País:
España
Idioma:

Partner Portal

PREGUNTAS FRECUENTES SOBRE EL RGPD DE AJAX

Conceptos básicos 

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (también conocido como Reglamento (UE) 2016/679 o «RGPD») es un reglamento de la legislación de la UE sobre protección de datos y privacidad en la UE y el Espacio Económico Europeo (EEE). Aunque fue elaborado y aprobado por la Unión Europea (UE), impone obligaciones de protección de datos a las organizaciones de cualquier país, siempre que utilicen o recopilen datos relacionados con personas residentes en la UE.

¿Qué son los datos personales?

Los datos personales son cualquier información relativa a una persona física que pueda ser identificada directa o indirectamente. Toda la información recopilada de distintas fuentes puede conducir a la identificación de una persona en particular y constituir datos personales.

Los datos personales que han sido desidentificados, cifrados o seudonimizados, pero que pueden utilizarse para reidentificar a una persona, no pierden su carácter de datos personales y están sujetos a la ley.

A continuación se presentan algunos ejemplos de datos personales:

  • nombre y apellidos;
  • dirección;
  • dirección de correo electrónico;
  • número del documento de identidad;
  • datos de ubicación;
  • dirección IP;
  • identificadores de cookies;
  • Identificador publicitario del teléfono.

¿Qué significa procesar datos?

La definición de tratamiento de datos abarca una amplia gama de operaciones realizadas con datos personales, ya sea por medios manuales o automatizados. Incluye la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, limitación, supresión o destrucción de datos de carácter personal. Si realiza alguna acción con los datos de las formas mencionadas anteriormente, esto significa que está tratando datos.

¿Cuál es la diferencia entre un procesador de datos y un controlador de datos?

Un controlador de datos es una organización, institución o individuo que establece las normas y reglas para el tratamiento de datos personales. En la práctica, esto significa que el controlador de datos es responsable de determinar cómo y por qué una organización utiliza los datos personales. En la mayoría de los casos, un responsable del tratamiento de datos es la persona u organización que recopila los datos y decide cómo se utilizarán.

A diferencia del procesador de datos. Según el RGPD, un procesador de datos es una organización, institución o individuo que aplica las normas de tratamiento de datos establecidas por el controlador de datos. Normalmente, un procesador de datos es una parte que procesa datos bajo la dirección y discreción de un controlador de datos. Un procesador de datos no es propietario de los datos que trata ni tiene control sobre ellos. Es decir, un procesador de datos no tiene derecho a cambiar el contenido de los datos, determinar cómo se utilizarán y solo debe actuar de acuerdo con las instrucciones.

A continuación encontrará algunas preguntas de control para comprender la diferencia entre las funciones de controlador de datos y procesador de datos:

El Controlador de datos toma las siguientes decisiones:

  • la organización que recopila los datos en primera instancia y tiene la base jurídica para hacerlo;
  • para qué se utilizarán los datos personales;
  • si se divulgarán los datos y, en caso afirmativo, a quién;
  • si se aplican los derechos de acceso de los sujetos y de otras personas o si existen excepciones;
  • cuánto tiempo conservar los datos o si modificarlos de una forma que no sea habitual.

El Procesador de datos toma las siguientes decisiones:

  • los métodos utilizados para la recopilación y almacenamiento de datos personales;
  • cómo se protegen los datos;
  • los medios utilizados para transferir datos personales de una organización a otra;
  • cómo se recuperan los datos personales;
  • método para garantizar el cumplimiento de un calendario de conservación;
  • cómo se suprimen los datos personales.

¿Cuáles son las condiciones del RGPD para el tratamiento de datos personales?

El artículo 6 del RGPD contiene una lista de condiciones (también conocidas como base legal) bajo las cuales es legal procesar datos personales:

