POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

DATIFICA – ESCUELA CONSTRUYE CON DATOS – MARCA PERSONAL GUILLE ACEVEDO

Última actualización: 16 de junio de 2025
Versión: 2.1
Entrada en vigor: 16 de junio de 2025

1. DISPOSICIONES GENERALES Y MARCO NORMATIVO

1.1 Ámbito de Aplicación

La presente Política de Privacidad y Protección de Datos Personales (en adelante, «la Política») establece los términos, condiciones, procedimientos y salvaguardas bajo los cuales DATIFICA – SISTEMAS DIGITALES DE INTEGRACIÓN (en adelante, «DATIFICA», «el Responsable», «nosotros» o «la Organización») procede a la recopilación, tratamiento, almacenamiento, transferencia, supresión y demás operaciones de procesamiento de datos personales de usuarios, clientes, visitantes, suscriptores y cualquier otra persona física identificada o identificable (en adelante, «el Interesado», «usted» o «el Usuario») que interactúe con nuestros servicios digitales, plataformas tecnológicas, sistemas de información y canales de comunicación.

1.2 Marco Jurídico de Referencia

Esta Política se desarrolla en estricto cumplimiento de las disposiciones contenidas en:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos – RGPD);
Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas);
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD);
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE);
Legislación nacional aplicable en materia de protección de datos personales según la jurisdicción del Usuario;
Directrices, recomendaciones y decisiones adoptadas por el Comité Europeo de Protección de Datos (CEPD);
Resoluciones y criterios interpretativos de las Autoridades de Control competentes.

1.3 Principios Rectores del Tratamiento

El tratamiento de datos personales efectuado por DATIFICA se fundamenta en los siguientes principios establecidos en el artículo 5 del RGPD:

a) Principio de licitud, lealtad y transparencia: Todo tratamiento se realiza de manera lícita, leal y transparente en relación con el interesado; b) Principio de limitación de la finalidad: Los datos se recopilan con fines determinados, explícitos y legítimos, y no son tratados ulteriormente de manera incompatible con dichos fines; c) Principio de minimización de datos: Los datos son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; d) Principio de exactitud: Los datos son exactos y, si fuera necesario, actualizados; e) Principio de limitación del plazo de conservación: Los datos se mantienen de forma que se permita la identificación de los interesados durante no más tiempo del necesario; f) Principio de integridad y confidencialidad: Los datos se tratan de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental; g) Principio de responsabilidad proactiva: El responsable del tratamiento es responsable del cumplimiento de los principios anteriores y debe ser capaz de demostrarlo.

2. DEFINICIONES Y TERMINOLOGÍA TÉCNICA

Para los efectos de interpretación y aplicación de la presente Política, se establecen las siguientes definiciones técnicas y jurídicas:

2.1 Definiciones Principales

«Datos personales»: Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.

«Tratamiento»: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

«Responsable del tratamiento»: La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.

«Encargado del tratamiento»: La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

2.2 Definiciones Técnicas Específicas

«Sistemas de Información»: Conjunto de elementos interrelacionados (hardware, software, datos, redes, personas y procedimientos) que recopilan, filtran, procesan, crean y distribuyen datos para apoyar la toma de decisiones y el control en una organización.

«Algoritmos de Procesamiento»: Conjunto finito de reglas, instrucciones o pasos que, ejecutados mecánicamente, resuelven un problema, realizan un cómputo, procesan datos y llevan a cabo otras tareas de tratamiento automatizado.

«Logs de Acceso»: Registros automatizados que contienen información detallada sobre las actividades de los usuarios en sistemas informáticos, incluyendo direcciones IP, timestamps, recursos accedidos y acciones realizadas.

«Metadatos»: Datos que proporcionan información sobre otros datos, incluyendo información sobre la estructura, el contexto, la calidad y las características de los datos principales.

3. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

3.1 Datos Identificativos

Denominación social: DATIFICA – SISTEMAS DIGITALES DE INTEGRACIÓN Representante legal: Guillermo Acevedo [Apellidos completos] Domicilio social: [Dirección completa, código postal, ciudad, país] Número de identificación fiscal: [NIF/CIF correspondiente] Registro mercantil: [Datos de inscripción registral si aplica] Correo electrónico de contacto: contacto@datifica.com Correo electrónico para asuntos de privacidad: privacidad@datifica.com Teléfono de contacto: [Número de teléfono] Sitio web oficial: https://www.datifica.com

3.2 Delegado de Protección de Datos (DPO)

En cumplimiento del artículo 37 del RGPD y evaluando la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, DATIFICA ha designado un Delegado de Protección de Datos cuyos datos de contacto son:

Nombre: [Nombre del DPO o indicación de servicio externo] Correo electrónico: dpo@datifica.com Dirección postal: [Dirección del DPO]

3.3 Representante en la Unión Europea

En caso de que DATIFICA no esté establecida en la Unión Europea, se designará un representante conforme al artículo 27 del RGPD:

Denominación: [Nombre del representante] Dirección: [Dirección en la UE] Contacto: representante-ue@datifica.com

4. BASE JURÍDICA Y FUNDAMENTOS LEGALES

4.1 Legitimación del Tratamiento

El tratamiento de datos personales efectuado por DATIFICA se fundamenta en las siguientes bases jurídicas establecidas en el artículo 6.1 del RGPD:

4.1.1 Consentimiento del Interesado (Art. 6.1.a RGPD)

Para tratamientos específicos que requieren consentimiento explícito, incluyendo:

Suscripción voluntaria a newsletters y comunicaciones promocionales
Participación en estudios de mercado y encuestas de satisfacción
Utilización de cookies no técnicas y tecnologías de seguimiento
Tratamientos con fines de marketing directo y personalización avanzada

