PARTE A: General

Aplicabilidad

Este documento es la versión operativa actual de la política de cumplimiento del RGPD vigente a partir del 25 de mayo de 2018 y se aplica a las actividades de TechVersions, que consta de la siguiente entidad.

TechVersions, una empresa de publicaciones tecnológicas, 8000 Towers Crescent Drive, piso 13, Vienna, VA 22182

Introducción

La actividad principal de TechVersions es brindar apoyo a sus clientes en la comercialización de productos B2B generando clientes potenciales efectivos en los mercados objetivo.

La generación de clientes potenciales se realiza a través de una investigación de mercado inteligente que recopila datos relevantes para identificar la intención de compra confiable de las empresas a través de diferentes canales, incluidos socios comerciales que utilizan tecnología relevante en marketing en redes sociales, marketing web, marketing por correo electrónico y telemarketing.

En el proceso de estas actividades, TechVersions actúa como intermediario que aporta valor a la cadena de marketing B2B. Los clientes proporcionan la información de la campaña, que se perfecciona y se convierte en materiales de campaña para su distribución al mercado potencial.

La distribución a los clientes finales, mediante la colocación de los materiales de la campaña en medios relevantes, se realiza a través de editores externos que generan leads. Parte de estos leads se generan mediante la actividad editorial interna y el uso de innovadoras herramientas de marketing de intención corporativa desarrolladas por el equipo de I+D de TechVersions.

Los clientes potenciales generados por los editores se filtran inteligentemente para mejorar su calidad y se convierten en objetivos de marketing procesables antes de transmitirlos a los clientes.

TechVersions ha desarrollado productos, procesos y sistemas de generación de información propios, lo que incluye el desarrollo de proveedores confiables y personal capacitado. Estos factores, en conjunto, reflejan la propuesta de valor que TechVersions aporta al ecosistema de marketing B2B global. Mantener y fomentar esta experiencia y utilizarla para aprovechar oportunidades comerciales representa un interés legítimo de TechVersions.

Este Código de Cumplimiento del RGPD adoptado por TechVersions declara que TechVersions está comprometido con el concepto de “Privacidad como un derecho fundamental de un ciudadano de una sociedad democrática” en todo el mundo y de buena fe implementará todos los principios de privacidad exigidos por el RGPD cuando sea aplicable.

Sin embargo, TechVersions revela que es su interés legítimo llevar a cabo una operación comercial legítima en todo el mundo como intermediario del mercado B2B y es el derecho democrático de TechVersions llevar a cabo su negocio de buena fe sin entrar en conflicto con los derechos de las personas físicas individuales cuya privacidad se busca proteger bajo el RGPD.

TechVersions también revela que su modelo comercial requiere la recopilación únicamente de Datos de entidades comerciales que están fuera del ámbito de aplicación del RGPD y datos de Contacto Comercial que no son datos personales pero pueden incluir información de identificación personal en parte, pero no incluyen datos personales de niños y Datos personales que se clasifican como "Categorías especiales" según el RGPD.

Exposición al RGPD

TechVersionsGroup es básicamente un intermediario de marketing B2B que opera a nivel mundial, generando oportunidades de marketing y atendiendo a clientes en numerosos países. TechVersions no opera en el mercado de consumo y, por lo tanto, no recopila, ni directa ni indirectamente, información personal de titulares de datos de la UE. Los datos que recopila TechVersions se clasifican generalmente como Datos de Contacto Comercial de empleados corporativos, que incluyen, entre otros, el nombre, el correo electrónico y el número de teléfono del trabajo.

Una parte de los leads de marketing B2B se genera en países de la UE y el Reino Unido. Algunos clientes ubicados en la UE/Reino Unido también pueden utilizar los servicios de TechVersions. Actualmente, la mayoría de las interacciones con los clientes se realizan en EE. UU. y la mayoría de las interacciones con socios comerciales que generan leads se realizan en India.

