Inicio Reglamento General de Protección de Datos (GDPR)

Reglamento General de Protección de Datos (GDPR)

PARTE A: Generalidades

Aplicabilidad

Este documento es la versión operativa actual de la política de cumplimiento del RGPD vigente desde el 25 de mayo de 2018 y se aplica a las actividades de TechVersions que consta de la siguiente entidad.

TechVersions, una empresa de publicaciones tecnológicas, 8000 Towers Crescent Drive, 13th Floor Vienna, VA 22182

Introducción

La actividad principal de TechVersions es brindar apoyo a sus clientes en la comercialización de productos B2B generando clientes potenciales efectivos en los mercados objetivo.

La generación de leads se realiza a través de una investigación de mercado inteligente que recopila datos relevantes para identificar la intención de compra confiable de las empresas a través de diferentes canales, incluso a través de socios comerciales que utilizan tecnología relevante en marketing en redes sociales, marketing web, marketing por correo electrónico y telemercadeo.

En el proceso de estas actividades, TechVersions actúa como intermediario que agrega valor a la cadena de marketing B2B. La información de la campaña es proporcionada por los Clientes, que se perfecciona y se convierte en materiales de campaña para su distribución en el mercado potencial.

La distribución a los clientes finales mediante la colocación de los materiales de la campaña en medios relevantes se realiza a través de editores externos que generan clientes potenciales. Una parte de los clientes potenciales se genera mediante la actividad editorial interna y el uso de innovadoras herramientas de marketing de intención corporativa desarrolladas por el equipo de I+D de TechVersions.

Los clientes potenciales generados por los editores se filtran inteligentemente para mejorar su calidad y se convierten en objetivos de marketing procesables antes de transmitirlos a los clientes.

TechVersions ha desarrollado productos, procesos y sistemas de generación de información patentados que incluyen el desarrollo de proveedores confiables y mano de obra capacitada, que en conjunto reflejan la propuesta de valor que TechVersions aporta al ecosistema de marketing B2B en todo el mundo. Mantener y fomentar esta experiencia y utilizarla para aprovechar oportunidades comerciales representa un interés legítimo de TechVersions.

Este Código de cumplimiento del RGPD adoptado por TechVersions declara que TechVersions está comprometido con el concepto de "Privacidad como derecho fundamental de un ciudadano de una sociedad democrática" en todo el mundo y, de buena fe, implementará todos los principios de privacidad exigidos por el RGPD donde sea necesario. aplicable.

Sin embargo, TechVersions revela que su interés legítimo es llevar a cabo una operación comercial legítima en todo el mundo como intermediario del mercado B2B y que TechVersions tiene el derecho democrático de llevar a cabo su negocio de buena fe sin entrar en conflicto con los derechos del personas físicas individuales cuya privacidad se busca proteger según el RGPD.

TechVersions también revela que su modelo de negocio requiere la recopilación únicamente de datos de entidades comerciales que están fuera del ámbito de GDPR y datos de contacto comercial que no son datos personales pero pueden incluir información de identificación personal en parte, pero no incluyen datos personales de niños y Datos personales que se clasifican como “Categorías especiales” según el RGPD.

Exposición al RGPD

TechVersionsGroup es básicamente un "intermediario de marketing B2B" que opera en todo el mundo generando oportunidades de marketing y brindando servicios a clientes en muchos países. TechVersions no opera en el mercado de consumo y, por lo tanto, no recopila directa ni indirectamente información personal de los interesados ​​de la UE. Los datos que TechVersions recopila generalmente se encuentran en la categoría de Datos de contacto comercial de empleados corporativos que, entre otras cosas, contienen el nombre, el correo electrónico del trabajo y el número de teléfono del trabajo.

Una parte de los leads de marketing B2B se genera en los países de la UE y en el Reino Unido. Algunos de los Clientes ubicados en la UE/Reino Unido también pueden aprovechar los servicios de TechVersions. Actualmente, la mayoría de las interacciones con los Clientes se realizan en los EE. UU. y la mayoría de las interacciones con los socios comerciales generadores de oportunidades de venta se realizan en la India.

