VWO y el RGPD

El compromiso de VWO con la privacidad y la protección de datos

En VWO siempre respetamos el derecho de protección y privacidad de los datos de nuestros usuarios. A lo largo de los años, hemos demostrado nuestro compromiso al superar de manera continuada los estándares marcados para nuestro sector. No necesitamos, ni necesitaremos nunca, reunir o procesar información personal de los usuarios más allá de la necesaria para el funcionamiento de nuestros productos. Valedores de una cultura de conciencia sobre la privacidad, el RGPD se nos presenta como una oportunidad para reforzarla aún más.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es uno de los mayores cambios legislativos desde 1975. Desde su entrada en vigor el 25 de mayo de 2018, el principal objetivo de este reglamento es el de proteger los derechos y los datos personales de los ciudadanos de la Unión Europea.

El RGPD es una ley de privacidad y protección de datos a nivel de la UE que regula el modo en el que las empresas protegen los datos de los ciudadanos de la UE y mejora el control que estos tienen sobre sus datos personales.

El RGPD es relevante para cualquier empresa que opere a nivel mundial y no solo para empresas con sede en la UE y ciudadanos de la misma. Independientemente de su ubicación, los datos de nuestros clientes son muy importantes. Por ello, implementamos controles de RGPD como referencia para todas nuestras operaciones. El RGPD entró en vigor el 25 de mayo de 2018.

Certificados de privacidad de datos y seguridad de la información

Hemos obtenido las siguientes certificaciones como garantía del cumplimiento del RGPD:

1. ISO 27701:2019 Privacy Information Management System [PIMS] & GDPR Regulation Compliance: La norma ISO 27701 está reconocida internacionalmente y se elaboró como una extensión de las normas ISO/IEC 27001 e ISO/IEC 27002, ampliamente utilizadas para la gestión de la seguridad de la información. Se trata de una norma de privacidad global que se centra en la recopilación y tratamiento de la información personal identificable (IIP). Se desarrolló con la finalidad de ayudar a las organizaciones a cumplir con los marcos y leyes internacionales de privacidad.
2. ISO 27001:2013 Information security management systems [ISMS]: El SGSI garantiza un enfoque sistemático de la gestión de la información sensible de la empresa para que siga siendo segura. El proceso de gestión de riesgos que aplica el SGSI afecta a personas, procesos y sistemas de IT.
3. Controles de Sistemas y Organización 2 Tipo II (SOC 2 Tipo II): SOC 2 Tipo II es una rigurosa norma de auditoría desarrollada por el Instituto Americano de CPA (AICPA). Garantiza que las empresas han establecido y mantenido controles eficaces para proteger la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de los datos de los clientes.

VWO se adhiere al RGPD

VWO ha puesto en marcha procesos y procedimientos para cumplir con las diversas disposiciones que marca el RGPD, como derechos de los interesados, principios básicos del RGPD, apéndice de protección de datos, eliminación de datos, retención de datos y seudonimización. Estos procesos están alineados con nuestros valores fundamentales de confianza del cliente y privacidad de los datos.

¿Cómo se preparó VWO para aplicar el RGPD?

Durante el último año, dedicamos mucho tiempo para entender y analizar cómo afectará el RGPD a nuestros clientes y hacer los cambios apropiados en nuestros productos y procesos. Gracias a la inestimable ayuda de un grupo concienciado de expertos en seguridad corporativa y cumplimiento de la normativa, así como de miembros de nuestra cúpula directiva, conseguimos cumplir nuestro objetivo. A continuación, mostraremos un breve resumen de nuestro análisis y de los pasos que tomamos para garantizar el cumplimiento de la normativa en el tiempo establecido.

Hemos actuado en diversos frentes para adherirnos a esta nueva normativa.