  1. Consentimiento. Consentimiento significa que la persona interesada ha dado su consentimiento explícito a una actividad de tratamiento de datos personales para uno o varios fines específicos. La noción de finalidad es fundamental. Si el interesado, también conocido como persona física, da su consentimiento al tratamiento sin conocer la finalidad o finalidades específicas en su totalidad y de forma fácilmente comprensible, entonces el consentimiento no es una base legal para el tratamiento, ya que debe darse voluntariamente, ser preciso, informado e inequívoco. Además, el consentimiento no puede darse en conjunto. Para cada actividad de tratamiento de datos dentro de una operación más amplia, la norma general es que se requiere un consentimiento separado para cada actividad.
  2. El tratamiento es necesario para ejecutar o preparar la celebración de un contrato en el que el interesado es parte. Una organización puede recurrir a esta base jurídica si necesita tratar los datos personales de una persona para prestarle un servicio contractual o porque esa persona ha pedido a la organización que le preste algún servicio antes de celebrar un contrato (por ejemplo, que le facilite un presupuesto).
  3. Es necesario tratar los datos para cumplir una obligación legal. Si el controlador tiene una obligación legal para la que es necesario tratar determinados datos personales, el tratamiento está permitido. Este cumplimiento de una obligación legal para la que es necesario el tratamiento y a la que está sujeto el controlador tampoco es nuevo.
  4. Es necesario procesar los datos para salvar la vida de alguien. Esta base también se conoce como «interés vital». En este caso, no es necesario que la persona física sea un interesado; también puede ser otra persona física. Desde luego, no es competencia del controlador definir qué es un interés vital. Esta base se refiere más bien a circunstancias que ponen en peligro la vida cuando no existe otra base legal para el tratamiento, pero cuando no tratar los datos personales significaría esencialmente que alguien moriría si el procesador no actúa y, por tanto, necesita saber algunas cosas sobre la persona física que está en peligro.
  5. El tratamiento es necesario para realizar una tarea de interés público o para desempeñar una función oficial. Una organización puede recurrir a esta base legal si necesita tratar datos personales «en el ejercicio de la autoridad oficial». Esto abarca las funciones y poderes públicos establecidos por ley, o la realización de una tarea específica de interés público establecida por ley.
  6. El controlador tiene un interés legítimo en tratar los datos personales de una persona. El tratamiento de datos personales en este contexto no está necesariamente justificado por una obligación legal ni se lleva a cabo para ejecutar los términos de un contrato con una persona. En estos casos, el tratamiento de los datos personales puede justificarse por motivos de interés legítimo. Por ejemplo, un procesador tiene un interés legítimo cuando el tratamiento tiene lugar en el marco de una relación con un cliente, con fines de marketing directo, para prevenir el fraude o para garantizar la seguridad de la red y de la información de los sistemas informáticos. 


¿Cómo funciona el consentimiento según el RGPD?

Existen normas estrictas sobre el consentimiento de una persona interesada para procesar su información:

  • El consentimiento debe «darse voluntariamente, ser preciso, informado e inequívoco».
  • Las solicitudes de consentimiento deben «distinguirse claramente de los demás asuntos» y presentarse en «lenguaje claro y sencillo».
  • Las personas interesadas pueden retirar el consentimiento previamente otorgado siempre que lo deseen, y usted debe respetar su decisión. No es posible simplemente cambiar la base legal del tratamiento a una de las otras justificaciones.
  • Necesidad de conservar pruebas documentales del consentimiento.

¿Cuáles son los derechos individuales en virtud del RGPD?

El RGPD otorga los siguientes derechos a las personas físicas:

  1. Derecho a ser informado (las personas tienen derecho a ser informadas sobre cómo recopilan y utilizan las empresas sus datos personales, cuánto tiempo tienen previsto conservarlos y con quién los compartirán);
  2. Derecho de acceso (las personas tienen derecho a saber exactamente qué información han recopilado las empresas, cómo almacenan y procesan esos datos y qué van a hacer con ellos);
  3. Derecho de rectificación (las personas tienen derecho a que se completen los datos incompletos y se corrijan los incorrectos);
  4. Derecho de supresión (las personas tienen derecho a que se supriman definitivamente sus datos personales. Esto también se conoce como el «derecho al olvido»);
  5. Derecho a restringir el tratamiento (si las personas no pueden exigir que los controladores borren su información personal, pueden restringir la capacidad de los controladores para tratar dichos datos);
  6. Derecho a la portabilidad de los datos (las personas tienen derecho a obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios);
  7. Derecho de oposición (las personas tienen derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias);
  8. Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles (las personas tienen derecho a exigir la intervención humana, en lugar de que algoritmos tomen decisiones importantes).

¿Cuáles son los siete principios del RGPD?

