Cumplimiento de Wimi (RGPD)

Cumplimiento del RGPD

1. Introducción

Aunque la obligación no esté formalmente establecida en el RGPD, es fundamental que el software, los paquetes de software u otras aplicaciones (que llamaremos «producto» por conveniencia del lenguaje) permitan a sus usuarios (empresas o agentes públicos) cumplir con las obligaciones establecidas por el RGPD.

Podemos distinguir 3 tipos de restricciones :

  • Limitaciones relativas al producto en mismo.
  • Limitaciones relativas al uso del producto.
  • Limitaciones relativas a la seguridad del producto.

Se precisa que como cliente de Wimi, usted es un responsable del tratamiento de datos en el sentido del RGPD y debe cumplir directamente las exigencias de esta norma.
Este documento es la lista de estos requisitos y especifica cómo Wimi le permite cumplirlos.

2. Cuestiones relacionadas con el producto

Se trata esencialmente de limitaciones endógenas, vinculadas al propio producto.

2.1 Actualización de datos

  • Art. 16 RGPD: “Derecho de rectificación” «El interesado tendrá derecho a obtener del responsable del tratamiento, lo antes posible, la rectificación de los datos personales que le conciernan y que sean inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales incompletos, incluso mediante una declaración complementaria».
  • Respuesta de Wimi:
    cada usuario de Wimi puede en todo momento modificar y rectificar sus datos personales (sección Mi cuenta) y recibe un mensaje que le indica que se ha procedido al registro de sus modificaciones.

2.2 Acceso y copia de los datos

  • Art. 15.1 RGPD: “Derecho de acceso del interesado”  «El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernan (…)».
  • Art. 15.3 GDPR: “Derecho de copia”  
    «El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable del tratamiento podrá exigir el pago de una tasa razonable basada en los costes administrativos por cualquier copia adicional solicitada por el interesado. Cuando el interesado presente su solicitud por vía electrónica, la información se proporcionará en un formato electrónico de uso común, a menos que el interesado solicite lo contrario».
  • Respuesta de Wimi:
    Droit d’accès de la personne concernée Derecho de acceso del interesado: la política de protección de datos personales enumera los tratamientos de datos personales efectuados por Wimi. El responsable del tratamiento puede transmitir en cualquier momento este documento a una persona que desee ejercer este derecho.
    Derecho de copia: los datos que pueden ser objeto de tratamiento son los que figuran en la sección Mi cuenta (accesible, modificable y copiable por el usuario final)

2.3 Portabilidad de los datos

  • Art.20 GDPR: “Derecho a la portabilidad de los datos”  «Los interesados tendrán derecho a recibir los datos personales que les conciernan y que hayan facilitado a un responsable del tratamiento en un formato estructurado, de uso común y lectura mecánica, y tendrán derecho a transmitir dichos datos a otro responsable del tratamiento sin ningún obstáculo por parte del responsable al que se hayan comunicado los datos personales…».
  • Respuesta de Wimi:
    Wimi ofrece una funcionalidad para exportar todas las actividades relacionadas con un usuario y permite la copia de datos personales desde la sección Mi cuenta.

2.4 Depuración total o parcial

  • Art. 5 e) GDPR: “supresión de datos tras un determinado periodo de tiempo”  «Los datos personales deberán conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se traten; los datos personales podrán conservarse durante períodos más largos en la medida en que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, siempre que se apliquen las medidas técnicas y organizativas apropiadas exigidas por el presente Reglamento para salvaguardar los derechos y libertades del interesado (limitación del almacenamiento) ».
  • Respuesta de Wimi:
    El periodo de conservación de los datos personales no supera el necesario para los fines para los que se tratan (trabajo en equipo transparente, gestión de proyectos, trazabilidad).
    Cuando se suprime una cuenta Wimi (los fines del tratamiento han quedado obsoletos), todos los datos personales de los usuarios de esta cuenta también se suprimen en un plazo de 30 días a partir de la supresión de la cuenta./span>

