Descripción general
El Reglamento General de Protección de Datos (RGPD) se aplica a todo tratamiento de datos personales de personas físicas en el Espacio Económico Europeo (EEE), independientemente de dónde esté establecido el responsable del tratamiento. OctoHex procesa datos personales de usuarios comerciales con sede en la UE y está plenamente comprometido con el cumplimiento del RGPD.
Nuestro enfoque sigue los principios fundamentales del RGPD:
- Licitud, lealtad y transparencia — procesamos los datos únicamente sobre una base legal válida y somos transparentes sobre cómo los utilizamos
- Limitación de la finalidad — los datos se recopilan con fines determinados, explícitos y legítimos, y no se procesan posteriormente de manera incompatible con dichos fines
- Minimización de datos — recopilamos únicamente lo que es estrictamente necesario para el servicio
- Exactitud — tomamos medidas razonables para garantizar que los datos estén exactos y actualizados
- Limitación del plazo de conservación — los datos se conservan únicamente durante el tiempo necesario (consulte nuestro calendario de retención)
- Integridad y confidencialidad — las medidas técnicas y organizativas adecuadas protegen los datos contra el tratamiento no autorizado, la pérdida o la destrucción
- Responsabilidad proactiva — mantenemos registros de las actividades de tratamiento y podemos demostrar el cumplimiento
Responsable del tratamiento
A los efectos del RGPD, el responsable del tratamiento es:
Servicio profesional de inmovilizador de ECU
Correo electrónico: privacy@octohex.com
Contacto de protección de datos: dpo@octohex.com
Cuando actuamos como encargado del tratamiento en su nombre (por ejemplo, al procesar los datos del vehículo que carga), nos comprometemos a procesar dichos datos únicamente siguiendo sus instrucciones documentadas y de conformidad con el Art. 28 del RGPD.
Base legal para el procesamiento
| Actividad de procesamiento | Base legal | Artículo del RGPD |
|---|---|---|
| Creación y gestión de cuentas | Ejecución de un contrato | Art. 6(1)(b) |
| Procesamiento de pedidos de ECU | Ejecución de un contrato | Art. 6(1)(b) |
| Envío de correos electrónicos transaccionales (estado del pedido, verificación) | Ejecución de un contrato | Art. 6(1)(b) |
| Mantenimiento de registros de auditoría de pedidos | Obligación legal + Intereses legítimos | Art. 6(1)(c) + 6(1)(f) |
| Detección de fraude y prevención de abusos | Intereses legítimos | Art. 6(1)(f) |
| Respuesta a órdenes legales o solicitudes de las fuerzas del orden | Obligación legal | Art. 6(1)(c) |
No dependemos del consentimiento como base legal para ninguna actividad principal de procesamiento. Cuando se obtenga el consentimiento (por ejemplo, para comunicaciones de marketing opcionales, si se introducen en el futuro), se documentará por separado, se dará libremente, de forma específica, informada e inequívoca, y podrá retirarse en cualquier momento sin que afecte al acceso al servicio.
Derechos de los interesados
Puede ejercer cualquiera de los siguientes derechos poniéndose en contacto con nosotros en privacy@octohex.com. Acusaremos recibo de su solicitud en un plazo de 72 horas y responderemos dentro de los 30 días naturales. Las solicitudes complejas o múltiples pueden prorrogarse por dos meses adicionales con aviso previo.
| Derecho | Qué significa | Limitaciones |
|---|---|---|
| Acceso (Art. 15) | Obtener una copia de todos los datos personales que tenemos sobre usted, junto con los detalles de cómo se procesan | Podemos ocultar datos que afecten a terceros |
| Rectificación (Art. 16) | Corregir datos personales inexactos o incompletos | No se pueden alterar los registros de auditoría exigidos por la ley |
| Supresión (Art. 17) | Solicitar la eliminación de sus datos personales ("derecho al olvido") | Los registros de auditoría de pedidos se retienen para cumplimiento legal; los registros financieros se retienen durante 5 años |
| Limitación (Art. 18) | Solicitar que limitemos el procesamiento mientras se resuelve una disputa | La funcionalidad de la cuenta activa puede verse afectada |
| Portabilidad (Art. 20) | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (JSON/CSV) | Se aplica a los datos que nos proporcionó y procesados por medios automatizados |
| Oposición (Art. 21) | Oponerse al procesamiento basado en intereses legítimos | Cesaremos el procesamiento a menos que podamos demostrar motivos legítimos imperiosos |
| Retirar el consentimiento (Art. 7) | Retirar el consentimiento cuando este sea la base legal del procesamiento | No afecta a la licititud del procesamiento anterior |
Cómo enviar una solicitud
- Envíe un correo electrónico a privacy@octohex.com con el asunto: "Solicitud RGPD — [Su correo electrónico registrado]"
- Indique claramente qué derecho está ejerciendo
- Es posible que le solicitemos que verifique su identidad antes de procesar la solicitud
- Las solicitudes son gratuitas a menos que sean manifiestamente infundadas o excesivas
Derecho a presentar una reclamación
Si cree que no hemos tratado sus datos de acuerdo con el RGPD, tiene derecho a presentar una reclamación ante su autoridad de control nacional. En España, esta es la AEPD (aepd.es). En Francia, es la CNIL. Una lista completa de las autoridades de control de la UE está disponible en edpb.europa.eu.
