PARTE A: Generalidades
Aplicabilidad
Este documento es la versión operativa actual de la política de cumplimiento del RGPD vigente desde el 25 de mayo de 2021 y se aplica a las actividades de InfoBytes Daily que constan de la siguiente entidad.
2 International Drive, Rye Brook, Nueva York 10573, EE. UU.
Introducción
La actividad principal de InfoBytes Daily es brindar soporte a sus clientes generando clientes potenciales efectivos en los mercados objetivo.
La generación de leads se realiza a través de una investigación de mercado inteligente que recopila datos relevantes para identificar la intención de compra confiable de las empresas a través de diferentes canales, incluso a través de socios comerciales que utilizan tecnología relevante en marketing de redes sociales, marketing web, marketing por correo electrónico y telemarketing.
En el proceso de estas actividades, InfoBytes Daily actúa como intermediario que agrega valor a la cadena de marketing B2B. La información de la campaña es proporcionada por los Clientes, que se perfecciona y se convierte en materiales de campaña para su distribución en el mercado potencial.
La distribución a los clientes finales mediante la colocación de los materiales de la campaña en medios relevantes se realiza a través de editores externos que generan clientes potenciales. Una parte de los clientes potenciales se genera mediante la actividad editorial interna y el uso de innovadoras herramientas de marketing de intención corporativa desarrolladas por el equipo de I+D de InfoBytes Daily.
Los clientes potenciales generados por los editores se filtran inteligentemente para mejorar su calidad y se convierten en objetivos de marketing procesables antes de transmitirlos a los clientes.
InfoBytes Daily ha desarrollado productos, procesos y sistemas de generación de información patentados que incluyen el desarrollo de proveedores confiables y mano de obra capacitada, que en conjunto reflejan la propuesta de valor que InfoBytes Daily aporta al ecosistema de marketing B2B en todo el mundo. Mantener y fomentar esta experiencia y utilizarla para aprovechar oportunidades comerciales representa un interés legítimo de InfoBytes Daily.
Este Código de cumplimiento del RGPD adoptado por InfoBytes Daily declara que InfoBytes Daily está comprometido con el concepto de "Privacidad como derecho fundamental de un ciudadano de una sociedad democrática" en todo el mundo y, de buena fe, implementará todos los principios de privacidad exigidos por el RGPD cuando es aplicable.
Sin embargo, InfoBytes Daily revela que su interés legítimo es llevar a cabo una operación comercial legítima en todo el mundo como intermediario del mercado B2B y que InfoBytes Daily tiene el derecho democrático de llevar a cabo su negocio de buena fe sin entrar en conflicto con los derechos. de las personas físicas individuales cuya privacidad se pretende proteger en virtud del RGPD.
InfoBytes Daily también revela que su modelo de negocio requiere la recopilación únicamente de datos de entidades comerciales que están fuera del ámbito de GDPR y datos de contacto comercial que no son datos personales pero pueden incluir información de identificación personal en parte, pero no incluyen datos personales de niños. y Datos personales clasificados como “Categorías especiales” según el RGPD.
Exposición al RGPD
InfoBytes Daily Group es básicamente un "intermediario de marketing B2B" que opera en todo el mundo generando oportunidades de marketing y brindando servicios a clientes en muchos países. InfoBytes Daily no opera en el mercado de consumo y, por lo tanto, no recopila directa ni indirectamente información personal de los interesados de la UE. Los datos que recopila InfoBytes Daily generalmente se encuentran en la categoría de Datos de contacto comercial de empleados corporativos que, entre otras cosas, contienen el nombre, el correo electrónico del trabajo y el número de teléfono del trabajo.
Una parte de los leads de marketing B2B se genera en los países de la UE y en el Reino Unido. Algunos de los Clientes ubicados en la UE/Reino Unido también pueden aprovechar los servicios de InfoBytes Daily. Actualmente, la mayoría de las interacciones con los Clientes se realizan en los EE. UU. y la mayoría de las interacciones con los socios comerciales generadores de oportunidades de venta se realizan en la India.
