1. Introducción
LLiquidity Technology S.L.U, en adelante "Liquidity Technology", o "la Empresa", es una entidad española actualmente en proceso de obtención de licencia MiCA por parte de la CNMV. La Sociedad concede la máxima importancia a la protección de los datos personales y de los datos personales sensibles pertenecientes a sus clientes, empleados y cualquier otra persona relacionada con sus operaciones comerciales.
De conformidad con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y todas las estipulaciones pertinentes sobre protección de datos y privacidad de datos en virtud de la Norma II.A.1 del Reglamento de Información y Tecnología de VARA (denominados colectivamente "la Ley"), la Empresa ha establecido esta Política de Protección de Datos. Esta política describe las exhaustivas medidas y prácticas aplicadas por la Empresa para garantizar el estricto cumplimiento de toda la normativa aplicable en materia de protección de datos.
La Empresa reconoce que los datos personales abarcan cualquier información relativa a una persona física identificada o identificable. Esto incluye, entre otros, nombres, números de identificación, datos de contacto, información financiera e identificadores en línea. Los datos personales sensibles, por su parte, se refieren a categorías específicas de datos personales que requieren una mayor protección debido a su naturaleza sensible. Puede tratarse de datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física.
La empresa se compromete a tratar todos los datos personales y datos personales sensibles de forma lícita, justa y transparente. Esto incluye la recogida de datos únicamente para fines específicos, explícitos y legítimos, y no tratarlos posteriormente de forma incompatible con dichos fines. La empresa también garantiza que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. Además, la Empresa toma todas las medidas necesarias para garantizar que los datos personales sean exactos y, en caso necesario, se mantengan actualizados. Los datos personales que sean inexactos o incompletos, teniendo en cuenta los fines para los que se tratan, se suprimen o rectifican sin demora.
La empresa ha aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye la protección contra el tratamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño. La empresa también garantiza que los datos personales no se conservan durante más tiempo del necesario para los fines para los que se tratan.
La empresa respeta los derechos de los interesados, incluido el derecho de acceso, rectificación, supresión, limitación del tratamiento, oposición al tratamiento y portabilidad de los datos. La empresa ha establecido procedimientos para gestionar las solicitudes de los interesados de forma oportuna y eficaz.
En caso de violación de los datos personales, la empresa cuenta con un sólido plan de respuesta a incidentes para contener la violación, mitigar su impacto y notificar oportunamente a las autoridades pertinentes y a las personas afectadas.
El compromiso de la empresa con la protección de datos se extiende a sus empleados, que reciben formación sobre los principios y procedimientos de protección de datos.
Esta Política de Protección de Datos está sujeta a revisiones periódicas y puede ser actualizada de vez en cuando para reflejar cambios en la legislación o en las operaciones de la Empresa.
El objetivo de esta política es establecer el compromiso y los procedimientos de la empresa para proteger los datos personales. La Empresa considera que el tratamiento correcto y lícito de los datos personales es prioritario y esencial para mantener la confianza de sus empleados, clientes y terceros relacionados.
2. Ámbito de aplicación
Esta política se aplica a todos los datos personales y datos personales sensibles recogidos, procesados, almacenados o transmitidos por la empresa en el curso de sus actividades comerciales. Se aplica a todos los empleados, contratistas y terceros proveedores de servicios que tengan acceso a dichos datos en poder de la empresa.
3. Definiciones
- Interesado: Persona física cuyos datos personales o datos personales sensibles son objeto de tratamiento.
- Dato personal: Cualquier información relativa a una persona física identificada o identificable.
- Datos personales sensibles: Datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona.
4. Nombramiento de un responsable de la protección de datos (RPD)
La empresa designará a su debido tiempo a un responsable de la protección de datos (RPD) como responsable de supervisar las prácticas de protección de datos de la empresa, controlar el cumplimiento de la ley y actuar como punto de contacto para los interesados y las autoridades pertinentes. Los datos de este RPD se pondrán a disposición de todos los empleados y interesados.
5. Registro de datos personales
5.1 Datos de contacto
La Empresa mantendrá un Registro de Datos Personales en el que se documentarán los siguientes datos de contacto:
- Responsable del tratamiento - Miguel Moreno (CTO)
- Persona a cargo del procesamiento - Liquidity Technology.
5.2 Finalidad y descripción
El Registro de Datos Personales indicará claramente la finalidad del tratamiento de los datos personales y de los datos personales sensibles (si los hubiera), junto con una descripción detallada de las actividades de tratamiento de datos realizadas por la Empresa.
5.3 Personal autorizado
El registro identificará y proporcionará detalles de las personas autorizadas a acceder a datos personales y datos personales sensibles dentro de la Empresa. Esto incluye a empleados, contratistas y cualquier proveedor de servicios externo que pueda tratar dichos datos en nombre de la empresa.
