Esta página describe cómo RapidFoundry LTD ("nosotros", "nos", "nuestro") cumple con el Reglamento (UE) 2016/679, el Reglamento General de Protección de Datos ("GDPR"). Esta declaración tiene como objetivo proporcionar transparencia sobre nuestras prácticas de protección de datos y debe leerse junto con nuestra Política de Privacidad, que detalla los datos personales específicos que recopilamos y cómo los utilizamos.
Nuestro Compromiso con el Cumplimiento del GDPR
RapidFoundry LTD está comprometida con la protección de los derechos y libertades fundamentales de las personas físicas en relación con el procesamiento de datos personales. Como proveedor de Software como Servicio con sede en la UE, hemos implementado medidas integrales para garantizar el pleno cumplimiento del GDPR en todos los aspectos de nuestras operaciones.
Reconocemos que la protección de datos no es simplemente una obligación legal, sino un pilar fundamental de la confianza entre nuestra organización, nuestros clientes y las personas cuyos datos procesamos. Nuestro programa de cumplimiento está sujeto a revisión y mejora continuas para reflejar la evolución de las directrices regulatorias y las mejores prácticas.
Roles: Responsable del Tratamiento y Encargado del Tratamiento
Cuando Actuamos como Responsable del Tratamiento
De conformidad con el Artículo 4(7) del GDPR, RapidFoundry LTD actúa como responsable del tratamiento cuando determinamos los fines y medios del procesamiento de datos personales. Esto incluye:
- Procesamiento de datos personales de los visitantes de nuestro sitio web
- Gestión de cuentas y relaciones con nuestros clientes
- Procesamiento de datos de empleados y solicitantes de empleo
- Realización de actividades de marketing y comunicaciones
- Administración de facturación y asuntos contractuales
Como responsable del tratamiento, asumimos la plena responsabilidad de garantizar que las actividades de procesamiento cumplan con los requisitos del GDPR y de responder a las solicitudes de los interesados.
Cuando Actuamos como Encargado del Tratamiento
De conformidad con el Artículo 4(8) del GDPR, RapidFoundry LTD actúa como encargado del tratamiento cuando procesamos datos personales en nombre de nuestros clientes en relación con la provisión de nuestra plataforma SaaS. En esta capacidad:
- Nuestros clientes siguen siendo los responsables del tratamiento de los datos personales que suben o procesan a través de nuestra plataforma
- Procesamos dichos datos estrictamente de acuerdo con las instrucciones documentadas de nuestros clientes
- Mantenemos Acuerdos de Procesamiento de Datos apropiados con todos los clientes
- No utilizamos los datos de los clientes para nuestros propios fines más allá de lo necesario para proporcionar los servicios contratados
Principios de Procesamiento Lícito (Artículo 5 del GDPR)
RapidFoundry LTD se adhiere a los principios de protección de datos establecidos en el Artículo 5 del GDPR. Todas las actividades de procesamiento de datos personales se realizan de acuerdo con los siguientes principios:
Licitud, Lealtad y Transparencia
Procesamos los datos personales de manera lícita, leal y transparente. Las personas son informadas sobre cómo se procesan sus datos a través de nuestra Política de Privacidad y otros avisos aplicables.
Limitación de Finalidad
Los datos personales se recopilan con fines específicos, explícitos y legítimos, y no se procesan posteriormente de manera incompatible con esos fines.
Minimización de Datos
Nos aseguramos de que los datos personales procesados sean adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se procesan.
Exactitud
Tomamos medidas razonables para garantizar que los datos personales sean precisos y, cuando sea necesario, se mantengan actualizados. Los datos inexactos se eliminan o rectifican sin demora.
Limitación del Plazo de Conservación
Los datos personales se conservan solo durante el tiempo necesario para cumplir los fines para los que fueron recopilados, sujetos a los requisitos legales de retención aplicables.
Integridad y Confidencialidad
Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, incluida la protección contra el procesamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidental.
Responsabilidad Proactiva
Mantenemos documentación y registros para demostrar el cumplimiento de los principios anteriores y todos los requisitos aplicables del GDPR.