Por lo tanto, la exposición al RGPD de InfoBytes Daily se reconoce cuando se recopilan datos de contacto comerciales de organizaciones comerciales que operan en regiones de la UE y el Reino Unido.
Enfoque para el cumplimiento del RGPD
Para permitir la aplicación de una norma lo más estricta posible al procesamiento de datos que están expuestos al riesgo de cumplimiento del RGPD, InfoBytes Daily adopta una política para tratar los datos confidenciales (GSD) del RGPD como "datos confidenciales" que fluyen a través de los recursos de InfoBytes Daily al etiquetar los datos entrantes con una etiqueta adecuada para clasificarlos como GSD cuando corresponda.
La protección de la privacidad de los interesados y la seguridad de la información relacionada con la protección de la privacidad con respecto a los datos etiquetados con GSD se tienen en cuenta en el diseño de la estructura de soporte.
Aunque los datos se procesan en ubicaciones específicas y la infraestructura técnica para procesar GSD está ubicada en dichas ubicaciones específicas, se ha creado una conciencia sobre el RGPD a nivel empresarial y se seguirá buscando para que los principios de este Código de conducta del RGPD se filtren en todo el mundo. organización más allá del procesamiento GSD para incluir las funciones de marketing, financieras y gerenciales que pueden estar ubicadas en diferentes ubicaciones con su propia infraestructura técnica y administrativa.
Para implementar de manera efectiva la seguridad de toda la infraestructura de procesamiento de datos, la Compañía ha adoptado una política integral de seguridad de la información que incluye múltiples subpolíticas con respecto al acceso a los datos, el procesamiento, el almacenamiento, la transmisión, etc.
Compromiso de privacidad
InfoBytes Daily reconoce que la “privacidad” es un derecho democrático importante en la sociedad civil. Como entidad corporativa responsable, InfoBytes Daily está comprometida con la protección de la privacidad de todas las personas físicas cuyos datos personales ingresan al repositorio de datos corporativos para su procesamiento.
En vista de la presencia de Clientes en la UE/Reino Unido y el seguimiento de las actividades de los empleados corporativos que residen en la UE/Reino Unido, InfoBytes Daily ha optado por adoptar estándares de cumplimiento del RGPD para la protección de la privacidad de todas las personas físicas que puedan interactuar con el grupo incluso cuando dicha interacción se realiza únicamente en su calidad de empleados de diferentes entidades comerciales que persiguen los objetivos comerciales de sus respectivas organizaciones comerciales.
Interés legítimo
La actividad principal de InfoBytes Daily implica el procesamiento de datos relacionados con la compra de diferentes productos para uso corporativo. El espectro de actividades incluye recopilación, agregación, análisis, segmentación y seguimiento de intenciones. En el proceso de dicho procesamiento, InfoBytes Daily agrega valor a los datos sin procesar que se recopilan del entorno empresarial y los convierte en información de valor agregado que ayuda a las decisiones comerciales.
Los datos brutos recopilados se reconocen como datos que pertenecen al interesado y a los que se aplican los derechos del interesado en virtud del RGPD. El valor agregado a los datos que se produce durante el proceso surge de las capacidades de procesamiento de datos patentadas de InfoBytes Daily sobre las cuales InfoBytes Daily tiene un cierto nivel de reclamo de derechos de propiedad intelectual.
Si algún dato ha sido seudonimizado, los datos seudonimizados de valor agregado se considerarán datos sobre los cuales InfoBytes Daily tiene un interés legítimo de utilizar para futuras investigaciones. Los datos no seudonimizados, incluso en el estado de valor agregado, están sujetos al ejercicio de los derechos del Titular, tales como Acceso, Rectificación, Restricción, Portabilidad y Supresión. Los datos seudónimos, si los hubiera, no se clasificarán como sensibles al RGPD.
InfoBytes Daily posee un interés comercial legítimo, tal como se reconoce en el artículo 6(1)(f) de las regulaciones del RGPD de la UE, en la recopilación y el procesamiento de datos relacionados con negocios, como datos firmográficos y de contacto comercial de los funcionarios que toman decisiones en las entidades comerciales.