• Hemos sensibilizado a toda la organización mediante debates frecuentes en nuestros canales internos y hemos formado a nuestros empleados para que gestionen los datos adecuadamente. Ahora son conscientes de la importancia de garantizar la seguridad de la información y de cumplir con las exigencias establecidas por el RGPD.
• Tras evaluar individualmente todos los productos de Wingify con arreglo a los requisitos del RGPD, hemos implementado nuevas funcionalidades que te proporcionarán más control sobre tus datos y te ayudarán a reducir el esfuerzo para garantizar el cumplimiento del RGPD.
• Hemos establecido un Registro de Activos de Información (RIA), que incluye información sobre todas las funciones que asume Wingify, como las de responsable y encargado del tratamiento. Detalla las distintas categorías de datos personales tratados por nuestra organización y qué departamento tiene acceso a qué datos y con qué finalidad. Cubre de manera exhaustiva todos nuestros procesos y procedimientos.
• Hemos evaluado a nuestros subencargados del tratamiento (partners que actúan como terceros prestatarios de servicios) y hemos racionalizado el proceso de contratación con ellos para asegurarnos de que han abordado las necesidades apremiantes del mundo de la seguridad y la privacidad actual.
• Nos hemos asegurado de que en todos nuestros equipos haya tanto defensores internos de la privacidad como delegados de la protección de datos.
• Nuestros equipos de aplicaciones han adoptado un enfoque basado en el respeto por la vida privada con el fin de proporcionarte más control sobre los datos que almacenas en nuestros sistemas. Nos esforzamos constantemente para poder ofrecer más mejoras que se irán introduciendo por fases.
• Hemos modificado nuestro Apéndice de Tratamiento de Datos para cumplir con los requisitos de tratamiento de datos del RGPD,Haz clic aquí 
• Hemos llevado a cabo auditorías internas de nuestros productos, procesos, operaciones y gestiones. Gracias a estos resultados, nuestros equipos han podido elaborar soluciones para los problemas identificados.
• Tomando como referencia las PIA y las auditorías internas, hemos conseguido mejorar nuestros métodos y procesos de seguridad de datos. Esto incluye el cifrado de los datos en reposo, en función del nivel de sensibilidad y la probabilidad de riesgos.
• Hemos depurado nuestras bases de datos para asegurarnos de que la información presente sea la más reciente y precisa. Este proceso de depuración incluye la eliminación de las cuentas canceladas e inactivas según nuestros términos.
• En caso de ser necesario, los incumplimientos y violaciones de seguridad serán notificados conforme a nuestra política interna de respuestas a violaciones de seguridad. Nuestros clientes serán informados, sin demora injustificada y dentro del plazo requerido, conforme a la legislación de protección de datos aplicable, al punto de contacto designado por el cliente.
• Hemos revisado nuestra política de privacidad para incorporar los requisitos de las leyes de protección de datos aplicables en función de nuestro inventario de datos, flujos de datos y prácticas de tratamiento de datos.

¿Cómo está ayudando VWO a que otras empresas apliquen el RGPD?

En VWO, procuramos encarecidamente que los datos de nuestros clientes estén seguros y sean fácilmente accesibles. Creemos en la importancia de esforzarnos constantemente para garantizar que nuestras prácticas internas de datos estén preparadas para el RGPD, así como en la de ayudar a que nuestros clientes y partners se preparen para cumplir los requisitos. Con esto en mente, hemos introducido las siguientes actualizaciones en la plataforma VWO:

Cómo garantizamos que puedas usar el producto VWO conforme al RGPD

El RGPD se centra en el cumplimiento a nivel de organización en lugar del cumplimiento a nivel de producto. Sin embargo, cuidamos la forma en la que elaboramos nuestros productos adoptando un enfoque de privacidad y seguridad por diseño. Nuestros productos se diseñan teniendo en cuenta la privacidad y la seguridad como elementos centrales de nuestro proceso de desarrollo.

Como responsable del tratamiento de datos, deberás asegurarte de que cumples con tus propias obligaciones en virtud del RGPD. Sin embargo, si adquieres un producto de VWO, nuestro objetivo es garantizar que puedas utilizar nuestro producto cumpliendo con la normativa. Queremos ayudarte a satisfacer los requisitos introducidos en el RGPD. Por ejemplo, diseñamos nuestros productos para facilitar la minimización de los datos y proporcionamos una mejor visión y control de tus flujos de datos con el fin de facilitar el cumplimiento del RGPD como responsable del tratamiento de datos.

Soy cliente de los servicios de seguridad de pagos de VWO ¿Cómo puedo estar seguro de que cumple con los requisitos del RGPD en materia de seguridad?

VWO cuenta con políticas de seguridad firmes que permiten satisfacer el RGPD. Mantenemos un alto nivel de seguridad y tenemos múltiples validaciones de terceros para muchas de nuestras ofertas de SaaS. La seguridad de pagos de VWO se adhiere a las normas estrictas de PCI, que incluyen el cifrado de los datos en movimiento y en reposo. Disponemos de un plan de respuesta a incidentes sólido que se revisa mensualmente y para el que realizamos estudios de caso anuales con el fin de garantizar que estamos preparados para responder a cualquier contingencia que comprometa la seguridad. En caso de que experimentemos una filtración de datos personales que te afecte, VWO informará sin demora injustificada, para que puedas cumplir con tus obligaciones en función del RGPD.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos de la Unión Europea supuso un cambio radical en el marco legal de la privacidad y protección de datos. En las últimas décadas, pese a la evolución drástica de la tecnología, las leyes de privacidad aún no habían sido actualizadas. Por ello, en 2016, los organismos reguladores decidieron actualizar la Directiva de Protección de Datos vigente para que la legislación se ajustase a los nuevos tiempos. Esta ley establece una lista exhaustiva de normas que regulan el tratamiento de los datos personales de los ciudadanos de la UE.

¿A quién se aplica?

El RGPD se aplica a cualquier organización que opere con datos personales de ciudadanos de la Unión Europea. Esta ley introduce nuevas obligaciones para los encargados del tratamiento de datos mientras establece de manera clara la responsabilidad de los responsables del tratamiento.

¿Dónde se aplica el RGPD?

Esta ley no presenta delimitaciones territoriales. Si tu organización, independientemente de su localización, trata datos personales de ciudadanos de la UE, entra en la jurisdicción de la ley.

¿Existen sanciones por incumplimiento?