Según el RGPD, existen siete principios fundamentales de protección de datos y responsabilidad:

  1. Legalidad, equidad y transparencia: el tratamiento debe ser legal, equitativo y transparente para la persona interesada.
  2. Limitación de la finalidad: debe tratar los datos para los fines legítimos especificados explícitamente al interesado en el momento de recopilarlos.
  3. Minimización de datos: debe recopilar y procesar solo los datos absolutamente necesarios para los fines especificados.
  4. Exactitud: debe mantener los datos personales exactos y actualizados.
  5. Limitación de almacenamiento: solo podrá almacenar datos de identificación personal durante el tiempo necesario para el fin especificado.
  6. Integridad y confidencialidad: el tratamiento debe realizarse de forma que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).
  7. Responsabilidad: el controlador de datos es responsable de poder demostrar que cumple todos estos principios del RGPD.

El RGPD, ¿exige que los datos personales de los residentes en la UE permanezcan en la UE?

El RGPD no impone ninguna restricción directa para que los datos personales de los residentes en la UE permanezcan únicamente en la UE. Sin embargo, la protección de datos de la UE se basa en el principio de que «el RGPD se queda con los datos», lo que significa que las normas que protegen los datos personales siguen aplicándose independientemente de dónde provienen los datos. Este principio también se aplica cuando los datos personales se transfieren a un país que no es miembro de la UE.

Tratamiento por Ajax

¿Ajax trata mis datos personales?

Sí, Ajax puede tratar sus datos personales. A continuación se indican las principales formas en que podemos utilizar su información:

  1. en nuestros sistemas de seguridad (por ejemplo, a través de Ajax Hub y otros dispositivos);
  2. en nuestras aplicaciones para usuarios finales y usuarios PRO: móviles (Ajax Security System y Ajax PRO: Tool for Engineers), de escritorio (Ajax Desktop y Ajax PRO Desktop) y herramientas web Ajax (en adelante, «Productos» o «Servicios»);
  3. cuando los usuarios visitan nuestra web a través de https://ajax.systems;
  4. en el ámbito de la cooperación comercial entre usted y Ajax (independientemente de si usted es partner o subcontratista directo o indirecto de Ajax);
  5. durante la comunicación personalizada entre usted y Ajax (por ejemplo, entrevistas, reuniones, etc.);

al prestar servicios relacionados con la funcionalidad de los Servicios Ajax extendidos (incluidos Ajax SIM, Ajax Cloud Storage, etc.);

¿Qué tipos de datos puede procesar Ajax?

Ajax puede procesar diferentes tipos de datos, en función del escenario de la interacción con usted.

A través de nuestros dispositivos de seguridad, podemos procesar:

  • Información sobre su Hub (como su modelo y número de serie, parámetros de red, incluida la dirección IP, registros de actividad del dispositivo, configuración anterior y actual del dispositivo, y su ubicación).
  •  Datos de telemetría y medioambientales.

Para proporcionar a los usuarios información sobre el sistema en forma de estados y eventos, procesamos datos de telemetría.

El término «datos de telemetría» (en adelante, «telemetría») se refiere a los datos y otras indicaciones que se recopilan, transmiten y miden automáticamente mediante sensores integrados en nuestros dispositivos para determinar el estado del entorno y la capacidad de servicio, así como para detectar posibles anomalías en el funcionamiento de los dispositivos.

Mientras utiliza nuestros Productos o Servicios, podemos procesar:

  • Información sobre usted (como nombre, apellidos, dirección de correo electrónico, número de teléfono y la foto de su cuenta).
  • Información que comparte con nosotros desde la lista de contactos de su dispositivo cuando invita a usuarios al Producto (como el correo electrónico o el número de teléfono de una persona a la que invita al Producto).
  • Identificadores únicos para nuestros Servicios (como su nombre de usuario y contraseña).
  • Identificadores únicos de los usuarios que ha conectado al Producto, como el nombre de usuario, el rol del usuario en el Producto y su dirección de correo electrónico; información sobre sus dispositivos móviles y de sobremesa, como el tipo de dispositivo, el sistema operativo y el idioma del sistema.
  • Datos basados en la ubicación para proporcionarle recordatorios para armar/desarmar el sistema si habilita la función de Geofence en nuestra aplicación.
  • Para usuarios de Android e iOS, SMS con el código de autorización necesario durante el registro o los cambios en la cuenta.
  • Información sobre su uso de nuestros Productos y Servicios (como solicitudes de aplicaciones a nuestro servidor).

Cuando visita nuestra web, podemos procesar:

  • La información que facilite al completar los formularios, que puede contener sus datos personales y de contacto.
  • Identificadores de cookies (mediante herramienta conforme al RGPD).
  • Su dirección IP para definir el país de su ubicación.

