Conformidad de PandaDoc con el RGPD

Última actualización: 19 de marzo de 2021

Qué es, qué hacemos nosotros y qué puede hacer usted

El RGPD entró en vigor el 25 de mayo de 2018 para reforzar la supervisión sobre los derechos de privacidad globales y su cumplimiento. Nosotros, en PandaDoc, nos hemos adaptado a los requisitos del RGPD y en esta guía queremos explicar a nuestros clientes cómo lo hemos hecho. Debe leerse con esta idea, y no como un tratado completo sobre la aplicación del RGPD.

¿Qué es el RGPD?

El Reglamento general de protección de datos («RGPD») es una ley europea sobre privacidad y protección de datos que se adoptó el 14 de abril de 2016 y entró en vigor el 25 de mayo de 2018. Este retraso de dos (2) años entre su adopción y su aplicación tenía la finalidad de dar tiempo a las organizaciones a prepararse antes de su implementación.

El RGPD es un intento ambicioso de reforzar, armonizar y modernizar la ley de protección de datos de la UE y mejorar los derechos y las libertades individuales, en consonancia con la percepción europea de la privacidad como un derecho humano fundamental. El RGPD regula, entre otras cosas, el modo en que las personas y las organizaciones pueden obtener, utilizar, almacenar y borrar datos personales. Sustituye a la directiva de privacidad de la Unión Europea anterior, conocida como Directiva 95/46/CE (la “Directiva”), que ha conformado las bases de la ley de protección de datos europea desde 1995 hasta principios de 2018. A diferencia de su predecesora, el RGPD se aplica de forma inmediata a toda la Unión Europea (“UE”), en todos sus estados miembros, sin requerir ninguna acción legislativa adicional por parte de ningún estado miembro.

Desde la entrada en vigor del RGPD a mediados de mayo de 2018, se acabó el “periodo de gracia”. Es fundamental que las organizaciones afectadas por el RGPD cumplan con sus disposiciones.

¿Cómo funciona el RGPD?

There are many principles and requirements introduced by the GDPR, so it is important to review the El RGPD introduce muchos principios y requisitos, por ello, es importante revisarlo en su totalidad para garantizar su plena comprensión y cómo se aplica a su organización. Aunque el RGPD preserva muchos principios establecidos por la Directiva, también introduce importantes y ambiciosos cambios. A continuación, enumeramos algunos que consideramos especialmente relevantes para PandaDoc y nuestros clientes:

  1. Ampliación del alcance: el RGPD se aplica a todas las organizaciones establecidas en la UE o que tratan datos de interesados, con lo cual se introduce el concepto de extraterritorialidad, que amplía el alcance de la ley de protección de datos de la UE más allá de sus fronteras.
  2. Ampliación de las definiciones de datos personales y categorías especiales de datos.
  3. Ampliación de los derechos individuales: el RGPD otorga varios derechos destacados a los interesados, incluidos el derecho al olvido, el derecho de oposición, el derecho de rectificación, el derecho de acceso y el derecho de portabilidad. Su organización debe respetar estos derechos si trata los datos personales de interesados.

4. Requisitos de consentimiento más estrictos: el consentimiento es una de las bases legales fundamentales del RGPD, por tanto, las organizaciones deben asegurarse de obtener el consentimiento de acuerdo con los requisitos establecidos en el reglamento. Su organización deberá obtener el consentimiento de sus suscriptores y contactos para cualquier uso de sus datos personales, a menos que se base en otro fundamento jurídico. Su cumplimiento se basa en obtener el consentimiento explícito. Tenga en cuenta lo siguiente:

5. Requisitos de tratamiento estrictos: las personas individuales tienen derecho a recibir información “imparcial y transparente” sobre el tratamiento de sus datos personales, incluidos:

¿A quién afecta?