Además, el negocio de InfoBytes Daily implica operaciones dentro y fuera de los países de la UE y, por lo tanto, está expuesto a obligaciones legales de diferentes países relacionadas con el procesamiento de datos, así como a otras leyes aplicables a los negocios en general y a las actividades relacionadas con TI en particular, como se prevé en el artículo 6(1)(c) del Reglamento UE GDPR.
Además, InfoBytes Daily ha adoptado prácticas comerciales para el procesamiento legal que incorporan los principios del RGPD de la UE tal como se enuncia en el artículo 6, incluida la obtención del consentimiento explícito informado cuando sea necesario y el cumplimiento de los requisitos de las obligaciones contractuales con los interesados, si los hubiera.
Por lo tanto, las políticas de InfoBytes Daily sobre privacidad y protección de datos están estructuradas con controles específicos de privacidad y seguridad de la información que abordan la cuestión de identificar los datos sensibles del RGPD en la etapa de su origen e ingreso al sistema de InfoBytes Daily y etiquetarlos a lo largo de su ciclo de vida. tratamiento.
Ampliar el alcance del cumplimiento al ecosistema de procesamiento de datos
Además, manteniendo la intención legislativa de proteger el derecho fundamental a la privacidad de las personas, enunciado en el RGPD de la UE, se mantienen controles técnicos y organizativos/administrativos apropiados para garantizar que todos los socios comerciales intermedios que puedan tener acceso a datos confidenciales del RGPD para procesarlos en nombre de InfoBytes Daily también cumple con GDPR.
InfoBytes Daily reconoce que en la mayor parte de sus operaciones, no es un "Responsable del tratamiento de datos", sino un "Procesador de datos" a los efectos del RGPD. Podrá asumir el papel de “Corresponsable” cuando utilice los servicios de subcontratistas para cualquier parte de su procesamiento.
Teniendo en cuenta estos roles, las políticas y controles de InfoBytes Daily están estructurados para garantizar el cumplimiento del RGPD, incluido el mantenimiento de controles técnicos y organizativos/administrativos apropiados para mantenerse debidamente informado sobre las actividades de cumplimiento del RGPD de sus socios comerciales y también compartir con ellos las propias de InfoBytes Daily. Medidas de cumplimiento del RGPD que sean necesarias.
Limitaciones de este documento
Los siguientes párrafos proporcionan la política general de InfoBytes Daily para el cumplimiento del RGPD a nivel corporativo, destacando el enfoque de InfoBytes Daily para lograr un nivel satisfactorio de cumplimiento de los principios del RGPD en sus operaciones.
Este documento de política está destinado a un intercambio limitado con partes interesadas, incluidas entidades comerciales ajenas a InfoBytes Daily y, por lo tanto, excluye información patentada sobre el procesamiento cuando sea esencial proteger la propiedad intelectual de la organización.
Cualquier solicitud de divulgación de información más allá de lo que se indica aquí se abordará según la Política de divulgación de datos de InfoBytes Daily y dichas solicitudes pueden dirigirse al Gerente de Privacidad a través de un correo electrónico autenticado no confiable.
Parte B: Esquemas de políticas específicas
1. Responsabilidad asignada
InfoBytes Daily ha designado un Gerente de Privacidad que será la persona de contacto para manejar todas las solicitudes y quejas de los interesados. Teniendo en cuenta el nivel actual de exposición al riesgo de los datos confidenciales del RGPD en InfoBytes Daily, se considera que la actividad principal de InfoBytes Daily no implica un seguimiento sistemático y a gran escala de los interesados de la UE ni la oferta de ningún servicio a personas en la UE y, por tanto, no es necesario designar un "Delegado de Protección de Datos" según lo previsto en el RGPD.
Un Comité de Gobernanza de Seguridad de la Información (ISGC) estará a cargo general de la Seguridad de la Información, incluido el cumplimiento del RGPD. Será el principal organismo normativo de InfoBytes Daily responsable de establecer todas las políticas de seguridad de la información, incluida la política GDPR, y supervisará la necesidad de designar a cualquier persona o consultor como Delegado de Protección de Datos a su debido tiempo.
