Ayuda
Español Deutsch English (AU) English (GB) Français

Does this article answer your request?

Thank you, your ticket has been marked as resolved!

If you have any further questions, please reply via your recent email from us or alternatively submit a new request to our Support team here.

Dismiss

Sorry we couldn't solve your issue here! Your original request has been received and we'll get back to you as soon as possible.

Dismiss

Artículos en esta sección

GoCardless y el RGPD

Contenido:

  1. ¿Qué es el RGPD?
  2. ¿Qué finalidad tiene el RGPD?
  3. ¿Cuándo entra en vigor el Reglamento?
  4. ¿Cumple GoCardless el RGPD?
  5. ¿Os sometéis a auditorías independientes o tenéis la certificación ISO 27001?
  6. ¿Qué datos personales procesa GoCardless?
  7. ¿Qué uso se hace de los datos que recopila GoCardless?
  8. ¿Dónde se procesan los datos que recopila GoCardless?
  9. ¿Cuánto tiempo conserva GoCardless los datos personales?
  10. Si el interesado solicita que se le suministre la información que tenéis sobre él, ¿es posible hacerlo?
  11. ¿GoCardless puede modificar los datos personales que posee si son incorrectos o están incompletos?
  12. Soy un negocio que utiliza GoCardless para cobrar pagos; ¿necesito establecer alguna medida nueva con mis clientes antes de la entrada en vigor del RGPD?
  13. ¿GoCardless tiene un representante designado en materia de RGPD con el que pueda ponerme en contacto sobre cualquier consulta adicional que tenga?

Nuestra posición como responsable del tratamiento de datos:

  1. ¿Por qué GoCardless es un responsable del tratamiento de los datos personales de los clientes finales?
  2. ¿Qué consecuencias tiene para mi entidad? ¿Cómo me afecta a mí como negocio?
  3. ¿Cómo afecta a mis clientes finales el hecho de que sea un responsable del tratamiento de datos?
  4. ¿Ser un responsable del tratamiento de datos supone algún cambio respecto al lugar donde se tratan los datos según lo expuesto en la pregunta 8 anterior?
  5. ¿El hecho de que GoCardless actúe como responsable del tratamiento de datos afecta al modo en el que manejáis mis datos como negocio de GC?
  6. Soy un asociado, ¿cómo me afecta esto?
  7. ¿Cómo me afecta a mí esto, como cliente final o como alguien que paga a un negocio a través de GoCardless?

 

 

1. ¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es la nueva normativa europea en materia de protección de datos. Sustituye a la Directiva de la Unión Europea en materia de protección de datos de 1995 y entra en vigor el 25 de mayo de 2018. Ese mismo día también entrará en vigor la Ley de Protección de Datos del Reino Unido, que recibirá el nombre de Data Protection Act 2018 y supone la aplicación efectiva del RGPD en la legislación británica.

Esta legislación amplía los derechos de privacidad concedidos a los interesados (personas de la Unión Europea/EEE) y establecen mayores obligaciones para las organizaciones que manejan datos personales de dichas personas (responsables y encargados del tratamiento de datos), con independencia de dónde tengan su sede las organizaciones.

 

2. ¿Qué finalidad tiene el RGPD?

El propósito del RGPD y la Ley de Protección de Datos del Reino Unido es proporcionar un conjunto estandarizado de leyes de protección de datos común para todos los países miembros de la Unión Europea (y el Reino Unido tras el brexit) que proporcionan a los ciudadanos de la Unión Europea y el Reino Unido un mayor control sobre sus datos personales. Por ejemplo, creando mayor transparencia sobre cómo se utilizan tus datos y asegurándose de que las organizaciones a las que confías tus datos los protejan. El Reglamento llega en un momento en el que las personas generan cada vez más datos a medida que utilizan más servicios y tecnologías.

 

3. ¿Cuándo entra en vigor el Reglamento?

El 25 mayo de 2018.

 

4. ¿Cumple GoCardless el RGPD?

