8000320050 info@nameid.io
English Español Русский
Сотрудничество
Aviso de privacidad


AVISO DE PRIVACIDAD 


Introducción 

Este es el Aviso de Privacidad de NAME ID TECHNOLOGY LTD, una sociedad de responsabilidad limitada constituida en Inglaterra y Gales con el número de empresa 15936181. El domicilio social de la empresa se encuentra en 20 Wenlock Road, Londres, Inglaterra, N1 7GU (en lo sucesivo, "nosotros", "nuestro" o "nos"). 

Somos un proveedor de servicios que ofrece soluciones de verificación de identidad, verificación comercial y antifraude a nuestros clientes (incluidos los servicios relacionados con KYC, KYB y AML), mediante el uso de tecnología patentada y fuentes de datos externas confiables. Este Aviso de privacidad explica cómo procesamos los datos personales al prestar estos servicios, operar nuestro sitio web, administrar las relaciones con los clientes o responder a las solicitudes de los usuarios. 

Procesamos datos personales de acuerdo con las leyes de protección de datos aplicables, incluido el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido) y la Ley de Protección de Datos de 2018. Este Aviso tiene como objetivo proporcionar transparencia a las personas cuyos datos procesamos y explicar nuestras responsabilidades y sus derechos en virtud de estas leyes. 

Si tiene alguna pregunta sobre este Aviso de Privacidad o la forma en que manejamos sus datos personales, puede contactarnos en: 

 Correo electrónico: info@nameid.io 

Nos comprometemos a proteger su privacidad y responderemos a todas las consultas de acuerdo con las leyes de protección de datos aplicables. 


Alcance 

Este Aviso de Privacidad rige la recopilación, el uso, la divulgación y la retención de datos personales procesados por Name ID en relación con: 

  • La prestación de nuestros servicios de verificación de identidad y negocio, control de cumplimiento y sistemas de prevención de fraude en nombre de nuestros clientes empresariales; 

  • Interacciones con nuestro sitio web y recursos digitales; 

  • Comunicaciones iniciadas por personas a través de formularios web, solicitudes de demostración, solicitudes de empleo o canales de soporte; 

  • Operaciones internas de análisis, monitorización, desarrollo de productos y seguridad en las que actuamos como controladores. 

Este Aviso se aplica a todos los usuarios de nuestros servicios y sitio web, incluidos los usuarios finales en proceso de verificación, los representantes de los clientes, los visitantes y otras personas que interactúan con nosotros directa o indirectamente. Si se está sometiendo a una verificación de identidad iniciada por uno de nuestros clientes, actuamos como procesadores de datos y el cliente sigue siendo el controlador principal de sus datos personales. 


Nuestro papel como responsable y encargado del tratamiento 

Dependiendo del contexto y la naturaleza de la actividad de procesamiento, NAME ID TECHNOLOGY LTD puede actuar como procesador de datos o controlador de datos, tal como se define en el Reglamento General de Protección de Datos del Reino Unido (GDPR del Reino Unido). 


Actuamos como procesadores de datos cuando procesamos datos personales en nombre de nuestros clientes comerciales, quienes determinan el propósito y los medios del procesamiento. Esto incluye actividades como la verificación de identidad, la verificación de documentos, la captura de datos biométricos y el control de sanciones llevado a cabo bajo las instrucciones del cliente. En estos casos, nuestros clientes siguen siendo los responsables del tratamiento de los datos. 

Actuamos como responsables del tratamiento de datos cuando nosotros mismos determinamos los fines y los medios del tratamiento. Esto incluye: 

  • Operación y análisis de entornos de demostración; 

  • Realización de análisis internos y mejora del servicio; 

  • Gestión de las comunicaciones de marketing y la incorporación de clientes; 

  • Mantener perfiles de identidad reutilizables con el consentimiento del usuario; 

  • Llevar a cabo el reclutamiento y responder a las solicitudes de empleo. 

Cuando sea necesario, informamos a los interesados de nuestra función específica en el momento de la recopilación de datos y nos aseguramos de que todas las responsabilidades en virtud de la ley de protección de datos aplicable se cumplan de acuerdo con nuestra función. 


Definiciones 

A los efectos de este Aviso de Privacidad, se aplican las siguientes definiciones: 

Cliente se refiere a cualquier entidad legal u organización que contrate a Name ID para proporcionar verificación de identidad, verificación comercial, cumplimiento regulatorio o servicios relacionados. El Cliente actúa como responsable del tratamiento a la hora de determinar la finalidad y los medios del tratamiento de datos personales. 

Usuario o Sujeto de Datos significa una persona física cuyos datos personales son procesados por Name ID. Esto incluye a las personas que se someten a la verificación de identidad, representantes comerciales, beneficiarios finales, visitantes del sitio web y cualquier persona que interactúe con los servicios o sistemas de Name ID. 

Datos personales se refiere a cualquier información relacionada con una persona física identificada o identificable, tal como se define en el RGPD del Reino Unido. Incluye identificadores como el nombre, el número de identificación, los datos de ubicación, el identificador en línea u otros factores específicos de la identidad de una persona. 

Las categorías especiales de datos personales se refieren a los datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos tratados con el fin de identificar de forma única a una persona, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona. 

Se entiende por tratamiento cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no. Esto incluye la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la recuperación, la consulta, el uso, la divulgación, la alineación, la restricción, la eliminación o la destrucción. 

Responsable del tratamiento significa la persona jurídica o física que, sola o conjuntamente, determina los fines y medios del tratamiento de datos personales. 

Procesador significa una entidad legal o persona física que procesa datos personales en nombre del controlador, sobre la base de instrucciones documentadas. 

Por tercero se entiende cualquier persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado, el responsable del tratamiento, el encargado del tratamiento o las personas bajo su autoridad directa que estén autorizadas a tratar datos personales. 

Servicios se refiere a la verificación de identidad, verificación comercial, control de cumplimiento, prevención de fraudes y servicios relacionados proporcionados por Name ID a sus Clientes. 

Sitio web se refiere al sitio web oficial de Name ID ubicado en https://nameid.io incluidos todos sus subdominios e interfaces basadas en la web. 

Autoridad supervisora significa una autoridad pública independiente responsable de supervisar la aplicación de la ley de protección de datos. En el Reino Unido, se trata de la Oficina del Comisionado de Información (ICO). 

Leyes de protección de datos se refiere a todas las leyes y regulaciones aplicables relacionadas con el procesamiento de datos personales, incluido el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido), la Ley de Protección de Datos de 2018 y cualquier guía o código de prácticas relacionado emitido por la ICO. 


Principios del tratamiento de datos personales  

Nos comprometemos a garantizar que todos los datos personales se procesen de acuerdo con los siguientes principios básicos establecidos en las leyes de protección de datos aplicables: 

Licitud, equidad y transparencia.  

Los datos personales se procesan de manera legal, leal y transparente en relación con el interesado. Nos aseguramos de que las personas reciban información clara sobre cómo y por qué se procesan sus datos. 

Limitación de la finalidad.  

Los datos personales se recopilan para fines específicos, explícitos y legítimos y no se procesan posteriormente de manera incompatible con dichos fines. 

Minimización de datos.  

Los datos personales recopilados y procesados son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan. 

Exactitud.  

Los datos personales son exactos y, en su caso, se mantienen actualizados. Tomamos todas las medidas razonables para garantizar que los datos personales inexactos se rectifiquen o eliminen sin demora. 

Limitación de almacenamiento.  

Los datos personales se conservan en una forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines para los que se procesan, a menos que la ley aplicable exija o permita un período de retención más largo. 

Integridad y confidencialidad.  

Los datos personales se procesan de manera que se garantice la seguridad adecuada, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental. Aplicamos las medidas técnicas y organizativas adecuadas para salvaguardar los datos. 