Características del consentimiento:

Libre: Otorgado sin coerción, presión o influencia indebida
Específico: Referido a finalidades concretas y determinadas
Informado: Basado en información clara y comprensible
Inequívoco: Manifestado mediante declaración o acción afirmativa clara
Revocable: Susceptible de retirada en cualquier momento

4.1.2 Ejecución de un Contrato (Art. 6.1.b RGPD)

Para el tratamiento necesario para:

Procesamiento y gestión de pedidos de productos digitales
Provisión de acceso a sistemas y plataformas educativas
Administración de cuentas de usuario y perfiles de cliente
Facturación, cobro y gestión de pagos
Soporte técnico y atención al cliente contractual
Cumplimiento de obligaciones derivadas de los términos de servicio

4.1.3 Cumplimiento de Obligación Legal (Art. 6.1.c RGPD)

Para tratamientos requeridos por disposiciones legales, incluyendo:

Conservación de registros contables y fiscales
Cumplimiento de obligaciones tributarias
Reporte a autoridades competentes cuando sea legalmente requerido
Conservación de datos para fines de auditoría legal
Cumplimiento de normativas sectoriales aplicables

4.1.4 Interés Legítimo (Art. 6.1.f RGPD)

Para tratamientos necesarios para satisfacer intereses legítimos de DATIFICA, cuando tales intereses no sean anulados por los intereses o derechos fundamentales del interesado:

Intereses legítimos identificados:

Seguridad de sistemas informáticos y prevención de fraude
Análisis de uso y optimización de servicios digitales
Desarrollo y mejora de productos y servicios
Gestión de la relación comercial y fidelización
Marketing directo a clientes existentes
Ejercicio de derechos en procedimientos judiciales
Transferencias intraempresariales de datos administrativos

Evaluación de proporcionalidad: Para cada tratamiento basado en interés legítimo, DATIFICA realiza una evaluación de proporcionalidad (balancing test) que considera:

La legitimidad y relevancia del interés perseguido
La necesidad del tratamiento para el interés identificado
El impacto en los derechos y libertades del interesado
La existencia de medidas de salvaguarda apropiadas

4.2 Legitimación para Categorías Especiales de Datos

En caso de tratamiento de categorías especiales de datos personales (artículo 9 RGPD), se aplicarán las siguientes bases de legitimación adicionales:

Consentimiento explícito del interesado (Art. 9.2.a RGPD)
Necesidad para el cumplimiento de obligaciones legales (Art. 9.2.b RGPD)
Interés público esencial (Art. 9.2.g RGPD)
Fines de medicina preventiva o laboral (Art. 9.2.h RGPD)

5. CATEGORÍAS DE DATOS PERSONALES OBJETO DE TRATAMIENTO

5.1 Datos de Identificación y Contacto

Categorías de datos tratados:

Nombre completo (nombre de pila y apellidos)
Direcciones de correo electrónico (principal y alternativas)
Números de teléfono (fijo y móvil)
Dirección postal completa (calle, número, código postal, ciudad, provincia, país)
Fecha de nacimiento (cuando sea requerida para verificación de edad)
Nacionalidad (para cumplimiento de restricciones geográficas)
Idioma de preferencia para comunicaciones

Fuentes de obtención:

Formularios de registro y suscripción
Procesos de compra y transacciones
Comunicaciones directas del usuario
Actualizaciones de perfil del usuario

5.2 Datos Económicos y Transaccionales

Información financiera tratada:

Datos de tarjetas de crédito/débito (números tokenizados)
Información de cuentas bancarias (para transferencias)
Historial de transacciones y pagos
Datos de facturación y gestión tributaria
Información de reembolsos y disputas
Datos de scoring crediticio (cuando sea aplicable)

Medidas de seguridad específicas:

Tokenización de datos de pago sensibles
Cifrado AES-256 para datos financieros en reposo
Cumplimiento con estándares PCI DSS nivel 1
Segregación de redes para procesamiento de pagos
Auditorías trimestrales de seguridad financiera

5.3 Datos de Comportamiento y Navegación

Información técnica recopilada:

Direcciones IP (IPv4 e IPv6) y geolocalización aproximada
Información del dispositivo (modelo, sistema operativo, versión)
Datos del navegador (tipo, versión, configuración)
Resolución de pantalla y configuraciones de visualización
Timestamps de actividad y sesiones de usuario
Patrones de navegación y clics (heatmaps)
Páginas visitadas y tiempo de permanencia
Fuentes de tráfico y canales de adquisición
Interacciones con elementos de la interfaz
Errores técnicos y logs de depuración

5.4 Datos Educativos y de Progreso

Para usuarios de plataformas educativas:

Progreso en cursos y módulos formativos
Calificaciones y resultados de evaluaciones
Tiempo dedicado a actividades de aprendizaje
Certificaciones y credenciales obtenidas
Preferencias de aprendizaje y configuraciones
Interacciones en foros y comunidades educativas
Retroalimentación y evaluaciones de cursos

5.5 Datos de Comunicación y Marketing

Información de comunicaciones:

Historial de correos electrónicos enviados y recibidos
Tasas de apertura y clics en campañas de marketing
Preferencias de comunicación y frecuencia
Respuestas a encuestas y formularios de feedback
Interacciones en redes sociales (cuando sean públicas)
Datos de segmentación y perfilado comercial

5.6 Metadatos y Datos Derivados

Información generada mediante procesamiento:

Perfiles de usuario basados en comportamiento
Puntuaciones de engagement y actividad
Predicciones de comportamiento futuro
Segmentaciones automáticas por algoritmos
Datos de analítica y business intelligence
Métricas de rendimiento y KPIs personalizados