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, aprovechamos la oportunidad para reforzar nuestro compromiso en materia de privacidad y seguridad de los datos. Hemos introducido modificaciones en nuestras políticas, procedimientos, productos y sistemas para asegurarnos de cumplir el Reglamento y seguir anteponiendo la protección de los datos a cualquier otra consideración. También tenemos el compromiso de ayudar a nuestros clientes a cumplir los requisitos que estable el Reglamento. Puedes obtener más información sobre los pasos que hemos tomado para prepararnos para la entrada en vigor del RGPD en una entrada de nuestro blog aquí

 

5. ¿Os sometéis a auditorías independientes o tenéis la certificación ISO 27001?

Desde septiembre de 2016, GoCardless dispone de la certificación ISO 27001 y se somete a auditorías periódicas de una entidad independiente para garantizar el cumplimiento de la certificación. Para cumplir los requisitos de la norma ISO 27001, nuestros procedimientos de seguridad se someten a un proceso de revisión y mejora continua, lo que incluye:

  • un equipo de seguridad exclusivo especializado en seguridad de aplicaciones, seguridad de operaciones y gestión de riesgos
  • formación obligatoria en materia de seguridad para todos los empleados
  • políticas de contraseñas seguras
  • procedimientos de seguridad en el desarrollo de productos y el control de cambios
  • protocolos de clasificación de información y tratamiento de documentos
  • controles de acceso basados en necesidades específicas y auditados periódicamente
  • protocolos de resiliencia y continuidad del negocio de los centros de datos
  • protocolos de seguridad para las bases de datos y las copias de seguridad
  • seguridad física del entorno de nuestras oficinas
  • gestión de claves y cifrado
  • protocolos formales de respuesta a incidentes

 

6. ¿Qué datos personales procesa GoCardless?

Como responsable del tratamiento de datos personales relacionados con pagadores y negocios que utilizan los servicios de GoCardless, cumplimos el requisito normativo de proporcionar una notificación precisa, completa y clara sobre los datos personales que utilizamos en nuestra notificación de privacidad. Puedes leer la notificación de privacidad de GoCardless aquí y consultar la entrada en nuestro blog sobre este tema para obtener más información.

 

7. ¿Qué uso se hace de los datos que recopila GoCardless?

Procesamos datos personales con el fin de proporcionar a nuestros negocios el servicio de GoCardless. También utilizamos los datos personales que poseemos para mejorar el servicio de GoCardless, para proporcionar ayuda, prevenir el fraude y el blanqueo de capitales por parte de nuestros negocios y sus clientes y con fines similares. No proporcionamos los datos personales que poseemos a agencias de publicidad, ni a terceros para otros fines similares no relacionados con nuestra actividad.

Si deseas más información, consulta la Notificación de privacidad.

 

8. ¿Dónde se procesan los datos que recopila GoCardless?

GoCardless depende de una serie de servicios de componentes y proveedores para prestar los servicios de procesamiento de pagos a nuestros negocios.

La totalidad de nuestro procesamiento principal (el procesamiento de pagos europeos) se lleva a cabo en servidores alojados en el Espacio Económico Europeo (EEE). GoCardless utiliza proveedores cuidadosamente seleccionados para realizar otras tareas discretas que pueden ocasionar que se transfieran datos fuera del EEE.

Siempre que se almacenan datos en esos servicios, nos aseguramos de que dichos datos estén protegidos con arreglo a las normas de la Unión Europea, mediante el uso de un mecanismo para la transferencia que esté aprobado por la Unión Europea. Por ejemplo, formalizamos cláusulas contractuales conforme a las normas de la Unión Europea (o "cláusulas modelo") con los proveedores de esos servicios con respecto a la transferencia de cualesquiera datos personales, a menos que se disponga de otro mecanismo de transferencia aprobado, como que el negocio esté certificado bajo el marco del Escudo protector de la intimidad entre la Unión Europea y los EE. UU., en cuyo caso, las cláusulas modelo no son necesarias.

Nos comprometemos a hacerlo en el apartado denominado "protección de datos" del acuerdo que formalizamos con cada uno de nuestros negocios.

 

9. ¿Cuánto tiempo conserva GoCardless los datos personales?

Conservamos los datos durante distintos períodos, en función de la relación a través de la cual se obtuvieron, el tipo de interesado (es decir, la persona a la que se refieren), el tipo de datos (por ejemplo, la dirección de correo electrónico) y el tipo de uso (por ejemplo, si se utilizan para procesar pagos). Cuando corresponde, acordamos estos periodos con nuestros clientes.