Responsabilidad.  

Somos responsables de garantizar y demostrar el cumplimiento de los principios de protección de datos descritos anteriormente a través de políticas documentadas, procedimientos y revisiones periódicas. 


Finalidades del tratamiento de datos personales 

Procesamos datos personales para fines claramente definidos y lícitos de acuerdo con nuestro papel como procesador de datos o controlador de datos. El alcance y la finalidad del tratamiento pueden variar en función de la relación del interesado con nosotros y de las obligaciones legales y contractuales aplicables. Esta sección describe los fines específicos para los que se procesan los datos personales. 

Prestación de servicios en nombre de los clientes  

Al actuar como procesadores de datos para nuestros clientes comerciales, procesamos datos personales para la ejecución de acuerdos contractuales, para proporcionar servicios según lo solicitado por nuestros clientes y para cumplir con los requisitos de cumplimiento en virtud de los marcos aplicables contra el lavado de dinero (AML), contra el financiamiento del terrorismo (CTF) y conozca a su cliente (KYC) o conozca su negocio (KYB). Esto incluye: 

  • Llevar a cabo la verificación de identidad y negocio; 

  • Procesamiento de datos biométricos y basados en documentos para respaldar los procesos de verificación; 

  • Detección de sanciones, listas de vigilancia y bases de datos de personas políticamente expuestas (PEP); 

  • Apoyar los procedimientos internos de debida diligencia de nuestros clientes. Una vez finalizada la verificación o cuando los datos ya no son necesarios, y siguiendo las instrucciones escritas del cliente, devolvemos o eliminamos de forma segura los datos personales de nuestros sistemas sin conservar copias de seguridad, a menos que la ley exija lo contrario. 

Tratamiento para nuestros propios fines  

Cuando actuamos como controladores de datos, podemos procesar datos personales para nuestros propios intereses legítimos o en cumplimiento de obligaciones legales. Estos propósitos incluyen: 

  • Mejorar y desarrollar nuestros servicios de verificación, incluido el uso de datos biométricos y aprendizaje automático para la detección de fraudes y las comprobaciones de vida, cuando esté permitido y con las salvaguardas necesarias; 

  • Prevenir, detectar e investigar actividades fraudulentas o ilegales mediante la verificación de los datos del usuario con registros confirmados o sospechados de conducta ilegal; 

  • Realización de perfiles, análisis de riesgos y evaluaciones estadísticas relacionadas con AML/CTF y detección de fraudes; 

  • Identificación de usuarios o representantes de clientes para la autenticación o la gestión de acceso; 

  • Cumplir con los requisitos legales aplicables para el establecimiento, ejercicio o defensa de reclamaciones legales; 

  • Mantener registros de atribución de direcciones de billetera para el cumplimiento de criptomonedas con la Regla de Viaje, vincular las direcciones de billetera a personas o entidades verificadas y marcar actividades inusuales o sospechosas con fines de informes; 

  • Mantener registros de la base legal para las actividades de procesamiento de acuerdo con los principios de responsabilidad en virtud del RGPD del Reino Unido. 

Uso del perfil de identidad de ID de nombre: Los usuarios pueden optar por crear un perfil de verificación reutilizable que se puede compartir con varios clientes a su discreción. Este perfil puede incluir documentos de identidad, datos biométricos, información de contacto e historial de verificación. Los datos son procesados por nosotros como controladores de datos y, a solicitud del usuario, actuamos como procesadores cuando transmitimos datos a otros destinatarios de verificación. El sistema de perfiles admite los derechos de portabilidad de datos en virtud de las leyes de protección de datos aplicables. 

Comunicación y Marketing Empresarial  

Procesamos datos de representantes de clientes y clientes potenciales con el fin de establecer o mantener relaciones comerciales. Esto incluye: 

  • Intercambio de comunicaciones a través de formularios, correos electrónicos y solicitudes de demostración; 

  • Realización de procedimientos de debida diligencia e incorporación; 

  • Administrar las cuentas de los clientes y el uso del servicio; 

  • Emitir actualizaciones sobre nuestros productos o funciones utilizando reglas de suscripción suave o consentimiento explícito. 

Servicios de demostración  

Cuando los usuarios acceden a nuestras funciones de demostración de servicio a través del sitio web o las aplicaciones, podemos procesar: 

  • Datos del documento de identidad, incluido el tipo, el país de emisión, el número, la caducidad y las zonas legibles por máquina; 

  • Datos biométricos y faciales, como selfies en vivo y fotos de documentos; 

  • Datos de contacto e identificadores, como el ID de usuario; 

  • Datos técnicos y del dispositivo, incluida la geolocalización, la dirección IP, el navegador y las especificaciones del software. Estos datos se procesan durante un máximo de 30 días, a menos que se aplique otra justificación de retención. Las categorías especiales de datos personales, como los datos biométricos, solo se procesan con el consentimiento explícito del usuario y se borran de forma segura cuando expira el período de retención o el propósito. 

Reclutamiento y Gestión del Talento  

Recopilamos y procesamos los datos enviados por los solicitantes de empleo para evaluar sus calificaciones, comunicarnos sobre el proceso de contratación y considerar candidatos para futuras oportunidades. Esto incluye: 

  • Nombre, información de contacto y materiales de solicitud presentados; 

  • Registros de evaluación interna e historial de comunicaciones. Por lo general, los datos de la solicitud se conservan durante cinco años después de un rechazo o retirada, para permitir el seguimiento si el puesto se vuelve a abrir o surgen roles futuros. 

Chat en vivo y formularios de contacto  

Cuando los usuarios interactúan con nosotros a través del chat en vivo o completan un formulario de contacto, recopilamos los datos personales enviados para procesar y responder a la solicitud. Esto puede incluir: 

  • Nombre, dirección de correo electrónico, número de teléfono y detalles de la consulta. Podemos conservar estos datos durante un máximo de tres años para responder a las solicitudes de seguimiento o garantizar la responsabilidad en caso de problemas relacionados con el servicio. 

Seguimiento basado en cookies  

Cuando las personas interactúan con nuestro sitio web, utilizamos cookies y tecnologías de seguimiento similares para los siguientes fines: 

  • Mejorar la seguridad y el rendimiento; 

  • Personalizar el contenido y recordar preferencias; 

  • Realización de análisis y detección de fraudes; 

  • Gestión de la publicidad y la difusión promocional. Los detalles de las tecnologías utilizadas y los períodos de retención aplicables están disponibles en nuestra Política de cookies. 

Desarrollo e investigación  

Podemos procesar datos técnicos y de comportamiento para probar, calibrar y mejorar nuestros servicios. Esto incluye: 

  • Entrenamiento de algoritmos para la detección de fraudes; 

  • Seguimiento de anomalías y no conformidades operativas; 

  • Mejorar la funcionalidad del sistema en función del comportamiento del usuario y el rendimiento del sistema. Los datos procesados para estos fines se conservan solo durante el tiempo necesario para lograr el objetivo de investigación o desarrollo especificado. 

Eliminación y eliminación de datos  

Cuando los datos ya no son necesarios para su propósito original o llegan al final de su período de retención, los borramos de forma segura de nuestros sistemas. Dependiendo del medio de almacenamiento y de la sensibilidad de los datos, utilizamos: 

  • Métodos seguros de eliminación y sobrescritura digital para sistemas basados en servidor; 

  • Eliminación de dispositivos físicos de acuerdo con los procesos a nivel de sistema operativo; 

  • Destrucción de los medios extraíbles utilizando métodos como la trituración o la incineración cuando sea necesario; 

  • Anonimización permanente de los conjuntos de datos analíticos, cuando proceda. Todas las actividades de eliminación de datos están sujetas a controles internos de auditoría y responsabilidad para garantizar el cumplimiento del RGPD del Reino Unido y otras leyes de protección de datos aplicables. 