Por lo tanto, la exposición al RGPD de TechVersions se reconoce cuando se recopilan datos de contacto comerciales de organizaciones comerciales que operan en regiones de la UE y el Reino Unido.

Enfoque para el cumplimiento del RGPD

Para permitir la aplicación de una norma lo más estricta posible al procesamiento de datos que están expuestos al riesgo de cumplimiento del RGPD, TechVersions adopta una política para tratar los datos confidenciales del RGPD (GSD) como "datos confidenciales" que fluyen a través de los recursos de TechVersions al etiquetar el datos entrantes con una etiqueta adecuada para clasificarlos como GSD cuando corresponda.

La protección de la privacidad de los interesados ​​y la seguridad de la información relacionada con la protección de la privacidad con respecto a los datos etiquetados con GSD se tienen en cuenta en el diseño de la estructura de soporte.

Aunque los datos se procesan en ubicaciones específicas y la infraestructura técnica para procesar GSD está ubicada en dichas ubicaciones específicas, se ha creado una conciencia sobre el RGPD a nivel empresarial y se seguirá buscando para que los principios de este Código de conducta del RGPD se filtren en todo el mundo. organización más allá del procesamiento GSD para incluir las funciones de marketing, financieras y gerenciales que pueden estar ubicadas en diferentes ubicaciones con su propia infraestructura técnica y administrativa.

Para implementar de manera efectiva la seguridad de toda la infraestructura de procesamiento de datos, la Compañía ha adoptado una política integral de seguridad de la información que incluye múltiples subpolíticas con respecto al acceso a los datos, el procesamiento, el almacenamiento, la transmisión, etc.

Compromiso de privacidad

TechVersions reconoce que la “privacidad” es un derecho democrático importante en la sociedad civil. Como entidad corporativa responsable, TechVersions está comprometida con la protección de la privacidad de todas las personas físicas cuyos datos personales ingresan al repositorio de datos corporativos para su procesamiento.

En vista de la presencia de Clientes en la UE/Reino Unido y el seguimiento de las actividades de los empleados corporativos que residen en la UE/Reino Unido, TechVersions ha optado por adoptar estándares de cumplimiento del RGPD para la protección de la privacidad de todas las personas físicas que puedan interactuar con el grupo. incluso cuando dicha interacción se realice únicamente en su calidad de empleados de diferentes entidades comerciales que persiguen los objetivos comerciales de sus respectivas organizaciones comerciales.

Interés legítimo

La actividad principal de TechVersions implica el procesamiento de datos relacionados con la compra de diferentes productos para uso corporativo. El espectro de actividades incluye recopilación, agregación, análisis, segmentación y seguimiento de intenciones. En el proceso de dicho procesamiento, TechVersions agrega valor a los datos sin procesar que se recopilan del entorno empresarial y los convierte en información de valor agregado que ayuda a las decisiones comerciales.

Los datos brutos recopilados se reconocen como datos que pertenecen al interesado y a los que se aplican los derechos del interesado en virtud del RGPD. El valor agregado a los datos que ocurre durante el proceso surge de las capacidades de procesamiento de datos patentadas de TechVersions sobre las cuales TechVersions tiene un cierto nivel de reclamo de derechos de propiedad intelectual.

Si algún dato ha sido seudonimizado, los datos seudonimizados de valor agregado se considerarán datos sobre los cuales TechVersions tiene un interés legítimo de utilizar para futuras investigaciones. Los datos no seudonimizados, incluso en el estado de valor agregado, están sujetos al ejercicio de los derechos del Titular de los datos, tales como Acceso, Rectificación, Restricción, Portabilidad y Supresión. Los datos seudónimos, si los hubiera, no se clasificarán como sensibles al RGPD.

TechVersions posee un interés comercial legítimo, tal como se reconoce en el artículo 6(1)(f) de las regulaciones del RGPD de la UE, en la recopilación y el procesamiento de datos relacionados con el negocio, como datos firmográficos y de contacto comercial de los funcionarios encargados de tomar decisiones en las entidades comerciales.