Por ejemplo, para cumplir las normas de lucha contra el blanqueo de capitales estamos obligados a conservar durante una determinada cantidad de años los datos personales relacionados con las personas a las que sometemos a comprobaciones de lucha contra el blanqueo de capitales (por ejemplo, los directores de las empresas que se registran para utilizar nuestro servicio).

En la parte de procesamiento de pagos, debemos conservar datos para poder tramitar demandas de indemnización/devoluciones en los diversos sistemas de pago (por ejemplo, la domiciliación bancaria en el Reino Unido) para los que procesamos pagos.

 

10. Si el interesado solicita que se le suministre la información que tenéis sobre él, ¿es posible hacerlo?

Podemos responder directamente a las peticiones de acceso de los interesados en los casos en los que somos responsables del tratamiento de los datos. En determinadas circunstancias, cuando procesamos inicialmente los datos en nombre de un negocio, es posible que necesitemos obtener el permiso de dicho negocio para compartir datos contigo o para redirigirte a ese negocio. En cualquier caso, te facilitaremos todo lo posible el proceso: tenemos un portal en línea a través del cual puedes enviarnos tu solicitud y al que puedes acceder aquí.

 

11. ¿GoCardless puede modificar los datos personales que posee si son incorrectos o están incompletos?

Si crees que los datos que poseemos sobre una personas son incorrectos o están incompletos, envíanos un correo electrónico a la dirección info@gocardless.com que ponga "Privacidad" en el asunto y donde hagas constar los datos de tu consulta/solicitud. Te daremos una respuesta individualizada lo antes posible.

 

12. Soy un negocio que utiliza GoCardless para cobrar pagos; ¿necesito establecer alguna medida nueva con mis clientes antes de la entrada en vigor del RGPD?

Como negocio, también eres responsable del tratamiento de los datos personales de tus clientes. Esto significa que tienes la responsabilidad de asegurarte de tener motivos adecuados para procesar los datos personales de tus clientes de conformidad con el RGPD en términos generales y de tomar otras medidas requeridas para cumplir con la nueva normativa. Como GoCardless es un responsable del tratamiento de datos independiente, asumimos la responsabilidad directa sobre el cumplimiento de la legislación sobre el procesamiento de datos que llevamos a cabo.

 

13. ¿GoCardless tiene un representante designado en materia de RGPD con el que pueda ponerme en contacto sobre cualquier consulta adicional que tenga?

Si tienes alguna pregunta relacionada con el enfoque de GoCardless sobre el procesamiento de datos personales, visita nuestro blog aquí o ponte en contacto con nosotros por correo electrónico a través de la dirección help@gocardless.com.

 

Nuestra posición como responsable del tratamiento de datos

1. ¿Por qué GoCardless es un responsable del tratamiento de los datos personales de los clientes finales?

Un elemento primordial para determinar si una organización es responsable del tratamiento o encargada del tratamiento de datos consiste en saber si la organización debe procesar datos personales únicamente de acuerdo con las instrucciones y el control estricto de otra organización. En ese caso, la organización es una encargada del tratamiento. Si en vez de ello la organización determina el "cómo" y el "porqué" en cuanto al tratamiento de un conjunto de datos personales, probablemente la organización es responsable del tratamiento. Por lo tanto, una consideración importante para establecer si una organización es responsable del tratamiento consiste en saber si se debe decidir el cómo y el porqué sobre el uso de los datos personales para satisfacer sus propias necesidades de negocio independientes o sus obligaciones legales.

De acuerdo con lo anterior, después de realizar una revisión pormenorizada de nuestros sistemas, políticas, procedimientos y obligaciones, hemos determinado que GoCardless actúa como responsable del tratamiento cuando procesa datos personales relacionados con los negocios y los pagadores.

En relación a los datos personales de un negocio (es decir, los datos relacionados con los empleados y directores, o de cualquier persona similar sobre la que nos proporciones datos, como parte de tu negocio de GoCardless), GoCardless hace uso de los datos personales del negocio para nuestros propios propósitos empresariales, como, por ejemplo, para comunicarnos contigo, evaluar y mejorar el servicio, realizar controles relacionados con la lucha contra el blanqueo de capitales, emitirte facturas y llevar a cabo una supervisión para detectar actividades fraudulentas.