Por lo tanto, la exposición de TechVersions al RGPD se reconoce cuando se recopilan datos de contacto comercial de organizaciones comerciales que operan en regiones de la UE/Reino Unido.

Enfoque para el cumplimiento del RGPD

Para permitir la aplicación de una norma lo más estricta posible al procesamiento de datos que están expuestos al riesgo de cumplimiento del RGPD, TechVersions adopta una política para tratar los Datos Sensibles del RGPD (GSD) como "Datos Sensibles" que fluyen a través de los recursos de TechVersions etiquetando los datos entrantes con una etiqueta adecuada para clasificarlos como GSD cuando corresponda.

La protección de la privacidad de los interesados ​​y la seguridad de la información relacionada con la protección de la privacidad con respecto a los datos etiquetados con GSD se tienen en cuenta en el diseño de la estructura de soporte.

Si bien los datos se procesan en ubicaciones específicas y la infraestructura técnica para procesar GSD se encuentra en dichas ubicaciones específicas, se ha creado una conciencia de GDPR a nivel empresarial y se seguirá aplicando para que los principios de este Código de conducta GDPR se filtren a toda la organización más allá del procesamiento de GSD para incluir las funciones de marketing, financieras y gerenciales que pueden estar ubicadas en diferentes ubicaciones con su propia infraestructura técnica y administrativa.

Para implementar eficazmente la seguridad de toda la infraestructura de procesamiento de datos, la Compañía ha adoptado una política integral de seguridad de la información que incluye múltiples subpolíticas relacionadas con el acceso a los datos, el procesamiento, el almacenamiento, la transmisión, etc.

Compromiso de privacidad

TechVersions reconoce que la privacidad es un derecho democrático importante en la sociedad civil. Como entidad corporativa responsable, TechVersions se compromete a proteger la privacidad de todas las personas físicas cuyos datos personales se incorporan al repositorio de datos corporativo para su procesamiento.

En vista de la presencia de Clientes en la UE/Reino Unido y el seguimiento de las actividades de los empleados corporativos que residen en la UE/Reino Unido, TechVersions ha optado por adoptar los estándares de cumplimiento del RGPD para la protección de la privacidad de todas las personas físicas que puedan interactuar con el grupo, incluso cuando dicha interacción sea solo en su calidad de empleados de diferentes entidades comerciales que persiguen los objetivos comerciales de sus respectivas organizaciones comerciales.

Interés legítimo

La actividad principal de TechVersions consiste en procesar datos relacionados con la compra de diferentes productos para uso corporativo. El espectro de actividades incluye la recopilación, agregación, análisis, segmentación y el seguimiento de intenciones. Durante este procesamiento, TechVersions añade valor a los datos brutos recopilados del entorno empresarial y los convierte en información de valor añadido que facilita la toma de decisiones empresariales.

Los datos brutos recopilados se reconocen como datos pertenecientes al interesado y a los que se aplican sus derechos según el RGPD. El valor añadido a los datos durante el proceso se deriva de las capacidades de procesamiento de datos de TechVersions, sobre las que TechVersions tiene ciertos derechos de propiedad intelectual.

Si algún dato ha sido seudonimizado, los datos seudonimizados de valor añadido se considerarán datos que TechVersions tiene un interés legítimo en utilizar para investigaciones posteriores. Los datos no seudonimizados, incluso en estado de valor añadido, están sujetos al ejercicio de los derechos del interesado, como el acceso, la rectificación, la restricción, la portabilidad y la supresión. Los datos seudonimizados, si los hubiera, no se clasificarán como sensibles según el RGPD.

TechVersions posee un interés comercial legítimo, tal como se reconoce en el Artículo 6(1)(f) del reglamento GDPR de la UE, en la recopilación y el procesamiento de datos relacionados con el negocio, como datos firmográficos y de contacto comercial de funcionarios que toman decisiones en las entidades comerciales.