Además, el negocio de TechVersions involucra operaciones dentro y fuera de los países de la UE y, por lo tanto, está expuesto a obligaciones legales de diferentes países relacionadas con el procesamiento de datos, así como a otras leyes aplicables a los negocios en general y a las actividades relacionadas con TI en particular, según lo previsto en el Artículo 6. (1)(c) del reglamento RGPD de la UE.

Además, TechVersions ha adoptado prácticas comerciales para el procesamiento legal que incorporan los principios del RGPD de la UE tal como se enuncia en el artículo 6, incluida la obtención de consentimiento explícito informado cuando sea necesario y el cumplimiento de los requisitos de las obligaciones contractuales con los interesados, si corresponde.

Por lo tanto, las políticas de TechVersions sobre privacidad y protección de datos están estructuradas con controles específicos de privacidad y seguridad de la información que abordan la cuestión de identificar los datos confidenciales del RGPD en la etapa de su origen y entrada al sistema de TechVersions y etiquetarlos a lo largo de su ciclo de vida de procesamiento.

Ampliar el alcance del cumplimiento al ecosistema de procesamiento de datos

Además, manteniendo la intención legislativa de proteger el derecho fundamental a la privacidad de las personas, enunciado en el RGPD de la UE, se mantienen controles técnicos y organizativos/administrativos apropiados para garantizar que todos los socios comerciales intermedios que puedan tener acceso a datos confidenciales del RGPD para procesarlos en nombre de TechVersions también cumple con GDPR.

TechVersions reconoce que en la mayor parte de sus operaciones, no es un "Responsable del tratamiento de datos", sino un "Procesador de datos" a los efectos del RGPD. Podrá asumir el papel de “Corresponsable” cuando utilice los servicios de subcontratistas para cualquier parte de su procesamiento.

Teniendo en cuenta estos roles, las políticas y controles de TechVersions están estructurados para garantizar el cumplimiento del RGPD, incluido el mantenimiento de controles técnicos y organizativos/administrativos apropiados para mantenerse debidamente informado sobre las actividades de cumplimiento del RGPD de sus socios comerciales y también compartir con ellos el propio cumplimiento del RGPD de TechVersions. medidas que sean necesarias.

Limitaciones de este documento

Los siguientes párrafos proporcionan la política general de TechVersions para el cumplimiento del RGPD a nivel corporativo, destacando el enfoque de TechVersions para lograr un nivel satisfactorio de cumplimiento de los principios del RGPD en sus operaciones.

Este documento de política está destinado a compartirse de forma limitada con las partes interesadas, incluidas entidades comerciales fuera de TechVersions y, por lo tanto, excluye información patentada sobre el procesamiento cuando sea esencial proteger la propiedad intelectual de la organización.

Cualquier solicitud de divulgación de información más allá de lo que se indica aquí se abordará según la Política de divulgación de datos de TechVersions y dichas solicitudes pueden dirigirse al Gerente de Privacidad a través de un correo electrónico autenticado no confiable.

Parte B: Esquemas de políticas específicas

  1. Responsabilidad asignada

TechVersions ha designado un Gerente de Privacidad que será la persona de contacto para manejar todas las solicitudes y quejas de los interesados. Teniendo en cuenta el nivel actual de exposición al riesgo de los datos confidenciales del RGPD en TechVersions, se considera que la actividad principal de TechVersions no implica un seguimiento sistemático y a gran escala de los interesados ​​de la UE ni la oferta de ningún servicio a personas en la UE y, por lo tanto, no existe no es necesario designar un "Responsable de protección de datos" según lo previsto en el RGPD.

Un Comité de Gobernanza de Seguridad de la Información (ISGC) estará a cargo general de la Seguridad de la Información, incluido el cumplimiento del RGPD. Será el máximo organismo normativo de TechVersions, responsable de establecer todas las políticas de seguridad de la información, incluida la política GDPR, y supervisará la necesidad de designar a cualquier persona o consultor como Delegado de Protección de Datos en su debido momento.