Bases Legales para el Procesamiento
De acuerdo con el Artículo 6 del GDPR, RapidFoundry LTD procesa datos personales solo cuando hemos identificado una base legal válida. Las bases legales en las que nos apoyamos incluyen:
- Necesidad Contractual (Artículo 6(1)(b)): Procesamiento necesario para la ejecución de un contrato con el interesado o para tomar medidas precontractuales a su solicitud
- Obligación Legal (Artículo 6(1)(c)): Procesamiento necesario para cumplir con las obligaciones legales a las que estamos sujetos
- Intereses Legítimos (Artículo 6(1)(f)): Procesamiento necesario para los fines de intereses legítimos perseguidos por nosotros o por un tercero, siempre que dichos intereses no se vean anulados por los derechos y libertades del interesado
- Consentimiento (Artículo 6(1)(a)): Cuando el interesado ha dado su consentimiento explícito para el procesamiento con uno o más fines específicos
Cuando procesamos categorías especiales de datos personales, nos aseguramos de que se cumpla una condición adicional según el Artículo 9 del GDPR. Los detalles sobre las bases legales específicas aplicadas a actividades particulares de procesamiento se establecen en nuestra Política de Privacidad.
Acuerdos de Procesamiento de Datos
De acuerdo con el Artículo 28 del GDPR, RapidFoundry LTD celebra Acuerdos de Procesamiento de Datos ("DPA") con todas las partes con las que tenemos una relación de responsable-encargado.
DPA con Nuestros Clientes
Cuando actuamos como encargado del tratamiento en nombre de nuestros clientes, proporcionamos un DPA integral que aborda todos los requisitos del Artículo 28(3) del GDPR, incluyendo:
- El objeto, duración, naturaleza y finalidad del procesamiento
- Los tipos de datos personales procesados y categorías de interesados
- Las obligaciones y derechos del responsable
- Nuestro compromiso de procesar datos solo según instrucciones documentadas
- Obligaciones de confidencialidad para el personal
- Medidas de seguridad implementadas
- Condiciones para contratar subencargados
- Asistencia con los derechos de los interesados y obligaciones de cumplimiento
- Eliminación o devolución de datos tras la terminación
- Derechos de auditoría e inspección
Nuestro DPA estándar está disponible a petición y forma parte de nuestros Términos de Servicio.
DPA con Nuestros Subencargados
Mantenemos DPA con todos los subencargados que cumplen o superan las obligaciones de protección de datos contenidas en nuestros acuerdos con los clientes, asegurando el mismo nivel de protección en toda la cadena de procesamiento.
Subencargados y Gestión de Proveedores
RapidFoundry LTD contrata a subencargados externos para ayudar en la prestación de nuestros servicios. Mantenemos un riguroso programa de gestión de proveedores para garantizar que todos los subencargados cumplan con nuestros estándares de protección de datos.
Debida Diligencia de Subencargados
Antes de contratar a cualquier subencargado, realizamos una evaluación exhaustiva de sus prácticas de protección de datos, que incluye:
- Revisión de certificaciones de seguridad e informes de auditoría
- Evaluación de medidas técnicas y organizativas
- Evaluación de mecanismos de transferencia de datos cuando corresponda
- Verificación de las capacidades de cumplimiento del GDPR
Lista de Subencargados
Mantenemos una lista actualizada de subencargados, que está disponible para los clientes a petición o a través de nuestro portal de clientes. Esta lista incluye la identidad, ubicación y actividades de procesamiento de cada subencargado.
Cambios de Subencargados
De acuerdo con los términos de nuestro DPA, proporcionamos a los clientes un aviso previo de cualquier cambio previsto en los subencargados, dándoles la oportunidad de objetar dichos cambios por motivos razonables de protección de datos.
Transferencias Internacionales de Datos y Salvaguardias
RapidFoundry LTD tiene su sede en la Unión Europea. Cuando los datos personales se transfieren fuera del Espacio Económico Europeo ("EEE"), nos aseguramos de que existan salvaguardias apropiadas de acuerdo con el Capítulo V del GDPR (Artículos 44–49).