Como se ha mencionado anteriormente, el alcance territorial del RGPD es muy amplio. Las dos condiciones territoriales para la aplicación del RGPD más comunes son: el RGPD se aplica (1) al tratamiento de datos personales en el contexto de las actividades de establecimiento de un responsable o un encargado del tratamiento en la UE, independientemente de si el tratamiento se realiza en la UE o no; y (2) al tratamiento de (a) la oferta de bienes o servicios, independientemente de si requieren un pago por parte del interesado, a interesados dentro de la UE; o (b) la supervisión de su comportamiento siempre y cuando este se produzca dentro de la UE. Esto último corresponde a la introducción del RGPD del principio de “extraterritorialidad”, según el cual el reglamento se aplica a cualquier organización que trate datos personales de los interesados, independientemente de dónde esté establecida y de dónde se realicen las actividades de tratamiento. Esto significa que el RGPD podría aplicarse a cualquier organización del mundo, por tanto, todas las organizaciones deben realizar un análisis para determinar si están tratando los datos personales de ciudadanos de la UE. El RGPD también se aplica a todas las industrias y sectores.

A continuación, se ofrecen algunas definiciones para ayudar a comprender el amplio alcance del RGPD.

¿Qué es un “interesado”?

El RGPD define a un interesado en su definición de “Datos personales” descrita a continuación. Un interesado es una persona física identificable que puede ser identificada, directa o indirectamente, en concreto mediante un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o bien mediante uno o más factores propios de la identidad física, psicológica, genética, mental, económica, cultural o social de dicha persona física.

Un interesado no está vinculado exclusivamente a la ciudadanía de la UE, sino que se extiende a la aplicación territorial del RGPD descrita anteriormente. En una organización que trata datos personales en el contexto de un establecimiento en la UE se refiere al tratamiento de datos personales de cualquier persona física identificable, con independencia de la ubicación física de dicha persona, siempre y cuando el tratamiento se dé en el contexto del establecimiento. Una organización no establecida en la UE, pero que ofrece bienes o servicios a un interesado que reside en la UE, también depende del RGPD. En esta instancia, además de su aplicación a una persona física, también es necesario que la persona se encuentre físicamente en la UE.

¿Qué se consideran “datos personales”?

El RGPD define los datos personales como cualquier información relacionada con una persona física identificable o identificada, esto es, información que podría utilizarse por su cuenta o junto con otros datos para identificar a un interesado. Fíjese en el sumamente amplio alcance de esta definición. Los datos personales ahora incluyen no solo los datos que se consideran personales por naturaleza (p. ej., los números de la seguridad social, nombres, direcciones físicas o de correo electrónico), sino también datos como direcciones IP, datos de comportamiento, datos de ubicación, datos biométricos, información financiera y muchos otros. Para los usuarios de PandaDoc esto significa que la información que una organización recopila sobre sus suscriptores y contactos se considerará datos personales en virtud del RGPD. Cabe destacar que incluso los datos personales que se hayan “pseudonimizado” podrán considerarse datos personales si el pseudónimo se puede vincular a cualquier persona, por lo que debe prestarse especial atención a la hora de evaluar su aplicación. La clasificación de los datos como datos personales de acuerdo con el RGPD exigirá a las organizaciones el cumplimiento de determinados deberes y obligaciones en relación con qué se puede calificar como transparencia en sentido amplio en torno al uso de dichos datos personales, y esto incluye su seguridad. 

Las categorías especiales de datos, tales como información sanitaria o información que revela el origen étnico o racial de una persona, exigirán una protección aún mayor en virtud del RGPD. Ninguna organización almacenará datos de esta naturaleza dentro de su cuenta de PandaDoc.

¿Qué significa “tratar” datos?

El tratamiento de acuerdo con el RGPD es “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”. Básicamente, si su organización recopila, gestiona, utiliza o almacena cualquier dato personal de interesados, está tratando datos personales de la UE, dentro del significado establecido por el RGPD. Esto significa, por ejemplo, que si alguna de sus listas de PandaDoc contiene la dirección de correo electrónico, el nombre o cualquier otra clase de datos personales de algún interesado, su organización está tratando datos personales de la UE de acuerdo con el RGPD. Obviamente, la aplicación del RGPD está supeditada al cumplimiento de los requisitos de delimitación territorial explicados anteriormente.