5.4 Mecanismo de supresión, modificación o tratamiento
El Registro de Datos Personales describe los mecanismos y procedimientos existentes para la supresión, modificación o tratamiento de datos personales y datos personales sensibles. Incluirá información sobre cómo los interesados pueden ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición al tratamiento y solicitud de portabilidad de datos.
5.5 Transferencias fuera de la UE
El registro documentará si los datos personales y los datos personales sensibles se han transferido o se transferirán fuera de la Unión Europea (UE) y proporcionará detalles de cualquier salvaguardia o mecanismo establecido para garantizar el cumplimiento de los requisitos para la transferencia transfronteriza de datos en virtud del Reglamento General de Protección de Datos (RGPD).
5.6 Período de conservación
El Registro de Datos Personales incluirá el periodo de conservación de los datos personales y de los datos personales sensibles según determinen los requisitos legales y las necesidades de la empresa. De este modo se garantiza que los datos no se conserven más tiempo del necesario. No obstante, los Datos Personales y de Pago se almacenarán y conservarán dentro de la Unión Europea (UE). La Empresa debe establecer una copia de seguridad segura y fiable de todos los Datos Personales y de Pago en una ubicación separada durante el período de conservación requerido de conformidad con el Reglamento General de Protección de Datos (RGPD).
Datos no personales
| Tipo de datos | Periodo de conservación |
|---|---|
| Contratos y acuerdos con clientes | 7 años a partir de la expiración del contrato (para la defensa frente a posibles reclamaciones contractuales). |
| Datos de clientes en aplicaciones como datos financieros | 7 años (o según los requisitos fiscales y contables nacionales) |
| Datos de los empleados | 7 años a partir de la finalización del contrato de trabajo (o más si existe una obligación legal específica, como la retención de nóminas, etc.) |
| Datos contables y financieros | 7 años (según la legislación fiscal y contable aplicable) |
Datos personales
| Tipo de datos | Periodo de conservación |
|---|---|
| Datos personales de los encuestados | 7 años desde el último contacto (si no se da el consentimiento para un periodo más largo) |
| Respuestas brutas para encuestas | 7 meses (salvo interés legítimo o contrato específico) |
| Resultados tabulados de la encuesta | 7 años(salvo estipulación contractual con el cliente) |
| BD / Base de datos de marketing | 7 años desde la última interacción activa o consentimiento (y siempre que no se haya retirado el consentimiento) |
| Datos financieros, facturación y contratos con clientes | 7 años (para obligaciones fiscales y comerciales) |
6. Principios para el tratamiento de datos personales
La empresa respetará los siguientes principios en el tratamiento de datos personales y datos personales sensibles:
6.1 Licitud, equidad y transparencia.
Los datos personales y los datos personales sensibles se tratarán de forma lícita, leal y transparente, garantizando el respeto de los derechos de los interesados.
Se proporcionará a los interesados información clara y concisa sobre el tratamiento de sus datos personales y sus derechos con arreglo a la Ley.
6.2 Limitación de la finalidad
Los datos personales y los datos personales sensibles se recopilarán con fines determinados, explícitos y legítimos, y no se tratarán de forma incompatible con dichos fines.
La empresa se asegurará de que los interesados estén informados de los fines para los que se tratan sus datos.
6.3 Minimización de datos
La Empresa sólo recogerá y tratará datos personales y datos personales sensibles que sean adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento.
La Empresa aplicará medidas para anonimizar o seudonimizar los datos personales cuando proceda.
6.4 Exactitud
La empresa tomará medidas razonables para garantizar que los datos personales y los datos personales sensibles sean exactos, completos y estén actualizados.
Los interesados dispondrán de mecanismos para solicitar la rectificación de los datos inexactos o incompletos.
6.5 Limitación del almacenamiento
Los datos personales y los datos personales sensibles se conservarán en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que se tratan los datos.
La empresa establecerá los periodos de conservación en función de los requisitos legales y las necesidades del negocio.
6.6 Integridad y confidencialidad
La empresa aplicará las medidas técnicas y organizativas adecuadas para garantizar la seguridad, integridad y confidencialidad de los datos personales y de los datos personales sensibles.
El acceso a los datos personales y a los datos personales sensibles estará restringido a las personas autorizadas que necesiten conocerlos.
6.7 Responsabilidad
La empresa asumirá la responsabilidad de garantizar el cumplimiento de la Ley y aplicará las medidas adecuadas para demostrarlo.
Se mantendrán políticas, procedimientos y registros para documentar los esfuerzos de cumplimiento y las prácticas de protección de datos.
7. Consentimiento y excepciones
La Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea prohíben el tratamiento de datos personales y datos personales sensibles sin obtener el consentimiento del interesado, con algunas excepciones recogidas en la legislación. La Empresa se asegurará de que existan mecanismos de consentimiento adecuados, y cualquier excepción al requisito de consentimiento se aplicará en cumplimiento tanto del GDPR como del GDPR.
8. Derechos de los interesados
La Empresa respeta los derechos de los interesados tal y como establece la ley. Los interesados tienen derecho de acceso, rectificación, supresión, limitación del tratamiento, oposición al tratamiento, portabilidad de los datos y derecho a no ser objeto de decisiones automatizadas.
