Speexx y el RGPD

En Speexx nos preocupamos por tus datos y tu seguridad.

Como proveedor de aprendizaje online de idiomas con una plataforma y sistema alojado en la nube, contar con el máximo nivel de protección de datos es para nosotros muy importante.

Speexx cumple con todos los requisitos regulados por el Reglamento General de Protección de Datos de la UE, no solo desde el software que ofrecemos, sino también como empresa y, por lo tanto, cumple con la protección de datos en todas las áreas según el EU-RGPD.

general-information-data-processing-black

Tratamiento general de los datos

Speexx procesa los datos personales de los usuarios y clientes de acuerdo a las normas de protección de datos pertinentes, reguladas en particular por el RGPD y la BDSG.

Seguridad y cifrado

La seguridad de los datos es nuestra máxima prioridad y por ello encriptamos los datos sensibles de los usuarios de forma que solo puedan ser “descifrados” y descubiertos tras la debida autenticación, un proceso supervisado por la Organización Alemana de Ciberseguridad (DCSO).

Tenemos la certificación TISAX®

Speexx es la primera plataforma de aprendizaje digital de idiomas que obtiene la certificación TISAX® para la seguridad de la información en el sector de la automoción tras ser aceptada por la empresa auditora TÜV Rheinland.

¿Dónde se almacenan los datos?

Todos los datos personales se almacenan en Múnich, Alemania. De este modo, se protegen bajo los requisitos de seguridad de Speexx, garantizando siempre la protección física de los datos de nuestros clientes.

¿Qué se almacena?

Datos de contacto privados/profesionales o datos de identificación facilitados por el cliente, o las personas implicadas: nombre, apellidos, dirección de correo electrónico, número de teléfono, apodo y zona horaria.

Entidad responsable de la protección de datos

¿Tienes alguna pregunta? La mejor manera de ponerte en contacto con nuestro responsable de la protección de datos es por correo electrónico: privacy@speexx.com.

FAQ

Información general sobre la Protección de Datos en Speexx
Cifrado y Seudonimización
Confidencialidad
Limitación de la finalidad
Procedimiento de verificación de la seguridad

Información general sobre la Protección de Datos en Speexx

Base Legal

El término “datos personales”, en relación a la Ley de Protección de Datos, se refiere a toda la información relacionada con un individuo identificado e identificable. Speexx procesa los datos personales cumpliendo las normas de protección de datos pertinentes, en particular el RGPD y la BDSG. El procesamiento de datos por parte de Speexx solo tiene lugar cuando está autorizado por la ley.

Speexx solo procesa datos personales:

Con consentimiento según el Art.15. 3º de la Ley Alemana de Medios de Comunicación (TMG) o el Art.6.1º.a) del RGPD.
Para la ejecución del contrato del que es parte el interesado, o para adoptar medidas a petición del interesado antes de celebrar el contrato o si incluye la ejecución de medidas precontractuales adoptadas a petición del interesado (en conformidad con el Art.6.1º. b) del RGPD).
Para el cumplimiento de una obligación legal (según el Art.6.1º.c) del RGPD).
O según el Art. 6. 1º. f) del RGPD, si el tratamiento es necesario para proteger nuestros intereses legítimos o los intereses legítimos de un tercero, excepto cuando nuestros intereses se ven anulados por los suyos, o sus derechos y libertades fundamentales requieren de la protección de los datos personales.

¿Tenemos en Speexx a un responsable de la Protección de Datos?

Sí, y puedes contactar con él en cualquier momento. Solo tienes que enviar un correo electrónico a privacy@speexx.com.

¿Cómo garantizamos en Speexx que los empleados que se encargan del tratamiento de datos están familiarizados con los requisitos legales en materia de Protección de Datos?

Todos los empleados de Speexx están comprometidos con la plena confidencialidad y la protección de datos, y son conscientes de las consecuencias en caso de infracción.

Además, se llevan a cabo periódicamente programas de formación y concienciación sobre el tratamiento y protección de los datos personales.

