Seguro, protegido y preparado para el GDPR

Nada nos importa más que la seguridad de sus datos. Le tenemos cubierto para el nuevo Reglamento General de Protección de Datos (RGPD) de la UE.

Proteger sus datos

La protección de los datos de los clientes es una de las principales prioridades de Delighted. Entendemos que nos confía sus datos y nos tomamos muy en serio la responsabilidad de protegerlos. Nuestra página de seguridad describe todas nuestras prácticas. Además, Delighted cuenta con una Evaluación del Impacto de la Protección de Datos (EIPD) que documenta nuestro manejo de todos sus datos, incluidos los datos personales.

Corrección de datos

Los administradores de cuentas pueden modificar los datos personales recogidos para cumplir con el requisito de corrección del GDPR con una simple solicitud a nuestro equipo de Conserjería.

Derecho al olvido

Como administrador de la cuenta, puede eliminar permanentemente personas individuales, respuestas y datos personales de los encuestados si una persona lo solicita.

Construido para la seguridad

Delighted protege a todos nuestros clientes con una serie de características de seguridad.

  • Correo electrónico autenticado (DKIM, SPF, DMARC)
  • Cifrado de datos en tránsito
  • Cifrado de datos en reposo
  • Centros de datos auditados rutinariamente con los métodos SSAE-16 estándar de la industria
  • Redundancia de datos para resistir a las catástrofes
  • Autenticación de dos factores
  • Supervisión continua de la red
  • Certificado del Escudo de Privacidad UE-EE.UU.
  • Certificación del Escudo de Privacidad Suiza-Estados Unidos
  • Los usuarios pueden optar por no ser contactados de nuevo para una encuesta
  • Evaluaciones de seguridad estándar del sector
  • Revisiones de seguridad y pruebas de penetración realizadas por terceros independientes
  • Autenticación basada en funciones
  • Lista blanca de direcciones IP

¿Qué es el GDPR?

A partir del 25 de mayo de 2018, el GDPR endurece las normas para las empresas sobre cómo recogen, almacenan y procesan los datos personales de los ciudadanos de la UE. La nueva normativa afecta a las organizaciones de todo el mundo que recogen y procesan datos personales de ciudadanos de la UE. A continuación se enumeran algunos de los cambios clave que probablemente afecten a sus programas de opinión de los clientes.

Ver todos los cambios del GDPR

Corrección de datos

Los ciudadanos de la UE tendrán derecho a solicitar la rectificación de sus datos personales y podrán pedir que se restrinja el uso de sus datos. Además, podrán pedir que se les "olvide", es decir, que se borren todos sus datos personales de forma permanente. En general, el RGPD establece explícitamente que debe ser tan fácil retirar sus datos como lo fue dar su consentimiento en primer lugar.

Consentimiento

Una empresa debe solicitar el consentimiento inequívoco de un individuo antes de recoger cualquier dato personal. Debe indicarse claramente cómo se utilizarán los datos personales, y se deben facilitar los datos de contacto de la empresa si se solicita más información. Las organizaciones pueden tener que considerar condiciones para el tratamiento distintas del consentimiento, como en relación con un contrato, o debido a otra obligación legal (como la de empleador-empleado).

Evaluación de la privacidad

Los procesadores de datos tendrán que aplicar un alto nivel de seguridad para salvaguardar los datos del responsable del tratamiento, y realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) que documente cómo se salvaguardarán los datos personales. Nuestra página de seguridad describe nuestros principales procesos y procedimientos relacionados con la privacidad.

Le permitimos cumplir con el GDPR

Delighted permite a los clientes cumplir con el GDPR. En pocas palabras, eso significa Delighted:

  • Ofrece garantías suficientes al responsable del tratamiento para que aplique las medidas técnicas y organizativas adecuadas destinadas a salvaguardar los datos del Cliente
  • Trata los datos (que podrían incluir datos personales) únicamente para cumplir con sus obligaciones relacionadas con los Servicios
  • Permite a los usuarios modificar y eliminar su cuenta

Contrato GDPR - Acuerdo de Procesamiento de Datos (DPA)

El artículo 28, apartado 3, del RGPD exige la existencia de un contrato entre el responsable del tratamiento y el encargado del mismo. Durante años, las condiciones de servicio y la política de privacidad de Delighted han proporcionado los requisitos y obligaciones legales fundamentales en relación con la propiedad de los datos, el comportamiento del procesamiento, la salvaguardia de los datos, etc.