6. FINALIDADES DEL TRATAMIENTO Y LEGITIMACIÓN

6.1 Finalidades Principales del Negocio

6.1.1 Gestión de Relaciones Comerciales

Descripción: Administración integral de la relación comercial con clientes y prospects Base jurídica: Ejecución de contrato (Art. 6.1.b RGPD) e Interés legítimo (Art. 6.1.f RGPD) Operaciones específicas:

Creación y mantenimiento de perfiles de cliente
Gestión de historial de compras y transacciones
Análisis de comportamiento de compra y preferencias
Segmentación de clientes para ofertas personalizadas
Gestión de programas de fidelización y retención
Análisis de lifetime value y valor del cliente

6.1.2 Procesamiento de Transacciones Comerciales

Descripción: Gestión completa del ciclo de compra-venta de productos digitales Base jurídica: Ejecución de contrato (Art. 6.1.b RGPD) Operaciones específicas:

Procesamiento de pedidos y gestión de inventario digital
Validación de pagos y gestión de métodos de pago
Generación de facturas y documentos fiscales
Gestión de entregas digitales y accesos
Procesamiento de devoluciones y reembolsos
Gestión de disputas y reclamaciones comerciales

6.1.3 Provisión de Servicios Educativos Digitales

Descripción: Administración de plataformas de aprendizaje y seguimiento académico Base jurídica: Ejecución de contrato (Art. 6.1.b RGPD) Operaciones específicas:

Gestión de accesos a contenidos educativos
Seguimiento de progreso y rendimiento académico
Generación de certificados y credenciales
Personalización de rutas de aprendizaje
Moderación de foros y espacios colaborativos
Análisis de eficacia educativa y mejora continua

6.2 Finalidades de Marketing y Comunicación

6.2.1 Marketing Directo y Promocional

Descripción: Comunicaciones comerciales dirigidas y personalizadas Base jurídica: Consentimiento (Art. 6.1.a RGPD) e Interés legítimo (Art. 6.1.f RGPD) para clientes existentes Operaciones específicas:

Envío de newsletters y comunicaciones informativas
Campañas de email marketing segmentado
Promociones personalizadas basadas en comportamiento
Comunicaciones sobre nuevos productos y servicios
Invitaciones a eventos y webinars
Encuestas de satisfacción y feedback

6.2.2 Publicidad Comportamental y Retargeting

Descripción: Personalización de contenido publicitario basado en comportamiento Base jurídica: Consentimiento (Art. 6.1.a RGPD) Operaciones específicas:

Creación de perfiles publicitarios
Seguimiento cross-device y cross-platform
Implementación de pixel de seguimiento
Campañas de retargeting y remarketing
Optimización de conversiones publicitarias
Medición de eficacia publicitaria

6.3 Finalidades Técnicas y de Seguridad

6.3.1 Seguridad de Sistemas y Prevención de Fraude

Descripción: Protección de sistemas, datos y usuarios contra amenazas Base jurídica: Interés legítimo (Art. 6.1.f RGPD) Operaciones específicas:

Monitoreo de actividades sospechosas y anomalías
Detección y prevención de fraude transaccional
Análisis de patrones de comportamiento anómalo
Implementación de medidas de autenticación reforzada
Gestión de incidentes de seguridad
Forensia digital y análisis post-incidente

6.3.2 Optimización Técnica y Rendimiento

Descripción: Mejora continua de la experiencia técnica del usuario Base jurídica: Interés legítimo (Art. 6.1.f RGPD) Operaciones específicas:

Análisis de rendimiento de aplicaciones y sistemas
Optimización de velocidad de carga y respuesta
Identificación y resolución de errores técnicos
Testing A/B de funcionalidades y interfaces
Analítica de uso y comportamiento técnico
Planificación de capacidad y escalabilidad

6.4 Finalidades de Cumplimiento y Gobernanza

6.4.1 Cumplimiento Legal y Regulatorio

Descripción: Satisfacción de obligaciones legales y regulatorias Base jurídica: Cumplimiento de obligación legal (Art. 6.1.c RGPD) Operaciones específicas:

Conservación de registros para auditorías fiscales
Reporte a autoridades competentes
Cumplimiento de normativas sectoriales
Gestión de requerimientos judiciales y administrativos
Mantenimiento de registros de actividades de tratamiento
Implementación de medidas de compliance

6.4.2 Gestión de Derechos del Interesado

Descripción: Atención y procesamiento de ejercicio de derechos ARCO Base jurídica: Cumplimiento de obligación legal (Art. 6.1.c RGPD) Operaciones específicas:

Verificación de identidad para ejercicio de derechos
Localización y extracción de datos personales
Rectificación y actualización de información
Supresión y anonimización de datos
Restricción temporal de tratamientos
Generación de reportes de portabilidad

7. OPERACIONES DE TRATAMIENTO AUTOMATIZADO

7.1 Sistemas de Procesamiento Automatizado

7.1.1 Algoritmos de Recomendación y Personalización

Descripción técnica: Sistemas de machine learning que analizan patrones de comportamiento para generar recomendaciones personalizadas de productos y contenidos educativos.

Arquitectura del sistema:

Motor de recomendaciones colaborativo: Utiliza técnicas de filtrado colaborativo basado en similitudes entre usuarios
Sistema de recomendaciones basado en contenido: Analiza características de productos y preferencias declaradas
Algoritmos híbridos: Combinación de múltiples enfoques para optimizar precisión
Procesamiento en tiempo real: Actualización continua de recomendaciones basada en comportamiento actual

Datos de entrada:

Historial de compras y visualizaciones
Calificaciones y reviews de productos
Tiempo de permanencia en páginas
Patrones de navegación y abandono
Datos demográficos y de segmentación
Interacciones sociales y compartidas

Lógica de decisión:

Algoritmos de matriz factorization para análisis latente
Redes neuronales profundas para detección de patrones complejos
Clustering k-means para segmentación automática
Análisis de asociación para detección de productos relacionados

7.1.2 Sistemas de Scoring y Evaluación de Riesgo

Descripción técnica: Algoritmos de evaluación automática para clasificación de usuarios, detección de fraude y optimización comercial.