Tratamiento de datos biométricos y consentimiento 

Procesamos datos biométricos, como la geometría facial o los patrones de detección de vida, solo cuando existe una base legal válida de acuerdo con el artículo 9 del RGPD del Reino Unido. En la mayoría de los casos, la base legal para el tratamiento de datos biométricos es el consentimiento explícito de la persona. 

Mecanismo de consentimiento 

El consentimiento explícito se obtiene a través de una clara acción afirmativa utilizando nuestras interfaces digitales. Por ejemplo, al participar en la verificación de identidad o utilizar funciones de demostración, a las personas se les presenta una pantalla de consentimiento dedicada que explica la naturaleza, el propósito y el alcance del procesamiento de datos biométricos. Por lo general, el consentimiento se recopila a través de una casilla de verificación o un mecanismo similar que requiere que el usuario confirme activamente el acuerdo antes de continuar. En algunos casos de uso, se puede utilizar un formulario electrónico firmado u otro reconocimiento escrito. 

Derecho a retirar el consentimiento 

Las personas tienen derecho a retirar su consentimiento en cualquier momento, de conformidad con el artículo 7, apartado 3, del RGPD del Reino Unido. Las instrucciones sobre cómo retirar el consentimiento se proporcionan en el punto de recopilación y también están disponibles a pedido. La retirada del consentimiento no afecta a la legalidad del tratamiento basado en el consentimiento antes de su retirada, pero puede limitar la capacidad de utilizar determinadas funciones o servicios que dependen de la verificación biométrica. 

No utilizamos los datos biométricos para ningún propósito más allá de lo que se describe explícitamente en el momento de la recopilación, y todos esos datos se procesan de forma segura y se eliminan cuando ya no son necesarios para el propósito declarado. 

Principales tipos de tratamiento de datos personales 

Participamos en diversas actividades de procesamiento de datos personales para prestar nuestros servicios, cumplir con las obligaciones reglamentarias y mejorar nuestros sistemas. Estas actividades se realizan bajo las instrucciones de nuestros clientes o en función de nuestras propias responsabilidades legales. El tratamiento de datos puede incluir operaciones como la recopilación, la estructuración, la consulta, el almacenamiento, la modificación, la recuperación, la divulgación, la alineación, la restricción, la supresión y la destrucción. 

Datos personales generales 

Nombre completo, sexo, código o número de identificación personal, fecha de nacimiento, capacidad jurídica, nacionalidad y ciudadanía, ubicación (calle, ciudad, país y código postal). 

Procedimientos de verificación de identidad y biométricos 

Como parte de nuestros flujos de trabajo de verificación de identidad, extraemos y evaluamos datos de documentos de identidad oficiales, incluidos pasaportes, documentos nacionales de identidad y permisos de conducir. Estos procedimientos implican: 

• Validar la integridad y coherencia de los documentos  

• Detección de manipulación, manipulación de imágenes o uso de capturas de pantalla  

• Evaluación de las características de seguridad de documentos integrados, como códigos MRZ, hologramas, códigos de barras y microchips.  

• Realizar análisis de reconocimiento facial comparando fotos de documentos con capturas faciales en vivo enviadas por los usuarios 

Las técnicas de detección de vida se utilizan para confirmar que la persona que se somete a la verificación es una persona real y viva, en lugar de una imagen estática o un intento de suplantación de identidad. Estas técnicas pueden implicar el análisis de movimientos faciales o patrones de comportamiento y se aplican de acuerdo con los requisitos del RGPD del Reino Unido para el procesamiento de datos biométricos, sujetas a las salvaguardias adecuadas y, cuando corresponda, al consentimiento explícito. 

Apoyo a la toma de decisiones a través de la revisión automatizada y manual 

Proporcionamos resultados de verificación utilizando una combinación de sistemas automatizados y analistas humanos. Los resultados automatizados pueden revisarse manualmente en los casos en que: 

• Se detectan datos no concluyentes o ambiguos • Los indicadores de riesgo o comprobaciones específicas requieren escalamiento • Nuestro cliente solicita confirmación manual 

Aunque nuestra plataforma genera informes de identidad, la decisión final de aprobar o rechazar a un usuario siempre la toman nuestros clientes. No emitimos decisiones finales sobre la incorporación o el acceso a la cuenta. 

Entrevistas de identidad a distancia 

Ofrecemos herramientas para respaldar entrevistas de video en vivo para la confirmación de identidad remota, que generalmente se llevan a cabo cuando los clientes están sujetos a obligaciones regulatorias adicionales. Estas sesiones pueden incluir revisión en tiempo real de documentos de identidad y preguntas de entrevista. Los operadores pueden incluir al personal de nuestros clientes o agentes dedicados que actúen en su nombre. 

Validación y filtrado de datos de terceros 

Para ayudar a los clientes con una diligencia debida mejorada, podemos proporcionar acceso a herramientas de validación de terceros para verificar los datos personales con fuentes públicas o propietarias. Estos son algunos ejemplos de categorías de datos verificadas: 

• Registros de identidad emitidos por el gobierno  

• Listas de sanciones internacionales y bases de datos de personas políticamente expuestas (PEP)  

• Burós de crédito y fuentes de validación de direcciones  

• Bases de datos de medios adversos  

• Registros de la seguridad social o de la seguridad social 

• Las comprobaciones adicionales pueden implicar el análisis de la reputación de números de teléfono, direcciones de correo electrónico o direcciones IP. 

Verificación de entidad comercial (KYB) 

Cuando participamos en los procedimientos de Conozca su negocio (KYB), recopilamos y verificamos datos corporativos, incluidos los detalles de registro de la empresa, la estructura de gestión, el beneficiario final y los documentos legales relevantes. 

Prevención de Fraude y Controles de Riesgo de Identidad 

Nuestros procesos de mitigación de fraude están diseñados para detectar anomalías y uso indebido de la identidad a través de: 

• Geolocalización y huellas dactilares de dispositivos  

• Análisis de las interacciones conductuales con el sistema  

• Comprobaciones cruzadas de la información de contacto proporcionada por el usuario • Detección de actividad repetida o de varias cuentas 

Los indicadores de fraude se utilizan para asignar etiquetas de riesgo internas, pero no dan lugar directamente a la denegación del servicio. Los clientes reciben información que les ayuda en su propia toma de decisiones. 

Mejora de productos y pruebas de sistemas 

Como responsable del tratamiento de datos, analizamos los datos anonimizados y seudonimizados para perfeccionar nuestras herramientas y mejorar la precisión de la prevención del fraude. Nuestro trabajo de desarrollo incluye: 

• Entrenamiento de modelos de aprendizaje automático  

• Realización de revisiones de desempeño de analistas y sistemas  

• Evaluación de nuevos flujos de trabajo de verificación y herramientas de detección de fraude  

• Recopilación de comentarios sobre la experiencia del usuario para mejorar la interfaz de usuario 

Todos los datos de desarrollo se procesan bajo estrictas medidas de seguridad. 

Perfiles de verificación compartidos 

Para agilizar las verificaciones repetidas, permitimos a los usuarios reutilizar sus datos verificados previamente en varias plataformas de clientes. Esta funcionalidad solo se activa con el permiso expreso del usuario y cumple con los derechos de portabilidad de datos. 

Transparencia de los controles automatizados 

Cuando el procesamiento automatizado tenga consecuencias legales o similares, aplicamos todas las garantías requeridas por la ley. Esto incluye el derecho a la revisión humana, la capacidad de impugnar los resultados y una explicación clara de la lógica de la decisión. 