2.5 Limitación

  • Art.18 GDPR “Derecho a la limitación del tratamiento”
    «1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento cuando concurra alguna de las circunstancias siguientes
    a) El interesado impugne la exactitud de los datos personales, durante un período que permita al responsable del tratamiento verificar la exactitud de los datos personales.
    b) El tratamiento sea ilícito y el interesado se oponga a la eliminación de los datos y exija en su lugar la limitación de su uso.
    c) El responsable del tratamiento ya no necesite los datos personales para los fines del tratamiento, pero los datos sigan siendo necesarios para que el interesado pueda fundar, ejercitar o defender acciones legales.
    d) El interesado se haya opuesto al tratamiento con arreglo al artículo 21, apartado 1, durante la comprobación de si los motivos legítimos perseguidos por el responsable del tratamiento prevalecen sobre los del interesado».
  • Respuesta de Wimi:
    Wimi puede establecer una limitación del tratamiento mediante una simple solicitud por escrito del cliente (responsable del tratamiento) a dpo-wimi@racine.eu especificando la naturaleza de la limitación deseada, la(s) operación(es) de tratamiento en cuestión y el(los) usuario(s) afectado(s).

2.6 Supresión

  • Art.17 RGPD: “derecho de supresión” (derecho al olvido)
    «El interesado tiene derecho a obtener del responsable del tratamiento la supresión, lo antes posible, de los datos personales que le conciernan, y el responsable del tratamiento tiene la obligación de suprimir dichos datos personales lo antes posible, cuando concurra alguno de los motivos siguientes:
    a) Los datos personales ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo; 4.5.2016 L 119/43 Diario Oficial de la Unión Europea.
    b) El interesado retira el consentimiento en el que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y no existe otro fundamento jurídico para el tratamiento.
    c) El interesado se oponga al tratamiento de conformidad con el artículo 21, apartado 1, y no existan motivos legítimos imperiosos (…)».
  • Respuesta de Wimi:
    Wimi se compromete a eliminar los datos personales de un usuario que desee ejercer su derecho al olvido previa solicitud por escrito del cliente (responsable del tratamiento) a dpo-wimi@racine.eu especificando el usuario o usuarios afectados.

2.7 Cuenta de usuario

  • Art.13 y 14 GDPR “Información y acceso a los datos personales”
    «Cuando se recopilan datos personales relativos a una persona involucrada, el responsable del tratamiento le proporciona varias informaciones, como:
    – La identidad y los datos de contacto del responsable del tratamiento (o de su representante).
    – Los fines del tratamiento de los datos.
    – Los destinatarios de los datos; etc».
  • Respuesta de Wimi:
    Cualquier usuario de Wimi puede consultar nuestra política de protección de datos personales desde la página web www.wimi-teamwork.com que proporciona al usuario toda la información requerida por el RGPD.

2.8 Consentimiento

  • Art. 7: “Condiciones aplicables al consentimiento”
    «1. En los casos en que el tratamiento se base en el consentimiento, el responsable del tratamiento podrá demostrar que el interesado ha dado su consentimiento al tratamiento de los datos personales que le conciernen».
  • Respuesta de Wimi:
    Cuando un nuevo usuario se añade a una cuenta Wimi, da su consentimiento al tratamiento de los datos personales que depositará en Wimi.

3. Cuestiones de seguridad

3.1 3.1 Seguridad del tratamiento

  • Art. 32 «Seguridad del tratamiento»
    «especifica que el responsable del tratamiento (cliente) y el encargado del tratamiento (proveedor de servicios) aplicarán las medidas técnicas y operativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo».
  • Respuesta de Wimi:
    El servidor front-end encripta todas las conexiones externas con un mecanismo de política de seguridad web (HTTP Strict Transport Security aka HSTS). Esto protege nuestros servicios contra ataques de red activos y pasivos (escuchas). Un atacante «man-in-the-middle» tiene una capacidad muy limitada para interceptar las solicitudes y respuestas entre un usuario y nuestros servidores de aplicaciones web.
    Además, Wimi se beneficia del aislamiento de red. Aislamiento de red significa que todos los servidores de nuestra infraestructura están aislados dentro del centro de datos y conectados por redes privadas dedicadas.