  1. Clasificación de datos

TechVersions no participa en marketing dirigido a ninguna persona física y, por lo tanto, normalmente no recopila datos de identificación personal sujetos a las disposiciones reglamentarias del RGPD. Sin embargo, todos los datos personales potencialmente identificables, como la dirección de correo electrónico y el número de teléfono de un empleado de una organización, se clasifican como "sensibles al RGPD" si se sabe que la unidad de negocio o el empleado están ubicados en la UE o el Reino Unido.

En consecuencia, todo el conjunto de datos de contacto comercial asociado con una dirección de ubicación física en la UE/Reino Unido se identifica como datos confidenciales del RGPD (GSD) y se etiqueta durante el procesamiento posterior dentro de la organización.

En ausencia de información sobre la ubicación física del interesado, la ubicación física de la organización empresarial asociada se considerará relevante.

  1. Auditoría de datos

Una vez antes del 25 de mayo de 2018 y posteriormente a intervalos mensuales o según lo determine el ISGC, se verificarán los conjuntos de datos almacenados para localizar cualquier GSD y verificar los requisitos de cumplimiento asociados con él, como por ejemplo si los datos deben archivarse, eliminarse o de otro modo especialmente asegurado.

Se recomendará la eliminación de cualquier conjunto de datos de GSD que no vaya acompañado de un “Consentimiento” o una “Nota de interés legítimo” adecuado.
Tras la confirmación, dichos datos se eliminarán de forma forense.

  1. Evaluación de impacto del RGPD

Se ha realizado una evaluación de la brecha del RGPD y se han implementado medidas correctivas según sea necesario antes del 25 de mayo de 2018. Después del 25 de mayo de 2018, se llevará a cabo una Evaluación de Impacto de la Protección de Datos (DPIA) cada vez que se emprenda un nuevo proyecto importante cuando el ISGC identifique el necesidad.

  1. Política de aceptación de nuevos negocios

A partir del 25 de mayo de 2018, todos los nuevos compromisos comerciales que involucren el procesamiento de datos estarán sujetos a la aprobación del ISGC con una nota de evaluación de impacto específica del RGPD presentada por el DPO en consulta con el equipo técnico a cargo del procesamiento.

  1. Política de almacenamiento de datos de GSD

GSD se almacenará en sistemas a los que solo tendrán acceso las personas designadas según la estricta "necesidad de saber".

Cada conjunto de GSD deberá estar etiquetado con el Controlador de datos de quien se obtuvo y quién es responsable de la recopilación de los datos bajo consentimiento o contrato.

Cualquier restricción específica asociada con dicho conjunto de datos también se etiquetará con el conjunto de datos.

El almacenamiento de datos permitirá localizar y procesar conjuntos de datos individuales para la ejecución de los derechos de cualquier interesado, como la solicitud de rectificación de datos, portabilidad de datos, eliminación de datos o acceso a datos en cualquier momento durante su ciclo de vida.

  1. Política de acceso a datos de GSD

Se accederá a GSD según la política de control de acceso que garantiza que cada conjunto de datos de GSD tenga parámetros de acceso específicos que definan quién puede acceder a los datos y cómo acceden a ellos. Solo aquellos que estén designados como fuerza laboral de GSD tendrán acceso al conjunto de datos de GSD.

El uso de parámetros de acceso, como las contraseñas, se definirá con el grado de complejidad y singularidad que sea necesario y se complementará con cifrado y etiquetas de identificación de máquina para que solo se pueda acceder a los datos de GSD desde un hardware específico asignado a la fuerza laboral autorizada de GSD.

Cuando el almacenamiento de datos esté en la nube, solo se utilizarán servicios en la nube que cumplan con el RGPD junto con los controles adicionales que puedan ser necesarios para garantizar que los datos almacenados y en tránsito estén protegidos contra el acceso no autorizado.