Componentes del sistema:

Motor de scoring crediticio: Evaluación de solvencia para facilidades de pago
Sistema anti-fraude: Detección en tiempo real de transacciones sospechosas
Algoritmo de lifetime value: Predicción del valor del cliente a largo plazo
Sistema de propensión a compra: Identificación de usuarios con alta probabilidad de conversión

Variables de análisis:

Patrones transaccionales históricos
Comportamiento de navegación y engagement
Datos de geolocalización y dispositivo
Velocidad y frecuencia de transacciones
Métodos de pago utilizados
Interacciones con servicio al cliente

7.2 Perfilado Automatizado

7.2.1 Perfiles Comerciales y de Marketing

Finalidad: Creación automática de perfiles detallados para optimización de estrategias comerciales y de marketing.

Categorías de perfiles generados:

Perfiles demográficos: Edad, género, ubicación, nivel educativo inferido
Perfiles psicográficos: Intereses, valores, estilo de vida
Perfiles comportamentales: Patrones de compra, frecuencia, estacionalidad
Perfiles de engagement: Nivel de interacción con comunicaciones y contenido
Perfiles de riesgo: Probabilidad de churn, fraude o insolvencia

Algoritmos utilizados:

Análisis de clusters para segmentación automática
Árboles de decisión para clasificación categórica
Redes neuronales para reconocimiento de patrones complejos
Modelos de regresión para predicción de valores continuos
Algoritmos de asociación para detección de relaciones

7.2.2 Toma de Decisiones Automatizada con Efectos Jurídicos

Identificación de procesos: Decisiones automatizadas que producen efectos jurídicos significativos o que afectan de modo similar y significativo al interesado.

Procesos automatizados identificados:

Aprobación automática de crédito: Para facilidades de pago superiores a [cantidad]
Suspensión automática de cuentas: Por detección de actividad fraudulenta
Denegación automática de reembolsos: Basada en políticas algorítmicas
Restricción geográfica de servicios: Por compliance regulatorio automático

Salvaguardas implementadas (Art. 22 RGPD):

Derecho a obtener intervención humana en la decisión
Derecho a expresar su punto de vista sobre la decisión
Derecho a impugnar la decisión automatizada
Revisión periódica de la lógica de decisión implementada
Explicabilidad de los factores principales de la decisión

7.3 Tratamiento de Big Data y Analytics Avanzado

7.3.1 Data Lake y Procesamiento Masivo

Arquitectura de datos:

Data Lake centralizado: Almacenamiento de datos estructurados y no estructurados
Pipeline de procesamiento ETL: Extracción, transformación y carga automatizada
Procesamiento en tiempo real: Stream processing para análisis inmediato
Almacén de datos dimensional: Para consultas analíticas optimizadas

Tecnologías implementadas:

Apache Hadoop para procesamiento distribuido
Apache Spark para análisis en memoria
Apache Kafka para streaming de datos en tiempo real
Elasticsearch para búsqueda y análisis de logs
TensorFlow/PyTorch para modelos de machine learning

7.3.2 Análisis Predictivo y Modelado Estadístico

Modelos predictivos implementados:

Predicción de churn: Identificación de usuarios con alta probabilidad de abandono
Forecasting de demanda: Predicción de volúmenes de compra futuros
Análisis de sentimiento: Evaluación automática de feedback y comunicaciones
Detección de anomalías: Identificación de patrones inusuales en datos
Optimización de precios: Ajuste dinámico basado en demanda y competencia

Metodologías estadísticas:

Modelos de regresión lineal y logística
Análisis de series temporales (ARIMA, SARIMA)
Modelos de supervivencia para análisis de retención
Análisis multivariante y reducción de dimensionalidad
Validación cruzada y técnicas de bootstrapping

8. TRANSFERENCIAS INTERNACIONALES Y ENCARGADOS DEL TRATAMIENTO

8.1 Transferencias Internacionales de Datos

8.1.1 Marco Jurídico de Transferencias

Las transferencias internacionales de datos personales efectuadas por DATIFICA se realizan en estricto cumplimiento del Capítulo V del RGPD, aplicando las siguientes garantías adecuadas:

Decisiones de Adecuación (Art. 45 RGPD):

Transferencias a países con decisión de adecuación vigente de la Comisión Europea
Monitoreo continuo de validez de decisiones de adecuación
Procedimientos de contingencia en caso de revocación de decisiones

Cláusulas Contractuales Tipo (Art. 46.2.c RGPD):

Implementación de Cláusulas Contractuales Tipo (SCCs) versión 2021
Evaluación de impacto de transferencia (TIA) previa a cada transferencia
Medidas suplementarias cuando sea necesario según jurisprudencia Schrems II
Revisión anual de garantías y medidas implementadas

Códigos de Conducta y Certificaciones (Art. 46.2.e y 46.2.f RGPD):

Adhesión a códigos de conducta internacionales reconocidos
Certificaciones de privacidad y seguridad de proveedores internacionales
Evaluación continua de cumplimiento de estándares certificados

8.1.2 Países de Destino y Proveedores Internacionales

Estados Unidos de América:

