GoCardless y el RGPD

Contenido:

1. ¿Qué es el RGPD?
2. ¿Cumple GoCardless el RGPD?
3. ¿Está GoCardless registrada para la protección de datos?
4. El RGPD requiere unos controles de seguridad muy eficaces. ¿Cómo cumple GoCardless con este requisito?
5. ¿Qué datos personales procesa GoCardless?
6. ¿Qué uso se hace de los datos recopilados?
7. ¿Dónde se procesan los datos que recopila GoCardless?
8. ¿Durante cuánto tiempo conserva GoCardless los datos personales?
9. ¿Podéis responder a las solicitudes de los interesados para ejercer sus derechos?
10. Utilizo GoCardless en mi negocio para cobrar pagos. ¿Cómo puedo asegurarme de que cumplo con el RGPD?
11. ¿GoCardless tiene un representante designado en materia de RGPD con el que pueda ponerme en contacto?

Nuestra posición como responsable del tratamiento de datos:

1. ¿Por qué GoCardless es un responsable del tratamiento de los datos personales de los clientes finales?
2. ¿Cómo me afecta a mí, como negocio que usa GoCardless?
3. ¿Cómo me afecta esto a mí, como asociado que ofrece la integración con GoCardless?
4. ¿Cómo me afecta esto a mí cuando pago a un negocio a través de GoCardless?
5. ¿Cómo puedo obtener una copia del acuerdo de procesamiento de datos (APD)?

 

1. ¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es la normativa europea en materia de protección de datos. Sustituye a la Directiva de la Unión Europea en materia de protección de datos de 1995 y entró en vigor en la Unión Europea el 25 de mayo de 2018. También se ha incluido en la legislación del Reino Unido y se mantendrá en efecto en dicho país incluso después del Brexit.

El RGPD amplía los derechos de privacidad concedidos a los interesados (personas de la Unión Europea/EEE) y establece mayores obligaciones para las organizaciones que manejan datos personales de dichos sujetos (responsables y encargados del tratamiento de datos), con independencia de dónde tengan su sede.

El RGPD llega en el momento en el que más datos se están generando por persona a medida que aumenta el uso de servicios y tecnologías. Su intención consiste en estandarizar la protección de datos en todos los países miembros de la Unión Europea y en el Reino Unido después del Brexit. Concede a los ciudadanos de la Unión Europea y el Reino Unido mayor control sobre sus datos personales, aumenta la transparencia en relación con el uso de los datos y asegura que las organizaciones a las que se confían los datos personales los tratarán de la forma adecuada.

2. ¿Cumple GoCardless el RGPD?

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), aprovechamos la oportunidad para reforzar nuestro compromiso en materia de privacidad y seguridad de los datos. En 2017 y 2018, hemos llevado a cabo una revisión y actualización completas de nuestras políticas, acuerdos, procedimientos, productos y sistemas para asegurarnos de cumplir el Reglamento y seguir anteponiendo la protección de los datos a cualquier otra consideración. También tenemos el compromiso de ayudar a nuestros clientes a cumplir los requisitos que establece el Reglamento. Puedes obtener más información sobre los pasos que hemos tomado para prepararnos en una entrada de nuestro blog aquí.

3. ¿Está GoCardless registrada para la protección de datos?

Sí. GoCardless está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA024862.

4. El RGPD requiere unos controles de seguridad muy eficaces. ¿Cómo cumple GoCardless con este requisito?

Desde septiembre de 2016, GoCardless dispone de la certificación ISO 27001 y se somete a auditorías periódicas de una entidad independiente para garantizar el cumplimiento de la certificación. Para cumplir los requisitos de la norma ISO27001, nuestros procedimientos de seguridad se someten a un proceso de revisión y mejora continua, lo que incluye:

• un director de seguridad y un equipo exclusivo especializado en seguridad de aplicaciones, seguridad de operaciones y gestión de riesgos;
• formación obligatoria en materia de seguridad para todos los empleados
• políticas de contraseñas seguras
• procedimientos de seguridad en el desarrollo de productos y el control de cambios
• protocolos de clasificación de información y tratamiento de documentos
• controles de acceso basados en necesidades específicas y auditados periódicamente
• protocolos de resiliencia y continuidad del negocio de los centros de datos;
• protocolos de seguridad para las bases de datos y las copias de seguridad;
• seguridad física para los entornos de nuestras oficinas;
• gestión de claves y cifrado;
• protocolos formales de respuesta a incidentes

5. ¿Qué datos personales procesa GoCardless?