Además, la actividad de TechVersions implica operaciones dentro y fuera de los países de la UE y, por lo tanto, está expuesta a obligaciones legales de diferentes países relacionadas con el procesamiento de datos, así como a otras leyes aplicables a las empresas en general y a las actividades relacionadas con TI en particular, como se prevé en el Artículo 6(1)(c) del reglamento GDPR de la UE.

Además, TechVersions ha adoptado prácticas comerciales para el procesamiento legal que incorporan los principios del RGPD de la UE tal como se enuncian en el Artículo 6, incluida la obtención del consentimiento explícito informado cuando sea necesario y la adhesión a los requisitos de las obligaciones contractuales con los interesados, si las hubiera.

Por lo tanto, las políticas de TechVersions sobre privacidad y protección de datos están estructuradas con controles específicos de privacidad y seguridad de la información que abordan la cuestión de la identificación de datos sensibles de GDPR en la etapa de su origen e ingreso al sistema de TechVersions y su etiquetado durante todo su ciclo de vida de procesamiento.

Ampliación del alcance del cumplimiento al ecosistema de procesamiento de datos

Además, manteniendo la intención legislativa de proteger el derecho fundamental a la privacidad de las personas, enunciado en el RGPD de la UE, se mantienen controles técnicos, organizativos y administrativos adecuados para garantizar que todos los socios comerciales posteriores que puedan tener acceso a datos confidenciales del RGPD para su procesamiento en nombre de TechVersions también cumplan con el RGPD.

TechVersions reconoce que, en la mayoría de sus operaciones, no es un «Responsable del Tratamiento», sino un «Encargado del Tratamiento» a efectos del RGPD. Podrá asumir la función de «Corresponsable del Tratamiento» cuando utilice los servicios de subcontratistas para cualquier parte de su tratamiento.

Teniendo estos roles en mente, las políticas y controles de TechVersions están estructurados para garantizar el cumplimiento del RGPD, incluido el mantenimiento de controles técnicos y organizativos/administrativos adecuados para mantenerse debidamente informado sobre las actividades de cumplimiento del RGPD de sus socios comerciales y también compartir con ellos las propias medidas de cumplimiento del RGPD de TechVersions según sea necesario.

Limitaciones de este documento

Los siguientes párrafos proporcionan la política general de TechVersions para el cumplimiento del RGPD a nivel corporativo, destacando el enfoque de TechVersions para lograr un nivel satisfactorio de cumplimiento de los principios del RGPD en sus operaciones.

Este documento de política está destinado a un intercambio limitado con las partes interesadas, incluidas entidades comerciales externas a TechVersions, y, por lo tanto, excluye la información confidencial sobre el procesamiento cuando es esencial para proteger la propiedad intelectual de la organización.

Cualquier solicitud de divulgación de información más allá de lo establecido aquí se abordará de conformidad con la Política de divulgación de datos de TechVersions y dichas solicitudes podrán dirigirse al Gerente de Privacidad a través de un correo electrónico autenticado no confiable.

Parte B: Esquemas de políticas específicas

1. Responsabilidad asignada

TechVersions ha designado un Responsable de Privacidad, quien será la persona de contacto para gestionar todas las solicitudes y quejas de los interesados. Considerando el nivel actual de exposición al riesgo de los datos sensibles del RGPD en TechVersions, se considera que su actividad principal no implica la monitorización sistemática y a gran escala de los interesados ​​de la UE ni la prestación de servicios a personas en la UE. Por lo tanto, no es necesario designar un "Delegado de Protección de Datos" según lo previsto en el RGPD.

Un Comité de Gobernanza de Seguridad de la Información (ISGC) será responsable de la seguridad de la información, incluyendo el cumplimiento del RGPD. Será el máximo órgano decisorio de TechVersions, responsable de establecer todas las políticas de seguridad de la información, incluyendo la del RGPD, y supervisará la necesidad de designar a cualquier persona o consultor como Delegado de Protección de Datos cuando corresponda.

