La protección de los datos personales es un valor fundamental para Qboxmail.
Con el fin de garantizar a sus clientes el cumplimiento del GDPR y demás normativa aplicable, así como la máxima seguridad de los datos, Qboxmail ha adoptado un modelo de gestión de la protección de datos para adecuar sus procesos de negocio y sistemas de información a estas disposiciones.
En esta página se ofrece información sobre cómo Qboxmail trata los datos personales, tanto en calidad de responsable del tratamiento como en calidad de encargado del tratamiento por cuenta de sus clientes, de conformidad con los principios de claridad y transparencia exigidos por el GDPR.
El Reglamento General de Protección de Datos (GDPR) es el Reglamento europeo que unifica las leyes de protección de datos en Europa. Entró en vigor el 25 de mayo de 2018 y obliga a todas las personas jurídicas, en el marco de sus actividades empresariales, a garantizar un nivel adecuado de protección de datos y a cumplir sus disposiciones.
Se consideran datos personales toda información relativa a una persona física identificada o identificable. Por ejemplo, son datos personales el nombre y los apellidos, la dirección, el número de teléfono, el código fiscal, la dirección de correo electrónico, las fotografías, la profesión, el salario, los datos bancarios, el estado de salud, etc.
Los datos personales no incluyen datos relativos a empresas y otras personas jurídicas, como el nombre de la empresa, el domicilio social, el número de IVA, los datos del balance, las direcciones de correo electrónico de la empresa, como info@nombreempresa.es, etc. Sin embargo, los datos personales incluyen datos relativos a personas físicas que trabajan en esa empresa, como representantes legales, empleados, profesionales externos, etc.
Los datos sólo son personales cuando pueden ser rastreados hasta una persona física, incluso haciendo un esfuerzo razonable. Los datos totalmente anónimos no están sujetos al reglamento.
Los datos personales pueden definirse como comunes y especiales (los llamados «datos sensibles»). Ambos tipos de datos están sujetos al GDPR. Sin embargo, los datos sensibles requieren una seguridad adicional y un tratamiento especial.
Se consideran datos sensibles los relativos a la salud, la vida y orientación sexual, el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos y los datos biométricos (artículo 9 del GDPR).
También se consideran datos de carácter especial los relativos a condenas e infracciones penales o relacionados con medidas de seguridad.
Todos los demás datos personales se consideran datos comunes.
Por tratamiento se entenderá cualquier operación o conjunto de operaciones, efectuadas o no por medios electrónicos o automatizados, que se realicen con datos personales o conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.
Un responsable del tratamiento de datos es la persona física o jurídica que determina los fines y los medios del tratamiento de datos personales.
Cada empresa es, por tanto, el responsable del tratamiento de los datos personales relativos a sus clientes, empleados y proveedores.
En el caso de una empresa, el responsable del tratamiento no es su representante legal, sino la propia empresa.
Los responsables conjuntos son dos o más responsables que determinan conjuntamente los fines y los medios del tratamiento.
El encargado del tratamiento es una persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
Cuando una empresa subcontrata actividades que implican el tratamiento de datos personales a un proveedor externo (por ejemplo, asesores laborales, contables, proveedores de servicios informáticos, proveedores de alojamiento, etc.), este último asume el papel de responsable del tratamiento.
De conformidad con el artículo 28 del GDPR, un responsable del tratamiento sólo puede recurrir a encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas. La relación entre el responsable y el encargado del tratamiento también debe regirse por un contrato (Acuerdo de Tratamiento de Datos) u otro acto jurídico en virtud del Derecho de la Unión o de los Estados miembros.
La obligación de facilitar información a los interesados y de garantizar que puedan ejercer sus derechos no incumbe al encargado del tratamiento, sino únicamente al responsable del tratamiento.
Los encargados del tratamiento autorizados son personas físicas que actúan bajo la dirección y autoridad del responsable o del encargado del tratamiento (por ejemplo, empleados) y que deben tratar datos personales para llevar a cabo las tareas y funciones que les han sido asignadas.
Qboxmail actúa como responsable del tratamiento cuando trata datos personales por cuenta propia y para sus propios fines.
Por ejemplo, como responsable del tratamiento, Qboxmail trata los datos personales de sus clientes y proveedores con fines contables y para la ejecución de los respectivos contratos. Asimismo, como responsable del tratamiento, Qboxmail trata los datos personales de sus empleados para la correcta ejecución de los contratos de trabajo, cumplimiento de las normas de seguridad, formación, etc.
Qboxmail actúa como Encargado del Tratamiento cuando trata datos personales por cuenta de sus clientes y siguiendo instrucciones de éstos. En particular, Qboxmail actúa como encargado del tratamiento cuando trata datos por cuenta de sus clientes en la prestación de servicios de gestión y alojamiento de correo electrónico y otros servicios relacionados. Cuando los propios clientes de Qboxmail son encargados del tratamiento, Qboxmail actúa como subencargado del tratamiento.