Entornos de demostración 

Los datos procesados dentro de nuestras funciones de demostración se utilizan únicamente para mostrar nuestros servicios. Puede incluir: 

• Información de documentos de identidad  

• Imágenes faciales y marcadores biométricos  

• Metadatos del dispositivo y la ubicación 

Los datos de demostración se conservan durante no más de 30 días, a menos que se especifique lo contrario en la política o el acuerdo de usuario. Todo el procesamiento biométrico dentro de los flujos de demostración requiere el consentimiento informado del usuario. 

Investigación y mejora de la interfaz 

Utilizamos herramientas de monitoreo para evaluar cómo interactúan los usuarios con nuestro panel de control y sitio web. Estas herramientas ayudan a identificar áreas de mejora funcional o refinamiento de la accesibilidad. Los datos personales se seudonimizan durante dichas evaluaciones para mantener la confidencialidad. 

Uso compartido de datos de verificación controlado por el usuario 

Ofrecemos a los usuarios la posibilidad de reutilizar sus datos de verificación de identidad con otros servicios participantes, sujeto a su consentimiento explícito. Esta funcionalidad es compatible con los derechos de portabilidad de datos en virtud del RGPD del Reino Unido y permite a las personas compartir perfiles de identidad verificados en todas las plataformas donde esté permitido y se solicite. 

Categorías de datos personales que procesamos 

Tratamos diferentes categorías de datos personales en función del servicio específico prestado, la relación con la persona y las obligaciones reglamentarias o contractuales aplicables. Estas categorías incluyen, entre otras, las siguientes: 

Datos generales de identificación 

Nombre completo, sexo, número de identificación personal, fecha de nacimiento, nacionalidad, ciudadanía y capacidad jurídica. También podemos recopilar información relacionada con su ubicación, como la dirección, la ciudad, el código postal y el país. 

Información del Documento de Identidad 

Detalles extraídos de documentos oficiales, incluido el tipo de documento, el país de emisión, el número de identificación, la fecha de caducidad, las zonas legibles por máquina (MRZ), el contenido del código de barras y otros elementos de seguridad integrados en el documento. 

Datos de imagen facial 

Imágenes fijas y de video de la cara capturadas a través de la verificación de selfies o de documentos cargados. Esto puede incluir grabaciones de voz y audio cuando corresponda. 

Datos biométricos 

Datos derivados de rasgos faciales con fines de reconocimiento facial y detección de vida. Esto puede incluir mapas faciales o plantillas biométricas, procesadas solo con consentimiento o autorización legal. 

Datos de contacto 

Información de contacto personal y comercial, como direcciones de correo electrónico, números de teléfono y direcciones residenciales o corporativas. 

Información Financiera 

Los detalles se limitan a los identificadores financieros relacionados con la identidad, como el nombre del titular de la tarjeta, la fecha de vencimiento de la tarjeta y los primeros seis y últimos cuatro dígitos del número de la tarjeta de pago. Esto no incluye las credenciales de pago completas. 

Datos técnicos y de comportamiento 

Información recopilada de las interacciones de los usuarios con nuestros sistemas y sitios web, como: 

  • Dirección IP y nombre de dominio 

  • Huella digital del dispositivo (incluido el tipo de navegador, la resolución de la pantalla, los identificadores de la cámara) 

  • Atributos del sistema operativo y del software 

  • Datos de sesión, preferencias de idioma, nivel de batería, agente de usuario y señales del dispositivoEsto también puede incluir señales de comportamiento como pulsaciones de teclas, movimiento del mouse, cambios de enfoque y detección de gestos. 

Información de geolocalización 

Información geográfica general inferida de direcciones IP y datos de dispositivos, utilizada para mejorar la seguridad, prevenir el fraude y respaldar la localización de servicios. 

Identificadores internos únicos 

Identificadores como el ID de usuario, generados únicamente para vincular al usuario a su registro dentro de nuestro sistema sin identificarlo directamente ante terceros. 

Registros Públicos y Datos de Sanciones 

Información obtenida de bases de datos disponibles públicamente, como listas de sanciones, bases de datos de personas políticamente expuestas (PEP) y fuentes de medios de comunicación adversas, utilizada para evaluar el cumplimiento y los perfiles de riesgo. 

Datos de comunicación 

Información enviada a través de solicitudes de soporte, formularios de contacto, solicitudes de empleo o correspondencia por correo electrónico. Esto puede incluir el contenido de la comunicación, los archivos adjuntos y cualquier otra información proporcionada voluntariamente. 

Todos los datos personales se recopilan y procesan de acuerdo con las leyes y los requisitos reglamentarios aplicables. Cuando sea necesario, se obtiene el consentimiento explícito para el tratamiento de datos sensibles o categorías especiales de datos. 

Aplicamos estrictos controles de acceso, seudonimización y cifrado a todos los datos personales, y nos aseguramos de que se respeten los principios de minimización y proporcionalidad de datos en todas nuestras operaciones de procesamiento. 


Tratamiento de datos personales de niños 

Nuestros servicios no están destinados a personas menores de dieciocho años. No recopilamos ni procesamos a sabiendas datos personales de personas menores de dieciocho años. No dirigimos ni publicitamos nuestros servicios a menores de edad y tomamos las medidas adecuadas para garantizar que nuestros sistemas e interfaces de cliente no estén dirigidos ni diseñados para atraer a niños. 

Si tenemos conocimiento de que se han recopilado datos personales de un niño menor de dieciocho años sin la base legal adecuada o la autorización de los padres cuando sea necesario, tomaremos medidas inmediatas para eliminar dichos datos y evitar el procesamiento posterior. Esto incluye la eliminación de credenciales de acceso, la purga de registros y la notificación a las partes pertinentes si es necesario. 

Si usted es padre o tutor legal y cree que su hijo nos ha enviado datos personales sin su consentimiento, puede ponerse en contacto con nosotros utilizando la información de contacto proporcionada en este aviso. Responderemos a todas estas solicitudes con prontitud y de acuerdo con las leyes de protección de datos aplicables. 

Animamos a todos los clientes a tomar las precauciones adecuadas al compartir información personal en línea y a evitar enviar datos personales si son menores de la edad legal necesaria para entablar relaciones contractuales o dar su consentimiento para el tratamiento de datos en su jurisdicción. 


Bases legales para el procesamiento de datos personales 

Nuestro procesamiento de datos personales se rige por las bases legales aplicables descritas en el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido) y la Ley de Protección de Datos de 2018. La justificación de cada actividad de tratamiento depende del contexto en el que se tratan los datos, de nuestro papel en el proceso y de la naturaleza de los datos personales implicados. 

Fundamentos jurídicos del tratamiento en nombre de los clientes 

Al actuar como procesador de datos en nombre de nuestros clientes comerciales, llevamos a cabo el procesamiento de datos personales estrictamente de acuerdo con sus instrucciones. Estos clientes, como controladores de datos, son responsables de determinar y documentar la base legal adecuada. Los fundamentos legales más comunes aplicados por nuestros clientes incluyen: 

De acuerdo con el artículo 6(1) del RGPD del Reino Unido, el procesamiento puede ser legal si: 

  • es necesario para cumplir con una obligación legal a la que está sujeto el responsable del tratamiento (por ejemplo, leyes contra el blanqueo de capitales o la financiación del terrorismo); 

  • es necesario para el desempeño de una tarea llevada a cabo en interés público, especialmente dentro de los servicios financieros o de cumplimiento regulados; 

  • El interesado ha dado su consentimiento válido e informado para una o varias finalidades específicas. 

En el caso de categorías especiales de datos personales, como los datos biométricos, pueden aplicarse motivos jurídicos adicionales en virtud del artículo 9(2) del RGPD del Reino Unido: 

  • cuando el tratamiento sea necesario por razones de interés público sustancial en virtud de los marcos jurídicos aplicables; 

  • cuando la persona haya dado su consentimiento explícito para el tratamiento de dichos datos. 

Animamos a las personas a consultar la política de privacidad del cliente respectivo para comprender la base legal precisa utilizada. 