2. Clasificación de datos

TechVersions no realiza actividades de marketing dirigidas a personas físicas y, por lo tanto, no suele recopilar datos personales que estén sujetos a las disposiciones del RGPD. Sin embargo, todos los datos personales potencialmente identificables, como la dirección de correo electrónico y el número de teléfono de un empleado de una organización, se clasifican como «Confidenciales según el RGPD» si se sabe que la unidad de negocio o el empleado se encuentran en la UE o el Reino Unido.

En consecuencia, todo el conjunto de datos de contacto comercial asociado con una dirección de ubicación física en la UE/Reino Unido se identifica como Datos Sensibles GDPR (GSD) y se etiqueta durante el procesamiento posterior dentro de la organización.

En ausencia de información sobre la ubicación física del interesado, se considerará relevante la ubicación física de la organización empresarial asociada.

3. Auditoría de datos

Una vez antes del 25 de mayo de 2018 y, posteriormente, a intervalos mensuales o según lo determine el ISGC, se verificarán los conjuntos de datos almacenados para localizar cualquier GSD y verificar los requisitos de cumplimiento asociados con él, como si los datos deben archivarse, eliminarse o protegerse especialmente de alguna otra manera.

Se recomendará la eliminación de cualquier conjunto de datos de GSD que no cuente con el correspondiente "Consentimiento" o "Nota de Interés Legítimo".
Tras la confirmación, dichos datos se eliminarán forensemente.

4. Evaluación de impacto del RGPD

Se realizó una evaluación de brechas del RGPD y se implementaron las medidas correctivas requeridas antes del 25 de mayo de 2018. Después del 25 de mayo de 2018, se realizará una Evaluación de Impacto de Protección de Datos (EIPD) siempre que se emprenda un nuevo proyecto significativo y cuando el ISGC identifique la necesidad.

5. Política de aceptación de nuevos negocios

A partir del 25 de mayo de 2018, todos los nuevos compromisos comerciales que impliquen el procesamiento de datos estarán sujetos a la aprobación del ISGC con una nota de Evaluación de Impacto GDPR específica presentada por el DPO en consulta con el equipo técnico a cargo del procesamiento.

6. Política de almacenamiento de datos de GSD

Los GSD se almacenarán en sistemas a los que solo podrán acceder personas designadas según una estricta “base de necesidad de saber”.

Cada conjunto de GSD deberá estar etiquetado con el Responsable del tratamiento de datos del que procede y que es responsable de la recogida de los datos bajo consentimiento o contrato.

Cualquier restricción específica asociada con dicho conjunto de datos también deberá etiquetarse con el conjunto de datos.

El almacenamiento de datos permitirá localizar y procesar conjuntos de datos individuales para el ejercicio de cualquier derecho del Titular de los Datos, como la solicitud de rectificación, portabilidad, supresión o acceso a los datos, en cualquier momento de su ciclo de vida.

7. Política de acceso a datos de GSD

El acceso a GSD se realizará según la política de control de acceso, que garantiza que cada conjunto de datos de GSD tenga parámetros de acceso específicos que definen quién puede acceder a los datos y cómo. Solo quienes estén designados como personal de GSD podrán acceder al conjunto de datos de GSD.

El uso de parámetros de acceso tales como contraseñas se definirá con un grado de complejidad y singularidad según sea necesario y se complementará con etiquetas de identificación de máquina y cifrado para que se pueda acceder a los datos de GSD solo desde hardware específico asignado al personal autorizado de GSD.

Cuando el almacenamiento de datos se realiza en la nube, solo se utilizarán servicios en la nube que cumplan con el RGPD junto con los controles adicionales que puedan ser necesarios para garantizar que los datos almacenados y en tránsito estén protegidos contra el acceso no autorizado.

Los GSD específicos del proyecto se almacenarán de forma que solo los empleados asociados a dicho proyecto tengan acceso a ellos. El acceso entre proyectos se regulará según sea necesario.