Proveedores: PayPal Inc., Google LLC, Microsoft Corporation
Garantías: Cláusulas Contractuales Tipo + Medidas suplementarias
Sectores: Procesamiento de pagos, servicios cloud, analítica web
Evaluación TIA: Realizada y actualizada semestralmente

Canadá:

Proveedores: Shopify Inc., diversos proveedores de hosting
Garantías: Decisión de adecuación (sectores específicos)
Sectores: E-commerce, almacenamiento de datos
Monitoreo: Revisión trimestral de cambios normativos

Reino Unido:

Proveedores: Diversos proveedores de servicios digitales
Garantías: Decisión de adecuación + Addendum UK
Sectores: Marketing digital, procesamiento de datos
Vigencia: Sujeto a revisión de decisión de adecuación

8.2 Encargados del Tratamiento

8.2.1 Categorización de Encargados

Categoría A: Infraestructura Tecnológica Crítica

Proveedores de hosting y cloud computing
Servicios de backup y recuperación de datos
Proveedores de CDN (Content Delivery Network)
Servicios de monitoreo y seguridad

Contratos específicos:

Acuerdos de procesamiento de datos (DPA) específicos
SLAs con garantías de tiempo de respuesta < 4 horas
Certificaciones ISO 27001, SOC 2 Type II obligatorias
Auditorías de seguridad trimestrales

Categoría B: Servicios de Marketing y Comunicación

Plataformas de email marketing (Brevo/Sendinblue)
Sistemas de CRM y automatización de marketing
Proveedores de analítica web y comportamental
Servicios de publicidad digital y retargeting

Garantías específicas:

Configuración de retención de datos limitada
Segregación de datos por cliente
Capacidad de exportación y supresión inmediata
Auditorías de cumplimiento semestrales

Categoría C: Procesamiento Financiero y Transaccional

Procesadores de pago (PayPal, Stripe, etc.)
Servicios de verificación de identidad
Proveedores de gestión fiscal y contable
Sistemas de detección de fraude

Medidas de seguridad reforzadas:

Cumplimiento PCI DSS nivel 1 obligatorio
Cifrado extremo-a-extremo para datos financieros
Tokenización de datos sensibles de pago
Logs de auditoría inmutables

8.2.2 Gestión de Subencargados

Procedimiento de autorización:

Evaluación previa: Análisis de garantías técnicas y organizativas
Due diligence: Verificación de capacidades de protección de datos
Autorización específica: Aprobación caso por caso del interesado cuando sea requerido
Autorización general: Para categorías predefinidas de subencargados

Registro de subencargados:

Mantenimiento de lista actualizada de todos los subencargados
Publicación en sitio web con actualizaciones mensuales
Notificación proactiva de cambios a interesados
Período de objeción de 30 días para nuevos subencargados

8.3 Medidas Técnicas para Transferencias Seguras

8.3.1 Cifrado y Protección en Tránsito

Protocolos de cifrado implementados:

TLS 1.3 para todas las comunicaciones web
HTTPS estricto con HSTS (HTTP Strict Transport Security)
Perfect Forward Secrecy para protección de sesiones pasadas
Certificate Transparency para validación de certificados
OCSP Stapling para verificación de revocación de certificados

Configuraciones de seguridad:

Cipher suites restringidos a algoritmos seguros (AES-256-GCM, ChaCha20-Poly1305)
Eliminación de protocolos obsoletos (SSL, TLS 1.0, TLS 1.1)
Implementación de DNSSEC para protección de DNS
Pinning de certificados para aplicaciones móviles

8.3.2 Pseudonimización y Minimización

Técnicas de pseudonimización implementadas:

Hashing criptográfico con sal aleatoria para identificadores
Tokenización de datos sensibles con mapping seguro
Cifrado formato-preserving para mantenimiento de estructura
k-anonimato para datasets analíticos
Differential privacy para consultas estadísticas

Procedimientos de minimización:

Análisis automático de necesidad de datos por finalidad
Supresión programada de campos no esenciales
Agregación de datos para análisis estadísticos
Generalización de datos geográficos y temporales

9. PERÍODOS DE CONSERVACIÓN Y CRITERIOS DE SUPRESIÓN

9.1 Criterios Generales de Conservación

9.1.1 Principios de Determinación de Plazos

La determinación de períodos de conservación se basa en los siguientes criterios objetivos:

Criterio de Necesidad Contractual:

Duración del contrato o relación comercial
Períodos de garantía y responsabilidad post-contractual
Obligaciones de soporte y mantenimiento

Criterio de Obligación Legal:

Plazos de prescripción de acciones legales
Períodos de conservación fiscal y contable
Requerimientos regulatorios sectoriales
Obligaciones de reporting a autoridades

Criterio de Interés Legítimo:

Necesidad para ejercicio o defensa de derechos
Fines de investigación histórica o estadística
Intereses comerciales legítimos y proporcionados

9.1.2 Políticas de Revisión Periódica

Frecuencia de revisión:

Revisión mensual: Para datos de marketing y comunicación
Revisión trimestral: Para datos de comportamiento y navegación
Revisión semestral: Para datos contractuales y transaccionales
Revisión anual: Para datos de cumplimiento legal

Criterios de evaluación:

Vigencia de la finalidad original del tratamiento
Existencia de obligaciones legales de conservación
Necesidad para defensa de derechos legales
Solicitudes específicas de supresión por parte del interesado

9.2 Períodos Específicos por Categoría de Datos

9.2.1 Datos de Identificación y Contacto

Clientes activos: Durante la vigencia de la relación contractual + 3 años Clientes inactivos: 5 años desde la última transacción o interacción Prospects no convertidos: 2 años desde la última interacción Suscriptores de newsletter: Hasta revocación del consentimiento + 30 días Datos de menores: Supresión inmediata al alcanzar mayoría de edad (si aplicable)