Como responsable del tratamiento de datos personales relacionados con pagadores y negocios que utilizan los servicios de GoCardless, cumplimos el requisito normativo de proporcionar una notificación precisa, completa y clara sobre los datos personales que utilizamos. Puedes leer la Política de privacidad de GoCardless aquí y consultar la entrada de nuestro blog sobre este tema para obtener más información.

6. ¿Qué uso se hace de los datos recopilados?

Procesamos datos personales para proporcionar el servicio de GoCardless a los negocios que trabajan con nosotros. También los utilizamos para mejorar dicho servicio, proporcionar ayuda o prevenir el fraude y el blanqueo de capitales, entre otros usos. No compartimos los datos personales con terceros para sus propios fines no relacionados, como publicidad o cualquier otro objetivo que no corresponda con los servicios de GoCardless.

Puedes leer más sobre la forma en que GoCardless utiliza los datos personales en nuestra Política de privacidad.

7. ¿Dónde se procesan los datos que recopila GoCardless?

GoCardless trabaja con una serie de proveedores y servicios de componentes para ofrecer servicios de procesamiento de pagos a los negocios que operan con nosotros.

Toda nuestra actividad principal de procesamiento de pagos europeos se lleva a cabo en servidores alojados en el Espacio Económico Europeo (EEE). GoCardless trabaja con proveedores cuidadosamente seleccionados para llevar a cabo otras tareas confidenciales que posibilitan la transferencia de datos fuera de este espacio.

Siempre que se almacenan datos personales en esos servicios, nos aseguramos de que la información esté protegida con arreglo a las normas de la Unión Europea mediante un mecanismo aprobado por el RGPD para la transferencia. En nuestra diligencia debida como proveedores, pretendemos lograr el grado de adecuación de la Comisión Europea, la certificación del escudo protector de la intimidad o la aplicación de las normas corporativas vinculantes. Siempre que sean necesarias, formalizamos cláusulas contractuales conforme a las normas de la Unión Europea que rigen las transferencias.

Nos comprometemos a todo ello en la sección titulada "Protección de datos" de nuestros acuerdos de negocios.

8. ¿Durante cuánto tiempo conserva GoCardless los datos personales?

GoCardless lleva a cabo un programa formal de retención y eliminación de datos que cumple con el RGPD. Incluye una norma documentada de retención y eliminación de datos, con un período de retención definido establecido para cada categoría de datos que mantenemos, en base a:

• la relación bajo la cual se obtuvieron los datos y el tipo de interesado;
• la categoría de los datos;
• la finalidad documentada del procesamiento (incluidos los requisitos legales, reglamentarios y del esquema de pago para la retención).

Aplicamos nuestros protocolos de retención en toda la empresa y supervisamos su cumplimiento.

Los períodos de retención reales pueden variar. Por ejemplo, para cumplir la legislación contra el blanqueo de capitales aplicable en los países donde operamos, estamos obligados a conservar durante un determinado número de años los datos personales relacionados con las personas a las que realizamos comprobaciones relacionadas con dicha actividad fraudulenta (por ejemplo, los directores de las empresas que se registran para utilizar nuestro servicio). También debemos conservar los datos relacionados con las transacciones de pagos para poder procesar las demandas de indemnización o las devoluciones correspondientes a través de los sistemas de pago que rigen nuestros servicios (por ejemplo, la domiciliación bancaria en el Reino Unido).

