Política de Protección de Datos
Finalidad y alcance
Esta política interna garantiza que FlopHero cumpla las leyes de privacidad como el RGPD y la CCPA. Se aplica a todo el personal que trate datos personales.
Esta Política de Protección de Datos establece el compromiso de Flophero US LLC con la protección de los datos personales en conformidad con las leyes de privacidad aplicables, incluido el Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) y otros reglamentos relevantes de protección de datos.
Esta política se aplica a empleados, contratistas y terceros que procesen datos personales en
nombre de Flophero US LLC.
Principios de protección de datos
Seguimos seis principios clave: licitud, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento y seguridad. Adoptamos los siguientes principios:
Licitud, lealtad y transparencia
– Tratar los datos personales de forma lícita, leal y transparente.
– Proporcionar información clara sobre las actividades de tratamiento.
– Garantizar que los interesados comprendan cómo se utilizan sus datos.
Limitación de la finalidad
– Recoger datos personales para finalidades específicas, explícitas y legítimas.
– No tratar los datos de forma incompatible con las finalidades originales.
– Revisar y actualizar periódicamente las finalidades del tratamiento.
Minimización de datos
– Recoger únicamente los datos personales adecuados, pertinentes y necesarios.
– Revisar regularmente las prácticas de recogida.
– Implementar privacidad desde el diseño (privacy by design).
Exactitud
– Garantizar que los datos personales sean exactos y estén actualizados.
– Adoptar medidas para corregir o suprimir datos inexactos.
– Implantar procesos de gestión de la calidad de los datos.
Limitación del almacenamiento
– Conservar los datos personales solo durante el tiempo necesario para las finalidades del tratamiento.
– Implementar calendarios de conservación y procedimientos de supresión.
– Revisar y eliminar con regularidad los datos innecesarios.
Integridad y confidencialidad
– Implementar medidas técnicas y organizativas adecuadas.
– Proteger frente a tratamiento no autorizado, pérdida o daño.
– Garantizar confidencialidad, integridad y disponibilidad continuas.
Estructura organizativa
Actualmente estamos por debajo de los umbrales del RGPD que exigen el nombramiento obligatorio de un Delegado de Protección de Datos (DPD/DPO) (art. 37). Nuestro volumen de datos (< 10.000 interesados de la UE/año) y el alcance de la monitorización no requieren un DPO. Mantenemos una estructura de Punto de Contacto de Privacidad para asegurar el cumplimiento integral. Cualquier nombramiento futuro de DPO se evaluará oportunamente y en línea con el crecimiento del negocio.
Nuestro Punto de Contacto de Privacidad supervisa el cumplimiento y reporta directamente al CEO, garantizando la independencia.
Responsabilidad general del cumplimiento en protección de datos
Correo: [email protected]
Reporta a: CEO
Independencia: línea directa para garantizar independencia en asuntos de privacidad
Responsabilidades:
– Monitorizar el cumplimiento de las leyes de protección de datos
– Realizar evaluaciones de impacto en privacidad
– Servir como punto de contacto con autoridades de control
– Impartir formación y orientación en protección de datos
– Investigar y responder a incidentes de protección de datos
Responsabilidades del tratamiento de datos
CEO: responsabilidad final del cumplimiento.
Equipo de desarrollo: implementación de privacy by design.
Atención al cliente: gestión de derechos de los interesados.
Todo el personal: cumplimiento diario de los procedimientos.
Registro de actividades de tratamiento
Mantenemos registros detallados de todas las actividades de tratamiento, incluida finalidad, base jurídica, periodos de conservación y ubicación de encargados. Todas las actividades incluyen salvaguardas adecuadas para transferencias internacionales:
- AWS Irlanda: decisión de adecuación de la UE.
- Stripe/PayPal (EE. UU.): Cláusulas Contractuales Tipo 2021 (SCCs Módulos 1 y 2).
- Google Analytics (EE. UU.): SCCs 2021 (Módulos 1 y 2).
- Zoho (India): SCCs 2021 (Módulos 1 y 2).
Información de pago
Finalidad: facturación de suscripciones y procesamiento de pagos.
Base jurídica: ejecución de contrato y obligación legal.
Categorías: método de pago, historial de transacciones, dirección de facturación.
Interesados: clientes de pago.
Destinatarios: Stripe, PayPal, equipo financiero interno.
Conservación: 7 años (exigencia legal).
Ubicación del encargado: Stripe (EE. UU.), PayPal (EE. UU.).
Transferencias internacionales: SCCs 2021 (Módulos 1 y 2).
Salvaguardas: PCI DSS, cifrado, tokenización.
Analítica de uso
Finalidad: mejora del servicio y analítica.
Base jurídica: interés legítimo.
Categorías: patrones de uso, interacción con funciones, métricas de rendimiento.
Interesados: todos los usuarios del servicio.
Destinatarios: equipo de desarrollo interno, Google Analytics.
Conservación: 2 años (anonimización tras 6 meses).
Ubicación del encargado: Google (EE. UU.).