Fundamentos jurídicos cuando actuamos como responsables del tratamiento de datos 

En los casos en los que determinamos los fines y medios del tratamiento, actuamos como responsables del tratamiento de datos. Estas actividades pueden incluir la mejora del servicio, la detección de fraudes, el desarrollo de productos y las operaciones internas. En tales casos: 

De conformidad con el artículo 6(1) del RGPD del Reino Unido, nos basamos en la base legal de que el tratamiento es necesario para los fines de nuestros intereses legítimos, siempre que estos intereses no se vean anulados por los derechos y libertades del interesado. 

Si procesamos datos personales de categoría especial, como identificadores biométricos, lo hacemos en virtud del artículo 9(2) del RGPD del Reino Unido, cuando el procesamiento es necesario por razones de interés público sustancial, sujeto a las salvaguardias adecuadas. 

Gestión de perfiles de identidad 

Cuando las personas crean un perfil de verificación de identidad reutilizable para su uso en múltiples plataformas, procesamos datos personales estándar de acuerdo con la obligación contractual establecida entre la persona y nuestra empresa. En los casos en los que los datos biométricos forman parte del perfil, el tratamiento se lleva a cabo sobre la base del consentimiento explícito de la persona, de conformidad con el artículo 9(2) del RGPD del Reino Unido. 

Base jurídica para actividades específicas de tratamiento 

Aplicamos las siguientes bases legales a operaciones de procesamiento particulares: 

  • De conformidad con el artículo 6(1) del RGPD del Reino Unido, los datos personales enviados a través de formularios de contacto o chat en vivo se procesan para tomar medidas precontractuales a petición de la persona o en virtud de nuestro interés legítimo en brindar soporte oportuno y relevante. 

  • Las comunicaciones de marketing se envían sobre la base del consentimiento de la persona, que se obtiene a través de los mecanismos de suscripción proporcionados en nuestros sitios web, tal y como se exige en el artículo 6(1) del RGPD del Reino Unido. 

  • Los datos de los usuarios se procesan tanto para cumplir con las obligaciones de la legislación laboral como en virtud de nuestro interés legítimo en evaluar las solicitudes y realizar actividades de contratación, de conformidad con el artículo 6(1) del RGPD del Reino Unido. 

  • El uso de cookies y tecnologías de seguimiento similares implica dos fundamentos jurídicos distintos: en el caso de las cookies no esenciales, obtenemos el consentimiento de conformidad con el artículo 6, apartado 1, del RGPD del Reino Unido; En el caso de las cookies esenciales necesarias para el funcionamiento del sitio web, nos basamos en nuestro interés legítimo. 

  • Los datos personales recopilados durante las demostraciones de servicio se procesan sobre la base del consentimiento explícito y, además, en virtud de nuestro interés legítimo de analizar y mejorar nuestra oferta de servicios, según lo permitido por el artículo 6(1) del RGPD del Reino Unido y, cuando corresponda, el artículo 9(2). 

Cumplimiento de los requisitos legales y reglamentarios 

También podemos procesar datos personales cuando sea necesario para cumplir con las obligaciones legales o reglamentarias, incluidas, entre otras, las respuestas a solicitudes de aplicación de la ley, procedimientos judiciales o auditorías de cumplimiento. Dicho tratamiento se justifica por la necesidad de cumplir con las obligaciones legales de conformidad con el artículo 6(1) del RGPD del Reino Unido. 

Todas las actividades de procesamiento se llevan a cabo de acuerdo con los principios de legalidad, equidad y transparencia. Evaluamos continuamente nuestras bases legales y nos aseguramos de que nuestras prácticas respeten los derechos y libertades de los interesados en todo momento. 


Retención de datos 

Almacenamos los datos personales estrictamente para los fines para los que se recopilaron y de acuerdo con los requisitos del Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido), la Ley de Protección de Datos de 2018, las regulaciones pertinentes contra el lavado de dinero y otra legislación aplicable del Reino Unido. Las instituciones financieras reguladas en el Reino Unido generalmente están obligadas a retener los datos del usuario durante cinco años después del final de su relación con el usuario o desde la fecha de una transacción ocasional, aunque algunas leyes o regulaciones pueden requerir una retención más prolongada. 

Cuando actuamos únicamente como procesadores de datos en nombre de nuestros Clientes, el Cliente establece el período de retención y nos instruye sobre la eliminación de datos personales. Si usted, como usuario, desea solicitar la eliminación de los datos enviados a un Cliente en particular, debe ponerse en contacto directamente con ese Cliente. Una vez que el Cliente aprueba dicha solicitud y nos proporciona instrucciones, las cumplimos siempre que no entren en conflicto con nuestras obligaciones legales. 

Conservamos ciertas categorías de datos personales, incluidos los datos biométricos, durante el tiempo que lo requiera nuestro acuerdo contractual con el cliente o la ley del Reino Unido, y borramos de forma segura los datos una vez que se logra el propósito para el que se recopilaron o una vez que finaliza el período de retención legalmente exigido. Este borrado garantiza que los datos no se puedan recuperar por ningún medio forense. 

Para eliminar los datos personales de nuestros sistemas, localizamos el identificador único correspondiente en nuestras bases de datos, encontramos todas las referencias conectadas y las eliminamos. A continuación, borramos los datos correspondientes de nuestro almacenamiento en la nube y de nuestros registros internos. Al eliminar datos de equipos locales, utilizamos métodos seguros de acuerdo con los protocolos del sistema operativo o destruimos físicamente el medio de almacenamiento si la información es particularmente sensible. Aplicamos pasos similares para los medios extraíbles, utilizando un borrado seguro o la destrucción física si es necesario. En el caso de los dispositivos móviles, los revertimos a la configuración de fábrica antes de eliminarlos o reasignarlos, asegurándonos de que no quede información residual. 

Prohibimos el almacenamiento o procesamiento de datos personales confidenciales en dispositivos personales o no seguros. Por lo general, completamos solicitudes válidas para eliminar datos personales en un plazo de 30 días, lo que refleja la naturaleza compleja de nuestra infraestructura y procesos. 

En circunstancias excepcionales, podemos ampliar el período de retención de datos hasta 90 días a partir de la fecha de la solicitud de eliminación de un Cliente si así lo requieren las obligaciones legales o reglamentarias en curso, las investigaciones de fraude o actividades ilegales, o la defensa de los derechos legales. Una vez que estas consideraciones ya no se aplican, los datos se eliminan permanentemente. 

En algunos casos, conservamos datos seudonimizados para la investigación y la mejora de nuestros sistemas de verificación de identidad con el fin de detectar y prevenir fraudes. Dichos datos se conservan solo durante el tiempo necesario para desarrollar, entrenar y validar nuestros sistemas. Los registros confirmados que involucran actividad fraudulenta pueden almacenarse durante más tiempo para proteger la seguridad de nuestros servicios y cumplir con los requisitos legales o contractuales, siempre respetando los principios de minimización de datos bajo el GDPR del Reino Unido. 

Si los datos son necesarios para procedimientos legales o para la defensa de reclamaciones, permanecerán bajo una retención por litigio mientras duren dichos procedimientos. Una vez concluido el procedimiento, o una vez que ya no existe una base legal para conservar los datos, estos se borran de forma segura y se vuelven irrecuperables. No almacenamos datos personales más allá del período permitido por la ley del Reino Unido, y tan pronto como finaliza el período de retención o la justificación correspondiente, los datos se destruyen de una manera que garantiza que no se puedan reconstruir. 


Derechos de los interesados 

En virtud del Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido), la Ley de Protección de Datos de 2018 y otra legislación aplicable, las personas (Interesados) tienen varios derechos clave en relación con el tratamiento de sus datos personales. Cuando la Empresa actúa como procesador de datos en nombre de sus Clientes, apoya a estos Clientes en la atención de cualquier solicitud para ejercer los siguientes derechos: 

Derecho de acceso 

El Usuario tiene derecho a saber si sus datos personales están siendo tratados. En caso afirmativo, el Usuario tiene derecho a recibir una copia de los datos y a ser informado sobre cómo se utilizan y almacenan. 