En caso de cooperación comercial, podemos procesar:

  • Datos personales y de contacto de los representantes de la empresa (nombre, cargo, dirección de correo electrónico y número de teléfono).
  • Solicitudes de partners y sus representantes autorizados (por ejemplo, enviadas a la dirección de correo electrónico del soporte, a través de aplicaciones, mensajeros, etc.).
  • Tarjetas de visita de los partners.

Durante una comunicación personalizada, entrevistas o reuniones:

Si decide ponerse en contacto con nosotros o solicitar un puesto de trabajo en Ajax, además de los datos recopilados de la forma descrita anteriormente, también podremos recopilar y procesar datos personales adicionales que comparta durante la comunicación y/o en los documentos que proporcione (por ejemplo, currículum/CV, carta de presentación), incluidos, entre otros:

  • Información personal (nombre, apellidos, número de teléfono, dirección de correo electrónico, foto).
  • Identificadores únicos (por ejemplo, nombre de usuario, datos de inicio de sesión).
  • Experiencia laboral anterior.
  • Información sobre educación y formación.
  • Certificados, diplomas, referencias.
  • Aficiones, intereses y otras preferencias personales.

Para dicho tratamiento, la lista (ámbito) de datos personales y demás información podrá modificarse, detallarse o ampliarse a lo largo del proceso. Al mismo tiempo, la recopilación y el tratamiento de los datos personales necesarios se limitan a los fines de dicho tratamiento y se llevan a cabo de conformidad con los requisitos de la legislación aplicable.

Además, al procesar datos en el contexto de la comunicación comercial o personalizada, el tratamiento de solicitudes de partners y tarjetas de visita, la organización de reuniones, entrevistas, etc., así como para optimizar operaciones y procesos internos, Ajax puede utilizar tecnologías de inteligencia artificial (en adelante, «IA»).

Los datos procesados por inteligencia artificial pueden, en algunos casos, incluir datos personales que identifiquen a un individuo, en la medida y cantidad en que: a) estén disponibles públicamente; b) hayan sido proporcionados voluntariamente por usted.

Al mismo tiempo, el acceso a los datos que usted ha facilitado voluntariamente a Ajax está estrictamente limitado a los empleados de Ajax. La IA no puede identificar sus datos, sino que solo procesa este tipo de solicitudes, en particular las de usuarios/clientes de Ajax, etc. Las decisiones relativas a la gestión de los datos que recibimos de las solicitudes de los usuarios/clientes de Ajax y de las tarjetas de visita de los partners son tomadas exclusivamente por los empleados de Ajax.

Para el tratamiento especificado basado en inteligencia artificial, contratamos a proveedores de servicios que mantienen el nivel necesario de protección de los datos personales.

Tenga en cuenta que el procesamiento de dichos datos por parte de Ajax es limitado y se lleva a cabo únicamente con el fin de aumentar la eficiencia de las operaciones internas y en el ámbito de los fines relacionados.

¿Cuál es la finalidad y la base legal del tratamiento?

  • Todos los datos que recibimos a través de nuestros dispositivos de seguridad o mientras utiliza nuestros Productos o Servicios se procesan únicamente para proporcionarle los servicios de seguridad solicitados. Esto significa que procesamos todos esos datos para cumplir un contrato que tenemos con usted. Esto también significa que no recopilamos ningún dato que no sea específicamente necesario para que podamos prestarle dichos servicios.
  • Si decide suscribirse a nuestro boletín, le enviaremos correos electrónicos con información sobre nosotros y nuestras últimas actualizaciones. Nos basamos en su consentimiento que nos proporciona al confirmar su suscripción. Además, personalizaremos estos correos electrónicos en función de la información que tenemos sobre usted, para que sean más relevantes y útiles para usted.
  • Si ha compartido los registros de operaciones de su aplicación , en caso de que haya tenido algún problema, los procesaremos para resolver su problema técnico y mejorar nuestros productos y servicios. Los tratamos basándonos en nuestro interés legítimo de hacer más competitivas nuestras ofertas de mercado.
  • Utilizamos los datos que comparte con nosotros de la lista de contactos de su dispositivo cuando invita a usuarios al Producto (como el correo electrónico o el número de teléfono de una persona a la que invita al Producto) para enviar la invitación únicamente a esas personas.
  • Todos los datos que nos facilite voluntariamente, ya sea por correo electrónico, a través de aplicaciones o mensajeros, o compartiendo tarjetas de visita o currículos, así como los datos disponibles públicamente, se procesan para garantizar la eficacia de los procesos internos, establecer una cooperación comercial y/o mantener una comunicación personalizada.