Siempre que Qboxmail actúe como procesador o subprocesador de datos para uno de sus clientes, esta relación debe regirse por un Acuerdo de Procesamiento de Datos (o un contrato que designe a un procesador de datos) de conformidad con el artículo 28 del GDPR.
Con el fin de garantizarse a sí mismo y a sus clientes la máxima seguridad en el tratamiento de los datos personales y el cumplimiento del GDPR, Qboxmail ha designado un Responsable de Protección de Datos (o DPO), con el que se puede contactar en la siguiente dirección de correo electrónico: dpo@qboxmail.com.
El Delegado de Protección de Datos es el principal punto de contacto entre los interesados y Qboxmail en relación con el tratamiento de datos personales. Por lo tanto, los clientes, proveedores, empleados y todas las partes interesadas pueden ponerse en contacto directamente con el RPD para cuestiones relacionadas con el tratamiento de sus datos personales.
Nuestro software siempre se ha diseñado y desarrollado siguiendo los principios de «Protección de datos por defecto y por diseño».
Utilizamos la encriptación de los datos en tránsito para garantizar un alto nivel de protección con el fin de minimizar el riesgo de pérdida de confidencialidad.
Nos aseguramos de que los registros del sistema se guarden y almacenen de acuerdo con las disposiciones de la Autoridad Italiana de Protección de Datos relativas a los administradores de sistemas. También se ha implantado un procedimiento para firmar digitalmente los archivos de registro y darles una fecha determinada.
Las funciones POP e IMAP permiten a los administradores exportar los datos de los clientes en cualquier momento durante el periodo contractual. Los registros de los accesos y las auditorías pueden exportarse en formato CSV.
Los clientes pueden borrar sus datos en cualquier momento. Cuando se envíe una solicitud de eliminación definitiva (como la cancelación de una cuenta de correo electrónico), los datos se eliminarán de todos los sistemas en un plazo de 60 días, salvo que la ley exija lo contrario.
Siempre disponemos de cifrado para proteger los datos en tránsito. Los servicios de correo web, POP, IMAP y SMTP son accesibles por defecto a través de TLS.
Utilizamos herramientas desarrolladas internamente para detectar a tiempo las vulnerabilidades del software y realizamos pruebas periódicas para detectar posibles infracciones.
Hemos creado un registro de las operaciones de tratamiento realizadas, tanto en calidad de responsable del tratamiento como de encargado del tratamiento, que podemos poner a su disposición en caso de solicitud de la autoridad de control.
Todos los empleados de Qboxmail han recibido formación interna sobre los requisitos del GDPR y están constantemente actualizados y concienciados sobre la seguridad y confidencialidad de los datos que procesamos.
El interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando datos personales que le conciernen y de que dichos datos están siendo tratados por este último, de conformidad con el artículo 15 del Reglamento UE 2016/679.
El interesado también tiene derecho a obtener la rectificación de los datos personales inexactos que le conciernan y la integración de los datos incompletos de conformidad con el artículo 16 del Reglamento UE 2016/679.
El interesado tiene derecho a obtener la supresión de los datos que ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo, de los datos tratados en base a su consentimiento cuando este sea retirado, de los datos que hayan sido tratados ilícitamente, etc. Para conocer los demás supuestos en los que los datos pueden ser suprimidos, el interesado puede remitirse al artículo 17 del Reg. UE 2016/679.
El interesado tiene derecho a obtener la limitación del tratamiento de sus datos en los casos previstos en el artículo 18 del Reg. UE 2016/679, la portabilidad de sus datos en los casos previstos en el artículo 20 del Reg. UE 2016/679, así como el derecho a oponerse al tratamiento de sus datos en interés legítimo del responsable del tratamiento o basado en el interés público, tal y como permite el artículo 21 del Reg. UE 2016/679.
Si el interesado considera que se ha producido una infracción en el tratamiento de sus datos, podrá presentar una reclamación ante la Autoridad de Protección de Datos.
La solicitud de cancelación u oposición al tratamiento de los datos necesarios para la ejecución del contrato puede hacer imposible el cumplimiento de las obligaciones contractuales por parte de Qboxmail. El interesado no podrá oponerse al tratamiento o solicitar la supresión de los datos que Qboxmail deba tratar para cumplir obligaciones contables, fiscales u otras obligaciones legales.
El interesado podrá revocar en cualquier momento el consentimiento que hubiera prestado para el tratamiento de sus datos personales con fines de prospección comercial, sin que ello pueda tener consecuencias perjudiciales o impedir la ejecución del contrato.
Como responsable del tratamiento, Qboxmail podrá no responder a las solicitudes de ejercicio de derechos formuladas por los interesados. En tal caso, los interesados deberán ponerse en contacto con el responsable del tratamiento.
Para ejercer sus derechos de privacidad, envíe un correo electrónico a privacy@qboxmail.com con su solicitud.