Derecho de rectificación 

El Usuario puede solicitar que se corrijan o completen los datos personales inexactos o incompletos. Esto garantiza que toda la información personal siga siendo precisa y esté actualizada. 

Derecho de supresión ("Derecho al olvido") 

El Usuario puede solicitar la supresión de sus datos personales cuando ya no sean necesarios para la finalidad original, cuando el Usuario se oponga al tratamiento y no existan motivos legítimos imperiosos para continuar, o cuando los datos hayan sido tratados en violación de la ley. Sin embargo, los requisitos legales o los intereses legítimos del responsable del tratamiento pueden limitar o posponer el ejercicio de este derecho. 

Derecho a restringir el procesamiento 

El Usuario puede solicitar que se restrinja el tratamiento de sus datos si existe un litigio sobre su exactitud o legalidad, si el Usuario ya no desea que se eliminen pero no los necesita para fines continuos, si el Usuario necesita los datos para establecer o defender reclamaciones legales, o si el Usuario se ha opuesto al tratamiento mientras el responsable del tratamiento determina si sus intereses legítimos prevalecen sobre los derechos del Usuario. 

Derecho a ser informado de la rectificación o supresión 

El Usuario tiene derecho a ser notificado cuando se lleve a cabo cualquier rectificación, supresión o restricción de sus datos personales. Esto permite al Usuario confirmar que los cambios solicitados han surtido efecto. 

Derecho a la portabilidad de los datos 

El Usuario puede solicitar recibir sus datos personales en un formato estructurado, de uso común y legible por máquina. Esto facilita la transferencia de datos a un controlador o proveedor de servicios diferente si lo desea. 

Derecho de oposición 

El Usuario podrá oponerse al tratamiento de sus datos personales cuando se lleve a cabo sobre la base de intereses legítimos o para una tarea realizada en interés público. A continuación, el responsable del tratamiento deberá demostrar motivos legítimos imperiosos que invaliden la objeción del Usuario. 

Derecho a no ser objeto de decisiones automatizadas 

El Usuario tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado (incluida la elaboración de perfiles), a menos que dicho tratamiento sea necesario para la ejecución de un contrato, esté expresamente permitido por la ley (e incluya garantías para los derechos del Usuario) o se base en el consentimiento explícito del Usuario. 

Derecho a presentar una queja 

Si el Usuario cree que se han violado sus derechos de protección de datos, puede presentar una queja ante la Oficina del Comisionado de Información (ICO), que es la autoridad supervisora del Reino Unido. Si la inquietud se relaciona con la forma en que un Cliente maneja los datos, el Usuario debe consultar la política de privacidad de ese Cliente. Si el Usuario cree que las propias actividades de procesamiento de datos de la Compañía infringen sus derechos, el Usuario puede ponerse en contacto directamente con la Compañía. Más información sobre la presentación de quejas está disponible en el sitio web de la ICO para los residentes del Reino Unido. 

Verificación y tarifas 

Cuando el Usuario ejerce cualquiera de estos derechos, es posible que la Compañía necesite verificar la identidad del Usuario o su autoridad para actuar en nombre de otra persona. La Compañía no cobra tarifas por el manejo de dichas solicitudes a menos que sean manifiestamente infundadas, repetitivas o excesivas. En tales casos, es posible que se aplique una tarifa razonable de acuerdo con el RGPD del Reino Unido y la Ley de Protección de Datos de 2018. 


Revocación del consentimiento y del derecho a oponerse a intereses legítimos 

Ayudamos a nuestros Clientes (que actúan como Controladores) a proporcionar mecanismos para retirar el consentimiento de conformidad con el artículo 7(3) del RGPD del Reino Unido, así como para oponerse al procesamiento basado en intereses legítimos de acuerdo con el Artículo 21(1) del RGPD del Reino Unido. Los derechos específicos que pueden ejercerse dependen de la base jurídica para el tratamiento seleccionada por el Cliente, ya sea el consentimiento o el interés legítimo. 

No decidimos unilateralmente sobre las solicitudes de retirar el consentimiento u oponernos al procesamiento, ya que operamos bajo las instrucciones escritas de nuestros Clientes, que controlan los datos personales. Nuestra función es redirigir cualquier solicitud de un usuario al Cliente correspondiente para el que se realizó la verificación del usuario. Si desea retirar su consentimiento u oponerse al tratamiento que llevamos a cabo, puede utilizar nuestro formulario de solicitud designado. Sin embargo, tenga en cuenta que para oponerse al tratamiento de datos de manera efectiva, debe presentar motivos imperiosos que prevalezcan sobre nuestros intereses legítimos. Dado que la verificación de las identidades y la prevención del fraude sirven a un interés público reconocido en el sistema financiero mundial, a menudo habrá razones imperiosas y primordiales para continuar con el tratamiento de datos personales. Por ejemplo, si hay pruebas de fraude, sería desproporcionado borrar u ocultar dichos datos, ya que hacerlo podría permitir a las personas evitar la detección y potencialmente volver a cometer fraude. 


Responsabilidades 

Estamos totalmente comprometidos a garantizar la responsabilidad y la buena gobernanza en todos los aspectos del procesamiento de datos personales, tal y como exige el Reglamento General de Protección de Datos del Reino Unido (RGPD del Reino Unido) y la Ley de Protección de Datos de 2018. Este compromiso se refleja en la forma en que asignamos roles, responsabilidades y autoridad en toda la organización, así como en las políticas, procedimientos y programas de capacitación que adoptamos. 

Para empezar, hemos designado a un responsable de protección de datos (DPO) o a un responsable de cumplimiento equivalente que supervisa todos los asuntos de protección de datos y con el que se puede contactar en info@nameid.io. 

Esta persona es responsable de mantener y mejorar continuamente nuestro marco de protección de datos, incluida la implementación de las políticas, procedimientos, evaluaciones de riesgos y materiales de capacitación necesarios. También garantizan que cumplamos con nuestras obligaciones en virtud de las leyes de protección de datos aplicables, supervisamos cualquier cambio en esas leyes o en la orientación regulatoria, abordamos e informamos de violaciones de datos personales con prontitud, investigamos y respondemos a las quejas de los Sujetos de datos e interactuamos con las autoridades supervisoras según sea necesario. 

Todo el personal de la organización es responsable del manejo adecuado de los datos personales y debe cumplir con este Aviso de privacidad y cualquier norma interna relacionada. Se espera que mantengan la seguridad de los datos personales y que no los divulguen a terceros no autorizados. Deben dirigir cualquier solicitud, consulta o queja de protección de datos al DPO, así como informar sin demora de cualquier violación real o presunta de la protección de datos. En los casos en los que exista incertidumbre sobre cómo gestionar un asunto de protección de datos, se les exige que busquen asesoramiento del DPD para garantizar el cumplimiento. 

Cuando funcionamos como procesador de datos en nombre de un Cliente, lo hacemos siguiendo las instrucciones documentadas de ese Cliente, respaldando así las obligaciones del Cliente como controlador bajo el marco legal relevante. Este apoyo puede implicar ayudar con las respuestas a las solicitudes de los interesados, las notificaciones de incumplimiento y cualquier auditoría en virtud del artículo 28 del RGPD del Reino Unido. Por otro lado, cuando actuamos como responsables del tratamiento, determinamos los fines para los que se tratan los datos personales y los medios por los que se lleva a cabo este tratamiento. En esta capacidad, nos aseguramos de que todo dicho procesamiento se lleve a cabo de manera legal, justa y transparente, y celebramos acuerdos apropiados con cualquier procesador externo o proveedor de servicios que pueda manejar datos personales en nuestro nombre, imponiendo obligaciones claras relacionadas con la seguridad, la confidencialidad y los derechos de los interesados. 