¿Dónde se almacena la información?

Los datos personales de los usuarios que Ajax pueda recopilar de usted se almacenan en el almacenamiento en la nube ubicado en Irlanda, Alemania y Francia (dentro del EEE); la elección de dónde almacenar los datos (en Irlanda, Alemania y Francia) está sujeta a la disponibilidad de la infraestructura de AWS.

Otros datos personales recopilados por Ajax también pueden almacenarse en servidores y/o almacenamiento en la nube ubicados en varias jurisdicciones. Esto incluye el almacenamiento con filiales del grupo de empresas Ajax, así como con terceros que sean contratistas, proveedores o vendedores de servicios Ajax, cuyos servidores estén ubicados en países que proporcionen un nivel adecuado de protección y seguridad de los datos personales.

Aunque las leyes de protección de datos personales pueden variar en función del país, Ajax aplica las medidas de seguridad descritas en este y otros documentos internos independientemente de dónde se almacenen dichos datos.

¿Durante cuánto tiempo se almacena la información?

Todos los datos se almacenan durante toda la relación con el cliente, excepto la memoria de notificaciones push, que está limitada a 500 transacciones. Para el historial de eventos de la cuenta de PRO Desktop, la duración del almacenamiento de notificaciones de eventos es de 2 años. No obstante, algunos tipos de datos (como el nombre de los representantes, su cargo y la información de contacto mencionada en los contratos) pueden almacenarse durante un periodo superior al de cooperación para cumplir nuestras obligaciones legales.

Tipo de datos

Finalidad del tratamiento

Base jurídica

Periodo de almacenamiento

Información sobre Ajax Hub (modelo y número de serie, información de red, incluido el historial de eventos, configuración actual y anterior del dispositivo, ubicación)

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Contrato; en caso de prestación de servicios — interés legítimo

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Identificadores únicos (nombre de usuario y contraseña)

Autorización del usuario 

Contrato

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Datos basados en la ubicación

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Contrato y/o interés legítimo

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Información sobre el uso de nuestros Productos y Servicios (como solicitudes de aplicaciones al servidor)

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Contrato

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Información facilitada al completar formularios, que puede incluir datos personales y de contacto

Para fines de comunicación, entrega de productos y promociones de marketing

Consentimiento

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Dirección IP

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Consentimiento o contrato

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Nombre, apellidos e información de contacto

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Consentimiento

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Fotos tomadas con dispositivos Ajax 

Para garantizar el correcto funcionamiento del Ajax Hub, otros dispositivos y aplicaciones Ajax

Contrato

  • Aplicaciones móviles Ajax: Los archivos multimedia se almacenan durante 2 años para las cuentas de usuario final y PRO. Sin embargo, las fotos pueden eliminarse antes junto con sus eventos asociados si se alcanza el límite de 500 eventos.
  • Aplicaciones Ajax de escritorio: El periodo de almacenamiento depende de la configuración y oscila entre 7 días y 2 años.
  • Ajax Translator: No almacena imágenes. Los enlaces a imágenes permanecen activos durante 7 días desde el momento de su generación.

Datos de telemetría e información medioambiental

Para garantizar el correcto funcionamiento del Ajax Hub y de otros dispositivos Ajax

Consentimiento o contrato

Toda la duración de la relación con el cliente o hasta que sean borrados por el usuario o a petición suya.

Las copias de seguridad se conservan hasta 12 meses.

Información facilitada durante la comunicación con los partners (por ejemplo, tarjetas de visita con datos de contacto, cargo, etc.)

Para comunicaciones relacionadas con la cooperación comercial y la organización de reuniones

Consentimiento y/o contrato

Toda la duración de la relación con el partner o hasta que sean borrados por la persona o a petición suya.

Información sobre un candidato a un puesto vacante y/o empleado

Para comunicación personalizada, cooperación y organización de entrevistas

Consentimiento y/o contrato

Toda la duración de la relación con el candidato/empleado o hasta que sean borrados a petición suya.

¿Quién tiene acceso al sistema y a la información por parte de Ajax?