2. Clasificación de datos
InfoBytes Daily no participa en marketing dirigido a ninguna persona física y, por lo tanto, normalmente no recopila datos de identificación personal sujetos a las disposiciones reglamentarias del RGPD. Sin embargo, todos los datos personales potencialmente identificables, como la dirección de correo electrónico y el número de teléfono de un empleado de una organización, se clasifican como "sensibles al RGPD" si la unidad de negocio o el empleado están ubicados en la UE/Reino Unido.
En consecuencia, todo el conjunto de datos de contacto comercial asociado con una dirección de ubicación física en la UE/Reino Unido se identifica como datos confidenciales del RGPD (GSD) y se etiqueta durante el procesamiento posterior dentro de la organización.
En ausencia de información sobre la ubicación física del interesado, la ubicación física de la organización empresarial asociada se considerará relevante.
3. Auditoría de datos
Una vez antes del 25 de mayo de 2018 y posteriormente a intervalos mensuales o según lo determine el ISGC, se verificarán los conjuntos de datos almacenados para localizar cualquier GSD y verificar los requisitos de cumplimiento asociados con él, como por ejemplo si los datos deben archivarse, eliminarse o de otra manera. especialmente asegurado.
Se recomendará la eliminación de cualquier conjunto de datos de GSD que no vaya acompañado de un “Consentimiento” o una “Nota de interés legítimo” adecuado.
Tras la confirmación, dichos datos se eliminarán de forma forense.
4. Evaluación de impacto del RGPD
Se ha realizado una evaluación de la brecha del RGPD y se han implementado medidas correctivas según sea necesario antes del 25 de mayo de 2018. Después del 25 de mayo de 2018, se llevará a cabo una Evaluación de Impacto de la Protección de Datos (DPIA) cada vez que se emprenda un nuevo proyecto importante cuando el ISGC identifique el necesidad.
5. Política de aceptación de nuevos negocios
A partir del 25 de mayo de 2018, todos los nuevos compromisos comerciales que involucren el procesamiento de datos estarán sujetos a la aprobación del ISGC con una nota de evaluación de impacto específica del RGPD presentada por el DPO en consulta con el equipo técnico a cargo del procesamiento.
6. Política de almacenamiento de datos de GSD
GSD se almacenará en sistemas a los que solo tendrán acceso las personas designadas según la estricta "necesidad de saber".
Cada conjunto de GSD deberá estar etiquetado con el Controlador de datos de quien se obtuvo y quién es responsable de la recopilación de los datos bajo consentimiento o contrato.
Cualquier restricción específica asociada con dicho conjunto de datos también se etiquetará con el conjunto de datos.
El almacenamiento de datos permitirá localizar y procesar conjuntos de datos individuales para la ejecución de los derechos de cualquier interesado, como una solicitud de rectificación de datos, portabilidad de datos, eliminación de datos o acceso a datos en cualquier momento durante su ciclo de vida.
7. Política de acceso a datos de GSD
Se accederá a GSD según la política de control de acceso que garantiza que cada conjunto de datos de GSD tenga parámetros de acceso específicos que definan quién puede acceder a los datos y cómo acceden a ellos. Solo aquellos que estén designados como fuerza laboral de GSD tendrán acceso al conjunto de datos de GSD.
El uso de parámetros de acceso, como las contraseñas, se definirá con el grado de complejidad y singularidad que sea necesario y se complementará con cifrado y etiquetas de identificación de máquina para que solo se pueda acceder a los datos de GSD desde un hardware específico asignado a la fuerza laboral autorizada de GSD.
Cuando el almacenamiento de datos esté en la nube, solo se utilizarán servicios en la nube que cumplan con el RGPD junto con los controles adicionales que puedan ser necesarios para garantizar que los datos almacenados y en tránsito estén protegidos contra el acceso no autorizado.
