RGPD

Sí. La organización dispone de cláusulas informativas en los procesos de recogida de datos, documentación de privacidad accesible a los usuarios, contratos de encargo de tratamiento, procedimientos internos de protección de datos y soporte al Responsable del tratamiento para la atención de solicitudes relacionadas con el RGPD.

Sí. La organización mantiene un registro de las actividades de tratamiento realizadas por cuenta de los responsables del tratamiento, incluyendo las categorías de datos tratados, las finalidades del tratamiento y las medidas de seguridad aplicables.

La organización dispone de un análisis de riesgos realizado en 2018, actualmente en proceso de revisión y actualización.

No aplica. La organización no recurre a entidades subcontratadas que tengan acceso a los datos personales tratados por cuenta del Responsable.

Sí. La organización dispone de procedimientos internos, documentación RGPD y canales de comunicación con el Responsable del tratamiento para gestionar y dar soporte a las solicitudes de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos.

La organización dispone de procedimientos internos y un formulario específico para la notificación, gestión y seguimiento de incidencias y brechas de seguridad, incluyendo la comunicación al Responsable del tratamiento cuando resulte necesario.

Sí. La organización dispone de procedimientos para la devolución o supresión de los datos personales tratados por cuenta del Responsable del tratamiento, de acuerdo con las instrucciones recibidas y con los plazos de conservación legalmente aplicables.

Todos los usuarios han recibido formación y han firmado un documento de buenas prácticas en lo relacionado con la protección de datos.

Los empleados solo acceden a los datos cuando lo necesitan. Existen controles de acceso y contraseñas. Hay acuerdos de confidencialidad. Los datos personales solo se utilizan para fines propios del servicio. Se siguen las instrucciones del cliente sobre cómo tratar esos datos.

Sí. Kenia Mestre — juridico@legalbox.plus

No se ha realizado una auditoría formal específica de cumplimiento del RGPD en los dos últimos años, dado que no es obligatorio en este caso. No obstante, la organización cuenta con asesoramiento especializado en protección de datos, revisa periódicamente sus procedimientos y mantiene implantadas las medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de la normativa vigente.

No aplica. No se producen transferencias internacionales de datos personales en el marco de la prestación de los servicios.

Sí. La organización dispone de procedimientos y medidas técnicas y organizativas para garantizar la seguridad de la información y el cumplimiento de las obligaciones derivadas del RGPD, aunque no cuenta con un SGSI formal certificado.

Sí. Plataforma alojada en proveedores profesionales, accesos restringidos, copias de seguridad, HTTPS, control de usuarios, contratos de confidencialidad y cumplimiento RGPD.

Sí. El alojamiento de los sistemas se realiza en centros de datos profesionales de Hetzner, que disponen de controles de acceso físico y medidas de seguridad para proteger las instalaciones.

No aplica. La información se almacena y gestiona principalmente mediante servicios cloud y proveedores de hosting profesionales, sin utilización significativa de soportes físicos para el tratamiento de datos.

Sí. La organización aplica controles de acceso lógico mediante autenticación de usuarios y un sistema de gestión de roles y permisos que restringe el acceso a los datos y funcionalidades según el perfil autorizado.

Sí. La organización dispone de una política de gestión de contraseñas que incluye requisitos de longitud y complejidad, validación de tipos de caracteres, indicadores de robustez, registro de intentos de acceso e intentos fallidos, así como mecanismos de control para reforzar la seguridad de la autenticación.

Sí. La organización dispone de mecanismos de registro y monitorización de accesos a los sistemas y aplicaciones, incluyendo el registro de intentos de acceso y de incidencias de autenticación.

Sí. La organización dispone de procedimientos de copia de seguridad periódica y recuperación de la información para garantizar la continuidad del servicio y la disponibilidad de los datos ante posibles incidencias.

Sí. Los sistemas utilizados gestionan y eliminan automáticamente los ficheros temporales mediante mecanismos integrados del sistema operativo y de las plataformas empleadas.

Sí. La organización dispone de mecanismos que permiten la recuperación completa de los servicios y de la información mediante copias de seguridad, repositorios de código y configuraciones versionadas, garantizando la restauración de la plataforma ante incidencias técnicas.

Sí. La organización dispone de un procedimiento interno para la comunicación y gestión de incidencias de seguridad y posibles brechas de datos, incluyendo un formulario específico para su notificación, evaluación y tratamiento.

Sí. La organización aplica medidas de seguridad para proteger las comunicaciones y los servicios expuestos a Internet, incluyendo cifrado completo de las comunicaciones mediante HTTPS/TLS, firewall de red, firewall de aplicaciones (WAF), limitación de peticiones (throttling), detección y bloqueo automático de actividades sospechosas, así como mecanismos dinámicos de restricción de direcciones IP.

Sí. La organización dispone de múltiples capas de protección para la gestión de vulnerabilidades técnicas, incluyendo firewall, WAF, cifrado HTTPS/TLS, limitación de peticiones, bloqueo automático de accesos sospechosos y controles avanzados de autenticación y autorización.

Sí. La organización aplica medidas de seguridad para el uso de equipos personales, incluyendo autenticación de usuarios, control de accesos, comunicaciones cifradas y una política de minimización del almacenamiento local, priorizando la gestión de la información en plataformas y servicios cloud seguros.

Sí. La organización dispone de entornos diferenciados de desarrollo, preproducción y producción, con configuraciones y accesos independientes. El desarrollo se realiza sin utilizar datos reales y las validaciones se efectúan en un entorno separado de preproducción.

Sí. La organización aplica técnicas de anonimización en los procesos de análisis estadístico e investigación. En aquellos tratamientos que requieren la identificación de los alumnos para la prestación del servicio, los centros educativos pueden configurar el nivel de identificación de la información de acuerdo con sus necesidades y políticas de gestión.