¿Qué más hacemos en Speexx a nivel organizativo para garantizar la protección de datos personales y la seguridad de los sistemas informáticos?

Speexx se adhiere a los requisitos de la norma ISO/IEC 27001 y trabaja continuamente para mejorar todos los procesos y estructuras de protección de datos y seguridad de la información. Además de nombrar a un responsable de la protección de datos y ofrecer formación periódica a los empleados, Speexx ha designado a un equipo especializado en la protección de datos y seguridad de la información para garantizar que la seguridad sea nuestra máxima prioridad.

Speexx aplica las recomendaciones y directrices de la BSI (Oficina Federal Alemana de Seguridad de la Información). Speexx también es miembro de asociaciones del sector como el Cyber Security Cluster Bonn e.V. para mantenerse al día de las últimas herramientas y actualizaciones de seguridad.

¿Es posible firmar un acuerdo de procesamiento de datos con Speexx?

De acuerdo con el Art. 28 EU-RGPD, Speexx está obligado, como encargado del tratamiento, a celebrar un acuerdo de tratamiento de datos con nuestros clientes. Hemos desarrollado una plantilla correspondiente para ello que recibirás cuando te conviertas en cliente.

¿Qué sucede si hay una violación de los datos en Speexx?

En el caso de que ocurra una violación de los datos, la transparencia y responder a tiempo son dos parámetros importantes para nosotros. Si se produce una violación de los datos en Speexx y los datos de un cliente caen en manos equivocadas, lo que supone un riesgo para los derechos y las libertades de los empleados del cliente, Speexx actuará de acuerdo a sus obligaciones legales y contractuales. En este caso, Speexx rectificará la situación e informará inmediatamente al cliente afectado. Además, Speexx cumplirá con sus obligaciones legales ante el supervisor.

¿Las soluciones de Speexx se desarrollan siguiendo las directrices de la regulación vigente sobre protección de datos por diseño y defecto?

Sí, en Speexx la protección de datos la consideramos parte esencial de nuestra estrategia de producto. Ya durante el desarrollo de nuestras soluciones, prestamos mucha atención a principios como la economía de datos y las medidas más avanzadas para garantizar un nivel de protección adecuado. A raíz del RGPD de la UE, revisamos todo el producto en cuanto a la configuración por defecto y la ajustamos para garantizar la máxima protección de datos, sin dejar de asegurar la facilidad de uso. En Speexx, comprobamos a intervalos regulares que todos los requisitos legales se tienen en cuenta continuamente durante el proceso de desarrollo del producto.

Cifrado y seudonimización

¿Guardamos en Speexx los datos encriptados de los clientes?

Sí, Speexx encripta los datos sensibles de los usuarios para que puedan ser “descifrados” y leídos solo después de una autenticación adecuada.

¿Se transmiten los datos de los clientes de forma encriptada?

Sí, todos los datos personales o relacionados con los usuarios se transmiten mediante los programas de Speexx a cada cliente o a las plataformas intermedias, en particular en HTTPS, cifrados mediante Transport Layer Security (TLS). Esto significa que siempre debe establecerse primero una conexión segura entre los dos interlocutores de la conexión, es decir, entre el cliente y el servidor, antes de que pueda tener lugar cualquier transferencia de datos.

Confidencialidad

¿Dónde almacenamos los datos en Speexx?

Todos los datos personales se almacenan en Múnich, Alemania. En Speexx utilizamos los servicios de alojamiento y hosting de Ingate/Equinix. Los centros de datos utilizados cuentan con la certificación ISO/IEC 27001. Así, la seguridad de los datos de nuestros clientes está siempre garantizada.

¿Quién tiene acceso a los datos de los clientes de Speexx?

En general, solo determinados empleados. Solo el equipo de Producto y el equipo de Customer Success están autorizados a acceder a los datos de los clientes cuando sea necesario (por ejemplo cuando se configura una cuenta o se procesan solicitudes de servicio). Los derechos de acceso se registran y asignan de acuerdo con los principios de “need-to-know” y el de “mínimo privilegio”.

