Cumplimiento RGPD

Información sobre protección de datos según el Reglamento (UE) 2016/679

Nuestro compromiso con el RGPD

El Reglamento General de Protección de Datos (RGPD) establece el marco normativo para la protección de datos personales en la Unión Europea. En noble-odyssey, no solo cumplimos con esta normativa: la consideramos una oportunidad para demostrar nuestro compromiso con la privacidad de nuestros usuarios.

Desde nuestra fundación, hemos diseñado nuestros sistemas y procesos con la privacidad como principio fundamental. No hemos tenido que adaptar sistemas heredados; construimos pensando en la protección de datos desde el primer día.

Principios que aplicamos

Nuestro tratamiento de datos personales se rige por los principios establecidos en el artículo 5 del RGPD:

Licitud, lealtad y transparencia

Tratamos los datos de forma lícita, leal y transparente. Informamos claramente sobre qué datos recogemos, para qué los usamos y con quién los compartimos. No hay prácticas ocultas ni letra pequeña engañosa.

Limitación de la finalidad

Recogemos datos únicamente para fines específicos, explícitos y legítimos. No utilizamos la información para propósitos distintos de los comunicados sin tu consentimiento previo.

Minimización de datos

Solo solicitamos los datos estrictamente necesarios para cada finalidad. No pedimos información "por si acaso" ni creamos perfiles innecesariamente detallados.

Exactitud

Mantenemos los datos actualizados y te facilitamos herramientas para corregir información inexacta. Si detectamos errores, los corregimos sin demora.

Limitación del plazo de conservación

Conservamos los datos solo durante el tiempo necesario. Cuando ya no son necesarios, los eliminamos de forma segura siguiendo procedimientos establecidos.

Integridad y confidencialidad

Aplicamos medidas técnicas y organizativas apropiadas para proteger los datos contra tratamiento no autorizado, pérdida, destrucción o daños accidentales.

Derechos que puedes ejercer

El RGPD te otorga una serie de derechos sobre tus datos personales. Facilitamos su ejercicio de forma sencilla y gratuita:

Derecho de acceso

Puedes solicitar una copia de todos los datos personales que tenemos sobre ti, incluyendo información sobre cómo los tratamos y con quién los compartimos.

Derecho de rectificación

Si algún dato es incorrecto o está incompleto, puedes solicitar su corrección. También puedes actualizar tu información directamente desde tu panel de usuario.

Derecho de supresión

Puedes solicitar la eliminación de tus datos cuando ya no sean necesarios, hayas retirado tu consentimiento o te opongas al tratamiento.

Derecho a la limitación

En determinadas circunstancias, puedes solicitar que limitemos el tratamiento de tus datos mientras se resuelve una disputa o verificamos su exactitud.

Derecho a la portabilidad

Puedes recibir tus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable si lo deseas.

Derecho de oposición

Puedes oponerte al tratamiento de tus datos cuando se base en interés legítimo o se utilice para fines de marketing directo.

Para ejercer cualquiera de estos derechos, escríbenos a [email protected]. Verificaremos tu identidad y responderemos en un plazo máximo de 30 días.

Medidas de seguridad

Implementamos medidas técnicas y organizativas diseñadas para garantizar un nivel de seguridad adecuado al riesgo:

  • Cifrado: todos los datos en tránsito se protegen mediante TLS 1.3. Los datos sensibles se cifran también en reposo
  • Control de acceso: aplicamos el principio de mínimo privilegio. Cada empleado accede solo a los datos necesarios para su función
  • Autenticación: exigimos contraseñas robustas y ofrecemos autenticación de dos factores para usuarios y empleados
  • Monitorización: registramos y analizamos accesos para detectar actividades sospechosas
  • Copias de seguridad: realizamos backups cifrados con regularidad, almacenados en ubicaciones separadas
  • Actualizaciones: mantenemos nuestros sistemas actualizados con los últimos parches de seguridad
  • Formación: todo el personal recibe formación regular en protección de datos y ciberseguridad

Ubicación de los datos

Todos nuestros servidores principales están ubicados en centros de datos dentro del Espacio Económico Europeo, concretamente en España. Hemos elegido proveedores de infraestructura que cumplen con los más altos estándares de seguridad y certificaciones relevantes (ISO 27001, SOC 2).

En los casos excepcionales en que utilizamos servicios de proveedores fuera del EEE, nos aseguramos de que existan garantías adecuadas según lo establecido en el Capítulo V del RGPD:

  • Cláusulas contractuales tipo aprobadas por la Comisión Europea
  • Proveedores adheridos a marcos de certificación reconocidos
  • Evaluaciones de impacto de transferencias cuando resulta necesario

Encargados del tratamiento

Trabajamos con proveedores externos que tratan datos en nuestro nombre (encargados del tratamiento). Seleccionamos cuidadosamente a estos proveedores y formalizamos contratos que garantizan:

  • Tratamiento exclusivamente según nuestras instrucciones
  • Obligación de confidencialidad para todo el personal
  • Implementación de medidas de seguridad apropiadas
  • Restricciones para subcontratar sin autorización previa
  • Colaboración para atender el ejercicio de derechos
  • Supresión o devolución de datos al finalizar el servicio
  • Disponibilidad para auditorías

Notificación de brechas

Disponemos de procedimientos para detectar, investigar y reportar brechas de seguridad que afecten a datos personales. En caso de producirse una brecha que suponga un riesgo para tus derechos:

  • Notificaremos a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas
  • Si el riesgo es alto, te comunicaremos directamente la incidencia y las medidas adoptadas
  • Documentaremos el incidente y las acciones correctivas implementadas

Evaluaciones de impacto

Antes de implementar tratamientos que puedan suponer un alto riesgo para los derechos de los interesados, realizamos evaluaciones de impacto relativas a la protección de datos (EIPD). Estas evaluaciones nos permiten identificar riesgos y aplicar medidas para mitigarlos antes de que se materialicen.

Delegado de Protección de Datos

Aunque por nuestra dimensión actual no estamos obligados a designar un Delegado de Protección de Datos (DPD), contamos con un responsable de privacidad interno que supervisa el cumplimiento normativo y actúa como punto de contacto para cuestiones relacionadas con la protección de datos.

Puedes contactar con nuestro responsable de privacidad en: [email protected]

Autoridad de control

Si consideras que hemos vulnerado tus derechos en materia de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente:

Agencia Española de Protección de Datos
C/ Jorge Juan, 6
28001 Madrid
www.aepd.es

No obstante, te animamos a contactarnos primero para intentar resolver cualquier incidencia de forma directa y satisfactoria.

Actualizaciones

Esta información se revisa periódicamente para reflejar cambios en nuestras prácticas o en la normativa aplicable. Publicaremos cualquier modificación significativa en esta página y, cuando corresponda, te notificaremos por correo electrónico.

Última revisión: marzo de 2024