9. ¿Podéis responder a las solicitudes de los interesados para ejercer sus derechos?

Podemos responder a las peticiones de acceso de los interesados e intentamos simplificar el proceso tanto como es posible. Si deseas enviarnos tu solicitud a través de nuestro portal en línea, haz clic aquí.

Si crees que los datos personales que poseemos son incorrectos o están incompletos, envíanos un correo electrónico a info@gocardless.com. Escribe "Privacidad" en el asunto y haz constar los datos de tu solicitud. Nos pondremos en contacto contigo lo antes posible.

10. Utilizo GoCardless en mi negocio para cobrar pagos. ¿Cómo puedo asegurarme de que cumplo con el RGPD?

Como negocio, también eres responsable del tratamiento de los datos personales de tus clientes. Esto significa que es responsabilidad tuya asegurarte de contar con los motivos adecuados para procesar los datos personales de tus clientes y tomar otras medidas requeridas para cumplir con la nueva normativa.

Dado que GoCardless es un responsable del tratamiento de datos independiente, asumimos la responsabilidad directa del cumplimiento de la legislación en las actividades de procesamiento de datos que llevamos a cabo. Para asegurarte de que queda clara nuestra función en los servicios, incluye nuestro nombre y nuestra política de privacidad en tus páginas de pago. Para acceder a instrucciones sobre cómo asegurar que ambas partes cumplimos con nuestras obligaciones en materia de transparencia, consulta nuestra guía de páginas de pago.

11. ¿GoCardless tiene un representante designado en materia de RGPD con el que pueda ponerme en contacto?

GoCardless ha designado formalmente a un responsable de protección de datos para asegurarnos de cumplir con la legislación. Si deseas dirigirle cualquier consulta relacionada con nuestro enfoque de la privacidad y la protección de datos, envía un correo electrónico a help@gocardless.com con la palabra "Privacidad" en el asunto.

 

Nuestra posición como responsables del tratamiento de datos

1. ¿Por qué GoCardless es un responsable del tratamiento de los datos personales de los clientes finales?

La ley de protección de datos trata a las empresas que gestionan datos personales como responsables del tratamiento o procesadores de datos. Bajo la ley de protección de datos, la mayoría de las empresas que actúan como proveedores para otras empresas se consideran procesadores de datos. Pero hay excepciones, que se suelen aplicar en aquellos casos en los que unas empresas prestan servicios a otras en áreas muy reguladas, como ocurre con los pagos.

Como parte de nuestra preparación de cara al RGPD, hemos llevado a cabo una profunda revisión de nuestras actividades de procesamiento y hemos llegado a la conclusión de que, según la ley, debemos actuar como responsables del tratamiento de datos, no como procesadores de datos. Hemos basado esta decisión en:

• las indicaciones de nuestro organismo regulador de protección de datos, el Comisionado de Información del Reino Unido;
• la jurisprudencia que interpreta estos requisitos;
• las indicaciones del Grupo de Trabajo del Artículo 29, un grupo de asesoramiento relacionado con la ley de protección de datos de la Unión Europea; 
• el asesoramiento de nuestros abogados externos en materia de protección de datos.

Cuando recopilamos y procesamos los datos personales relativos a personas que compran tus bienes o servicios por medio de pagos con tecnología de GoCardless, estamos sujetos a requisitos, reglas, leyes y normas que debemos cumplir, así como a procesos diseñados para que nuestros servicios de pago funcionen con más eficacia, y se apliquen los protocolos adecuados de control del fraude y otros riesgos (en terminología legal, estamos determinando "los fines y los medios"). Por ejemplo, determinamos el período de tiempo durante el que debemos conservar los datos de los clientes finales para cumplir los requisitos reglamentarios de los esquemas de pago.

Puedes leer más acerca de este rol, y lo que significa para nuestros negocios y sus clientes, en nuestro blog.

2. ¿Cómo me afecta a mí, como negocio que usa GoCardless?

