Skip to Content
Go back
BAS-IP / MEMORANDO SOBRE EL CUMPLIMIENTO DEL TRATAMIENTO DE DATOS PERSONALES

Estamos comprometidos con prácticas sólidas e innovadoras de protección de datos, para que cada cliente pueda confiar en que sus datos personales se procesan de forma segura.

BAS-IP DISTRIBUTION LTD (Compañía o BAS-IP) ha preparado este memorando para nuestros clientes en relación con nuestro cumplimiento de la legislación aplicable en materia de protección de datos, incluido el Reglamento General de Protección de Datos del Reino Unido (UK GDPR) y el Reglamento General de Protección de Datos de la UE (RGPD). A continuación, le familiarizaremos con nuestras actividades relativas al cumplimiento de los requisitos de protección de datos personales.

DEFINICIONES

  • «UK GDPR» significa el Reglamento General de Protección de Datos del Reino Unido, tal como se incorporó a la legislación del Reino Unido en virtud de la Ley de Protección de Datos de 2018 (Data Protection Act 2018), junto con otra legislación aplicable del Reino Unido sobre protección de datos y privacidad.
  • «RGPD» (GDPR) significa el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) y cualquier legislación relacionada sobre protección de datos y privacidad aplicable dentro de la Unión Europea y el Espacio Económico Europeo.
  • Datos personales (Personal data) significa cualquier información relativa a una persona física identificada o identificable.
  • Interesado (Data subject) significa una persona física identificable que puede ser identificada, directa o indirectamente.
  • Responsable del tratamiento (Controller) significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de los datos personales.
  • Encargado del tratamiento (Processor) significa una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento.
  • Subencargado del tratamiento (Subprocessor) significa una persona física o jurídica, contratada por un encargado del tratamiento, que lleva a cabo el tratamiento de datos personales en nombre del responsable del tratamiento.
  • Tratamiento (Processing) significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción.

ACERCA DE BAS-IP

BAS-IP desarrolla y fabrica videoporteros IP, sistemas de control de acceso y sistemas de comunicación, siendo un actor líder en este campo. Puede encontrar más información sobre nuestras actividades en el sitio web: https://bas-ip.com/.

En el curso de sus actividades, la Compañía puede recopilar, acceder o tratar de otro modo datos personales relativos a diversas categorías de interesados: clientes y usuarios, empleados, contratistas y otros interesados. Durante dicho tratamiento, la Compañía se compromete a tomar todas las medidas necesarias y a seguir las políticas, procedimientos y demás documentación pertinentes sobre protección de datos personales para tratar los datos personales de conformidad con la legislación aplicable y las mejores prácticas.

Funciones durante el tratamiento de datos personales

BAS-IP puede tener varias funciones según el UK GDPR y el RGPD:

  • Como responsable del tratamiento, la Compañía determina los fines y medios del tratamiento de datos personales mientras, por ejemplo, se comunica con clientes y visitantes del sitio web, realiza actividades de marketing que implican el tratamiento de datos personales, etc.
  • Como encargado del tratamiento, la Compañía puede tratar datos personales siguiendo las instrucciones de nuestro cliente, actuando como responsable del tratamiento o en nombre del respectivo responsable del tratamiento.
  • Al tratar datos personales como encargado del tratamiento, podemos contratar a terceros proveedores de servicios que actuarán como subencargados del tratamiento.
Al tratar datos personales en el curso de la prestación de servicios a sus clientes, la Compañía actúa como encargado del tratamiento y cumple con los requisitos aplicables del UK GDPR y el RGPD, así como con las obligaciones contractuales pertinentes entre la Compañía y el cliente.

BAS-IP Y LA PROTECCIÓN DE DATOS

BAS-IP se compromete a cumplir con los más altos estándares de protección de datos y la legislación aplicable sobre protección de datos personales.

Todas las actividades que implican el tratamiento de datos personales se llevan a cabo de conformidad con la documentación interna relativa a la regulación del tratamiento de datos personales.

La Compañía aplica las siguientes medidas de protección de datos personales:

Revisión periódica de la documentación de protección de datos personales y realización de los cambios necesarios en nuestra documentación y actividades

La revisión y actualización periódica de la documentación interna de protección de datos personales es una parte integral de la estrategia de la Compañía para garantizar el cumplimiento de los requisitos del UK GDPR, el RGPD y otros actos reglamentarios en el campo de la protección de datos personales.

La documentación interna relevante y las políticas y procedimientos adoptados, en particular con respecto a solicitudes de los interesados, notificación de violaciones de datos personales, evaluaciones de cumplimiento de terceros involucrados en el tratamiento de datos personales, etc., se actualizan o modifican periódicamente según sea necesario, en particular en caso de cambios en la legislación o la introducción de nuevas actividades de tratamiento de datos personales.

Además, las actividades de tratamiento de datos personales se registran, lo que incluye mantener registros de actividades de tratamiento de datos personales (RoPA), y, si es necesario, se lleva a cabo una evaluación de impacto en la protección de datos (DPIA) y una evaluación de interés legítimo (LIA).

De este modo, al mantener actualizada su documentación de protección de datos personales, la Compañía garantiza un alto nivel de protección de datos personales y un cumplimiento continuo de la legislación.

Cumplimiento de los requisitos para la protección de los derechos de los interesados

La Política de Privacidad de la Compañía, que está disponible públicamente en su sitio web, proporciona a los clientes y otros interesados información sobre los fines para los que se pueden tratar los datos personales, cómo y qué datos personales específicos se pueden tratar, así como información sobre sus derechos según las leyes aplicables de protección de datos personales, incluido cómo ejercer esos derechos.