3.2 Condiciones de acceso al producto

  • Considerando 57 del RGPD
    «La identificación debe incluir la identificación digital de un interesado, por ejemplo, mediante un mecanismo de autenticación como las mismas credenciales utilizadas por el interesado para iniciar sesión en el servicio en línea ofrecido por el responsable del tratamiento».
  • Respuesta de Wimi:
    Wimi ofrece una autenticación reforzada mediante la activación de la opción «Política avanzada de contraseñas». En este caso, las contraseñas deben cumplir las siguientes condiciones:
    – Al menos 8 caracteres
    – Una minúscula y una mayúscula
    – Un número o un símbolo
    – No haber sido utilizada anteriormente
    Además, Wimi ofrece la autenticación a través de las identidades existentes en el directorio corporativo de sus clientes vía SAML V2. En este caso, los identificadores son estrictamente idénticos a los utilizados por el controlador (cliente).

3.3 Condiciones de acceso al producto

  • Art. 5 f) GDPR
    «Tratamiento para garantizar la seguridad de los datos, la protección contra el tratamiento ilícito y la pérdida».
  • Respuesta de Wimi:
    Wimi dispone de registros y alertas para rastrear actividades sospechosas y el acceso a estos registros está estrictamente controlado y limitado. En general, todos los accesos a la infraestructura de Wimi se realizan a través de VPN: sólo algunas Ips predefinidas pueden acceder a través de un túnel (Ips de la lista blanca) utilizando una clave RSA 4096. Este túnel de comunicación es entonces encriptado con AES-256-CBC y hashed con SHA-512. Los administradores deben autenticarse en SSH utilizando su clave privada (ED25519 o ECDSA) protegida por frase de contraseña.Los centros de datos utilizados por Wimi cuentan con la máxima seguridad física. Todos los accesos a los locales están estrictamente controlados. Para evitar intrusiones y riesgos, los centros de datos están protegidos con vallas de alambre de espino. Los sistemas de detección de movimiento y videovigilancia también están en funcionamiento continuo. La actividad en los centros de datos y en el exterior de los edificios se supervisa y registra en los servidores seguros, y el equipo de vigilancia está in situ las 24 horas del día, los 7 días de la semana.

3.4 Seguridad técnica y organizativa

  • Art.32 1. GDPR
    «(…) el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)».
  • Art. 39 GDPR  :
    «Los datos personales deberán tratarse de modo que se garantice la seguridad y confidencialidad adecuadas, incluida la prevención del acceso y uso no autorizados de dichos datos y de los equipos utilizados para su tratamiento».
  • Respuesta de Wimi:
    El número de empleados de Wimi con acceso a la infraestructura es extremadamente limitado. Estas personas están vinculadas por un compromiso específico de confidencialidad y una cláusula de confidencialidad en su contrato de trabajo.
    Todos los accesos a la infraestructura de Wimi están estrictamente controlados, supervisados y se realizan a través de VPN – sólo ciertas Ips predefinidas están autorizadas a establecer un túnel (lista blanca de direcciones Ips) utilizando una clave RSA 4096.
    A continuación, este túnel de comunicación se cifra con AES-256-CBC y se hace hash con SHA-512.
    Luego, los administradores deben autenticarse en SSH utilizando su clave privada (ED25519 o ECDSA) protegida por una frase de contraseña.
    Se realizan copias de seguridad de las bases de datos cada 3 horas. Los archivos se replican y copian cada noche. Los servidores de respaldo son seguros, están aislados y sólo son accesibles por las aplicaciones de copia de seguridad.

3.5 Gestión de fallos de seguridad

  • Referencia RGPD  Obligación de seguridad RGPD
  • Implementación:
    Nuestra infraestructura se basa principalmente en tecnologías de código abierto que tienen la ventaja de federar comunidades extremadamente grandes de colaboradores y usuarios, gracias a lo cual los fallos de seguridad se descubren rápidamente. Aplicamos sistemáticamente todos los parches de seguridad aprobados que se consideran estables.