Mecanismos de Transferencia
Nos basamos en los siguientes mecanismos para legitimar las transferencias internacionales de datos:
- Decisiones de Adecuación (Artículo 45): Transferencias a países que han recibido una decisión de adecuación de la Comisión Europea
- Cláusulas Contractuales Tipo (Artículo 46(2)(c)): Utilizamos las Cláusulas Contractuales Tipo ("SCC") de la Comisión Europea adoptadas de conformidad con la Decisión de Ejecución (UE) 2021/914 para transferencias a países sin una decisión de adecuación
- Medidas Complementarias: Cuando se requiere después de una evaluación de impacto de transferencia, implementamos medidas técnicas, contractuales y organizativas adicionales para garantizar un nivel de protección esencialmente equivalente
Evaluaciones de Impacto de Transferencia
Para las transferencias que se basan en SCC, realizamos evaluaciones de impacto de transferencia para evaluar si el marco legal del país receptor garantiza una protección adecuada. Estas evaluaciones consideran la legislación relevante, el acceso por parte de las autoridades públicas y la efectividad de los derechos de los interesados.
Marco de Privacidad de Datos UE-EE.UU.
Cuando corresponda, podemos confiar en el Marco de Privacidad de Datos UE-EE.UU. para transferencias a organizaciones estadounidenses certificadas, siguiendo la decisión de adecuación de la Comisión Europea del 10 de julio de 2023.
Medidas Técnicas y Organizativas
De conformidad con los Artículos 24 y 32 del GDPR, RapidFoundry LTD implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo presentado por nuestras actividades de procesamiento.
Medidas Técnicas
- Cifrado: Los datos en reposo y en tránsito están protegidos mediante protocolos de cifrado estándar de la industria (AES-256 y TLS 1.2+)
- Controles de Acceso: Controles de acceso basados en roles, autenticación multifactor y principio de privilegio mínimo
- Seguridad de Red: Firewalls, sistemas de detección de intrusiones y evaluaciones regulares de vulnerabilidades
- Seudonimización: Aplicada cuando es apropiado para reducir los riesgos para los interesados
- Copia de Seguridad y Recuperación: Copias de seguridad cifradas regulares con procedimientos de restauración probados
- Registro y Monitoreo: Registro de auditoría completo y monitoreo de seguridad en tiempo real
Medidas Organizativas
- Políticas de Seguridad de la Información: Políticas documentadas que rigen el manejo, acceso y seguridad de datos
- Formación de Empleados: Capacitación regular en protección de datos y concienciación sobre seguridad para todo el personal
- Acuerdos de Confidencialidad: Todos los empleados y contratistas están sujetos a obligaciones de confidencialidad
- Respuesta a Incidentes: Procedimientos documentados para identificar, informar y responder a incidentes de seguridad
- Continuidad del Negocio: Planes para garantizar la disponibilidad y resistencia de los sistemas de procesamiento
- Auditorías Regulares: Auditorías periódicas internas y externas de los controles de seguridad
Certificaciones
RapidFoundry LTD mantiene [ISO 27001 / SOC 2 Type II / otras certificaciones aplicables] para demostrar nuestro compromiso con las mejores prácticas de seguridad de la información. Las copias de las certificaciones relevantes están disponibles para los clientes a petición.
Soporte para los Derechos de los Interesados
RapidFoundry LTD está comprometida con facilitar el ejercicio de los derechos de los interesados según el Capítulo III del GDPR.
Cuando Somos el Responsable del Tratamiento
Cuando actuamos como responsable del tratamiento, los individuos pueden ejercer sus derechos directamente con nosotros. Respondemos a solicitudes válidas sin demora indebida y dentro de un mes, sujeto a extensión cuando lo permite el Artículo 12(3) del GDPR. Los detalles completos sobre cómo ejercer estos derechos se proporcionan en nuestra Política de Privacidad.