Excepciones por obligación legal:

Datos fiscales: 6 años (conforme a normativa tributaria)
Datos de blanqueo de capitales: 10 años (conforme a normativa AML)
Datos de disputas legales: Hasta resolución + plazo de prescripción

9.2.2 Datos Financieros y Transaccionales

Información de pago:

Datos tokenizados: 5 años desde última transacción
Logs de transacciones: 7 años (cumplimiento PCI DSS)
Datos de facturación: 6 años (obligación fiscal)
Información de reembolsos: 3 años desde procesamiento

Datos de scoring y evaluación:

Scores crediticios: 2 años desde generación
Evaluaciones de riesgo: 5 años desde última actualización
Históricos de fraude: 10 años (prevención de fraude)

9.2.3 Datos de Comportamiento y Navegación

Logs de acceso y navegación:

Datos de sesión: 90 días desde cierre de sesión
Estadísticas de uso: 2 años en formato agregado
Heatmaps y análisis UX: 18 meses desde generación
Datos de geolocalización: 6 meses desde recopilación

Cookies y tracking:

Cookies técnicas: Duración de la sesión
Cookies analíticas: 26 meses (Google Analytics)
Cookies de marketing: 12 meses (salvo renovación de consentimiento)
Pixels de seguimiento: 90 días desde última activación

9.2.4 Datos Educativos y de Progreso

Progreso académico:

Datos de progreso activo: Durante acceso al curso + 2 años
Certificaciones obtenidas: 10 años (valor acreditativo)
Evaluaciones y calificaciones: 5 años desde finalización
Interacciones en foros: 3 años desde última participación

9.3 Procedimientos de Supresión

9.3.1 Supresión Técnica Segura

Métodos de borrado implementados:

Borrado lógico: Marcado de registros como eliminados (fase inicial)
Borrado físico: Eliminación definitiva de almacenamiento primario
Sobrescritura múltiple: Para dispositivos de almacenamiento magnético
Destrucción criptográfica: Eliminación de claves de cifrado
Certificación de destrucción: Para medios físicos de almacenamiento

Cronograma de supresión:

T+0: Borrado lógico y suspensión de tratamiento
T+30 días: Borrado físico de sistemas de producción
T+90 días: Borrado de sistemas de backup y archivos
T+180 días: Verificación de supresión completa y certificación

9.3.2 Supresión en Sistemas Distribuidos

Procedimientos para arquitecturas complejas:

Identificación de todas las copias en sistemas distribuidos
Coordinación de supresión en múltiples bases de datos
Verificación de eliminación en sistemas de caché
Notificación a encargados del tratamiento para supresión paralela
Actualización de índices y sistemas de búsqueda

Gestión de backups:

Marcado de datos para exclusión en restauraciones
Supresión en próximo ciclo de renovación de backup
Cifrado adicional de backups que contengan datos a eliminar
Registro de ubicación de datos en sistemas de backup

10. DERECHOS DEL INTERESADO Y PROCEDIMIENTOS DE EJERCICIO

10.1 Catálogo de Derechos Reconocidos

10.1.1 Derecho de Acceso (Art. 15 RGPD)

Alcance del derecho: El interesado tiene derecho a obtener confirmación sobre el tratamiento de sus datos personales y, en su caso, acceder a los datos personales y a la siguiente información:

Finalidades del tratamiento
Categorías de datos personales tratados
Destinatarios o categorías de destinatarios
Plazo de conservación previsto
Existencia de decisiones automatizadas, incluida la elaboración de perfiles
Información sobre el origen de los datos (si no se obtuvieron del interesado)
Garantías aplicables en caso de transferencias internacionales

Formato de entrega:

Copia electrónica en formato estructurado de uso común (JSON, XML, CSV)
Documentación complementaria en formato PDF
Interfaz web segura para consulta en línea
API de acceso para desarrolladores (cuando sea técnicamente factible)

Limitaciones legales:

Derechos y libertades de terceros
Secretos comerciales y propiedad intelectual
Seguridad nacional y orden público
Investigaciones judiciales en curso

10.1.2 Derecho de Rectificación (Art. 16 RGPD)

Procedimiento de rectificación:

Verificación de identidad: Validación de identidad del solicitante
Análisis de exactitud: Evaluación de la corrección solicitada
Implementación técnica: Actualización en todos los sistemas relevantes
Notificación a terceros: Comunicación a destinatarios cuando sea posible
Confirmación: Notificación de rectificación completada

Tipos de rectificación admitidos:

Corrección de errores tipográficos o de transcripción
Actualización de información obsoleta
Completamiento de datos personales incompletos
Corrección de categorizaciones o clasificaciones erróneas

10.1.3 Derecho de Supresión o «Derecho al Olvido» (Art. 17 RGPD)

Supuestos de aplicación:

Los datos ya no son necesarios para los fines para los que fueron recogidos
El interesado retira su consentimiento y no existe otra base jurídica
Los datos han sido tratados ilícitamente
Los datos deben suprimirse para cumplir una obligación legal
Los datos se obtuvieron en relación con servicios de la sociedad de la información ofrecidos a menores

Excepciones a la supresión:

Ejercicio del derecho a la libertad de expresión e información
Cumplimiento de obligaciones legales
Archivo de interés público, investigación científica o histórica
Formulación, ejercicio o defensa de reclamaciones

10.1.4 Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Supuestos de limitación:

Impugnación de exactitud de datos (durante verificación)
Tratamiento ilícito cuando el interesado prefiere limitación a supresión
Necesidad del interesado para reclamaciones legales
Oposición al tratamiento (durante verificación de intereses legítimos)

Efectos de la limitación:

Marcado especial de datos personales
Suspensión de operaciones de tratamiento (excepto conservación)
Notificación previa al levantamiento de limitación
Registro de período de limitación para auditoría

10.1.5 Derecho a la Portabilidad (Art. 20 RGPD)

Condiciones de aplicación:

Tratamiento basado en consentimiento o ejecución de contrato
Tratamiento efectuado por medios automatizados
Datos proporcionados por el interesado

Formatos de portabilidad:

Formato estructurado: JSON, XML, CSV con esquema documentado
Formato interoperable: Estándares abiertos reconocidos industrialmente
Formato legible por máquina: Procesable automáticamente por sistemas informáticos

Transmisión directa: Cuando sea técnicamente posible, transmisión directa a otro responsable del tratamiento designado por el interesado.