La posición de GoCardless como responsable del tratamiento de datos es una ventaja para los negocios que trabajan con nosotros. GoCardless asume la responsabilidad directa de las obligaciones legales relacionadas con el procesamiento de los datos personales de nuestros servicios de pago. Tus clientes finales tienen una relación legal directa con GoCardless en cuanto al uso que hacemos de sus datos personales. Esto implica que pueden ejercer determinados derechos directamente contra nosotros.

Para que podamos cumplir con nuestras respectivas obligaciones conforme a la ley, te pedimos que incluyas un enlace a nuestra política de privacidad en el punto de cobro o en otras interfaces disponibles.

Si tienes alguna pregunta sobre este requisito, escríbenos a help@gocardless.com.

3. ¿Cómo me afecta esto a mí, como asociado que ofrece la integración con GoCardless?

Como asociado, también serás un negocio de GoCardless y habrás suscrito con la plataforma un acuerdo de servicios de pago o negocios, además del acuerdo de asociados. Por lo tanto, lo señalado en el punto 2 también te afecta.

De conformidad con los términos del Acuerdo de asociados de integración de GoCardless, y conforme a lo previsto en el Acuerdo de negocios conectados que los negocios de GoCardless deben aceptar antes de conectarse a tu sistema, debes suscribir un acuerdo con cada uno de los negocios que utilizan tu servicio, donde se expongan los términos adecuados en materia de protección de datos. Cuando un negocio activa tu integración, apela a su capacidad como responsable del tratamiento datos para autorizarnos a compartir contigo todos los datos personales de los clientes, y es tu responsabilidad proteger dichos datos y proporcionar suficientes garantías al respecto. Esto no ha cambiado al adherirnos a la función de responsables del tratamiento. Los acuerdos ya deberían estar suscritos.

Los negocios que trabajan con nosotros deben asegurarse de que nuestra política de privacidad esté disponible en todo momento para sus clientes finales. Siempre que se proporcionen páginas de pago, deberá incluirse un enlace a nuestra política de privacidad. Nuestros términos actualizados para el RGPD establecen este requisito, así como la capacidad de GoCardless de comprobar que dicha política se ha incluido.

4. ¿Cómo me afecta esto a mí cuando pago a un negocio a través de GoCardless?

GoCardless es el proveedor de pagos para un negocio al que realizas pagos de forma recurrente. Somos una organización regulada por la FCA británica y centrada en la prestación del mejor servicio de domiciliación bancaria disponible.

Tras una revisión exhaustiva con motivo del Reglamento General de Protección de Datos, hemos aclarado nuestra posición como responsables del tratamiento de los datos relacionados con personas que hacen pagos a empresas a través de GoCardless. Las razones de esta aclaración se hallan expuestas en una entrada reciente de nuestro blog. Además, nuestra Política de privacidad establece cómo, cuándo y por qué utilizamos tus datos personales.

El RGPD impone normas estrictas sobre cómo podemos utilizar tus datos, cómo debemos protegerlos y cómo debemos actuar si algo sale mal. Además, estamos obligados por la normativa de servicios financieros, que también cubre los datos y la seguridad. Puedes tener la seguridad de que trataremos tus datos de manera respetuosa y conforme a la ley.

Si tienes alguna otra duda, ponte en contacto con nosotros o con el negocio al que realizas pagos a través de GoCardless.

5. ¿Cómo puedo obtener una copia del acuerdo de procesamiento de datos (APD)?

Puedes revisar los términos actualizados sobre la protección de datos que se aplican a tu acuerdo con nosotros en la sección denominada "Protección de datos" de nuestro Acuerdo de negocios en línea.

Observarás varias diferencias respecto a la lista de términos requeridos por el artículo 28 del RGPD. Esto se debe a que el acuerdo refleja nuestra función como responsables del tratamiento de datos independientes. El artículo 28 solo se aplica a los contratos con los procesadores de datos, ya que impone por contrato las obligaciones que la ley establece directamente a los responsables del tratamiento de estos.