¿Cómo evita Speexx el acceso no autorizado a los datos de los clientes y a sus sistemas?

Como servidor, Speexx se apoya en un sistema de detección de ataques basado en el host que supervisa y examina periódicamente determinados parámetros, como inicios de sesión sospechosos, firmas de rootkits y troyanos, anomalías en el sistema de archivos o ataques clásicos de fuerza bruta. Si se detecta una anomalía, los responsables de operaciones y desarrollo intervienen inmediatamente para tomar medidas lo antes posible.

Ponte en contacto con nosotros en este correo privacy@speexx.com para obtener una lista detallada de nuestras medidas técnicas y organizativas (TOM’s).

¿Cómo funciona la autenticación de usuarios?

El acceso a la plataforma de Speexx solo se concede a quienes tienen una cuenta de usuario asignada y personalizada. Se solicita un nombre de usuario y una contraseña cada vez que un usuario se conecta. La contraseña debe crearse de acuerdo con la política de contraseñas. Para mayor seguridad, recomendamos a nuestros clientes que utilicen autenticación basada en SAML, que puede ampliarse con la autenticación de doble factor para lograr un mayor nivel de protección.

Limitación de la finalidad

¿A quién pertenecen los datos?

En Speexx, el cliente es y sigue siendo siempre el propietario y responsable de sus propios datos, de acuerdo con el Art. 24 EU-RGPD. En consecuencia, el cliente es responsable de salvaguardar los derechos del propio interesado (Capítulo 3º EU-RGPD). Como procesador, Speexx utiliza sus datos exclusivamente bajo sus instrucciones y para los fines regulados en el contrato de tratamiento acordado. En concreto, esto significa que Speexx no puede vender, ni divulgar sus datos a terceros, ni lo hará en ningún caso, con la excepción de la divulgación a los subcontratistas, si los hubiera, tal y como se regula en el contrato de tratamiento fijado entre Speexx y el cliente.

Para fines de desarrollo y testeo de productos, Speexx se reserva el derecho de utilizar datos completamente anónimos, en el marco de la normativa legal y teniendo en cuenta las recomendaciones del Grupo de Trabajo del Artículo 29 o del Consejo Europeo de Protección de Datos. La anonimización de los datos, por tanto, garantiza que no se puedan extraer conclusiones sobre personas o empresas, no existiendo ningún riesgo para el cliente.

¿Qué ocurre con los datos si un cliente rescinde el contrato o Speexx quiebra?

En el caso de la finalización de la relación comercial, el cliente podrá solicitar la entrega de sus datos en un formato legible por máquina a través de las personas autorizadas para dar estas instrucciones. Una vez finalizada la relación contractual, a los 30 días todos los datos se eliminarán inexorablemente. En el improbable caso de que Speexx cese sus operaciones comerciales, se seguiría el mismo procedimiento, ya que Speexx siendo un mero procesador de datos, no estaría autorizado a seguir disponiendo de los datos personales de ninguna otra manera.

Procedimiento de verificación de la seguridad

¿Con qué frecuencia se comprueba el tratamiento seguro de los datos y quién se encarga de ello?

Con la ayuda de auditorías anuales de nuestra empresa y de la plataforma de Speexx, comprobamos el cumplimiento general de los requisitos legales de protección de datos. A partir de los resultados de estas auditorías, revisamos y mejoramos nuestra documentación, procesos, estructuras o funcionalidades y desarrollamos medidas técnicas y organizativas de mejora.

¿Speexx también realiza tests de vulnerabilidad y penetración?

Speexx realiza tests de vulnerabilidad internos y a intervalos regulares para comprobar nuestra plataforma y su infraestructura. Además, un proveedor de servicios externo realiza pruebas de penetración una vez al año para comprobar todos los sistemas y productos de Speexx, en busca de errores y vulnerabilidades. La seguridad de nuestros sistemas y nuestra plataforma, así como la detección de ataques, es de suma importancia para nosotros.