Los GSD específicos del proyecto se almacenarán de tal manera que solo los empleados asociados con un proyecto determinado tengan acceso a los datos. El acceso entre proyectos se regulará según las necesidades.
8. Política de retención de datos de GSD
GSD se conservará en un entorno de proceso activo solo durante el período mínimo necesario para su procesamiento. A partir de entonces, los datos se archivarán de forma segura según el requisito identificado como interés legítimo, por ejemplo, hasta que se complete el ciclo de facturación del proyecto.
Posteriormente, los datos se mantendrán en un archivo seguro o se destruirán según los requisitos de interés legítimo identificados de la Compañía.
Se realizará una revisión mensual de los datos archivados para identificar los datos que ya no son necesarios y que se remitirán al ISGC para recibir instrucciones de eliminación.
Las obligaciones legales sobre retención de datos que puedan surgir debido a la superposición de legislaciones se tendrán en cuenta en la evaluación del interés legítimo.
9. Política de divulgación de datos de GSD
Cualquier solicitud de divulgación de GSD normalmente se recibirá únicamente del controlador de datos de origen.
Se reconoce que las solicitudes recibidas directamente de los interesados están sujetas a riesgo de phishing y dichas solicitudes, si las hubiera, se remitirán al Responsable del tratamiento correspondiente que recopiló los datos del interesado bajo el consentimiento o contrato que pueda existir entre ellos.
Los datos que se divulgarán se enviarán únicamente al Responsable del tratamiento para su posterior transmisión al interesado después de autenticar adecuadamente la identidad del representante del Responsable del tratamiento que realiza la solicitud.
En circunstancias excepcionales en las que los datos deban revelarse directamente a un interesado, a su representante autorizado o a una autoridad encargada de hacer cumplir la ley, se garantizará una autenticación adecuada de la identidad de la persona que realiza la solicitud.
Todas las solicitudes de divulgación de datos deben ser aprobadas por el ISGC antes de la divulgación de los datos y la solicitud, así como los documentos de evaluación, se considerarán documentación requerida de cumplimiento del RGPD.
10. Política de gestión de incidentes de datos de GSD
Un "Incidente" según este código será cualquier observación que tenga el potencial de indicar que se ha violado el código de cumplimiento de GSD o cualquier política o procedimiento en virtud del mismo, independientemente de que se sospeche o no que algún dato haya sido comprometido.
Se puede utilizar una política de denuncia de irregularidades para garantizar que cualquier observador, ya sea dentro o fuera de la Compañía, informe los incidentes con prontitud.
Cualquier incidente de este tipo que llegue a conocimiento de InfoBytes Daily se registrará en un Registro de gestión de incidentes de GSD y se remitirá al DPO para que tome medidas inmediatas.
El DPO revisará el informe del incidente y tomará medidas inmediatas para resolverlo y también para informarlo al ISGC.
El ISGC convocará una reunión rápidamente y evaluará el incidente para identificar si involucra alguna sospecha de violación de datos. Cuando sea necesario, ISGC podrá ordenar una auditoría técnico-legal inmediata para una evaluación de riesgos del incidente. Con base en la evaluación de riesgos, ISGC decidirá la necesidad de tomar medidas adicionales, incluido el envío de una notificación de violación de datos al Controlador de datos asociado con los Datos.
Un incidente en el que otro empleado de la organización haya accedido a GSD se considera un incidente de seguridad y no necesariamente una "violación". Sin embargo, dichos incidentes deberán ser investigados en cuanto a la causa del acceso no autorizado y si se trata de un acceso accidental involuntario podrá resolverse con una acción disciplinaria interna adecuada según la política de RR.HH. Si un tercero no ha extraído los datos ni ha accedido a ellos, el incidente puede clasificarse como un accidente de datos internos que no constituye una violación.
En el caso de que se sepa que el acceso o los datos transferidos están en forma cifrada y se encontraban en un estado en el que el destinatario no podía descifrarlos, sujeto a una investigación interna adecuada en cuanto a la seguridad de la clave de descifrado asociada, el acceso puede clasificarse como un accidente de datos internos que no constituye una violación.