Sí. Infringir el RGPD puede suponer una sanción de hasta el 4 % del volumen de facturación global anual y de un mínimo de 20 millones de euros.

¿Quiénes son los stakeholders principales?

• Persona interesada, ciudadano de la UE objeto del tratamiento de sus datos.
• Responsable del tratamiento que determina el fin y los medios para el tratamiento de los datos.
• Encargado del tratamiento que trata los datos conforme a las instrucciones del responsable.
• Órganos de vigilancia, autoridades públicas que monitorizan la aplicación de la normativa.

¿Qué es la información de identificación personal (IIP)?

Cualquier información relativa a una persona física identificada o identificable. Los identificadores se clasifican en dos tipos: directos (por ejemplo, nombre, correo electrónico, número de teléfono, etc.) e indirectos (por ejemplo, fecha de nacimiento, género, etc.).

¿Qué significa «protección de datos desde el diseño y por defecto»?

En varios párrafos del documento del RGPD se menciona la «protección de datos desde el diseño y por defecto». La protección desde el diseño es aquella que garantiza que solo se recojan los datos personales necesarios e incorpora funcionalidades de privacidad en productos y servicios desde el momento en el que se diseñan.

La protección por defecto es aquella según la cual las empresas deben aplicar las medidas adecuadas para mitigar los riesgos para la privacidad en el momento de la recogida de los datos y ampliarlas en el momento de su tratamiento.

¿Cuáles son las bases legales que puede utilizar el responsable del tratamiento para tratar los datos de los clientes?

Puede elegir entre las seis bases de tratamiento de datos siguientes:

Consentimiento, que también es una base legal para el tratamiento de datos. Por consentimiento del interesado se entiende «toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que este, mediante una declaración o una acción afirmativa clara, manifiesta su acuerdo con el tratamiento de los datos personales que le conciernen».

Contrato, que se aplica en caso de que necesites tratar los datos personales del cliente para cumplir con tus obligaciones contractuales, o para llevar a cabo alguna acción basada en la solicitud del cliente (por ejemplo, enviar un presupuesto o una factura).

Imperativo legal, que se aplica para cumplir con una obligación en virtud de cualquier ley aplicable (por ejemplo, proporcionar información en respuesta a solicitudes válidas, como una investigación de una autoridad pública).

Intereses vitales, que se aplica en asuntos urgentes de vida o muerte, especialmente en datos relativos a la salud.

Tarea pública, que se aplica a las actividades de las autoridades públicas.

Intereses legítimos, que pueden incluir intereses comerciales, (como la venta directa), intereses individuales o beneficios sociales más amplios. El responsable tratamiento debe documentar y mantener un registro de las decisiones sobre intereses legítimos en un examen del interés legítimo.

¿Qué es el EIL?

• El EIL (Examen del Interés Legítimo), especifica el motivo por el cual una organización quiere tratar los datos personales de sus clientes. La organización debe llevar a cabo este examen o evaluación para mostrar que el tratamiento de datos es necesario.

• Evalúa la existencia de un interés legítimo y establece por qué es necesario el tratamiento de datos.

¿Dónde se almacenan mis datos?

Como cliente de VWO puedes elegir dónde quieres que almacenemos los datos de usuarios/visitantes de tu cuenta y seleccionar uno de los siguientes tres centros de datos:

1. El centro de datos europe-west1 de GCP, ubicado en Bélgica / EU
2. El centro de datos us-east4 de GCP, ubicado en el norte de Virginia / USA.
3. El centro de datos asia-south1 de GCP, ubicado en Mumbai/India

Si elige un centro de datos de la UE, todos los datos de sus visitantes/usuarios se almacenarán exclusivamente en la UE y no se transferirán a un país que no sea miembro de la UE.

¿Dónde puedo encontrar recursos adicionales sobre el RGPD?

Aquí mostramos algunos enlaces que puedes consultar para obtener más información sobre el RGPD:

• Encuentra un órgano de vigilancia: https://www.dataprotection.ie/en/
• Supervisor de la protección de datos de la UE: https://edps.europa.eu
• Sitio web del RGPD de la UE: https://www.eugdpr.org/
• Normativa para empresas y organizaciones: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
• Guía sobre el RGPD para tu organización: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
• Nota: VWO y Wingify no son responsables del contenido de estas páginas y no avalan estos enlaces.

¿Cuándo entró en efecto el RGPD?

El RGPD se aprobó y adoptó por el Parlamento de la Unión Europea en abril de 2016. Entró en vigor tras un período de transición de dos años y, a diferencia de una directiva, no requirió la aprobación de ninguna ley de habilitación por parte de ningún Gobierno, por lo que se hizo efectivo el 25 de mayo de 2018.

¿A quién afecta el RGPD?

El RGPD no solo afecta a las organizaciones ubicadas en la UE, sino también a todas aquellas que, pese a tener su sede fuera de la UE, ofrecen bienes o servicios a interesados de la UE o controlan el comportamiento de los mismos. El RGPD es aplicable a todas las empresas que, independientemente de su ubicación, lleven a cabo un tratamiento y gestión de datos personales de interesados de la Unión Europea.