Los GSD específicos del proyecto se almacenarán de tal manera que solo los empleados asociados con un proyecto determinado tengan acceso a los datos. El acceso entre proyectos se regulará según las necesidades.

  1. Política de retención de datos de GSD

GSD se conservará en un entorno de proceso activo solo durante el período mínimo necesario para su procesamiento. A partir de entonces, los datos se archivarán de forma segura según el requisito identificado como interés legítimo, por ejemplo, hasta que se complete el ciclo de facturación del proyecto.

Posteriormente, los datos se mantendrán en un archivo seguro o se destruirán según los requisitos de interés legítimo identificados de la Compañía.

Se realizará una revisión mensual de los datos archivados para identificar los datos que ya no son necesarios y que se remitirán al ISGC para recibir instrucciones de eliminación.

Las obligaciones legales sobre retención de datos que puedan surgir debido a la superposición de legislaciones se tendrán en cuenta en la evaluación del interés legítimo.

  1. Política de divulgación de datos de GSD

Cualquier solicitud de divulgación de GSD normalmente se recibirá únicamente del controlador de datos de origen.

Se reconoce que las solicitudes recibidas directamente de los interesados ​​están sujetas a riesgo de phishing y dichas solicitudes, si las hubiera, se remitirán al Responsable del tratamiento correspondiente que recopiló los datos del interesado bajo el consentimiento o contrato que pueda existir entre ellos.

Los datos que se divulgarán se enviarán únicamente al Responsable del tratamiento para su posterior transmisión al interesado después de autenticar adecuadamente la identidad del representante del Responsable del tratamiento que realiza la solicitud.

En circunstancias excepcionales en las que los datos deban revelarse directamente a un interesado, a su representante autorizado o a una autoridad encargada de hacer cumplir la ley, se garantizará una autenticación adecuada de la identidad de la persona que realiza la solicitud.

Todas las solicitudes de divulgación de datos deben ser aprobadas por el ISGC antes de la divulgación de los datos y la solicitud, así como los documentos de evaluación, se considerarán documentación requerida de cumplimiento del RGPD.

  1. Política de gestión de incidentes de datos de GSD

Un "Incidente" según este código será cualquier observación que tenga el potencial de indicar que se ha violado el código de cumplimiento de GSD o cualquier política o procedimiento en virtud del mismo, independientemente de que se sospeche o no que algún dato haya sido comprometido.

Se puede utilizar una política de denuncia de irregularidades para garantizar que cualquier observador, ya sea dentro o fuera de la Compañía, informe los incidentes con prontitud.

Cualquier incidente de este tipo del que TechVersions tenga conocimiento se registrará en un Registro de gestión de incidentes de GSD y se remitirá al DPO para que se tomen medidas inmediatas.

El DPO revisará el informe del incidente y tomará medidas inmediatas para resolverlo y también para informarlo al ISGC.

El ISGC convocará una reunión rápidamente y evaluará el incidente para identificar si involucra alguna sospecha de violación de datos. Cuando sea necesario, ISGC podrá ordenar una auditoría tecno legal inmediata para una evaluación de riesgos del incidente. Con base en la evaluación de riesgos, ISGC decidirá la necesidad de tomar medidas adicionales, incluido el envío de una notificación de violación de datos al Controlador de datos asociado con los Datos.

Un incidente en el que otro empleado de la organización haya accedido a GSD se considera un incidente de seguridad y no necesariamente una “violación”. Sin embargo, dichos incidentes deberán ser investigados en cuanto a la causa del acceso no autorizado y si se trata de un acceso accidental involuntario podrá resolverse con una acción disciplinaria interna adecuada según la política de RR.HH. Si los datos no han salido ni han sido accedidos por un tercero, el incidente puede clasificarse como un accidente de datos internos que no constituye una violación.

En el caso de que se sepa que el acceso o los datos transferidos están en forma cifrada y se encontraban en un estado en el que el destinatario no podía descifrarlos, sujeto a una investigación interna adecuada en cuanto a la seguridad de la clave de descifrado asociada, el acceso puede clasificarse como un accidente de datos internos que no constituye una violación.