11. Política de notificación de vulneración de datos de GSD
Un incidente de "violación de datos" es un incidente en el que InfoBytes Daily, después de la investigación necesaria, llega al conocimiento de que el acceso a cualquier conjunto de datos específico bajo GSD se ha visto comprometido y una entidad externa ha accedido o enviado un conjunto de GSD.
Dicho incidente de violación de datos se informará inmediatamente al ISGC, quien sin más demora notificará al Controlador de datos asociado con el conjunto de datos junto con los detalles relevantes del incidente.
Dicho informe especificará la naturaleza y el alcance de la violación, la hora y la fecha de la violación, los detalles de los interesados afectados, las medidas adoptadas al notar la violación, etc. Cuando sea necesario, la violación de datos también podrá informarse. a una autoridad de control.
12. Política de gestión de derechos del interesado de GSD
El sistema de procesamiento de datos de InfoBytes Daily ha incorporado "Privacidad y seguridad por diseño" para permitir el cumplimiento de los requisitos del RGPD, particularmente con respecto a los derechos del interesado previstos en el RGPD.
Para cumplir con estos derechos del interesado como “Acceso”, “Rectificación”, “Borrado”, “Portabilidad” y Derecho a imponer “Restricciones”, InfoBytes Daily ha habilitado sus sistemas de acceso y almacenamiento GSD de tal manera que un conjunto de datos perteneciente a un interesado específico puede extraerse y procesarse por separado.
Por lo tanto, el sistema ha sido diseñado para cumplir con los requisitos más estrictos del RGPD.
Siempre que se recibe una solicitud para el ejercicio de dichos derechos de un Titular de datos, de acuerdo con la política de divulgación de datos, primero se valida la solicitud y luego, en caso de que los datos hayan sido recibidos de un Controlador de datos, se le pedirá al controlador de datos que confirme la divulgación de datos.
Normalmente, la solicitud se procesa en comunicación con el responsable del tratamiento y, si se va a transferir, se devuelve al responsable del tratamiento.
En circunstancias excepcionales en las que InfoBytes Daily tenga que gestionar la solicitud de un interesado sin la cooperación del responsable del tratamiento, se tomarán las precauciones adecuadas para evitar una divulgación indebida, ya que sería de interés legítimo de InfoBytes Daily ser indemnizado por cualquier posible divulgación indebida.
13. Política de transmisión de datos de GSD
Los datos GSD normalmente pueden fluir hacia el sistema a través de una interfaz de aplicación (API). El acceso a la interfaz se realiza a través de un sistema de acceso seguro con contraseña complementado con una autenticación de segundo factor adecuada donde se identifica un riesgo significativo de GSD.
La transmisión de datos se realiza mediante cifrado sujeto a la gestión de la seguridad de la transmisión que cubre las vulnerabilidades conocidas.
La aplicación en sí, junto con sus elementos inherentes de almacenamiento y procesamiento y la API, está protegida contra accesos no autorizados y ataques maliciosos mediante un sistema adecuado de gestión de acceso seguro y malware.
Cuando también se transmite un conjunto GSD al Cliente o al Subcontratista, la transmisión se gestiona a través de canales de comunicación cifrados, ya sea a través de una API o un correo electrónico cifrado.
14. Política de uso de marketing de GSD
Cuando InfoBytes Daily utiliza GSD para cualquier propósito de marketing, ya sea a través de correo electrónico o llamadas telefónicas o de otro modo, se tiene cuidado de garantizar que exista un consentimiento o contrato adecuado para permitir dicha comunicación.
InfoBytes Daily también insiste en que sus socios, tanto los generadores de leads, los procesadores subcontratados como los clientes, no utilicen el GSD excepto según los permisos disponibles.
Cuando no se dispone de un consentimiento inequívoco, no se recopilan datos de contacto comercial de los generadores de contactos ni se transmiten a los clientes ni se procesan a través de los subcontratistas.
Dichos datos se eliminan en primera instancia cuando ingresan al sistema InfoBytes Daily y se identifican como un "GSD sin el consentimiento de procesamiento adecuado".