Tenga en cuenta que, incluso si su organización no considera que su negocio se vea afectado por el RGPD, es posible que tanto el propio reglamento como sus principios subyacentes sean igualmente importantes para su correcto rendimiento. La legislación europea tiende a fijar las tendencias para las normativas de privacidad internacional, por ello, una mayor sensibilización en materia de privacidad ahora puede traducirse en una ventaja competitiva a largo plazo.

¿Quién trata los Datos personales en virtud del RGPD?

Si una organización trata datos personales, lo hace como responsable o bien como encargado del tratamiento, y cada uno conlleva distintos requisitos y obligaciones. Una organización responsable del tratamiento es la que determina las finalidades y los medios del tratamiento de datos personales, así como los datos personales específicos que se recopilan de un interesado para su tratamiento. Una organización encargada del tratamiento es la que trata los datos en nombre del encargado. Piense en el encargado del tratamiento como un proveedor de servicios o distribuidor en la relación.

El RGPD no ha cambiado las definiciones fundamentales de responsable y encargado del tratamiento contemplados en la Directiva, pero ha ampliado las responsabilidades de cada parte. Sobre los responsables recaerá la responsabilidad primaria de la protección de datos (incluida, por ejemplo, la obligación de notificar las violaciones de la seguridad de los datos a las autoridades de protección de datos); sin embargo, el RGPD también establece algunas responsabilidades directas sobre el encargado. Es fundamental comprender si su organización actúa como responsable o como encargado, y familiarizarse con sus responsabilidades en consonancia.

En el contexto de la aplicación de PandaDoc y nuestros servicios relacionados, en la mayoría de las circunstancias nuestros clientes actúan como responsables del tratamiento. Por ejemplo, son quienes deciden qué información de sus contactos o suscriptores se carga o se transfiere a su cuenta de PandaDoc. A continuación, se describe cómo trata los datos personales PandaDoc.

¿Cómo cumple PandaDoc con el RGPD?

PandaDoc se toma muy en serio el cumplimiento del RGPD y empezó a prepararse para ello mucho antes de su entrada en vigor. Como parte de este proceso, revisamos (y actualizamos en los casos necesarios) todos nuestros procesos internos, procedimientos, sistemas y documentación para garantizar la preparación una vez que entrara en vigor. Su cumplimiento no es estático, sino que exige una vigilancia y un seguimiento continuos ante las nuevas circunstancias y requisitos legales.

Un cambio reciente está relacionado con la decisión del Tribunal de Justicia de la Unión Europea («TJUE») en el caso conocido como Schrems II. Esta decisión versa sobre la transferencia de datos personales desde estados miembros de la UE a países externos, como Estados Unidos. El RGPD, al igual que la Directiva, no contiene ningún requisito que especifique que los datos personales de los ciudadanos de la UE deban almacenarse únicamente en estados miembros de la UE. Es más, el RGPD exige el cumplimiento de determinadas condiciones antes de transferir datos personales fuera de la UE, identificando distintos fundamentos jurídicos sobre los que se pueden basar las organizaciones para realizar dichas transferencias de datos. Un fundamento jurídico para la transferencia de datos personales establecido en el RGPD es una “decisión de adecuación”, que es una decisión tomada por la Comisión Europea según la cual existe un nivel de protección adecuado para los datos personales en el país, territorio u organización al que se transfieren los datos. La decisión de Schrems II invalidó la decisión de adecuación para la transferencia de datos transatlántica a los Estados Unidos conocida como Escudo de privacidad II. Otra consecuencia de esta decisión afectó al uso de cláusulas contractuales tipo (SCC, por sus siglas en inglés) entre el responsable o encargado y el responsable, encargado o destinatario de los datos personales en el país externo u organización internacional. Estas cláusulas son un fundamento jurídico de uso recurrente bajo el título “garantías adecuadas”, donde la transferencia de datos personales solo se puede realizar si existen las garantías adecuadas, recursos jurídicos efectivos y derechos de los interesados aplicables. Aunque el TJUE mantuvo la validez de esta garantía, estableció determinadas condiciones para su uso.

