Reglamento General de Protección de Datos (RGPD)
Información actualizada conforme al RGPD (UE) 2016/679
Compromiso con la protección de datos personales
arcane-horn está plenamente comprometido con el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales española (LOPDGDD).
Esta página complementa nuestra Política de Privacidad proporcionando información específica sobre nuestro cumplimiento del RGPD y los mecanismos implementados para garantizar la protección de tus derechos fundamentales.
Principios del tratamiento de datos
Todos los tratamientos de datos personales que realizamos se fundamentan en los siguientes principios establecidos por el RGPD:
Licitud, lealtad y transparencia
Tratamos los datos personales de forma lícita, leal y transparente. Informamos claramente sobre qué datos recopilamos, con qué finalidades y durante cuánto tiempo.
Limitación de la finalidad
Recogemos datos para finalidades determinadas, explícitas y legítimas. No los tratamos posteriormente de manera incompatible con dichas finalidades.
Minimización de datos
Solo recopilamos los datos personales que son adecuados, pertinentes y estrictamente necesarios para las finalidades declaradas. No solicitamos información superflua.
Exactitud
Mantenemos los datos personales exactos y actualizados. Ponemos a tu disposición mecanismos para que puedas actualizar o corregir tus datos en cualquier momento.
Limitación del plazo de conservación
Conservamos los datos personales únicamente durante el tiempo necesario para los fines del tratamiento, respetando los plazos legales de conservación cuando corresponda.
Integridad y confidencialidad
Aplicamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, protegiéndolos contra tratamientos no autorizados, pérdida, destrucción o daño accidental.
Responsabilidad proactiva
No solo cumplimos con estos principios, sino que podemos demostrarlo mediante documentación, procedimientos internos y auditorías periódicas.
Base legal para el tratamiento
Cada tratamiento de datos personales que realizamos se fundamenta en una base legal válida según el artículo 6 del RGPD:
| Finalidad del tratamiento | Base legal |
|---|---|
| Gestión de usuarios registrados y prestación de servicios | Ejecución de un contrato (Art. 6.1.b RGPD) |
| Respuesta a solicitudes de información | Consentimiento del interesado (Art. 6.1.a RGPD) |
| Envío de comunicaciones comerciales | Consentimiento expreso (Art. 6.1.a RGPD) |
| Mejora de servicios mediante análisis agregados | Interés legítimo (Art. 6.1.f RGPD) |
| Conservación de datos fiscales y contables | Obligación legal (Art. 6.1.c RGPD) |
| Geolocalización para alertas inteligentes | Consentimiento expreso (Art. 6.1.a RGPD) |
Derechos RGPD: Ejercicio y procedimiento
El RGPD te otorga derechos específicos sobre tus datos personales. A continuación, detallamos cada derecho y cómo ejercerlo:
Derecho de acceso (Art. 15 RGPD)
Qué puedes solicitar: Obtener confirmación de si estamos tratando tus datos personales y, en su caso, acceder a dichos datos y a información sobre el tratamiento.
Información que recibirás: Qué datos tratamos, finalidades, destinatarios, plazo de conservación, origen de los datos si no los obtuvimos directamente de ti.
Formato de entrega: Copia de los datos en formato digital (PDF) enviada a tu correo electrónico registrado.
Derecho de rectificación (Art. 16 RGPD)
Qué puedes solicitar: Corrección de datos personales inexactos o completar datos incompletos.
Plazo de ejecución: La rectificación se realiza de forma inmediata tras verificar la exactitud de la información proporcionada.
Derecho de supresión - "derecho al olvido" (Art. 17 RGPD)
Qué puedes solicitar: Eliminación de tus datos personales cuando concurra alguna de estas circunstancias:
- Ya no son necesarios para la finalidad que justificó su recogida
- Retiras el consentimiento y no existe otra base legal para el tratamiento
- Te opones al tratamiento y no prevalecen otros motivos legítimos
- Los datos se han tratado ilícitamente
- Deben suprimirse para cumplir una obligación legal
Limitaciones: No podemos suprimir datos cuando exista una obligación legal de conservarlos (datos fiscales durante 6 años) o cuando sean necesarios para la formulación, ejercicio o defensa de reclamaciones.
Derecho de limitación del tratamiento (Art. 18 RGPD)
Qué puedes solicitar: Que marquemos tus datos personales para limitar su tratamiento futuro en estos casos:
- Impugnas la exactitud de los datos (limitación mientras verificamos)
- El tratamiento es ilícito pero te opones a la supresión y solicitas limitación
- Ya no necesitamos los datos pero tú los necesitas para reclamaciones legales
- Te has opuesto al tratamiento (limitación mientras verificamos si nuestros motivos legítimos prevalecen)
Efecto práctico: Los datos limitados solo se conservan, pero no se procesan activamente salvo para reclamaciones legales o con tu consentimiento.
Derecho de portabilidad (Art. 20 RGPD)
Qué puedes solicitar: Recibir los datos personales que nos has facilitado en formato estructurado, de uso común y lectura mecánica (CSV o JSON).
Alcance: Solo aplica a datos que nos hayas proporcionado directamente y cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados.
Transmisión directa: Si es técnicamente posible, podemos transmitir directamente tus datos a otro responsable que indiques.
Derecho de oposición (Art. 21 RGPD)
Qué puedes solicitar: Oponerte al tratamiento de tus datos cuando se base en interés legítimo o para fines de marketing directo.
Efecto: Dejaremos de tratar los datos salvo que acreditemos motivos imperiosos que prevalezcan sobre tus intereses, derechos y libertades.
Marketing directo: La oposición a comunicaciones comerciales es absoluta y sin necesidad de motivación.