15. Política de consentimiento de GSD
Toda la información clasificada como GSD en virtud de que el interesado se encuentra en la UE/Reino Unido o que su empleador está ubicado en la UE/Reino Unido se aceptará solo si el interesado ha proporcionado un consentimiento explícito basado en el formato requerido por el RGPD.
En la situación anterior al RGPD, dichos consentimientos generalmente se obtenían bajo los principios de procesamiento de datos personales que incluían un Aviso de Privacidad. Dicho Aviso de Privacidad indicaba qué información se estaba recopilando, el propósito de la recopilación, el tiempo durante el cual se conservaría, cómo se protegería, si la información era exacta, si se transferiría fuera de la UE para su procesamiento, etc. Algunos de los consentimientos se basaron en el principio de “participación voluntaria” como configuración predeterminada.
Según el RGPD, es esencial que los datos personales se recopilen únicamente sobre la base de un consentimiento explícito, donde la opción predeterminada es “optar por no participar” y solo sobre la base de una acción afirmativa que indique aceptación, se aceptará el consentimiento.
Además, el aviso de privacidad también debe indicar que el interesado tiene ciertos derechos como “Derecho a ser informado de la identidad de los procesadores intermedios”, “Derecho de acceso y rectificación”, “Derecho a la portabilidad y supresión”.
En vista de los nuevos requisitos, todos los consentimientos obtenidos en el formato anterior al RGPD se considerarán inválidos y InfoBytes Daily descartará dichos datos.
Los editores externos que generen clientes potenciales para InfoBytes Daily deberán confirmar a través de sus contratos que solo proporcionarán clientes potenciales generados con la nueva forma de consentimiento en caso de que el interesado se encuentre en la UE/Reino Unido.
16. Política de comunicación con las partes interesadas de GSD
InfoBytes Daily opera a través de muchas organizaciones externas que son partes interesadas en el programa de cumplimiento del RGPD de InfoBytes Daily. Dichas organizaciones incluyen sus Clientes, Generadores de Leads, Subcontratistas, etc.
Para un cumplimiento efectivo, no se deben intercambiar datos GSD en ninguna comunicación con las partes interesadas, excepto a través de una transmisión segura y únicamente con representantes autorizados.
Si bien la comunicación a través de API está controlada por la política de acceso, cualquier otra comunicación a través de correo electrónico debe controlarse con una política de comunicación por correo electrónico.
Esencialmente, una política de comunicación por correo electrónico deberá definir que el intercambio de cualquier información de cumplimiento de GSD o GDPR con una parte interesada se realizará únicamente a través de una dirección de correo electrónico de contacto notificada que será, en la mayoría de los casos, el DPO de la otra organización; cuando sea necesario, la comunicación por correo electrónico puede cifrarse y autenticarse. con firma digital.
17. Política de identificación de intereses legítimos de GSD
InfoBytes Daily reconoce que ciertos derechos de los interesados, como el borrado de datos o la rectificación de datos, podrían estar en conflicto con los requisitos de interés legítimo de InfoBytes Daily o pueden estar en conflicto con las leyes de retención de datos que podrían ser aplicables a los datos en vista de otras obligaciones legislativas.
En todos los casos en que se implementen los derechos del interesado, InfoBytes Daily evaluará la solicitud antes de tomar medidas adicionales. En caso de que InfoBytes Daily reconozca la necesidad de rechazar la solicitud o modificarla para su aceptación, se documentarán los motivos y el ISGC desarrollará una nota de interés legítimo de GSD.
Cuando no sea necesario que los datos estén activos, podrán archivarse de forma segura hasta que expire el interés legítimo.
Los motivos para ejercer un argumento de interés legítimo para procesar la solicitud del interesado se comunicarán al Responsable del tratamiento, que es responsable del Interesado, para su posterior transmisión al interesado.
18. Política de Gestión de Personas de GSD
GSD será considerado como un conjunto de datos que requiere atención exclusiva y especial en términos de seguridad de la información mientras se encuentre bajo la custodia de InfoBytes Daily.