Ajax sigue los principios de minimización de la disponibilidad y de mínimos privilegios en el acceso a los datos. Por lo tanto, solo podrán acceder a los datos los empleados de Ajax encargados de apoyar el proceso de prestación de servicios y proyectos. Cuando el personal de Ajax accede a los datos, su equipamiento está protegido mediante cifrado y otras herramientas, tal y como exigen las normas técnicas más exigentes del mercado. Todos los empleados han firmado un acuerdo de confidencialidad y realizan anualmente una evaluación de la protección de datos. Todas las acciones del personal quedan registradas, y los registros se comprueban automáticamente en tiempo real. En caso de sospecha de acceso excesivo, restringimos el acceso y comenzamos inmediatamente a investigar el caso. No obstante, le informamos de que Ajax nunca accede a los datos sin una base legal válida para dicho acceso. En algunos casos, el usuario puede solicitar a Ajax (por su cuenta y riesgo) que conceda acceso a sus datos a terceros proveedores asignados por el usuario (compañías de seguridad, instaladores) a través de aplicaciones móviles o de escritorio. En estos casos, las empresas elegidas por el usuario también tendrán acceso a los datos que el usuario desea que se transfieran.

¿Qué hace Ajax para cumplir la legislación mundial sobre protección de datos? ¿Cómo demuestra Ajax el cumplimiento del RGPD?

Para cumplir con las leyes internacionales de protección de datos, Ajax aplica un importante número de medidas, mecanismos y procedimientos. Por ejemplo, Ajax aplica los principios de limitación del tratamiento de datos (privacidad desde el diseño y por defecto), minimización de datos, control de acceso, políticas de tratamiento de datos (políticas de almacenamiento, tratamiento, eliminación, etc.). Como parte de las transferencias de datos, Ajax utiliza diversas medidas, incluidas medidas organizativas y técnicas y Cláusulas contractuales tipo. Encontrará más información al respecto en la sección Transferencia de datos.

¿Cómo puedo ejercer mi derecho a la privacidad?

Para ejercer sus derechos de privacidad (eliminar, oponerse o ser informado sobre sus datos personales, restringir el tratamiento, etc.) puede ponerse en contacto con nosotros a través del correo electrónico privacy@ajax.systems.

Transferencia de datos

¿Con quién puede compartir Ajax mis datos? ¿Qué tipos de datos pueden compartirse y en qué casos?

En general, podemos compartir sus datos personales solo cuando sea necesario para prestarle los servicios solicitados. Dichos datos podrán ser comunicados a nuestros vendedores y proveedores de servicios, que prestan determinados servicios para que nuestros Productos y Servicios funcionen. Esto incluye alojamiento de datos, soporte técnico, comunicación, etc. Nos aseguramos de que dichos proveedores los traten con la misma responsabilidad que nosotros.

Podemos compartir sus datos de contacto (como número de móvil, apodo y correo electrónico) con proveedores de servicios de seguridad física si nos lo solicita seleccionando dicho proveedor en nuestra aplicación. Tenga en cuenta que dichos proveedores de servicios se convertirán en controladores de datos por sí mismos, responsables de sus datos personales. A pesar de que elegimos partners de confianza para ofrecer en nuestra aplicación, recomendamos comprobar sus políticas de privacidad antes de solicitarnos que transfiramos sus datos a las empresas seleccionadas.

Para determinadas necesidades, Ajax puede utilizar los servicios de subprocesadores de terceros fuera del EEE. Dichas necesidades pueden incluir el alojamiento de datos, la comunicación técnica para el registro, la instalación y otras actividades organizativas por correo electrónico o teléfono.

Ajax hace todo lo posible para garantizar que dichas transferencias se realicen de conformidad con todas las leyes de protección de datos aplicables. Por ello, Ajax ha firmado acuerdos de protección de datos con todos los subprocesadores (incluidas las Cláusulas contractuales tipo en caso de transferencias transfronterizas de datos), así como medidas complementarias adicionales que se aplican en las transferencias y el tratamiento de datos. Todos los subprocesadores de Ajax tienen sus propias políticas de privacidad y otros documentos relacionados con la privacidad, que son revisados periódicamente por profesionales de Ajax para garantizar su cumplimiento.