Transferencias internacionales de datos
Nuestro objetivo es almacenar y procesar todos los datos personales dentro del Espacio Económico Europeo (EEE). Cuando utilizamos infraestructuras o encargados del tratamiento fuera del EEE (por ejemplo, servicios en la nube con sede en EE. UU.), garantizamos una protección adecuada mediante uno o más de los siguientes mecanismos:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914)
- Certificación en el Marco de Privacidad de Datos UE-EE. UU. cuando corresponda
- Decisiones de adecuación dictadas por la Comisión Europea
Puede solicitar una copia de las salvaguardas de transferencia correspondientes poniéndose en contacto con privacy@octohex.com.
Subencargados del tratamiento
Contratamos a los siguientes subencargados que pueden procesar datos personales en nuestro nombre:
| Subencargado | Propósito | Ubicación | Salvaguarda |
|---|---|---|---|
| Proveedor de alojamiento en la nube | Infraestructura de servidores, alojamiento de bases de datos | UE (principal) | DPA / CCT |
| PayPal (Europe) S.à r.l. | Procesamiento de pagos | Luxemburgo / UE | Entidad de la UE — se aplica el RGPD directamente |
| NOWPayments | Procesamiento de pagos con criptomonedas | Internacional | CCT + DPA |
| Servicio de entrega de correo electrónico | Correo electrónico transaccional (verificación de cuenta, notificaciones de pedidos) | UE / EEE | DPA |
Llevamos a cabo una diligencia debida sobre todos los subencargados antes de contratarlos y mantenemos Acuerdos de Procesamiento de Datos (DPA) firmados por escrito con cada uno de ellos. Le notificaremos sobre cualquier nueva incorporación de subencargado que pueda afectar sustancialmente a sus datos.
Política de brechas de datos
En caso de una brecha de seguridad de datos personales, seguimos los procedimientos exigidos por los Art. 33 y 34 del RGPD:
- Detección: Mantenemos sistemas de monitoreo y alerta para detectar posibles brechas de inmediato
- Evaluación: Las brechas se evalúan en cuanto a gravedad, alcance y probabilidad de daño dentro de las 24 horas posteriores a su descubrimiento
- Notificación a la autoridad de control: Cuando sea necesario, notificamos a la autoridad de control correspondiente dentro de las 72 horas posteriores a tener conocimiento de la brecha, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas
- Notificación a los interesados: Cuando sea probable que una brecha suponga un alto riesgo para sus derechos y libertades, le notificaremos directamente y sin dilación indebida, describiendo la naturaleza de la brecha, las consecuencias probables y las medidas adoptadas
- Documentación: Todas las brechas, incluidas las que no requieran notificación, se documentan internamente
Para reportar un presunto incidente de seguridad, comuníquese de inmediato con security@octohex.com.
Evaluación de Impacto en la Protección de Datos (EIPD)
Hemos realizado una Evaluación de Impacto en la Protección de Datos para nuestras actividades principales de procesamiento, específicamente en lo que respecta al tratamiento de archivos binarios de la ECU, que pueden considerarse datos técnicos sensibles relacionados con los sistemas de seguridad del vehículo.
Principales hallazgos y mitigaciones de nuestra EIPD:
- Riesgo: Los archivos de la ECU podrían usarse teóricamente para identificar un vehículo específico
Mitigación: Los archivos se eliminan inmediatamente después del procesamiento; solo se conserva un hash SHA-256 para fines de auditoría - Riesgo: Registros de auditoría que contienen direcciones IP y detalles del vehículo
Mitigación: Acceso estrictamente limitado al personal autorizado; los registros se conservan únicamente durante el período mínimo requerido por la ley - Riesgo: Intercepción de datos de pago
Mitigación: No se almacenan datos de tarjetas en nuestros servidores; toda la gestión de pagos se delega a procesadores certificados que cumplen con PCI-DSS
Delegado de Protección de Datos
Aunque no es legalmente obligatorio para todas las organizaciones, OctoHex ha designado un contacto de Protección de Datos para todas las consultas relacionadas con el RGPD:
Correo electrónico: dpo@octohex.com
Asunto: "RGPD — [naturaleza de la consulta]"
Tiempo de respuesta: Dentro de 5 días hábiles
Para preguntas generales sobre privacidad, consulte nuestra Política de privacidad. Para preguntas sobre sus derechos, consulte la sección de Derechos de los interesados más arriba.