Sin embargo, para ofrecer una mayor cobertura y cumplimiento del GDPR, hemos actualizado nuestras condiciones de servicio para incluir nuestra DPA. Estas condiciones de servicio se aceptan al crear una cuenta de Delighted. Si tiene una cuenta de Delighted, ya está cubierto.

Preguntas frecuentes

Descargo de responsabilidad: Estas preguntas frecuentes contienen información útil sobre el cumplimiento de la normativa cuando se utilizan los productos de Delighted. Los clientes deben consultar siempre a su equipo de cumplimiento interno y/o a su abogado de privacidad en relación con los asuntos legales. La información contenida en este documento se proporciona tal cual, y no debe considerarse como asesoramiento jurídico. Delighted desea permitir a sus clientes cumplir con las leyes aplicables, pero no garantiza que el uso particular de sus productos por parte de un cliente sea conforme.

¿Debo obtener el consentimiento de un cliente para recoger sus datos personales?

¿Puedo modificar los datos personales de un cliente que residen en una encuesta/respuesta existente?

Sí, puede modificar todos los datos de respuesta para corregir los datos personales, tal y como exige el GDPR, cuando reciba una solicitud de acceso del sujeto, o por otros motivos. Simplemente póngase en contacto con nosotros y trabajaremos con usted para realizar rápidamente los ajustes.

¿Puedo eliminar los datos personales que residen en una encuesta existente?

Sí, puede eliminar cualquier respuesta, incluida una respuesta que contenga datos personales, como exige el GDPR. También puede eliminar todos los demás datos de clientes solicitados.

¿Los datos personales se borran definitivamente cuando los elimino?

Una respuesta o persona eliminada se marca inicialmente para su eliminación, y puede ser recuperada por nuestro equipo de conserjería si se solicita. Después de 90 días, la eliminación se vuelve permanente e irrecuperable.

¿Cuánto tiempo se conservan los datos personales en Delighted si no los borro?

La filosofía de Delighted es que los clientes son dueños y controlan todos los datos que recogen. Cualquier período de retención requerido por la ley o la política de su empresa es controlado por usted.

Debe asegurarse de que todas las personas y los datos personales se eliminen antes de dejar de utilizar Delighted, especialmente si lo exige la política, la ley o la normativa.

¿Se incluyen mis datos en las copias de seguridad y, si es así, durante cuánto tiempo?

Sí. Delighted realiza copias de seguridad de todos los datos de los clientes y las conserva durante 90 días. Después de 90 días, la copia de seguridad se elimina.

¿Puedo eliminar los datos personales del cliente de las copias de seguridad de Delighted?

No. El conjunto de datos de la copia de seguridad contiene todos los datos del cliente y se utiliza únicamente para la recuperación de desastres. Esto es necesario por razones legales y de cumplimiento relacionadas con las obligaciones de disponibilidad. Cualquier dato personal en estas copias de seguridad será eliminado permanentemente después de 90 días.

Si mi centro de datos está situado en la UE, ¿transfiere Delighted mis datos personales fuera de la UE en algún momento?

Nuestros centros de datos están en Amazon Web Services, en Estados Unidos. No obstante, la transferencia de datos está cubierta por el marco del Escudo de Privacidad UE-EE.UU., del que somos miembros, y está permitida por el RGPD por ofrecer garantías adecuadas.

¿Se asegura Delighted de que sólo acceden a mis datos los empleados que tienen una justificación razonable para hacerlo?

Como exige el GDPR, solo los empleados cualificados de Delighted con una necesidad específica pueden acceder a su cuenta. El motivo típico para acceder a su cuenta sería su solicitud específica de asistencia.

¿Delighted utiliza subprocesadores que procesan mis datos?

Delighted utiliza actualmente subprocesadores para prestar el servicio. Como exige el GDPR, Delighted mantiene una lista de esos subprocesadores en delighted.com/subprocessor-list.