8. Política de retención de datos de GSD

Los datos GSD se conservarán en un entorno de proceso activo únicamente durante el periodo mínimo necesario para su procesamiento. Posteriormente, se archivarán de forma segura, según lo establecido en el interés legítimo, por ejemplo, hasta que finalice el ciclo de facturación del proyecto.

Posteriormente, los datos continuarán en archivo seguro o se destruirán según los requisitos de interés legítimo identificados de la Compañía.

Se realizará una revisión mensual de los datos archivados para identificar los datos que ya no son necesarios y que se remitirán al ISGC para recibir instrucciones sobre su eliminación.

Las obligaciones legales sobre conservación de datos que puedan surgir debido a legislaciones superpuestas se tendrán en cuenta en la evaluación del interés legítimo.

9. Política de divulgación de datos de GSD

Cualquier solicitud de divulgación de GSD deberá recibirse normalmente sólo del Controlador de Datos de origen.

Se reconoce que las solicitudes recibidas directamente de los titulares de los datos están sujetas al riesgo de phishing y dichas solicitudes, si las hubiera, deberán remitirse al Responsable del Tratamiento correspondiente que recopiló los datos del titular de los datos en virtud del consentimiento o contrato que pueda existir entre ellos.

Los datos a comunicar serán enviados únicamente al Responsable del Tratamiento para su posterior transmisión al Titular del Tratamiento después de autenticar debidamente la identidad del representante del Responsable del Tratamiento que realiza la solicitud.

En circunstancias excepcionales en las que sea necesario revelar datos directamente a un interesado o a su representante autorizado o a una autoridad policial, se garantizará la autenticación adecuada de la identidad de la persona que realiza la solicitud.

Todas las solicitudes de divulgación de datos deben ser aprobadas por el ISGC antes de la divulgación de los datos y la solicitud, así como los documentos de evaluación, se considerarán documentación requerida para el cumplimiento del RGPD.

10. Política de gestión de incidentes de datos de GSD

Un “Incidente” bajo este código será cualquier observación que tenga el potencial de indicar que se ha violado el código de cumplimiento de GSD o cualquiera de las políticas o procedimientos derivados del mismo, independientemente de que se sospeche o no que se hayan visto comprometidos los datos.

Se puede utilizar una política de denuncia de irregularidades para garantizar que los incidentes sean denunciados rápidamente por cualquier observador, ya sea dentro o fuera de la empresa.

Cualquier incidente del que tenga conocimiento TechVersions se registrará en un Registro de Gestión de Incidentes de GSD y se remitirá al DPO para que tome medidas inmediatas.

El DPO revisará el informe del incidente y tomará medidas inmediatas para resolverlo y también para informarlo al ISGC.

El ISGC convocará una reunión con prontitud y evaluará el incidente para identificar si se trata de una presunta violación de datos. De ser necesario, el ISGC podrá ordenar una auditoría técnico-legal inmediata para evaluar el riesgo del incidente. Con base en la evaluación de riesgos, el ISGC decidirá si es necesario tomar medidas adicionales, incluyendo el envío de una notificación de violación de datos al responsable del tratamiento de datos.

Un incidente en el que otro empleado de la organización haya accedido a GSD se considera un incidente de seguridad y no necesariamente una vulneración. Sin embargo, estos incidentes se investigarán para determinar la causa del acceso no autorizado y, si se trata de un acceso accidental no intencionado, se podrá resolver con las medidas disciplinarias internas pertinentes, según la política de RR. HH. Si los datos no se han transferido ni han sido accedidos por un tercero, el incidente puede clasificarse como un accidente interno de datos, sin llegar a constituir una vulneración.

En el caso de que se sepa que el acceso o los datos transferidos están en forma cifrada y se encontraban en un estado en el cual eran indescifrables para el destinatario, sujeto a una investigación interna adecuada sobre la seguridad de la clave de descifrado asociada, el acceso puede clasificarse como un accidente interno de datos que no constituye una violación.