PandaDoc se compromete a cumplir con la decisión del caso Schrems II, así como con cualquier mandato jurídico futuro. Además, supervisa su desarrollo, en concreto en relación con las publicaciones de directrices del Comité Europeo de Protección de Datos y las opiniones de la Autoridad de control.

En consonancia con nuestra política, estamos a disposición de nuestros clientes para responder a cualquier solicitud que puedan tener en relación con la ampliación de sus derechos individuales en virtud del RGPD, los cuales incluyen en líneas generales:

¿Cómo trata PandaDoc los datos personales?

PandaDoc, just like any other business, currently uses third-party Sub-processors to provide various business functions like business analytics, cloud infrastructure, email notifications, payments, and customer support. Prior to engaging with any third-party Sub-processor, PandaDoc performs due diligence to evaluate their defensive disposition and executes an agreement requiring each Sub-pPandaDoc, del mismo modo que cualquier otra empresa, actualmente utiliza subencargados del tratamiento terceros para distintas funciones empresariales, como el análisis de negocio, la infraestructura de la nube, las notificaciones por correo electrónico, los pagos y la asistencia al cliente. Antes de contratar a cualquier subencargado del tratamiento de terceros, PandaDoc aplica la diligencia debida para evaluar su disposición defensiva y celebra un acuerdo en el cual exige que el subencargado del tratamiento mantenga unas prácticas de seguridad mínimas aceptables. Hemos incluido una lista de nuestros subencargados del tratamiento en una página aparte, que mantendremos actualizada. Consúltela periódicamente para estar al día de todos los cambios.

¿Debe cumplir con el RGPD?

Como se ha indicado anteriormente, el RGPD tiene un amplio alcance extraterritorial y deberá prestarse especial atención a su aplicación en su organización. Queremos insistir en la importancia de consultar con un asesor jurídico u otro asesor profesional las posibles obligaciones de cumplimiento para su organización en virtud del RGPD.

¿Qué ocurre si lo incumplo?

El incumplimiento del RGPD puede acarrear grandes sanciones económicas, que pueden ascender a los 20 millones de euros o el 4 % de la facturación anual, el que sea superior.

¿Por dónde debo empezar?

A continuación, hemos incluido una tabla para ayudar a nuestros clientes a comprender el RGPD y sus responsabilidades, y cómo encaja PandaDoc en la ecuación. Esta lista no es ni exclusiva ni exhaustiva.

Requisito del RGPDReferencia del RGPDActor(es)Medidas tomadas
Bases legalesArtículo 6, Artículo 11CompartidoPandaDoc: establece una base legal para el tratamiento de los datos personales. Interesado: si se aprueba la base legal, el interesado consiente la recopilación de datos por parte de PandaDoc.
Tratamiento de datos personales de menoresArtículo 8PandaDocNo distingue entre distintos tipos de datos personales y no recopila deliberadamente datos personales de menores.
Protección de datos desde el diseñoArtículo 25CompartidoPandaDoc: recopila los datos personales mínimos necesarios para el normal funcionamiento de su negocio. Cliente: gestiona el contenido en la plataforma de PandaDoc.
Evaluaciones del impacto de la protección de datosArtículo 35CompartidoPandaDoc: nombra al personal responsable de realizar cualquier evaluación del impacto de la protección de datos necesaria. Cliente: determina el nivel de contenido compartido con los socios comerciales y puede ayudar a PandaDoc, en calidad de encargado del tratamiento.
CifradoArtículo 32CompartidoPandaDoc y el cliente (como encargado del tratamiento): cumplen con los requisitos de seguridad. Los datos se cifran tanto en tránsito como en reposo mediante el cifrado AES de 256 bits.
Comité europeo de protección de datosArtículo 68CompartidoPandaDoc y el cliente (como encargado del tratamiento): supervisan la actividad del Comité europeo de protección de datos
Inventario de datos personalesArtículo 30CompartidoPandaDoc y el cliente (como encargado del tratamiento): cumplen con el requisito de registrar la actividad de tratamiento.
Derecho de supresiónArtículo 17CompartidoPandaDoc: nombra al personal responsable de responder a cualquier ejercicio de este derecho. Interesado: ejerce su derecho de supresión como PandaDoc disponga.