Si se produce una violación de datos con la plataforma Delighted que afecte a mis datos, ¿cómo y cuándo se me notificará?

Si se produce una violación de datos confirmada causada por las acciones o inacciones de Delighted, notificaremos, sin demora indebida, al propietario de la cuenta. La información sobre la violación se publicará a medida que esté disponible, tal y como permite el GDPR. El titular de la cuenta será el principal punto de contacto para todas las notificaciones, y se le mantendrá al tanto de la investigación y los esfuerzos de remediación a medida que avanzan.

¿Cómo puedo cumplir con una solicitud de acceso del sujeto y la portabilidad como lo requiere el GDPR?

Como usted conoce los datos que está recogiendo, es responsable de gestionar cualquier solicitud de acceso del sujeto (SAR). Delighted solo proporciona la plataforma y no conoce los detalles sobre las personalizaciones de sus encuestas, sus propiedades o sus clientes.

Un RAS significa que un cliente pregunta por la información que se ha recogido sobre él en una encuesta que ha completado. Si ha recogido datos personales de un ciudadano de la UE o de una persona residente en la UE, puede tener la obligación legal de responder a un RAS.

Los datos de respuesta pueden descargarse en formatos estándar del sector para la portabilidad de los datos a fin de cumplir con el GDPR.

Si Delighted recibe un SAR, hará todo lo posible por ponerse en contacto con el propietario de la encuesta. No siempre es posible saber qué encuesta realizó el cliente y quién es el propietario legítimo.

¿Cómo cumplir con una solicitud de acceso del sujeto para "ser olvidado"?

Al igual que en el caso anterior, usted conoce su encuesta y los datos que tiene. Si ha recogido datos personales de un ciudadano de la UE o de una persona residente en la UE, es posible que tenga la obligación legal de responder y cumplir con una solicitud de eliminación de todos los datos identificables.

Como se ha dicho anteriormente, tiene la posibilidad de eliminar los datos de un cliente.

¿Cómo cumple Delighted con sus obligaciones en virtud del RGPD de devolver o destruir todos los datos personales de la UE?

Delighted ofrece formas sencillas de descargar todos los datos de sus encuestas en formatos estándar del sector. Y, como se ha descrito anteriormente, puede eliminar fácilmente las respuestas, todas las respuestas de la encuesta y los historiales completos de un cliente.

¿Cómo cumple Delighted con sus obligaciones de encriptación de datos personales según el GDPR?

Todos los datos de respuesta almacenados en nuestras bases de datos primarias y en las copias de seguridad están encriptados utilizando un cifrado fuerte estándar de la industria. Todos los datos transmitidos a la plataforma de Delighted se cifran utilizando el protocolo TLS estándar del sector.

¿Cómo puedo garantizar a mis clientes que la seguridad de Delighted cumple con la legislación aplicable y el GDPR (artículo 32)?

Delighted se compromete a proteger sus datos. Utilizamos sofisticados controles durante el procesamiento para mantener la confidencialidad, integridad, disponibilidad y resistencia de sus datos. Nuestra página de seguridad describe los detalles de la seguridad de nuestras aplicaciones, la seguridad de la red, las políticas y mucho más.

En relación con el artículo 28 del GDPR, Delighted sólo procesará los datos personales de acuerdo con sus instrucciones. En otras palabras, los comandos que usted utiliza en el producto son las "instrucciones", y Delighted no utiliza los datos personales para ningún otro medio. Además, no transfiere los datos personales a un tercero sin su consentimiento. Si los datos personales se transfieren desde la UE a un tercer país, se aplicarán las salvaguardias adecuadas a la transferencia (como el Marco del Escudo de Privacidad UE-EE.UU.).

Delighted ha desarrollado procedimientos de recuperación para minimizar el tiempo de inactividad relacionado con un desastre, con la capacidad de restaurar el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.

Comprobamos, valoramos y evaluamos periódicamente la eficacia de nuestras medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

¿Alguna pregunta?

No dude en ponerse en contacto con nosotros para saber más sobre nuestros cambios y cómo le ayudamos a cumplirlos.

Contacto con nosotros