Cuando Somos el Encargado del Tratamiento
Cuando actuamos como encargado del tratamiento, ayudamos a nuestros clientes (como responsables) a responder a las solicitudes de los interesados de acuerdo con nuestras obligaciones del DPA y el Artículo 28(3)(e) del GDPR. Esto incluye:
- Proporcionar funcionalidad técnica para permitir a los clientes responder a solicitudes de acceso, rectificación, eliminación y portabilidad
- Reenviar rápidamente cualquier solicitud recibida directamente de los interesados al cliente relevante
- Proporcionar información y asistencia necesarias para que los clientes cumplan con sus obligaciones
Derechos Respaldados
Apoyamos los siguientes derechos de los interesados según corresponda:
- Derecho de acceso (Artículo 15)
- Derecho de rectificación (Artículo 16)
- Derecho de supresión (Artículo 17)
- Derecho a la limitación del tratamiento (Artículo 18)
- Derecho a la portabilidad de datos (Artículo 20)
- Derecho de oposición (Artículo 21)
- Derechos relacionados con la toma de decisiones automatizada (Artículo 22)
Procedimientos de Violación de Datos
RapidFoundry LTD mantiene procedimientos documentados para detectar, investigar y responder a violaciones de datos personales de acuerdo con los Artículos 33 y 34 del GDPR.
Detección y Evaluación de Violaciones
Empleamos monitoreo técnico y procedimientos organizativos para detectar posibles violaciones con prontitud. Tras la detección, nuestro equipo de respuesta a incidentes evalúa la naturaleza, alcance e impacto potencial de la violación.
Notificación a las Autoridades de Control (Artículo 33)
Cuando actuamos como responsable del tratamiento y una violación puede resultar en un riesgo para los derechos y libertades de las personas físicas, notificamos a la autoridad de control competente sin demora indebida y, cuando sea factible, dentro de las 72 horas posteriores a tener conocimiento de la violación.
Notificación a los Interesados (Artículo 34)
Cuando una violación puede resultar en un alto riesgo para los derechos y libertades de las personas físicas, comunicamos la violación a los interesados afectados sin demora indebida, a menos que se aplique una excepción según el Artículo 34(3).
Notificación a los Clientes (Rol de Encargado)
Cuando actuamos como encargado del tratamiento y tenemos conocimiento de una violación de datos personales que afecta a los datos de los clientes, notificamos al cliente afectado sin demora indebida, proporcionando información suficiente para permitir que el cliente cumpla con sus propias obligaciones de notificación.
Documentación
Mantenemos registros de todas las violaciones de datos personales, incluidos los hechos, efectos y acciones correctivas tomadas, de acuerdo con el Artículo 33(5) del GDPR.
Prácticas de Minimización y Retención de Datos
Minimización de Datos
De acuerdo con el Artículo 5(1)(c) del GDPR, aplicamos principios de minimización de datos en todas nuestras operaciones:
- Recopilamos solo los datos personales necesarios para fines específicos
- Revisamos regularmente las prácticas de recopilación de datos para eliminar el procesamiento innecesario
- Diseñamos nuestros sistemas y procesos con la minimización de datos como consideración predeterminada
- Animamos a los clientes a aplicar la minimización de datos cuando utilizan nuestra plataforma
Prácticas de Retención
Los datos personales se conservan solo durante el tiempo necesario para cumplir los fines para los que fueron recopilados. Nuestras prácticas de retención se rigen por:
- Calendario de Retención: Mantenemos un calendario de retención documentado que especifica los períodos de retención para diferentes categorías de datos personales
- Requisitos Legales: Ciertos datos pueden conservarse por más tiempo cuando lo requiere la ley aplicable (por ejemplo, obligaciones fiscales, contables o regulatorias)
- Obligaciones Contractuales: Los datos de los clientes procesados en nuestro rol como encargado se conservan de acuerdo con las instrucciones del cliente y los términos de nuestro DPA
- Eliminación Segura: Al vencer los períodos de retención o al finalizar los servicios, los datos personales se eliminan de forma segura o se anonimizan
Los períodos de retención específicos para las categorías de datos personales que controlamos se detallan en nuestra Política de Privacidad.
Información de Contacto
Para preguntas sobre esta Declaración de Cumplimiento del GDPR, nuestras prácticas de protección de datos o para ejercer los derechos de los interesados, contáctenos:
RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Chipre
Consultas Generales sobre Protección de Datos:
Email: privacy@rapidfoundry.net
Actualizaciones de Esta Declaración
Podemos actualizar esta Declaración de Cumplimiento del GDPR de vez en cuando para reflejar cambios en nuestras prácticas, tecnologías, requisitos legales u otros factores. Le recomendamos revisar periódicamente esta página para obtener la información más reciente sobre nuestras prácticas de cumplimiento.