11. Política de notificación de violaciones de datos de GSD

Un incidente de “violación de datos” es un incidente en el que TechVersions, luego de la investigación necesaria, llega a conocimiento de que el acceso a cualquier conjunto de datos específico bajo GSD se ha visto comprometido y una entidad externa ha accedido o enviado un conjunto de GSD.

Este incidente de violación de datos se deberá informar inmediatamente al ISGC, que notificará sin demora al Controlador de Datos asociado con el conjunto de datos junto con los detalles relevantes del incidente.

Dicho informe especificará la naturaleza y el alcance de la violación, la hora y la fecha de la violación, los detalles de los interesados ​​afectados, las medidas adoptadas tras la detección de la violación, etc. Cuando sea necesario, la violación de datos también podrá notificarse a una autoridad de control.

12. Política de gestión de derechos de los interesados ​​de GSD

El sistema de procesamiento de datos de TechVersions ha incorporado “Privacidad y Seguridad por diseño” a fin de permitir el cumplimiento de los requisitos del RGPD, particularmente con respecto a los Derechos del Titular de los Datos previstos en el RGPD.

Para cumplir con estos derechos del titular de los datos como “Acceso”, “Rectificación”, “Borrado”, “Portabilidad” y Derecho a imponer “Restricciones”, TechVersions ha habilitado sus sistemas de almacenamiento y acceso GSD de tal manera que un conjunto de datos perteneciente a un titular de datos específico puede extraerse por separado y procesarse.

Por lo tanto, el sistema ha sido diseñado para cumplir con los requisitos más estrictos del RGPD.

Siempre que se recibe una solicitud para ejercer tales derechos de un Titular de Datos, según la política de divulgación de Datos, primero se valida la solicitud y luego, en caso de que los datos se hayan recibido de un Controlador de Datos, se le solicitará al controlador de datos que confirme la divulgación de datos.

Normalmente, la solicitud se procesa en comunicación con el responsable del tratamiento de datos y, si debe transferirse, se devuelve al responsable del tratamiento de datos.

En circunstancias excepcionales en las que TechVersions tenga que gestionar la solicitud de un interesado sin la cooperación del responsable del tratamiento de datos, se tomarán las precauciones adecuadas para evitar una divulgación ilícita, ya que sería de interés legítimo de TechVersions ser indemnizado contra cualquier posible divulgación ilícita.

13. Política de transmisión de datos de GSD

Los datos de GSD normalmente pueden ingresar al sistema a través de una interfaz de aplicación (API). El acceso a la interfaz se realiza mediante un sistema seguro de contraseña, complementado con una autenticación de segundo factor adecuada cuando se identifica un riesgo significativo de GSD.

La transmisión de datos se realiza sobre una base cifrada sujeta a la gestión de la seguridad de la transmisión que cubre las vulnerabilidades conocidas.

La aplicación en sí, junto con sus elementos inherentes de almacenamiento y procesamiento y la API, están protegidos contra accesos no autorizados y ataques maliciosos mediante un sistema adecuado de gestión de acceso seguro y malware.

Cuando el conjunto GSD también se transmite al Cliente o al Subcontratista, la transmisión se gestiona a través de canales de comunicación cifrados, ya sea mediante una API o un correo electrónico cifrado.

14. Política de uso de marketing de GSD

Cuando TechVersions utiliza GSD para cualquier propósito de marketing, ya sea a través de correo electrónico, telellamadas o de otro modo, se tiene cuidado de garantizar que exista un consentimiento o contrato apropiado para permitir dicha comunicación.

TechVersions también insiste en que sus socios, tanto los generadores de clientes potenciales como los procesadores subcontratados y los clientes, no utilicen el GSD excepto según los permisos disponibles.

Cuando no se dispone de un consentimiento inequívoco, no se recopilan datos de contacto comerciales de los generadores de clientes potenciales ni se transmiten a los clientes ni se procesan a través de los subcontratistas.

Estos datos se eliminan en primera instancia cuando ingresan al sistema de TechVersions y se identifican como “GSD sin el consentimiento de procesamiento adecuado”.