Además, la Compañía ha adoptado un Procedimiento de Solicitudes y Quejas, que contiene el procedimiento para responder a las solicitudes de los interesados y sus derechos de conformidad con el UK GDPR y el RGPD.

La Compañía se compromete a proporcionar todo el apoyo necesario al cliente en el contexto de responder a las solicitudes de los interesados cuyos datos son tratados por la Compañía como encargado del tratamiento de conformidad con las disposiciones del UK GDPR, el RGPD y las obligaciones contractuales entre la Compañía y el cliente.

Cumplimiento de los mejores estándares y prácticas de seguridad técnica y organizativa

La Compañía ha implementado medidas técnicas y organizativas para garantizar la seguridad de los datos personales. La documentación interna de la Compañía define claramente las medidas técnicas y organizativas utilizadas al tratar datos personales:

  • ha desarrollado y adoptado documentación que rige la seguridad de la información, y también monitoriza continuamente los eventos de seguridad de la información y garantiza una respuesta oportuna a los incidentes;
  • ha implementado salvaguardas para restringir el acceso a los datos personales, como el control del acceso a los datos personales, en particular mediante el uso de cuentas personalizadas, el control de los requisitos de longitud y complejidad de las contraseñas de las cuentas y la protección del acceso a la red para reducir el riesgo de ataques a la red; verificación del cumplimiento de los centros de datos físicos donde se almacenan los datos con los requisitos de seguridad; autenticación multifactor y autenticación del usuario durante la autorización, así como la configuración y aplicación de permisos de acceso a datos, la revisión periódica de los derechos de acceso existentes, etc.;
  • utiliza tecnologías de cifrado al almacenar y tratar datos personales utilizando tecnologías en la nube y establece requisitos para el uso de solo protocolos criptográficos, algoritmos, suites de cifrado, claves de cifrado y enfoques de gestión de claves actualizados y robustos;
  • revisa periódicamente las copias de seguridad de los datos personales para determinar si su almacenamiento cumple con los requisitos operativos y las obligaciones legales;
  • toma otras medidas de seguridad organizativa, incluida la implementación de una política de separación de funciones y responsabilidades, la actualización periódica de políticas y procedimientos relevantes, la monitorización del desempeño de funciones y la demostración de voluntad de cooperar con las autoridades gubernamentales pertinentes. Las medidas de seguridad del personal implementadas por la Compañía incluyen verificaciones de antecedentes de los empleados en algunos casos, la sensibilización de los empleados sobre cuestiones de seguridad de la información y la monitorización de dicha sensibilización, así como la realización de programas de formación y desarrollo profesional;
  • monitoriza continuamente los cambios en la legislación e implementa mejores prácticas en el campo de la protección de datos personales de acuerdo con los estándares de ciberseguridad, directrices, recomendaciones de las autoridades de supervisión de protección de datos personales y la Oficina del Comisionado de Información (Information Commissioner’s Office – ICO).

La Compañía cumple con todas las políticas y procedimientos para garantizar la seguridad de la protección de datos personales, verifica periódicamente su relevancia y garantiza una revisión oportuna.

Verificación periódica de terceros

Todos los terceros involucrados en el tratamiento de datos personales son verificados mediante un procedimiento interno regulado para evaluar el cumplimiento de terceros. En particular, dichas verificaciones evalúan la disponibilidad de documentación relevante relacionada con el tratamiento de datos personales, así como la disponibilidad y eficacia de las medidas de seguridad técnicas y organizativas implementadas para proteger los datos personales contra el acceso no autorizado, la pérdida o las violaciones de la integridad.

Transferencias seguras de datos personales

Al proporcionar servicios, la Compañía puede transferir datos personales fuera del Reino Unido, por ejemplo, a Estados Unidos y Ucrania.

Para garantizar la seguridad y el cumplimiento de los requisitos legales para la transferencia de datos personales, se lleva a cabo una evaluación con antelación. Además, se realiza una monitorización interna periódica para garantizar el cumplimiento de los requisitos legales y las prácticas de Estados Unidos, Ucrania y, cuando sea necesario, otros países a los que se transfieren datos personales, con los estándares y prácticas de protección de datos personales del Reino Unido y la UE. Además, las medidas de seguridad tomadas por los importadores de datos se verifican minuciosamente, en particular mediante la firma de la documentación pertinente que rige la protección de datos personales.

Cuando la Compañía transfiere datos personales sujetos al UK GDPR y/o al RGPD, celebra un Acuerdo de Tratamiento de Datos (DPA) con sus contratistas. Dichos acuerdos incorporan los mecanismos de transferencia apropiados, incluidas las Cláusulas Contractuales Tipo de la UE (SCCs) junto con la Adenda del Reino Unido (UK Addendum), o el Acuerdo Internacional de Transferencia de Datos (IDTA).

Capacitaciones periódicas

La Compañía organiza periódicamente capacitaciones para sus empleados y contratistas sobre el cumplimiento de los requisitos del UK GDPR y el RGPD, así como sobre la protección de datos personales. Los temas cubiertos en la capacitación incluyen, entre otros, los requisitos generales del UK GDPR, el RGPD y otras leyes aplicables de protección de datos personales, las funciones en el tratamiento, los principios del tratamiento de datos personales, las bases para el tratamiento, la garantía de los derechos de los interesados y las cuestiones de protección de datos personales.

Además, la Compañía también ha adoptado la documentación necesaria y ha implementado medidas apropiadas para garantizar la capacitación y la concienciación de los empleados en el campo de la protección de datos.

NUESTROS CONTACTOS

Si tiene alguna pregunta adicional sobre la protección de datos personales en BAS-IP, contáctenos por correo electrónico: [email protected].

Atentamente,

BAS-IP DISTRIBUTION LTD