Decisiones automatizadas y elaboración de perfiles (Art. 22 RGPD)
Información: No realizamos tomas de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos o te afecten significativamente de modo similar.
El análisis de patrones de uso que realizamos es para sugerencias personalizadas, pero ninguna decisión relevante se toma de forma completamente automatizada sin intervención humana.
Procedimiento para ejercer tus derechos
Paso 1: Envío de la solicitud
Envía un correo electrónico a: protecciondatos(arroba)arcane-horn.com
Paso 2: Identificación
Incluye en tu solicitud:
- Nombre completo
- Correo electrónico asociado a tu cuenta (si eres usuario registrado)
- Copia de tu DNI, NIE o pasaporte
- Descripción clara del derecho que deseas ejercer
Paso 3: Verificación
Verificaremos tu identidad para garantizar que los datos solo se facilitan al titular legítimo. Este proceso no debería superar 48 horas.
Paso 4: Respuesta
Recibirás respuesta en el plazo máximo de un mes desde la recepción de la solicitud. Este plazo podrá prorrogarse dos meses más en casos de especial complejidad, informándote previamente.
Gratuidad
El ejercicio de derechos es completamente gratuito. Solo en casos de solicitudes manifiestamente infundadas o excesivas (especialmente por su carácter repetitivo) podríamos cobrar un canon razonable o negarnos a actuar.
Encargados del tratamiento
Colaboramos con terceros proveedores de servicios que actúan como encargados del tratamiento bajo nuestras instrucciones. Todos ellos cumplen con el RGPD y han firmado contratos de encargo del tratamiento según el artículo 28 del RGPD.
Categorías de encargados del tratamiento
- Servicios de hosting y almacenamiento en la nube: servidores ubicados en la Unión Europea
- Plataformas de envío de correo electrónico: para comunicaciones transaccionales y comerciales
- Procesadores de pago: certificados PCI DSS para transacciones seguras
- Herramientas de análisis web: para métricas agregadas de uso de la plataforma
- Servicios de atención al cliente: para gestión de tickets de soporte
Todos estos proveedores están contractualmente obligados a implementar medidas técnicas y organizativas apropiadas, a tratar los datos únicamente según nuestras instrucciones y a notificarnos cualquier violación de seguridad.
Medidas de seguridad implementadas
Aplicamos medidas de seguridad técnicas y organizativas apropiadas al estado de la técnica, teniendo en cuenta los riesgos que presenta el tratamiento de datos:
Medidas técnicas
- Cifrado de datos en tránsito mediante certificados SSL/TLS
- Cifrado de datos en reposo en bases de datos y backups
- Contraseñas hasheadas con algoritmos robustos (bcrypt con sal)
- Firewalls y sistemas de detección de intrusos
- Autenticación multifactor para accesos administrativos
- Copias de seguridad diarias con almacenamiento redundante
- Registro de accesos y actividad para auditoría
- Actualización regular de sistemas y parches de seguridad
Medidas organizativas
- Política de control de acceso basada en el principio de mínimo privilegio
- Acuerdos de confidencialidad con todo el personal con acceso a datos
- Formación continua del equipo en protección de datos y ciberseguridad
- Procedimientos documentados para gestión de incidencias de seguridad
- Auditorías internas periódicas de cumplimiento
- Evaluaciones de impacto para tratamientos de alto riesgo
Notificación de violaciones de seguridad
En caso de violación de seguridad de los datos personales que pueda entrañar un alto riesgo para tus derechos y libertades, te notificaremos sin dilación indebida, proporcionando:
- Descripción de la naturaleza de la violación
- Categorías y número aproximado de interesados afectados
- Consecuencias probables de la violación
- Medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos
Asimismo, notificaremos a la Agencia Española de Protección de Datos en el plazo de 72 horas desde que tengamos constancia de la violación, conforme exige el artículo 33 del RGPD.
Evaluaciones de impacto (EIPD)
Para tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, realizamos Evaluaciones de Impacto en la Protección de Datos antes de iniciar el tratamiento.
Esto incluye el tratamiento de datos de geolocalización para nuestro servicio de Alertas Inteligentes, para el cual hemos realizado una EIPD que concluye que, con las medidas de seguridad implementadas y el consentimiento expreso requerido, el riesgo residual es bajo y aceptable.
Delegado de Protección de Datos
Aunque no estamos obligados legalmente a designar un Delegado de Protección de Datos (DPO) según los criterios del artículo 37 del RGPD, hemos designado internamente un responsable de protección de datos que supervisa el cumplimiento normativo.
Puedes contactar con nuestro responsable de protección de datos en: protecciondatos(arroba)arcane-horn.com
Reclamaciones ante la autoridad de control
Si consideras que tus derechos en materia de protección de datos han sido vulnerados, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control en España:
Este derecho a reclamar ante la autoridad de control se entiende sin perjuicio de cualquier otro recurso administrativo o acción judicial que puedas ejercer.
Antes de acudir a la AEPD, te rogamos que nos contactes directamente. Nos comprometemos a resolver cualquier incidencia de forma ágil y transparente, y en la mayoría de casos podremos solucionar tu problema de forma más rápida que el procedimiento formal ante la autoridad.
Actualizaciones de esta información
Revisamos y actualizamos periódicamente esta información sobre el cumplimiento del RGPD para reflejar cambios normativos, nuevas buenas prácticas o modificaciones en nuestros tratamientos de datos.
Te recomendamos revisar esta página de forma periódica. Cualquier cambio sustancial será comunicado a los usuarios registrados por correo electrónico.
Contacto
Para cualquier consulta relacionada con el RGPD o con el tratamiento de tus datos personales:
protecciondatos(arroba)arcane-horn.com