10.1.6 Derecho de Oposición (Art. 21 RGPD)

Oposición por motivos relacionados con la situación particular:

Aplicable a tratamientos basados en interés legítimo
Evaluación de prevalencia de intereses legítimos del responsable
Cesación del tratamiento salvo motivos legítimos imperiosos

Oposición al marketing directo:

Derecho absoluto sin necesidad de justificación
Cesación inmediata de tratamiento para fines promocionales
Información clara sobre este derecho en primera comunicación

10.2 Procedimientos de Ejercicio de Derechos

10.2.1 Canales de Comunicación

Canales habilitados:

Correo electrónico especializado: privacidad@datifica.com
Formulario web seguro: https://datifica.com/ejercicio-derechos
Correo postal certificado: [Dirección postal completa]
Área de cliente: Sección dedicada en panel de usuario

Información requerida:

Identificación completa del solicitante
Especificación clara del derecho que desea ejercer
Dirección de correo electrónico para comunicaciones
Copia de documento de identidad (para verificación)
Descripción específica de la solicitud (cuando aplique)

10.2.2 Plazos y Procedimientos

Plazos de respuesta:

Plazo general: 1 mes desde recepción de solicitud
Prórroga excepcional: Hasta 2 meses adicionales (comunicando motivos)
Respuesta inmediata: Confirmación de recepción en 48 horas
Solicitudes complejas: Evaluación de complejidad en 7 días

Procedimiento interno:

Recepción y registro: Asignación de número de expediente
Verificación de identidad: Validación de legitimidad del solicitante
Análisis jurídico: Evaluación de procedencia de la solicitud
Implementación técnica: Ejecución de la solicitud aprobada
Respuesta y seguimiento: Comunicación de resultado y seguimiento

10.2.3 Tasas y Costes

Principio de gratuidad: El ejercicio de derechos es gratuito en circunstancias normales.

Excepciones con coste:

Solicitudes manifiestamente infundadas o excesivas
Copias adicionales de información ya proporcionada
Solicitudes repetitivas en períodos cortos de tiempo
Formato de entrega especial o personalizado

Estructura de tasas (cuando sea aplicable):

Tasa administrativa: €15 por solicitud repetitiva
Copias adicionales: €5 por cada 100 páginas
Formatos especiales: €25 por conversión personalizada
Investigación extensiva: €50 por hora de trabajo especializado

10.3 Recursos y Vías de Reclamación

10.3.1 Procedimiento Interno de Quejas

Escalado interno:

Primera instancia: Equipo de privacidad (privacidad@datifica.com)
Segunda instancia: Delegado de Protección de Datos (dpo@datifica.com)
Instancia ejecutiva: Dirección General (direccion@datifica.com)

Plazos de resolución:

Primera instancia: 15 días hábiles
Segunda instancia: 30 días hábiles
Instancia ejecutiva: 45 días hábiles

10.3.2 Autoridades de Control Competentes

Autoridad principal: Agencia Española de Protección de Datos (AEPD)

Dirección: C/ Jorge Juan, 6, 28001 Madrid
Teléfono: 901 100 099
Web: https://www.aepd.es
Sede electrónica: https://sedeagpd.gob.es

Autoridades locales (según residencia del interesado):

Autoridades de control de Estados miembros de la UE
Autoridades equivalentes en terceros países con decisión de adecuación

Presentación de reclamaciones:

Formulario electrónico en sede de la autoridad
Escrito dirigido a la autoridad competente
Representación por organizaciones de defensa de derechos
Asesoramiento jurídico especializado

11. MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD

11.1 Arquitectura de Seguridad

11.1.1 Seguridad de la Información – Marco General

Estándares de referencia implementados:

ISO/IEC 27001:2013 – Sistema de Gestión de Seguridad de la Información
ISO/IEC 27002:2013 – Código de prácticas para controles de seguridad
NIST Cybersecurity Framework – Marco de ciberseguridad
CIS Controls v8 – Controles críticos de seguridad
OWASP Top 10 – Mejores prácticas de seguridad web

Arquitectura de defensa en profundidad:

Perímetro de red: Firewalls de próxima generación con inspección profunda
Segmentación de red: VLANs separadas por función y nivel de sensibilidad
Puntos de acceso: Autenticación multifactor obligatoria
Monitoreo continuo: SIEM con correlación de eventos en tiempo real
Respuesta a incidentes: Procedimientos automatizados de contención

11.1.2 Cifrado y Criptografía

Cifrado de datos en reposo:

Algoritmo: AES-256 en modo GCM (Galois/Counter Mode)
Gestión de claves: HSM (Hardware Security Module) certificado FIPS 140-2 Level 3
Rotación de claves: Automática cada 90 días
Backup de claves: Procedimiento de custodia compartida (m-of-n)
Cifrado de base de datos: TDE (Transparent Data Encryption) a nivel de campo

Cifrado de datos en tránsito:

