales, una iniciativa que acogemos y adoptamos plenamente. Desde siempre, nuestras ofertas Dolead Campaign Manager y, más recientemente, nuestra oferta Dolead Performance se basan en un contrato gratuito con los usuarios.

Además, hemos nombrado a un responsable de la protección de datos (RPO) que guiará nuestro programa de cumplimiento y velará por que Dolead cumpla sus obligaciones en virtud del RGPD. Nuestro RPO ayudará a los equipos de Dolead con el proceso de evaluación del impacto en la confidencialidad de los datos (según lo dispuesto por el artículo 35 del RGPD), para que puedan reconocer y minimizar el riesgo en materia de protección de datos.

El principio de Privacy by Design forma parte de nuestro proceso de ingeniería del producto.

Por último, cabe destacar que en el marco de nuestro programa de protección de la vida privada, todos nuestros empleados han recibido una formación sobre el tema, que se les volverá a impartir cada año, además de una formación de seguridad específica para ciertos empleados.

Asimismo, hemos desarrollado un procedimiento de verificación de nuestra política de protección de datos personales, para seguir mejorando constantemente.

Introducción

En resumen, el RGPD ha obligado a las organizaciones a reflexionar más en profundidad sobre su enfoque en materia de recopilación y tratamiento de datos personales, una iniciativa que acogemos y adoptamos plenamente. Desde siempre, nuestras ofertas Dolead Campaign Manager y, más recientemente, nuestra oferta Dolead Performance se basan en un contrato gratuito con los usuarios.

Además, hemos nombrado a un responsable de la protección de datos (RPO) que guiará nuestro programa de cumplimiento y velará por que Dolead cumpla sus obligaciones en virtud del RGPD. Nuestro RPO ayudará a los equipos de Dolead con el proceso de evaluación del impacto en la confidencialidad de los datos (según lo dispuesto por el artículo 35 del RGPD), para que puedan reconocer y minimizar el riesgo en materia de protección de datos.

El principio de Privacy by Design forma parte de nuestro proceso de ingeniería del producto.

Por último, cabe destacar que en el marco de nuestro programa de protección de la vida privada, todos nuestros empleados han recibido una formación sobre el tema, que se les volverá a impartir cada año, además de una formación de seguridad específica para ciertos empleados.

Asimismo, hemos desarrollado un procedimiento de verificación de nuestra política de protección de datos personales, para seguir mejorando constantemente.¿Cuál es nuestro estatus?

Al utilizar nuestros servicios, tanto usted como nosotros somos responsables del tratamiento de los datos de los usuarios y clientes potenciales que recopilamos. En efecto, el RGPD define al responsable de tratamiento como la persona que, «sola o junto con otras, determina las finalidades y los medios del tratamiento».

En su calidad de cliente nuestro, usted determina la finalidad de la recogida mientras que nosotros, por nuestra parte, determinamos libremente los medios utilizados para llevar a cabo dicha recogida, ya que ponemos a su disposición nuestro servicio y saber hacer en materia de marketing digital.

Por consiguiente, somos corresponsables del tratamiento y, como tales, asumimos la misma responsabilidad que usted hacia los usuarios y clientes potenciales.

Por otra parte, dicha responsabilidad es una garantía de calidad para los usuarios y clientes potenciales.

Dolead cumple escrupulosamente las instrucciones del cliente en cuanto a la finalidad del tratamiento de los datos recopilados.

Por otra parte, somos responsables del tratamiento de los datos personales que recopilamos de nuestros clientes.

Fundamentos de nuestro tratamiento 

En primer lugar, en nuestra calidad de corresponsables del tratamiento, nos aseguramos de tener una base legal para el procesamiento de datos personales que llevamos a cabo. Por lo que respecta a nuestros usuarios y clientes potenciales, dicho fundamento es casi siempre el contrato. En efecto, cuando un usuario cumplimenta una interfaz para ponerse en contacto con un profesional, le estamos prestando un servicio, aunque sea gratuito.

Ahora bien, a veces podemos vernos en la necesidad de recoger datos complementarios que deben entonces ser comunicados voluntariamente por el usuario o el cliente potencial, en cuyo caso el fundamento del tratamiento será el consentimiento. Siempre nos aseguramos de que haya un consentimiento expreso, pidiendo al usuario o cliente potencial que marque una casilla para validar su solicitud.

Le recordamos que, como cliente nuestro, usted es responsable del tratamiento y, como tal, debe determinar la finalidad de la recogida y los datos a recoger,  aplicando el principio de «minimalización», que le obliga a recoger solamente los datos estrictamente necesarios para su objetivo.

Así pues, usted tiene la responsabilidad de definir cuidadosamente los datos que debemos recoger y de utilizarlos exclusivamente para la finalidad indicada.

Asistencia a los clientes y derechos de las personas afectadas

El RGPD concede a los individuos amplios derechos con respecto a su la información personal.

Tanto ahora como antes, los individuos afectados por la recogida de datos (en adelante denominados «sujetos de datos», en inglés, data subjects) disponen de un derecho de acceso a sus datos personales y de rectificación de los datos inexactos o incompletos. En determinados casos, los  sujetos de datos disponen también de un derecho de supresión (derecho al olvido) y de un derecho de oposición al tratamiento. Un nuevo derecho consiste en la limitación del tratamiento que se aplica en determinadas hipótesis, y el derecho a la portabilidad de los datos.

Para los responsables del tratamiento, estos derechos suponen una organización interna más eficaz y una gestión más precisa de los datos personales, para poder responder en un breve plazo a estas solicitudes. Dolead, en su calidad de corresponsable del tratamiento, ha desarrollado herramientas que responden a estas demandas y que serán de utilidad a nuestros clientes a la hora de cumplir con el RGPD.