Transferencias internacionales: SCCs 2021 (Módulos 1 y 2).
Salvaguardas: anonimización, agregación, controles de acceso.
Comunicaciones de soporte al cliente
Finalidad: atención y soporte.
Base jurídica: ejecución de contrato e interés legítimo.
Categorías: tickets, correos electrónicos, resolución de incidencias.
Interesados: usuarios que solicitan soporte.
Destinatarios: equipo de soporte, plataforma Zoho.
Conservación: 3 años desde el último contacto.
Ubicación del encargado: Zoho (India).
Transferencias internacionales: SCCs 2021 (Módulos 1 y 2).
Salvaguardas: controles de acceso, cifrado, registros de auditoría.
Derechos de los interesados
Atendemos solicitudes de acceso, rectificación, supresión y otros derechos de privacidad en un plazo de hasta 30 días, con procedimientos establecidos para su tramitación.
Privacidad desde el diseño (Privacy by Design)
Todos los nuevos desarrollos pasan por evaluación de impacto en privacidad antes de su construcción. La protección se incorpora desde el inicio.
Puerta de evaluación de impacto en privacidad:
– Identificar los datos personales implicados.
– Valorar riesgos y medidas de mitigación.
– Documentar la implementación de privacy by design.
– Obtener aprobación de privacidad antes del desarrollo.
Prácticas exigidas:
– Minimización de datos en el diseño de sistemas.
– Cifrado y seudonimización.
– Controles de acceso y auditoría.
– Conservación y supresión automatizadas.
– Formación en privacidad para el equipo de desarrollo.
– Revisiones y actualizaciones periódicas.
– Documentación de decisiones de privacidad.
– Monitorización y evaluación continuas.
Gestión de proveedores
Todos los terceros que traten datos personales deben:
– Demostrar medidas adecuadas de protección de datos.
– Proporcionar salvaguardas contractuales apropiadas.
– Someterse a evaluaciones periódicas de seguridad y privacidad.
– Mantener certificaciones y cumplimiento actualizados.
Respuesta a incidentes de datos
Mantenemos un plan de respuesta a incidentes con plazo de 72 horas, funciones claras y procedimientos de notificación.
Equipo de respuesta a incidentes
– Privacy Manager: coordinación del incidente y notificación a autoridades.
– CEO: decisiones ejecutivas y comunicaciones externas.
– Líder técnico: investigación técnica y remediación.
– Asesoría jurídica: valoración legal y orientación regulatoria.
Flujo en 72 horas
Detección y contención (0–1 h): identificar y contener el incidente; evaluar alcance y gravedad; determinar si hay datos personales; activar el equipo.
Investigación y evaluación (1–24 h): investigación técnica detallada; cronología y datos afectados; evaluación de riesgos; determinar notificaciones.
Notificación a la autoridad (24–72 h): notificar a la autoridad de control en ≤ 72 h (si procede); preparar avisos a interesados (si alto riesgo); coordinar con jurídico y autoridades; documentar actuaciones.
Remediación y seguimiento (continuo): aplicar medidas técnicas y organizativas; monitorizar; post-mortem y lecciones aprendidas; actualizar políticas.
Formación y concienciación
Todo el personal recibe formación obligatoria en protección de datos, con requisitos específicos por función.
Formación obligatoria (todos):
– Principios y requisitos legales.
– Políticas y procedimientos internos.
– Derechos de los interesados y su gestión.
– Notificación y respuesta a incidentes.
– Privacy by design.
Formación por función:
– Soporte al cliente: derechos de interesados, tramitación y escalado.
– Desarrollo: privacy by design, salvaguardas técnicas, codificación segura.
– Gestión: supervisión de cumplimiento, gestión de incidentes, evaluación de proveedores.
Concienciación continua:
– Actualizaciones periódicas.
– Revisión anual de la política y acuse de recibo.
– Consideraciones de privacidad en reuniones.
– Formación externa y certificaciones.
Monitorización y cumplimiento
Evaluamos regularmente nuestro programa de privacidad y hacemos seguimiento de KPIs.
Evaluaciones periódicas:
– Mensual: revisión de solicitudes de derechos y tiempos de respuesta.
– Trimestral: evaluación de cumplimiento y postura de seguridad de proveedores.
– Anual: revisión integral y actualización del programa.
– Ad hoc: evaluaciones e implantaciones motivadas por incidentes.
Indicadores clave (KPIs):
– Tiempo de respuesta a derechos (< 30 días).
– Tasa de finalización de formación (objetivo: 100%).
– Evaluación anual de proveedores (objetivo: 100%).
– Tiempo de respuesta a incidentes (objetivo: < 72 h para notificación a la autoridad).
Información de contacto
Privacidad: [email protected]
Incidentes de seguridad: [email protected]
Nombre: Noorul Ilahi – Punto de Contacto de Privacidad
Correo: [email protected]
Plazo de respuesta: hasta 5 días laborables
Correo (seguridad): [email protected]
Contacto general
Flophero US LLC
30 N Gould St Ste R
Sheridan, WY 82801
Correo: [email protected]