  1. Política de notificación de violación de datos de GSD

Un incidente de "violación de datos" es un incidente en el que TechVersions, después de la investigación necesaria, llega al conocimiento de que el acceso a cualquier conjunto de datos específico bajo GSD se ha visto comprometido y una entidad externa ha accedido o enviado un conjunto de GSD.

Dicho incidente de violación de datos se informará inmediatamente al ISGC, quien sin más demora notificará al Controlador de datos asociado con el conjunto de datos junto con los detalles relevantes del incidente.

Dicho informe especificará la naturaleza y el alcance de la violación, la hora y la fecha de la violación, los detalles de los interesados ​​afectados, las medidas adoptadas al darse cuenta de la violación, etc. Cuando sea necesario, la violación de datos también podrá informarse a un autoridad supervisora.

  1. Política de gestión de derechos del interesado de GSD

El sistema de procesamiento de datos TechVersions ha incorporado "Privacidad y seguridad por diseño" para permitir el cumplimiento de los requisitos del RGPD, particularmente con respecto a los derechos del interesado previstos en el RGPD.

Para dar cumplimiento a estos derechos del interesado como “Acceso”, “Rectificación”, “Borrado”, “Portabilidad” y Derecho a imponer “Restricciones”, TechVersions ha habilitado sus sistemas de almacenamiento y acceso GSD de tal manera que un El conjunto de datos que pertenece a un interesado específico puede extraerse y procesarse por separado.

Por lo tanto, el sistema ha sido diseñado para cumplir con los requisitos más estrictos del RGPD.

Siempre que se recibe una solicitud para el ejercicio de dichos derechos de un Titular de datos, de acuerdo con la política de divulgación de datos, primero se valida la solicitud y luego, en caso de que los datos hayan sido recibidos de un Controlador de datos, se le pedirá al controlador de datos que confirme la divulgación de datos.

Normalmente, la solicitud se procesa en comunicación con el controlador de datos y, si se va a transferir, se devuelve al controlador de datos.

En circunstancias excepcionales en las que TechVersions tenga que gestionar la solicitud de un interesado sin la cooperación del responsable del tratamiento, se tomarán las precauciones adecuadas para evitar una divulgación indebida, ya que sería de interés legítimo para TechVersions ser indemnizada por cualquier posible divulgación indebida. .

  1. Política de transmisión de datos de GSD

Los datos GSD normalmente pueden fluir hacia el sistema a través de una interfaz de aplicación (API). El acceso a la interfaz se realiza a través de un sistema de acceso seguro con contraseña complementado con una autenticación de segundo factor adecuada donde se identifica un riesgo significativo de GSD.

La transmisión de datos se realiza mediante cifrado sujeto a la gestión de la seguridad de la transmisión que cubre las vulnerabilidades conocidas.

La aplicación en sí, junto con sus elementos inherentes de almacenamiento y procesamiento y la API, están protegidas contra accesos no autorizados y ataques maliciosos mediante un sistema de gestión de acceso seguro y malware adecuado.

Cuando el conjunto GSD también se transmite al Cliente o al Subcontratista, la transmisión se gestiona a través de canales de comunicación cifrados, ya sea a través de una API o un correo electrónico cifrado.

  1. Política de uso de marketing de GSD

Cuando TechVersions utiliza GSD para cualquier propósito de marketing, ya sea a través de correo electrónico o llamadas telefónicas o de otro modo, se tiene cuidado de garantizar que exista un consentimiento o contrato adecuado para permitir dicha comunicación.

TechVersions también insiste en que sus socios, tanto los generadores de leads como los procesadores subcontratados y los clientes, no utilicen el GSD excepto según los permisos disponibles.

Cuando no se dispone de un consentimiento inequívoco, no se recopilan datos de contacto comercial de los generadores de contactos ni se transmiten a los clientes ni se procesan a través de los subcontratistas.

Dichos datos se eliminan en primera instancia cuando ingresan al sistema TechVersions y se identifican como un "GSD sin el consentimiento de procesamiento adecuado".