15. Política de consentimiento de GSD

Toda información clasificada como GSD en virtud de que el interesado se encuentra en la UE/Reino Unido o su empleador se encuentra en la UE/Reino Unido se aceptará solo si el interesado ha proporcionado un consentimiento explícito basado en el formato requerido por el RGPD.

En el contexto anterior al RGPD, dichos consentimientos se obtenían generalmente bajo los principios del tratamiento de datos personales, que incluían un Aviso de Privacidad. Dicho Aviso de Privacidad indicaba qué información se recopilaba, su finalidad, el plazo de conservación, su seguridad, si la información era exacta, si se transferiría fuera de la UE para su tratamiento, etc. Algunos consentimientos se basaban en el principio de "opt-in" como configuración predeterminada.

Según el RGPD, es esencial que los datos personales se recopilen solo sobre la base de un consentimiento explícito, donde “Opt-Out” es la opción predeterminada y solo sobre la base de una acción afirmativa que indique aceptación, se aceptará el consentimiento.

Adicionalmente, el Aviso de Privacidad también debe indicar que el Titular de los Datos tiene ciertos derechos como “Derecho a ser informado de la identidad de los encargados del tratamiento”, “Derecho de acceso y rectificación”, “Derecho a la Portabilidad y Supresión”.

En vista de los nuevos requisitos, todos los consentimientos obtenidos en el formato anterior al RGPD se considerarán inválidos y dichos datos serán descartados por TechVersions.

Los editores externos que generen clientes potenciales para TechVersions deberán confirmar a través de sus contratos que solo proporcionarán clientes potenciales generados con la nueva forma de consentimiento en caso de que el titular de los datos se encuentre en la UE/Reino Unido.

16. Política de comunicación con las partes interesadas de GSD

TechVersions opera a través de numerosas organizaciones externas que participan en su programa de cumplimiento del RGPD. Estas organizaciones incluyen a sus clientes, generadores de leads, subcontratistas, etc.

Para un cumplimiento efectivo, no se deben intercambiar datos de GSD en ninguna comunicación con las partes interesadas, excepto mediante transmisión segura y únicamente con representantes autorizados.

Si bien la comunicación a través de API está controlada por la política de acceso, cualquier otra comunicación a través del correo electrónico debe estar controlada con una política de comunicación por correo electrónico.

Esencialmente, una política de comunicación por correo electrónico debe definir que compartir cualquier información de cumplimiento de GSD o GDPR con una parte interesada se realizará solo a través de una dirección de correo electrónico de contacto notificada que, en la mayoría de los casos, será el DPO de la otra organización; cuando sea necesario, la comunicación por correo electrónico puede cifrarse y autenticarse con una firma digital.

17. Política de identificación de intereses legítimos de GSD

TechVersions reconoce que ciertos derechos de los titulares de los datos, como el borrado o la rectificación de datos, podrían estar en conflicto con los requisitos de interés legítimo de TechVersions o con las leyes de retención de datos que podrían ser aplicables a los datos en vista de otras obligaciones legislativas.

En todos los casos en que se ejerzan los derechos del titular de los datos, TechVersions evaluará la solicitud antes de tomar medidas adicionales. En caso de que TechVersions reconozca la necesidad de rechazar la solicitud o modificarla para su aceptación, se documentarán los motivos y el ISGC elaborará una nota de interés legítimo de GSD.

Cuando no sea necesario que los datos estén activos, podrán archivarse de forma segura hasta que expire el interés legítimo.

Los motivos para ejercer el interés legítimo para procesar la solicitud del interesado se comunicarán al Responsable del Tratamiento que sea responsable del Interesado para su posterior transmisión al interesado.

18. Política de Gestión de Personas de GSD

GSD será considerado como un conjunto de datos que requiere atención exclusiva y especial en términos de seguridad de la información mientras se encuentre bajo la custodia de TechVersions.