En efecto, como corresponsables del tratamiento, los sujetos de datos pueden ejercer sus derechos ante cada uno de nosotros y debemos ser capaces de actuar de manera coordinada y responder rápidamente a sus demandas.

Así pues, hemos desarrollado herramientas para eliminar y exportar los datos de los usuarios finales.

Cuando empezamos a reflexionar sobre el RGPD, para nosotros era importante crear herramientas de exportación y supresión de datos lo suficientemente sofisticadas como para dar una respuesta precisa a nuestros usuarios y clientes actuales y potenciales, en lugar de ofrecer una herramienta general única. Así pues, nuestro equipo de ingeniería ha construido una herramienta capaz de exportar o suprimir datos de eventos para un «form_id» específico o suprimir propiedades específicas.

Esta herramienta puede gestionar cualquier tipo de solicitud, de modo que Dolead podrá recuperar o suprimir una propiedad específica de un usuario único o todos los datos de un formulario específico. Nuestro equipo de soporte tramitará las solicitudes de supresión y exportación de eventos a través de un formulario de correo electrónico enviado a su encargado de cuenta. Pronto recibirá información adicional sobre la forma en que debe presentarnos una solicitud de acceso a los derechos. Asimismo, vamos a abrir una API de supresión externa para que el cliente pueda utilizarla de aquí a finales de mayo.

En materia de supresión de datos, se pueden dar varios casos:

  • Usted puede recibir una solicitud de supresión directamente, en cuyo caso, o tiene la capacidad técnica necesaria para suprimir los datos conservados por Dolead en la interfaz que ponemos a su disposición, o nos transfiere la solicitud y nosotros efectuamos la supresión;
  • Nosotros podemos recibir una solicitud de supresión, en cuyo caso se la transferiremos sin demora y, cuando la solicitud sea fundada, procederemos inmediatamente a la supresión de los datos.

Duración de la conservación

Hemos trabajado específicamente en el plazo de conservación de los datos de los usuarios y clientes potenciales que recopilamos, ya que el RGPD nos obliga a conservar los datos sólo durante el período necesario para la finalidad de la recogida.

Como la puesta en contacto con un profesional es un contrato de ejecución instantánea, hemos adoptado el período de prescripción, con lo que suprimimos los datos después de 5 años de efectuada la recogida, lo que permite evitar cualquier litigio. Tres años después de la recogida, archivamos los datos.

Si tiene alguna pregunta, puede contactar con help@dolead.com.

La seguridad organizativa y técnica en Dolead

Hemos replanteado nuestra organización interna para asegurarnos de que el acceso de los empleados a los datos personales de nuestros usuarios y clientes actuales y potenciales se limite a lo estrictamente necesario, para lo que hemos verificado nuestros sistemas y actualizado las autorizaciones de acceso. En Dolead, los derechos de acceso dependen de la función y el papel desempeñados por los empleados en el trabajo. Utilizamos los conceptos de «privilegio mínimo» y «necesidad de saber» para que los privilegios de acceso se correspondan con las responsabilidades definidas. Además, los empleados de Dolead deben respetar nuestra política de gestión segura de datos.

Sólo las personas a las que hemos designado como «Need to Know» (necesitan saber) pueden acceder a los datos tratados por Dolead. Por otra parte, hemos mejorado nuestro sistema de eventos, y podemos saber quién accede a qué datos y cuándo, y quién los ha manipulado o modificado. Nuestros empleados, que están al tanto de esta trazabilidad, deben firmar un acuerdo de confidencialidad y serán formados en la protección de los datos personales.

Por otra parte, analizamos las vulnerabilidades del software y disponemos de una plataforma de gestión de la información y los eventos de seguridad que vigila y alerta las 24 horas en caso de fallos o problemas técnicos. Dolead informará sin demora a los usuarios y clientes actuales o potenciales en caso de destrucción, pérdida, modificación o divulgación de los datos personales, o de acceso accidental, no autorizado o ilegal a los mismos. Además, en virtud de los artículos 32-36 del RGPD brindaremos asistencia a nuestros clientes en el cumplimiento de sus obligaciones.

Actualización de nuestra documentación

Para cumplir con el RGPD, hemos modificado nuestras Condiciones de utilización, elaborado una carta para la protección de los datos personales y actualizado nuestra Política de cookies.

Los subcontratistas y Dolead

Como corresponsable del tratamiento, Dolead recurre a subcontratistas. Así, por ejemplo, subcontrata los servicios Amazon Web Service («AWS») para almacenar los datos de sus clientes en la nube en lugar de conservarlos en sus instalaciones. AWS es un proveedor líder en la nube, que posee las mejores certificaciones de seguridad del sector, como SOC2 e ISO27001.

Todos nuestros subcontratistas son seleccionados cuidadosamente en colaboración con nuestro soporte técnico y jurídico. Además, hemos adoptado un procedimiento de evaluación de los riesgos de los subcontratistas y verificamos que cumplan con el RGPD. Algunos subcontratistas pueden estar situados fuera de la Unión Europea,  en cuyo caso nos aseguramos de que tengan un fundamento válido para la transferencia de datos personales fuera de la UE. Por lo general, trabajamos con empresas extraeuropeas que se hayan adherido al «Privacy Shield».

Cabe destacar que los propios servidores de Dolead se encuentran en Europa.

Puede consultar la lista de nuestros subcontratistas aquí.

Contacte con nosotros

Si desea obtener más información o formular preguntas suplementarias, póngase en contacto con nosotros en la dirección legal@dolead.com.