  1. Política de consentimiento de GSD

Toda la información clasificada como GSD en virtud de que el interesado se encuentra en la UE/Reino Unido o que su empleador está ubicado en la UE/Reino Unido se aceptará solo si el interesado ha proporcionado un consentimiento explícito basado en el formato requerido por el RGPD.

En la situación anterior al RGPD, dichos consentimientos generalmente se obtenían bajo los principios de procesamiento de datos personales que incluían un Aviso de Privacidad. Dicho Aviso de Privacidad indicaba qué información se estaba recopilando, el propósito de la recopilación, el tiempo durante el cual se conservaría, cómo se protegería, si la información era exacta, si se transferiría fuera de la UE para su procesamiento, etc. Algunos de los consentimientos se basaron en el principio de “participación voluntaria” como configuración predeterminada.

Según el RGPD, es esencial que los datos personales se recopilen únicamente sobre la base de un Consentimiento explícito donde la opción predeterminada es “Exclusión voluntaria” y solo sobre la base de una acción afirmativa que indique aceptación, se aceptará el consentimiento.

Además, el aviso de privacidad también debe indicar que el interesado tiene ciertos derechos como “Derecho a ser informado de la identidad de los procesadores intermedios”, “Derecho de acceso y rectificación”, “Derecho a la portabilidad y supresión”.

En vista de los nuevos requisitos, todos los consentimientos obtenidos en el formato anterior al RGPD se considerarán inválidos y TechVersions descartará dichos datos.

Los editores externos que generen clientes potenciales para TechVersions deberán confirmar a través de sus contratos que solo proporcionarán clientes potenciales generados con la nueva forma de consentimiento en caso de que el interesado se encuentre en la UE/Reino Unido.

  1. Política de comunicación con las partes interesadas de GSD

TechVersions opera a través de muchas organizaciones externas que son partes interesadas en el programa de cumplimiento GDPR de TechVersions. Dichas organizaciones incluyen sus Clientes, Generadores de Leads, Subcontratistas, etc.

Para un cumplimiento efectivo, no se deben intercambiar datos GSD en ninguna comunicación con las partes interesadas, excepto a través de una transmisión segura y únicamente con representantes autorizados.

Si bien la comunicación a través de API está controlada por la política de acceso, cualquier otra comunicación a través de correo electrónico debe controlarse con una política de comunicación por correo electrónico.

Esencialmente, una política de comunicación por correo electrónico deberá definir que el intercambio de cualquier información de cumplimiento de GSD o GDPR con una parte interesada se realizará únicamente a través de una dirección de correo electrónico de contacto notificada que será, en la mayoría de los casos, el DPO de la otra organización; cuando sea necesario, la comunicación por correo electrónico puede cifrarse y autenticarse. con firma digital.

  1. Política de identificación de intereses legítimos de GSD

TechVersions reconoce que ciertos derechos de los interesados, como el borrado de datos o la rectificación de datos, podrían estar en conflicto con los requisitos de interés legítimo de TechVersions o pueden estar en conflicto con las leyes de retención de datos que podrían ser aplicables a los datos en vista de otras obligaciones legislativas. .

En todos los casos en que se implementen los derechos del interesado, TechVersions evaluará la solicitud antes de tomar medidas adicionales. En caso de que TechVersions reconozca la necesidad de rechazar la solicitud o modificarla para su aceptación, se documentarán los motivos y el ISGC desarrollará una nota de interés legítimo de GSD.

Cuando no sea necesario que los datos estén activos, podrán archivarse de forma segura hasta que expire el interés legítimo.

Los motivos del ejercicio del argumento de interés legítimo para procesar la solicitud del interesado se comunicarán al Responsable del tratamiento, que es responsable del Interesado, para su posterior transmisión al interesado.

  1. Política de Gestión de Personas de GSD

GSD será considerado como un conjunto de datos que requiere atención exclusiva y especial en términos de seguridad de la información mientras se encuentre bajo la custodia de TechVersions.