En relación a los datos personales de los clientes (es decir, los datos relacionados con personas que adquieren tus bienes o servicios mediante pagos cobrados por GoCardless), GoCardless está sujeta a una serie de requisitos, normas, leyes y reglamentos que debe cumplir (el "porqué"). Para cumplir todas estas normas, leyes, etc., GoCardless determina cómo utilizar los datos personales de los clientes con arreglo a las mismas. Por ejemplo, determinamos el periodo de tiempo durante el que conservamos los datos de los clientes finales para cumplir los requisitos reglamentarios de los diversos esquemas de pago. Un buen ejemplo de ello es la conservación de los datos de los clientes en relación con cobros de domiciliaciones bancarias en Reino Unido mediante Bacs.

Existe gran cantidad de directrices sectoriales sobre esta determinación, como la ICO británica y el Grupo de trabajo del artículo 29.

Esperamos que esta información adicional resulte de utilidad para explicar nuestra posición.

 

2. ¿Qué consecuencias tiene para mi entidad? ¿Cómo me afecta a mí como negocio?

No está previsto que tenga ningún efecto negativo sobre tu negocio. Estos son los cambios más importantes:

  • GoCardless va a asumir mayor responsabilidad sobre el tratamiento de datos relacionados con tus clientes finales
  • Es necesario que actualizamos los términos sobre protección de datos del contrato que hemos suscrito contigo
  • Es posible que te solicitemos que incluyas un enlace a nuestra Política de privacidad dentro de tu política de privacidad (este punto es aplicable si utilizas páginas de pago personalizadas con tu marca o páginas de pago de terceros asociados)

Si tienes alguna duda o consulta, háznoslo saber.

 

3. ¿Cómo afecta a mis clientes finales el hecho de que sea un responsable del tratamiento?

Tus clientes finales tienen una relación directa con GoCardless en cuanto al uso que hacemos de sus datos personales. Esto implica que tenemos una obligación directa con ellos en lo que respecta a dicho uso y que pueden ejercer determinados derechos directamente contra nosotros.

También significa que confiamos en que de ahora en adelante podremos proporcionar un servicio aún mejor a los clientes de los negocios que utilizan GoCardless para cobrar los pagos.

 

4. ¿Ser un responsable del tratamiento supone algún cambio respecto al lugar donde se tratan los datos según lo expuesto en la pregunta 8 anterior? (puedes consultarla aquí)

No, hemos aclarado que GoCardless desempeña un papel de responsable del tratamiento de los datos personales de los negocios y de las personas que realizan pagos a dichos negocios a través de nuestro servicio. Esta aclaración no afecta a nuestra decisión de suministrar nuestro servicio principal, el procesamiento de pagos, en servidores alojados en el Espacio Económico Europeo (EEE). No habrá ningún cambio en este sentido. Para otras tareas puntuales, GoCardless seguirá trabajando con proveedores cuidadosamente seleccionados para llevar a cabo dichas tareas, lo que puede implicar una transferencia de datos fuera del EEE.

Siempre que se almacenan datos en esos servicios, nos aseguramos de que dichos datos estén protegidos con arreglo a las normas de la Unión Europea, mediante el uso de un mecanismo para la transferencia que esté aprobado por la Unión Europea. Por ejemplo, formalizamos cláusulas contractuales conforme a las normas de la Unión Europea (o "cláusulas modelo") con los proveedores de esos servicios con respecto a la transferencia de cualesquiera datos personales (y seguiremos haciéndolo), a menos que se disponga de otro mecanismo de transferencia aprobado, como que el proveedor esté certificado bajo el marco del Escudo protector de la intimidad entre la Unión Europea y los EE. UU., en cuyo caso, las cláusulas modelo no son necesarias.

El compromiso que hemos asumido de que el tratamiento y la transferencia de datos personales se efectuaran de conformidad con el RGPD está incluido en el apartado denominado "Protección de datos" del acuerdo que formalizamos con cada uno de nuestros negocios.

 

5. ¿El hecho de que GoCardless actúe como responsable del tratamiento afecta al modo en el que manejáis mis datos como negocio de GC?