Lista de los subprocesadores aprobados por Ajax:

Servicio

Proveedor

Finalidad de uso

Enlace a la política de privacidad y al acuerdo de protección de datos

AWS

Amazon

Alojamiento y copia de seguridad de datos

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

SMS programables

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Comunicación por correo electrónico programable

 

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

Servicio de correo electrónico transaccional

 

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Proveedor de servicios de bases de datos

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Analítica, mejora del servicio

https://policies.google.com/privacy

BlueDot

Twiso, Inc

Cuaderno de notas para comunicación con los candidatos

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

Sistema CRM (sistema de comunicación unificado)

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Respuestas automáticas a las solicitudes

https://openai.com/security-and-privacy/

¿Qué son las Cláusulas contractuales tipo?

Las Cláusulas contractuales tipo (CCT) son modelos normalizados y preaprobados de cláusulas de protección de datos que permiten a los controladores y procesadores cumplir las obligaciones que les impone la legislación de la UE en materia de protección de datos. Pueden ser incorporados por los controladores y procesadores en sus acuerdos contractuales con otras partes, como los partners comerciales. Las cláusulas pueden utilizarse de forma voluntaria para demostrar el cumplimiento de los requisitos de protección de datos, exigiendo un compromiso contractual obligatorio para respetarlas. La Comisión Europea tiene poder para adoptar las CCT (1) sobre la relación entre controladores y procesadores y (2) para la transferencia de datos personales a países fuera del EEE.

¿Qué son las medidas complementarias?

Las medidas complementarias son procedimientos técnicos y organizativos especialmente aplicados que se utilizan para lograr un nivel efectivo de garantía sobre los datos transferidos equivalente al tratamiento de los datos en el EEE.

Ajax aplicó, entre otras, las siguientes medidas organizativas:

  • sesiones regulares de formación y verificación de la sensibilización de los empleados de Ajax;
  • sistema automatizado para la monitorización en tiempo real de violaciones y vulnerabilidades; 
  • registro continuo de todos los procesos; 
  • inspección y validación regulares personalizadas del sistema Ajax respecto a vulnerabilidades.

Ajax aplicó, entre otras, las siguientes medidas técnicas

  • Medidas para impedir que personas no autorizadas accedan a los sistemas de tratamiento de datos disponibles en locales e instalaciones (incluidas bases de datos, servidores de aplicaciones y hardware relacionado), donde se tratan datos personales, incluido el establecimiento de zonas de seguridad, la restricción de las vías de acceso, el establecimiento de autorizaciones de acceso para empleados y terceros, el bloqueo de puertas (abrepuertas eléctricos, etc.).
  • Medidas para impedir que los sistemas de tratamiento de datos sean utilizados por personas no autorizadas, incluidos los procedimientos de identificación y autenticación de usuarios, los procedimientos de seguridad de ID/contraseñas y el cifrado de soportes de datos archivados.
  • Medidas para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos solo accedan a dichos datos personales de conformidad con sus derechos de acceso, y que los datos personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización, incluidas políticas y procedimientos internos, esquemas de autorización de control, derechos de acceso diferenciados (perfiles, roles, transacciones y objetos), monitorización y registro de los accesos, medidas disciplinarias contra los empleados que accedan a datos personales sin autorización.
  • Medidas para garantizar que los datos personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes (manuales o electrónicos), y que pueda verificarse a qué empresas u otras entidades jurídicas se revelan los datos personales, incluidos el cifrado, el registro y la seguridad del transporte. Todos los datos personales se cifran con el algoritmo AES256 en reposo y se transfieren mediante HTTPS con cifrado AES128 y TLS 1.2.
  • Medidas para monitorizar si los datos se han introducido, modificado o eliminado (borrado), y quién lo ha hecho, de los sistemas de procesamiento de datos, incluidos los sistemas de registro e información, los registros de auditoría y la documentación.
  • Medidas para garantizar que los datos personales están protegidos contra la destrucción o pérdida accidental (física/lógica), incluidos procedimientos de copia de seguridad, sistemas de alimentación ininterrumpida (SAI), almacenamiento remoto, sistemas antivirus/cortafuegos, plan de recuperación en caso de catástrofe, plan de sostenibilidad de la empresa.
  • Medidas para garantizar que los datos personales recopilados con fines distintos puedan tratarse por separado, incluida la separación de bases de datos, la limitación de su uso, la separación de funciones (producción/pruebas).

¿Qué es una evaluación del impacto de las transferencias?

Una evaluación del impacto de las transferencias (EIT) es un análisis realizado por un controlador o un procesador de datos sobre las implicaciones para la seguridad de una transferencia de datos personales a países no pertenecientes a la UE ni al EEE, o que se benefician de una decisión de adecuación.