Por lo tanto, los GSD serían etiquetados y procesados ​​adecuadamente según sea necesario por un grupo de empleados especialmente capacitados.

Estos empleados y los sistemas en los que se almacenaría, accedería y procesaría GSD se gestionarían de forma segura teniendo en cuenta el nivel de riesgo asociado con GSD.

La asignación de personas a este procesamiento de GSD y su eliminación se gestionará con las medidas de seguridad adecuadas, incluyendo un mayor nivel de verificación de antecedentes, capacitación, identidades de acceso físico, políticas de sanciones, etc.

Las políticas de recursos humanos deben actualizarse adecuadamente para la fuerza laboral de GSD según sea necesario.

  1. Política de seudonimización de GSD

Se reconoce que la seudonimización es una estrategia para reducir los riesgos en el procesamiento de GSD.

Los datos personales seudonimizados no se consideran “Datos personales” a los efectos de la regulación GDPR siempre que el proceso de seudonimización esté adecuadamente estructurado.

En vista del nivel actual de exposición de sus operaciones a los Riesgos del RGPD; TechVersions no ha considerado necesario por el momento utilizar la seudonimización como estrategia de mitigación de riesgos.

  1. Política GSD DRP-BCP

TechVersions reconoce la importancia de un plan eficaz de recuperación ante desastres y continuidad del negocio para sus operaciones, incluidas las operaciones que involucran el procesamiento de GSD.

TechVersions mantendrá una copia de seguridad adecuada de los datos de GSD y una capacidad razonable para mantener la continuidad del negocio en caso de cualquier contingencia.

  1. Política de documentación de cumplimiento de GSD

Las medidas de cumplimiento del RGPD se documentarán para que estén disponibles para su revisión. La documentación de Compliance se conservará durante un periodo mínimo de 6 años desde su creación.

En caso de que algún documento sea evidencia potencial para requisitos de cumplimiento de la ley o para defender el interés legítimo de TechVersions, dicho documento se conservará mientras persista el requisito.

  1. Política de auditoría de GSD

Un equipo de auditoría de seguridad interna de TechVersions auditará los activos de información de TechVersions al menos una vez al año para evaluar el nivel de seguridad y el cumplimiento del RGPD y otros requisitos reglamentarios.

Se podrán considerar auditorías externas sobre la base de una evaluación del ISGC siempre que se produzca un cambio sustancial en el perfil empresarial.

TechVersions se reserva el derecho de realizar una auditoría de las instalaciones de cualquiera de sus subcontratistas para garantizar el cumplimiento de las obligaciones contractuales.

Sin embargo, TechVersions reconoce que la facultad de auditar las instalaciones de un subcontratista es una habilitación y solo se utilizará en circunstancias excepcionales. Esto no reduce la responsabilidad del subcontratista de cumplir con los requisitos de cumplimiento por su parte según las garantías contractuales proporcionadas.

  1. Política de reparación de quejas de GSD

TechVersions proporcionará una política de reparación de quejas de varios niveles para solucionar las disputas, si las hubiera, con cualquier interesado. Dichas quejas serán tratadas por el DPO en el primer nivel, el ISGC en el segundo nivel y un Comité de resolución de disputas en línea creado a tal efecto por la Junta en el tercer nivel.

Cualquier consulta de una autoridad supervisora ​​del RGPD será manejada por el DPO y remitida al ISGC cuando sea necesario.

Cualquier disputa con los Clientes, Editores o Subcontratistas se manejará según los respectivos acuerdos contractuales.

  1. Política de seguridad de red

Para garantizar que la infraestructura de TI utilizada por la Compañía sea segura, TechVersions adoptará una política sólida de seguridad de la información que incluya firewalls, sistemas de detección de intrusiones, sistemas de prevención de malware y parches de sistemas, etc., según sea necesario.

Un Gerente de Seguridad de la Información designado será responsable del mantenimiento de la seguridad de la Red.

PD: Este Código está sujeto a revisión de vez en cuando.