La Empresa responderá a las solicitudes de los interesados con prontitud y de conformidad con los requisitos de la Ley.
9. Información confidencial
La empresa se compromete a proteger la confidencialidad de toda la información relativa a sus clientes y todos los bienes y registros relacionados. Esto incluye, entre otros, los datos personales, la información financiera y los secretos comerciales.
El personal no debe compartir información confidencial dentro de la Empresa ni con ninguna otra Entidad, a menos que sea absolutamente necesario para llevar a cabo Actividades VA relacionadas con dicha información confidencial.
Ni la Empresa ni su personal utilizarán o compartirán información confidencial con el fin de comerciar con Activos Virtuales por parte de ninguna Entidad.
10. Medidas de seguridad
La Empresa se compromete a proteger la seguridad y confidencialidad de los datos personales que recoge, procesa y almacena. La Empresa ha implantado una serie de medidas de seguridad para proteger los datos personales del acceso, uso, divulgación, alteración o destrucción no autorizados, entre las que se incluyen las siguientes:
- Cifrado: La Empresa cifra todos los datos personales en reposo y en tránsito. Esto significa que incluso si personas no autorizadas accedieran a los datos personales, no podrían leerlos sin la clave de cifrado adecuada.
- Seudonimización: La Empresa seudonimiza los datos personales siempre que es posible. Esto significa que los datos personales se sustituyen por un identificador único que no puede utilizarse para identificar al interesado sin información adicional.
- Sistemas y servicios de seguridad de datos: La Empresa utiliza diversos sistemas y servicios de seguridad de datos para proteger los datos personales, incluidos cortafuegos, sistemas de detección de intrusiones y sistemas de control de acceso.
- Copia de seguridad y recuperación de datos: La empresa realiza copias de seguridad periódicas de todos los datos personales y cuenta con un plan para recuperar los datos personales en caso de pérdida o violación de datos.
11. Notificación de violaciones
En caso de que se produzca una Brecha de Datos, la Compañía notificará a las autoridades de protección de datos pertinentes, incluida la Agencia Española de Protección de Datos (AEPD) y cualquier regulador de la UE aplicable, tan pronto como sea posible y, en cualquier caso, dentro de las setenta y dos (72) horas siguientes a la identificación de la brecha, según lo requerido por el Reglamento General de Protección de Datos (GDPR). La Empresa también notificará a cualquier Sujeto de Datos afectado según lo requerido por el GDPR y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
La Empresa proporcionará un resumen de dicha notificación a las autoridades de protección de datos pertinentes y, en su caso, una copia del informe, a menos y en la medida en que lo prohíba la legislación aplicable, según se demuestre a satisfacción de las autoridades. Además, la Empresa proporcionará toda la información y asistencia necesarias a dichas autoridades para investigar la violación de datos y adoptar las medidas correctivas necesarias de conformidad con el GDPR y la LOPDGDD.
12. Suministro de información a la AEPD y a los reguladores de la UE
La Sociedad facilitará a la Agencia Española de Protección de Datos (AEPD) y a cualesquiera autoridades competentes en materia de protección de datos de la UE el acceso a cualquier información relativa al cumplimiento por parte de la Sociedad de las disposiciones aplicables del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), con independencia de dónde se almacene dicha información. El acceso a dicha información será facilitado por la Compañía en la forma y plazos que le sean comunicados por la AEPD o las autoridades competentes en materia de protección de datos de la UE.
13. Evaluación de riesgos
La empresa reconoce la importancia de realizar evaluaciones de riesgos para identificar y mitigar los riesgos potenciales para los datos personales y los datos personales sensibles. Esto incluye la realización de Evaluaciones de impacto sobre la Protección de Datos (DPA) para las actividades de tratamiento de alto riesgo y la integración de los principios de privacidad de datos desde el diseño y por defecto en el desarrollo de sistemas y procesos.
14. Concienciación y formación
La Empresa se asegurará de que los empleados, contratistas y personal relevante reciban la concienciación y formación adecuadas sobre las políticas de protección de datos, los procedimientos y sus responsabilidades en virtud del Reglamento General de Protección de Datos (GDPR) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Los programas de formación se llevarán a cabo de forma periódica para mejorar la comprensión de los requisitos de protección de datos y promover una cultura de protección de datos dentro de la organización.
La empresa
- Familiarizar al personal con:
- Sus políticas internas sobre recopilación y tratamiento de información confidencial;
- Los requisitos en virtud del GDPR y la LOPDGDD aplicables al personal pertinente.
- Certificar periódicamente el cumplimiento por parte de su personal de las políticas internas de conformidad con el GDPR y la LOPDGDD.
15. Revisión y actualización de la política
Esta Política de Protección de Datos será revisada y actualizada periódicamente para asegurar su continua relevancia y cumplimiento con el Reglamento General de Protección de Datos (GDPR) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), así como cualquier otra normativa aplicable.