En todos los casos, antes de contratar a un procesador externo, examinamos su capacidad para garantizar que los datos personales se traten de forma segura y de acuerdo con los estándares de protección de datos. A continuación, se establece un contrato escrito en el que se especifican las categorías de datos que se tratarán, los fines del tratamiento y los requisitos de protección de datos que debe cumplir el tercero. A lo largo de este acuerdo, seguimos siendo responsables en última instancia de salvaguardar cualquier dato personal que se nos confíe. 

Para mantener altos estándares de protección de datos, revisamos y actualizamos periódicamente nuestras políticas, prácticas y documentación de gobernanza. Prestamos mucha atención a cualquier cambio en la ley, a las nuevas directrices reglamentarias y a la evolución de las prácticas internas. Estas actualizaciones se reflejan en los programas de formación del personal, lo que garantiza que nuestra organización aplique sistemáticamente principios sólidos de protección de datos y cumpla plenamente con los requisitos legales aplicables. 


Medidas específicas para garantizar la protección de datos 

Compromisos legales y contractuales 

Nos aseguramos de que todo el procesamiento de datos personales se rija por los acuerdos apropiados (por ejemplo, Acuerdos de Servicio, Acuerdos de Procesamiento de Datos, Acuerdos de Confidencialidad). Estos acuerdos reflejan los requisitos de las leyes de protección de datos aplicables y obligan a todas las partes involucradas, incluidos los proveedores externos, a mantener las salvaguardas y la confidencialidad adecuadas. 

Envío y almacenamiento seguros de datos 

Los datos personales se envían a través de interfaces seguras (como portales web dedicados o integraciones de aplicaciones) que emplean cifrado de transporte estándar de la industria (por ejemplo, TLS). Una vez recibidos, los datos se almacenan en centros de datos que cumplen con los estándares reconocidos de seguridad física y ambiental. Por ejemplo, estas instalaciones suelen contar con zonas de acceso restringido, sistemas de vigilancia, energía redundante y extinción de incendios. Los datos en sí se protegen mediante cifrado en reposo, listas de control de acceso y segmentación lógica para evitar el acceso no autorizado o la divulgación accidental. 

Controles de acceso y autorización de empleados 

Empleamos un sistema de control de acceso basado en roles para garantizar que solo el personal autorizado pueda ver o manejar datos personales. Las políticas internas describen los criterios para conceder, revisar y revocar privilegios de acceso. Todos los empleados con acceso a datos reciben capacitación en seguridad y privacidad, y se pueden llevar a cabo verificaciones de antecedentes cuando lo permita la ley local. Cada persona también está sujeta a estrictas obligaciones de confidencialidad. 

Encriptación y protecciones técnicas adicionales 

Utilizamos soluciones de cifrado para proteger los datos tanto en reposo como en tránsito. Otras medidas de seguridad suelen incluir firewalls, sistemas de detección/prevención de intrusiones, herramientas de protección de endpoints y rigurosas prácticas de gestión de parches. Las evaluaciones periódicas de vulnerabilidades y las pruebas de penetración ayudan a identificar y abordar cualquier debilidad potencial en el entorno. 

Tratamiento de categorías especiales de datos 

En situaciones en las que ciertos tipos de datos (por ejemplo, datos biométricos, identificadores gubernamentales o datos relacionados con menores) requieren protección adicional o bases legales específicas, verificamos que se cumplan dichos requisitos antes de comenzar el procesamiento. Si la legislación local restringe la recopilación o el tratamiento de determinados datos (por ejemplo, imponiendo umbrales de edad o exigiendo el consentimiento explícito), hacemos todo lo posible por detectar y eliminar, enmascarar o cifrar dichos datos si no existe una base legal para conservarlos. 

Auditorías continuas y cumplimiento 

Supervisamos y evaluamos nuestra postura de seguridad de datos a través de auditorías internas periódicas y evaluaciones de proveedores, entre otras medidas. Estas revisiones nos ayudan a mantener la alineación con las mejores prácticas reconocidas, confirmar que nuestros controles siguen siendo efectivos y adaptar nuestras salvaguardas técnicas y organizativas a las amenazas, las tecnologías y los requisitos normativos en evolución. 


Violaciones de datos personales 

Una violación de datos personales ocurre cuando los datos personales se pierden, alteran, acceden o divulgan sin autorización o de una manera que compromete su confidencialidad, integridad o disponibilidad. Si detectamos o sospechamos de una violación de este tipo, inmediatamente: 

Notificar a las partes interesadas internas 

Informamos a nuestro responsable de protección de datos (o al responsable de privacidad/cumplimiento equivalente), así como a los miembros pertinentes de la dirección. Esta estructura de comunicación rápida garantiza una acción rápida para contener y mitigar el incidente. 

Evaluar y contener 

Llevamos a cabo una investigación para identificar la naturaleza y el alcance de la infracción, determinar qué sujetos de datos pueden verse afectados y determinar los riesgos potenciales para las personas afectadas. Las estrategias de contención pueden incluir el aislamiento de los sistemas afectados, la revocación del acceso de los usuarios o la restricción del tráfico de red. 

Notificar a las autoridades y a las personas 

Cuando así lo exija la ley, informaremos de inmediato la infracción a la autoridad de control correspondiente dentro del plazo legal. Si existe un riesgo significativo para los derechos y libertades de las personas, también informamos a los interesados afectados sobre la violación, describiendo lo que ha sucedido, las consecuencias probables y cualquier recomendación de medidas de mitigación personal. 

Remediar y mejorar 

Después de abordar el incidente inmediato, analizamos las causas raíz e implementamos acciones correctivas. Estos pueden implicar capacitación adicional del personal, refinamiento de los controles técnicos o actualizaciones de políticas. Mantenemos un registro detallado de infracciones para respaldar el aprendizaje continuo y la transparencia. 


Divulgación de datos 

Podemos divulgar datos personales a varias partes externas por una variedad de razones legítimas y legales. Al hacerlo, siempre nos esforzamos por cumplir con los requisitos de las regulaciones de protección de datos aplicables y defender los principios fundamentales de privacidad, como la minimización de datos y la confidencialidad. A continuación se describen las categorías de partes externas a las que podemos divulgar datos personales y las circunstancias en las que esto puede ocurrir. 

Terceros 

Con el fin de proporcionar y mejorar nuestros servicios, podemos contratar a procesadores externos o proveedores de servicios para que lleven a cabo ciertas tareas en nuestro nombre. Algunos ejemplos son los servicios de alojamiento de datos, los especialistas en verificación de identidad o KYC, las plataformas de detección de fraudes o los proveedores de análisis. Antes de celebrar cualquier acuerdo con dichos terceros, llevamos a cabo la debida diligencia para confirmar que mantienen medidas técnicas y organizativas adecuadas para la seguridad y privacidad de los datos. Una vez que estamos satisfechos con su postura de seguridad y marco de cumplimiento, establecemos un contrato por escrito que describe claramente el alcance de las actividades de procesamiento de datos, las obligaciones de confidencialidad, los estándares de seguridad y las responsabilidades respectivas de cada parte en virtud de las leyes de protección de datos aplicables. 

En algunos casos, un procesador de terceros puede confiar en subprocesadores adicionales para brindar los servicios contratados. Por ejemplo, el procesador podría externalizar ciertas funciones de alojamiento a proveedores de infraestructura como servicio. Exigimos a nuestros proveedores principales que examinen de forma proactiva y supervisen continuamente a estos subencargados para garantizar que los datos personales reciban sistemáticamente un alto nivel de protección. Si en algún momento estos subprocesadores no cumplen con nuestros requisitos de seguridad o privacidad, tomamos las medidas adecuadas en coordinación con nuestros proveedores principales, que pueden incluir la suspensión o terminación del acuerdo. 