Por lo tanto, la GSD sería etiquetada y procesada adecuadamente según la necesidad por un grupo de empleados especialmente capacitados.

Estos empleados y los sistemas en los que se almacenaría, accedería y procesaría GSD se gestionarían de forma segura teniendo en cuenta el nivel de riesgo asociado con GSD.

La asignación de personas a este procesamiento de GSD y su eliminación se gestionarán con las medidas de seguridad adecuadas, incluido un mayor nivel de verificación de antecedentes, capacitación, identidades de acceso físico, políticas de sanciones, etc.

Las políticas de RRHH deben actualizarse adecuadamente para la fuerza laboral de GSD según sea necesario.

19. Política de seudonimización de GSD

Se reconoce que la seudonimización es una estrategia para reducir los riesgos en el procesamiento de GSD.

Los datos personales seudonimizados no se consideran “Datos Personales” a los efectos de la regulación GDPR siempre que el proceso de seudonimización esté adecuadamente estructurado.

En vista del nivel actual de exposición de sus operaciones a los riesgos del RGPD, TechVersions no ha considerado necesario en la actualidad utilizar la seudonimización como estrategia para mitigar riesgos.

20. Política GSD DRP-BCP

TechVersions reconoce la importancia de un plan eficaz de recuperación ante desastres y continuidad comercial para sus operaciones, incluidas las operaciones que involucran el procesamiento de GSD.

TechVersions mantendrá una copia de seguridad adecuada de los datos de GSD y una capacidad razonable para mantener la continuidad del negocio en caso de cualquier contingencia.

21. Política de documentación de cumplimiento de GSD

Las medidas de cumplimiento del RGPD se documentarán para que estén disponibles para su revisión. La documentación de cumplimiento se conservará durante un mínimo de seis años desde su creación.

En el caso de que algún documento sea evidencia potencial para requisitos de cumplimiento de la ley o para defender el interés legítimo de TechVersions, dicho documento se conservará mientras persista el requisito.

22. Política de auditoría de GSD

Un equipo de auditoría de seguridad interna de TechVersions auditará los activos de información de TechVersions al menos una vez al año para evaluar el nivel de seguridad y cumplimiento del RGPD y otros requisitos reglamentarios.

Se podrán considerar auditorías externas sobre la base de una evaluación del ISGC siempre que se produzca un cambio sustancial en el perfil del negocio.

TechVersions se reserva el derecho de realizar una auditoría de las instalaciones de cualquiera de sus subcontratistas para garantizar el cumplimiento de las obligaciones contractuales.

Sin embargo, TechVersions reconoce que la facultad de auditar las instalaciones de un subcontratista constituye una habilitación y solo se utilizará en circunstancias excepcionales. Esto no reduce la responsabilidad del subcontratista de cumplir con los requisitos de cumplimiento establecidos en las garantías contractuales.

23. Política de resolución de quejas de GSD

TechVersions proporcionará una política de resolución de quejas multinivel para resolver cualquier disputa que pueda surgir con cualquier titular de los datos. Dichas quejas serán atendidas por el DPO en primer nivel, el ISGC en segundo nivel y un Comité de Resolución de Disputas en Línea creado a tal efecto por la Junta Directiva en tercer nivel.

Cualquier consulta de una autoridad de control del RGPD será gestionada por el DPO y escalada al ISGC cuando sea necesario.

Cualquier disputa con los Clientes, Editores o Subcontratistas se manejará de acuerdo con los respectivos acuerdos contractuales.

24. Política de seguridad de la red

Para garantizar que la infraestructura de TI utilizada por la Compañía sea segura, TechVersions adoptará una política de seguridad de la información sólida que incluya firewalls, sistemas de detección de intrusiones, sistemas de prevención de malware y parches del sistema, etc. según sea necesario.

Un Gerente de Seguridad de la Información designado será responsable del mantenimiento de la seguridad de la red.

PD: Este Código está sujeto a revisiones de vez en cuando.