Protocolos: TLS 1.3 exclusivamente para conexiones externas
Cipher suites: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-CHACHA20-POLY1305
Certificados: EV SSL con RSA-4096 o ECDSA P-384
HSTS: HTTP Strict Transport Security con preload
Certificate Pinning: Implementado en aplicaciones móviles

Algoritmos criptográficos aprobados:

Cifrado simétrico: AES-256, ChaCha20
Cifrado asimétrico: RSA-4096, ECDSA P-384, Ed25519
Funciones hash: SHA-256, SHA-3, BLAKE2b
Derivación de claves: PBKDF2, scrypt, Argon2
Firmas digitales: RSA-PSS, ECDSA, EdDSA

11.2 Controles de Acceso y Autenticación

11.2.1 Gestión de Identidades y Accesos (IAM)

Principios de control de acceso:

Principio de menor privilegio: Acceso mínimo necesario para función
Separación de funciones: Segregación de responsabilidades críticas
Revisión periódica: Auditoría trimestral de permisos
Aprovisionamiento automático: Asignación basada en roles organizacionales
Desaprovisionamiento: Revocación automática al término de relación laboral

Modelo de autorización:

RBAC (Role-Based Access Control): Control basado en roles
ABAC (Attribute-Based Access Control): Control basado en atributos
MAC (Mandatory Access Control): Control obligatorio para datos críticos
DAC (Discretionary Access Control): Control discrecional para recursos compartidos

11.2.2 Autenticación Multifactor (MFA)

Factores de autenticación implementados:

Algo que sabes: Contraseñas con política robusta
Algo que tienes: Tokens TOTP/HOTP, tarjetas inteligentes, dispositivos móviles
Algo que eres: Biometría (huella dactilar, reconocimiento facial)
Algo que haces: Patrones de comportamiento, geolocalización

Tecnologías MFA desplegadas:

TOTP (Time-based OTP): Google Authenticator, Authy, Microsoft Authenticator
Push notifications: Notificaciones push seguras a dispositivos móviles
WebAuthn/FIDO2: Autenticación sin contraseña con claves criptográficas
SMS/Voice: Como método de respaldo (con advertencias de seguridad)

11.3 Monitoreo y Detección de Amenazas

11.3.1 Security Information and Event Management (SIEM)

Plataforma SIEM implementada:

Tecnología: Splunk Enterprise Security / Elastic Security
Cobertura: 24/7/365 con SOC (Security Operations Center)
Fuentes de logs: Servidores, aplicaciones, dispositivos de red, endpoints
Retención: 13 meses en línea, 7 años en archivo
Correlación: Reglas personalizadas + machine learning para anomalías

Casos de uso de detección:

Accesos no autorizados: Intentos de login fallidos, accesos desde ubicaciones inusuales
Exfiltración de datos: Transferencias masivas, accesos a múltiples registros
Malware: Detección de firmas, análisis heurístico, sandboxing
Insider threats: Comportamientos anómalos de usuarios internos
Ataques de aplicación: Inyección SQL, XSS, CSRF, ataques de API

11.3.2 Threat Intelligence y Hunting

Fuentes de inteligencia de amenazas:

Feeds comerciales: Integración con proveedores especializados
Feeds open source: MISP, AlienVault OTX, feeds gubernamentales
Threat hunting: Búsqueda proactiva de indicadores de compromiso
Análisis de malware: Laboratorio de análisis interno
Sharing de inteligencia: Participación en comunidades sectoriales

Métricas de seguridad monitoreadas:

MTTD (Mean Time To Detect): Tiempo promedio de detección de amenazas
MTTR (Mean Time To Respond): Tiempo promedio de respuesta a incidentes
MTTR (Mean Time To Resolve): Tiempo promedio de resolución de incidentes
False Positive Rate: Tasa de falsos positivos en alertas
Coverage: Porcentaje de activos monitoreados

11.4 Backup y Continuidad del Negocio

11.4.1 Estrategia de Backup

Política 3-2-1-1-0:

3 copias de datos críticos
2 tipos de medios diferentes
1 copia offsite geográficamente separada
1 copia offline (air-gapped)
0 errores verificados mediante testing regular

Cronograma de backup:

Tiempo real: Replicación síncrona para datos críticos
Cada hora: Backup incremental de bases de datos transaccionales
Diario: Backup completo de sistemas de producción
Semanal: Backup completo verificado y enviado a ubicación remota
Mensual: Backup archival a largo plazo

11.4.2 Plan de Continuidad del Negocio (BCP)

Objetivos de recuperación:

RTO (Recovery Time Objective): 4 horas para servicios críticos
RPO (Recovery Point Objective): 15 minutos para datos transaccionales
MTPD (Maximum Tolerable Period of Disruption): 24 horas
WRT (Work Recovery Time): 2 horas adicionales para validación

Sitios de recuperación:

Sitio primario: Centro de datos principal con redundancia local
Sitio secundario: Centro de datos de respaldo con capacidad 100%
Nube pública: Recursos cloud para escalado de emergencia
Trabajo remoto: Capacidades de trabajo distribuido para personal

11.5 Medidas Organizativas

11.5.1 Gobierno de Seguridad

Estructura organizativa:

CISO (Chief Information Security Officer): Responsabilidad ejecutiva
Comité de Seguridad: Revisión mensual de riesgos y controles
Equipos especializados: SOC, incident response, architecture security
Delegados de seguridad: Representantes en cada área de negocio

Políticas y procedimientos:

Política de Seguridad de la Información: Marco general aprobado por dirección
Procedimientos operativos: Guías detalladas para operaciones de seguridad
Estándares técnicos: Configuraciones de seguridad mandatory
Guidelines: Recomendaciones para casos específicos