No, hemos aclarado que GoCardless desempeña un papel de responsable del tratamiento de los datos personales de los negocios y de las personas que realizan pagos a dichos negocios a través de nuestro servicio. Esta aclaración no afecta a nuestra posición respecto a los datos de los propios negocios, como, por ejemplo, la información sobre los propietarios y los directores del negocio que nos facilitaste al registrarte en GoCardless. Siempre hemos tenido claro que somos responsables del tratamiento de esos datos, ya que somos quienes decidimos los datos que recopilamos, cómo los utilizamos y el porqué. Por ejemplo, utilizamos los datos de registro para llevar a cabo los controles de lucha contra el blanqueo de capitales que estamos obligados a llevar a cabo antes de poder suministrar servicios de pago a cualquier negocio.

No obstante, el RGPD nos ha obligado a trabajar intensamente de puertas adentro para introducir cambios y mejoras en el modo en el que manejamos todos los datos personales a fin de asegurarnos de cumplir los elevados estándares que establece el RGPD.

 

6. Soy un asociado, ¿cómo me afecta esto?

El hecho de que GoCardless sea responsable del tratamiento de los datos de los clientes finales tiene las siguientes implicaciones para los asociados de GoCardless (es decir, los que ofrecen una integración con GoCardless):

1. Como asociado, también serás un negocio de GoCardless y habrás suscrito con GoCardless un acuerdo de servicios de pago o un acuerdo de negocios. Los términos de este acuerdo se actualizarán para reflejar nuestro papel de responsable del tratamiento. Te enviaremos toda la información al respecto por correo electrónico.

2. De conformidad con los términos del Acuerdo de asociados de integración de GoCardless y conforme a lo previsto en el Acuerdo de negocios conectados (que los negocios de GoCardless deben aceptar antes de conectarse al sistema de un asociado, como el tuyo), debes suscribir un acuerdo con cada negocio que utilice tu servicio que incluya términos adecuados sobre la protección de datos. Cuando un negocio activa tu integración, este utiliza su rol de responsable del tratamiento datos para autorizarnos a compartir contigo todos los datos personales de sus clientes y tú tienes la obligación de proteger los datos y proporcionar suficientes garantías al respecto. Esto no ha cambiado como resultado de nuestra posición de responsable del tratamiento. Estos acuerdos ya deberían haber sido suscritos.

3. Nuestros negocios deben asegurarse de que nuestra Política de privacidad esté disponible en todo momento para sus clientes finales. Si les suministras páginas de pago que no incluyan un enlace directo a ella, debes incluir un enlace a nuestra Política de privacidad en tu política de privacidad o en las páginas de pago. Te sugerimos que utilices la siguiente formulación: "Utilizamos GoCardless para procesar tus pagos por domiciliaciones bancarias. Hay más información sobre la forma en la que GoCardless procesa sus datos personales y sus derechos en materia de protección de datos, incluido su derecho de oposición, disponible en https://gocardless.com/es-es/legal/privacidad/". Los nuevos términos establecen este requisito y también confieren a GoCardless la capacidad de comprobar que has incluido ese mensaje.

 

7. ¿Cómo me afecta a mí esto, como cliente final o como alguien que paga a un negocio a través de GoCardless?

GoCardless es el proveedor de pagos para un negocio al que realizas pagos de forma recurrente. Somos una organización regulada por la FCA británica y centrada en la prestación del mejor servicio de domiciliación bancaria disponible.

Tras una revisión exhaustiva con motivo del Reglamento General de Protección de Datos, hemos aclarado nuestra posición como responsable del tratamiento de los datos relacionados con personas que hacen pagos a negocios a través de GoCardless, como es tu caso. Las razones de esta aclaración se hallan expuestas en una entrada reciente en nuestro blog. Además, nuestra notificación de privacidad establece cómo, cuándo y por qué utilizamos tus datos personales.

El RGPD impone restricciones estrictas sobre los usos que podemos hacer de tus datos, cómo debemos protegerlos y lo que debemos hacer si algo sale mal. Además, estamos obligados por la normativa de servicios financieros, que también cubre los datos y la seguridad. Así que puedes tener la seguridad de que trataremos tus datos con respeto y con arreglo a la ley.

Si tienes alguna otra duda, ponte en contacto con nosotros o con el negocio al que realizas pagos a través de GoCardless.

 

Artículos relacionados