Cuando operamos dentro de un grupo corporativo más amplio o mantenemos afiliaciones con otras entidades, podemos compartir datos personales con empresas matrices o hermanas con fines operativos, administrativos o relacionados con el cumplimiento. Dichas transferencias de datos se llevan a cabo solo en la medida en que lo permita la ley y en condiciones que salvaguarden los derechos y libertades de los interesados. Esto a menudo implica la implementación de acuerdos de intercambio de datos dentro del grupo u otros mecanismos contractuales adecuados para mantener la seguridad y la confidencialidad. 

Destinatarios 

Más allá de los procesadores externos o proveedores de servicios, ocasionalmente se nos puede solicitar que divulguemos datos personales a destinatarios adicionales de acuerdo con las obligaciones legales o contractuales. Estos destinatarios suelen ser autoridades reguladoras, agencias gubernamentales, fuerzas del orden u organismos judiciales. Por ejemplo, es posible que recibamos una orden judicial válida que nos obligue a proporcionar registros específicos, o que se nos exija legalmente compartir datos para ayudar en investigaciones o auditorías regulatorias. En tales escenarios, revisamos cuidadosamente cada solicitud para asegurarnos de que esté justificada, sea legal y proporcionada. Solo se divulgan los elementos de datos personales estrictamente necesarios para cumplir con la solicitud y, cuando corresponda, informamos o consultamos con los interesados afectados o con las autoridades supervisoras correspondientes. 

Cuando actuamos como procesadores de datos en nombre de un cliente, nuestra divulgación de datos personales a otras entidades generalmente se produce bajo las instrucciones de ese cliente. Por ejemplo, un cliente puede indicarnos que compartamos los resultados de una verificación de antecedentes con un socio específico o que proporcionemos documentación por motivos de auditoría o cumplimiento. En estos casos, seguimos las instrucciones legales del Cliente, siempre que se ajusten a los términos de nuestro acuerdo de procesamiento de datos y no contravengan ninguna norma legal o ética. Si el interesado ha dado su consentimiento explícito para determinados usos o divulgaciones, o si se aplica otra base legal (como la ejecución de un contrato o la protección de intereses vitales), también podemos divulgar datos personales en esas circunstancias. 

Independientemente del motivo de la divulgación o de la naturaleza del destinatario, aplicamos el principio de minimización de datos para garantizar que solo se comparta la información estrictamente necesaria para el fin previsto. También adoptamos medidas operativas y técnicas sólidas para salvaguardar los datos personales antes, durante y después de cualquier transferencia. Estas medidas pueden incluir el cifrado de campos confidenciales, protocolos seguros de transferencia de archivos, registros de auditoría y la anonimización o seudonimización de datos cuando la divulgación completa de información identificable no es esencial. Todas estas actividades de intercambio de datos se documentan cuidadosamente, lo que nos permite mantener registros adecuados de los flujos de información y demostrar nuestra responsabilidad en la protección de los datos personales de acuerdo con la legislación aplicable. 


Transferencias internacionales de datos 

Confirmamos que los datos personales generalmente se almacenan en servidores ubicados dentro de la Unión Europea (UE) o en otras regiones que cumplen con los requisitos nacionales de localización de datos. Cuando las regulaciones locales requieran almacenar datos dentro de una jurisdicción específica, podemos adaptarnos a dichas necesidades de acuerdo con las preferencias contractuales de los Clientes y las leyes aplicables. 

En caso de que sea necesario para la prestación del servicio o para mantener una comunicación conveniente y confiable con los interesados, podemos transferir datos personales fuera del Espacio Económico Europeo (EEE), el Reino Unido (RU) u otras jurisdicciones relevantes. Por ejemplo, ciertos procesadores o destinatarios externos, descritos en la sección "Divulgación de datos" de este Aviso, pueden estar ubicados fuera de estas regiones. 

Al transferir datos personales a nivel internacional, implementamos salvaguardas consistentes con el Capítulo V del GDPR del Reino Unido. Estas salvaguardas pueden incluir la confianza en las Regulaciones de Adecuación del Reino Unido, el uso de Cláusulas Contractuales Estándar aprobadas por la Oficina del Comisionado de Información del Reino Unido u otros mecanismos de transferencia legales, como reglas corporativas vinculantes. Cualquier procesador externo que contratemos también debe asegurarse de que existan bases legales o medidas de protección adecuadas para las transferencias de datos transfronterizas. Cuando se realizan transferencias a países para los que el Gobierno del Reino Unido ha emitido una decisión de adecuación, nos basamos en esa autorización para facilitar la transferencia. 

Si llevamos a cabo transferencias internacionales de datos desde países fuera del Reino Unido (por ejemplo, cuando prestamos servicios en nombre de clientes no británicos), transferiremos datos personales solo a ubicaciones que se reconozca que ofrecen un nivel adecuado de protección según la legislación del Reino Unido, o utilizaremos las medidas de seguridad adecuadas, como cláusulas contractuales estándar u otros mecanismos legalmente reconocidos. Al aplicar estas medidas, nos aseguramos de que los datos personales permanezcan protegidos durante todo el proceso de transferencia transfronteriza. 


Venta de Datos Personales 

No vendemos datos personales bajo ninguna circunstancia. No participamos en ninguna actividad que constituya la venta, el arrendamiento, el intercambio o la monetización de datos personales tal y como se definen en las leyes de protección de datos aplicables. Esto incluye leyes y marcos como el Reglamento General de Protección de Datos del Reino Unido, la Ley de Protección de Datos de 2018 y, cuando corresponda, legislación extranjera como la Ley de Privacidad del Consumidor de California. 

No transferimos datos personales a terceros con fines comerciales o para cualquier propósito que no esté explícitamente descrito en este aviso. Todo el intercambio de datos se lleva a cabo sobre la base de un fundamento jurídico válido y únicamente para la prestación de servicios, el cumplimiento de obligaciones legales o el cumplimiento de funciones comerciales legítimas, tal y como se describe en la sección sobre intercambio de datos. 

Cuando utilizamos proveedores de servicios, socios o subprocesadores para respaldar nuestras operaciones técnicas, su acceso a los datos personales se rige estrictamente por acuerdos de procesamiento de datos que prohíben el uso, la divulgación o la venta posteriores de los datos y requieren la aplicación de salvaguardas de seguridad adecuadas. 

Si nuestras actividades de procesamiento de datos cambian de una manera que pueda afectar este compromiso, actualizaremos este aviso en consecuencia y proporcionaremos información transparente a las personas afectadas antes de dichos cambios. 


Cambios a este Aviso 

Revisamos y actualizamos este Aviso de privacidad al menos una vez al año o con más frecuencia, según sea necesario, para garantizar el cumplimiento continuo de las leyes, regulaciones y pautas de mejores prácticas relevantes. Cualquier actualización o modificación se publicará de inmediato en nuestro sitio web con una indicación clara de la fecha en que la última versión entrará en vigor. 

En caso de que se introduzcan modificaciones significativas, especialmente aquellas que afecten a la forma en que tratamos sus datos personales o a sus derechos como interesado, le informaremos directamente a través de comunicaciones por correo electrónico. Además, anunciaremos de forma destacada estas actualizaciones en nuestro sitio web para garantizar una total transparencia y una notificación adecuada. 

Le recomendamos encarecidamente que revise este Aviso de privacidad periódicamente para mantenerse informado sobre cómo manejamos y protegemos sus datos personales. Si tiene alguna pregunta sobre los cambios en este Aviso, póngase en contacto con nosotros directamente utilizando los datos de contacto proporcionados en este documento. 


Your experience on this site will be improved by allowing cookies.