Términos y condiciones

GoCardless y el RGPD

1. ¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es la normativa europea en materia de protección de datos. Está en vigor en toda Europa y también se ha adoptado en la legislación británica, por lo que seguirá vigente en el Reino Unido tras el Brexit. Su objetivo es estandarizar la protección de datos en los países miembros de la UE y en el Reino Unido tras el Brexit. Las personas generan datos a medida que aumenta el uso de servicios y tecnologías. El RGPD amplía los derechos de privacidad concedidos a las personas de la Unión Europea/EEE (los interesados) y establece obligaciones para las organizaciones que manejan los datos personales de dichos sujetos, con independencia de dónde tengan su sede.Concede a los ciudadanos de la Unión Europea y el Reino Unido control sobre sus datos personales, proporciona transparencia en relación con el uso de los datos y asegura que las organizaciones a las que se confían los datos personales los tratarán de la forma adecuada.

2. ¿Cumple GoCardless el RGPD?

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) aprovechamos la oportunidad para reforzar nuestro compromiso en materia de privacidad y seguridad de los datos. En 2017 y 2018 llevamos a cabo una revisión y actualización completas de nuestras políticas, acuerdos, procedimientos, productos y sistemas para asegurarnos de cumplir el Reglamento y seguir anteponiendo la protección de los datos a cualquier otra consideración. A medida que la ley avanza, vamos adaptando nuestras acciones en materia de protección de datos. Hemos puesto en marcha unos procedimientos de privacidad global que garantizan que cumplimos los exigentes estándares establecidos por las normativas sobre privacidad en cualquier país en el que estamos presentes. Por ejemplo, la documentación de los procesos, la evaluación del riesgo en la privacidad de los procesos empresariales y la aplicación de protocolos de diseño que tengan en cuenta la privacidad, siguiendo las prácticas recomendadas en el sector, para minimizar el impacto sobre la privacidad. También tenemos el compromiso de ayudar a nuestros clientes a cumplir los requisitos que estable la ley. Puedes obtener más información sobre los pasos que hemos tomado para prepararnos en una entrada de nuestro blog aquí.

3. ¿GoCardless cumple con otras leyes de privacidad y protección de datos?

Trabajamos con países que tienen sus propias leyes de privacidad y protección de datos, y siempre estamos pendientes de su cumplimiento. Por ejemplo, la ley de privacidad de Australia, la ley de privacidad de Nueva Zelanda, la PIPEDA en Canadá o las leyes estatales y federales de los EE. UU. que sean de aplicación a nuestra actividad. Nuestro programa de privacidad global se basa en el modelo del RGPD, la referencia en materia de protección de datos, y lo hemos adaptado a las leyes locales.

4. ¿Está GoCardless registrada para la protección de datos?

GoCardless tiene su sede en el Reino Unido y está registrada en la Oficina del Comisionado de Información del Reino Unido con el número ZA024862.

5. El RGPD requiere unos controles de seguridad muy eficaces. ¿Cómo cumple GoCardless con este requisito?

Desde septiembre de 2016, GoCardless dispone de la certificación ISO 27001 y se somete a auditorías periódicas de una entidad independiente para garantizar el cumplimiento de la certificación. Para cumplir los requisitos de la norma ISO27001, nuestros procedimientos de seguridad se someten a un proceso de revisión y mejora continua, lo que incluye:

• un planteamiento formal sobre la gestión de riesgos de seguridad supervisado como parte de nuestro programa de gestión de riesgos en la empresa

• un equipo exclusivo especializado en ingeniería de seguridad, incluida la seguridad de los productos y las operaciones de seguridad

• formación obligatoria en materia de seguridad para todos los empleados

• políticas de contraseñas seguras

• procedimientos de seguridad en el desarrollo de productos y el control de cambios

• protocolos de clasificación de información y tratamiento de documentos

• controles de acceso basados en necesidades específicas y auditados periódicamente

• protocolos de resiliencia y continuidad del negocio de los centros de datos;

• protocolos de seguridad para las bases de datos y las copias de seguridad;

• seguridad física para los entornos de nuestras oficinas;

• gestión de claves y cifrado;

• protocolos formales de respuesta a incidentes

6. ¿Qué datos personales procesa GoCardless?

Como responsable del tratamiento de datos personales relacionados con pagadores y negocios que utilizan los servicios de GoCardless, cumplimos el requisito normativo de proporcionar una notificación precisa, completa y clara sobre los datos personales que utilizamos. Puedes leer la Política de privacidad de GoCardless aquí y consultar la entrada de nuestro blog sobre este tema para obtener más información.

7. ¿Qué uso se hace de los datos recopilados?

Procesamos datos personales para proporcionar el servicio de GoCardless a los negocios que trabajan con nosotros. También los utilizamos para mejorar dicho servicio, proporcionar ayuda o prevenir el fraude y el blanqueo de capitales, entre otros usos. No compartimos los datos personales con terceros para sus propios fines no relacionados, como publicidad o cualquier otro objetivo que no corresponda con los servicios de GoCardless. Puedes leer más sobre cómo utiliza GoCardless los datos personales en nuestra Política de privacidad.

8. ¿Obtenéis el consentimiento expreso para los datos que recopiláis?