Por lo tanto, los GSD serían etiquetados y procesados adecuadamente según sea necesario por un grupo de empleados especialmente capacitados.
Estos empleados y los sistemas en los que se almacenaría, accedería y procesaría GSD se gestionarían de forma segura teniendo en cuenta el nivel de riesgo asociado con GSD.
La asignación de personas a este procesamiento de GSD y su eliminación se gestionará con las medidas de seguridad adecuadas, incluyendo un mayor nivel de verificación de antecedentes, capacitación, identidades de acceso físico, políticas de sanciones, etc.
Las políticas de recursos humanos deben actualizarse adecuadamente para la fuerza laboral de GSD según sea necesario.
19. Política de seudonimización de GSD
Se reconoce que la seudonimización es una estrategia para reducir los riesgos en el procesamiento de GSD.
Los datos personales seudonimizados no se consideran “Datos personales” a los efectos de la regulación GDPR siempre que el proceso de seudonimización esté adecuadamente estructurado.
En vista del nivel actual de exposición de sus operaciones a los Riesgos del RGPD; InfoBytes Daily no ha considerado necesario por el momento utilizar la seudonimización como estrategia para mitigar riesgos.
20. Política GSD DRP-BCP
InfoBytes Daily reconoce la importancia de un plan eficaz de recuperación ante desastres y continuidad del negocio para sus operaciones, incluidas las operaciones que implican el procesamiento de GSD.
InfoBytes Daily mantendrá una copia de seguridad adecuada de los datos de GSD y una capacidad razonable para mantener la continuidad del negocio en caso de cualquier contingencia.
21. Política de documentación de cumplimiento de GSD
Las medidas de cumplimiento del RGPD se documentarán para que estén disponibles para su revisión. La documentación de Compliance se conservará durante un periodo mínimo de 6 años desde su creación.
En caso de que algún documento sea evidencia potencial para requisitos de cumplimiento de la ley o para defender el interés legítimo de InfoBytes Daily, dicho documento se conservará mientras persista el requisito.
22. Política de auditoría de GSD
Un equipo de auditoría de seguridad interna de InfoBytes Daily auditará los activos de información de InfoBytes Daily al menos una vez al año para evaluar el nivel de seguridad y el cumplimiento del RGPD y otros requisitos reglamentarios.
Se podrán considerar auditorías externas sobre la base de una evaluación del ISGC siempre que se produzca un cambio sustancial en el perfil empresarial.
InfoBytes Daily se reserva el derecho de realizar una auditoría de las instalaciones de cualquiera de sus subcontratistas para garantizar el cumplimiento de las obligaciones contractuales.
InfoBytes Daily, sin embargo, reconoce que la facultad de auditar las instalaciones de un subcontratista es una habilitación y solo se utilizará en circunstancias excepcionales. Esto no reduce la responsabilidad del subcontratista de cumplir con los requisitos de cumplimiento por su parte según las garantías contractuales proporcionadas.
23. Política de reparación de quejas de GSD
InfoBytes Daily proporcionará una política de reparación de quejas de varios niveles para solucionar las disputas, si las hubiera, con cualquier interesado. Dichas quejas serán tratadas por el DPO en el primer nivel, el ISGC en el segundo nivel y un Comité de resolución de disputas en línea creado a tal efecto por la Junta en el tercer nivel.
Cualquier consulta de una autoridad supervisora del RGPD será manejada por el DPO y remitida al ISGC cuando sea necesario.
Cualquier disputa con los Clientes, Editores o Subcontratistas se manejará según los respectivos acuerdos contractuales.
24. Política de seguridad de la red
Para garantizar que la infraestructura de TI utilizada por la Compañía sea segura, InfoBytes Daily adoptará una política sólida de seguridad de la información que incluya firewalls, sistemas de detección de intrusiones, sistemas de prevención de malware y parches del sistema, etc., según sea necesario.
Un Gerente de Seguridad de la Información designado será responsable del mantenimiento de la seguridad de la Red.
PD: Este Código está sujeto a revisión de vez en cuando.