No. Las leyes de privacidad y protección de datos no siempre requieren un consentimiento y, de hecho, no estaría bien que lo hiciéramos. Para entender por qué, conviene echar un vistazo a lo que dice la ley. El RGPD requiere a las empresas que tengan una "base jurídica" que justifique el tratamiento de los datos personales. No podríamos usar los datos personales como lo hacemos si no pudiéramos basarnos en una de las siguientes bases jurídicas. Existen seis bases jurídicas en el artículo 6 del RGPD:(a) el individuo ha dado su consentimiento (b) el tratamiento es necesario para ejecutar un contrato o transacción para el individuo (c) el tratamiento es necesario para cumplir con una obligación legal (d) el tratamiento es necesario para proteger los intereses vitales de un individuo (por ejemplo, para salvar una vida) (e) el tratamiento es necesario para el interés público o la autoridad oficial (por lo general para los responsables del tratamiento en el sector público) (f) el tratamiento es necesario para satisfacer intereses legítimos que no se ven anulados por los intereses o derechos del individuoPara prestar nuestros servicios, nos basamos en tres de estas bases: (b) el tratamiento es necesario para ejecutar la transacción, por ejemplo, cuando prestamos nuestros servicios de pago, (c) el tratamiento es necesario para cumplir con una obligación legal, por ejemplo, cuando realizamos pruebas de detección de blanqueo de capitales (AML) y (f) el tratamiento es necesario para satisfacer nuestros intereses legítimos, por ejemplo, cuando aplicamos nuestros controles antifraude. No sería adecuado solicitar el consentimiento para ninguna de estas actividades; no podríamos permitir a una persona otorgar o revocar un consentimiento para hacer el tratamiento de los datos después de enviar una transacción, o no participar en la prevención del fraude, sin serias consecuencias para la seguridad y la ejecución de nuestros servicios.Cuando no hay otra base jurídica válida, o cuando sea necesario por ley, solicitamos el consentimiento. Por ejemplo, normativas de pago como PSD2 nos piden que solicitemos el consentimiento de los pagadores para autenticar su cuenta bancaria con banca abierta, y hemos incorporado esa solicitud en nuestras páginas de pago.Encontrarás más información sobre las bases jurídicas para el tratamiento de los datos personales en nuestra política de privacidad en gocardless.com/privacy/details.

9. ¿Dónde se procesan los datos que recopila GoCardless?

GoCardless trabaja con una serie de proveedores y servicios de componentes para ofrecer servicios de procesamiento de pagos a los negocios que operan con nosotros.Toda nuestra actividad principal de procesamiento de pagos en Europa se lleva a cabo en servidores alojados en el Espacio Económico Europeo (EEE). GoCardless trabaja con proveedores cuidadosamente seleccionados para llevar a cabo otras tareas confidenciales que posibilitan la transferencia de datos fuera de este espacio. Encontrarás más información sobre nuestros proveedores y sus ubicaciones en la Política de privacidad global de GoCardless.Siempre que se almacenan datos en esos servicios, nos aseguramos de que dichos datos estén protegidos con arreglo a las normas de la Unión Europea, mediante el uso de un mecanismo para la transferencia aprobado por la Unión Europea. En nuestra diligencia debida como proveedores, pretendemos lograr el grado de adecuación de la Comisión Europea o la aplicación de las normas corporativas vinculantes. Siempre que sean necesarias, formalizamos cláusulas contractuales que rigen las transferencias.Nos comprometemos a todo ello en la sección titulada "Protección de datos" de nuestros acuerdos de negocios.

10. ¿Qué va a hacer GoCardless respecto a la sentencia sobre el Escudo de la privacidad Schrems II y seguir haciendo transferencias internacionales de forma legal?

En julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Escudo de la privacidad, uno de los instrumentos legales que facilitaba la transferencia de datos a los Estados Unidos.Al ser una empresa europea, GoCardless nunca ha contado con un certificado del Escudo de la privacidad. Sin embargo, sabemos que muchos de nuestros proveedores en los Estados Unidos confían en él para trabajar con nosotros. Llevamos al día un inventario de estos proveedores y hemos adoptado un mecanismo de transferencia y salvaguardas adicionales como parte de nuestra diligencia debida como proveedores.Sabemos que las normativas para los proveedores cambian rápidamente, tanto en Europa como en los Estados Unidos. Estamos pendientes de las recomendaciones de los organismos en materia de protección de datos de nuestro país y de la Comisión Europea, y haremos los cambios que sean necesarios para garantizar que nuestros proveedores sigan ayudándonos a ofrecer nuestros servicios.

11. ¿Durante cuánto tiempo conserva GoCardless los datos personales?

GoCardless lleva a cabo un programa formal de retención y eliminación de datos que cumple con el RGPD. Incluye una norma documentada de retención y eliminación de datos, con un período de retención definido establecido para cada categoría de datos que mantenemos, en base a:

• la relación bajo la cual se obtuvieron los datos y el tipo de interesado;

• la categoría de los datos;

• la finalidad documentada del procesamiento (incluidos los requisitos legales, reglamentarios y del esquema de pago para la retención).

Aplicamos nuestros protocolos de retención en toda la empresa y supervisamos su cumplimiento. Los períodos de retención reales pueden variar. Por ejemplo, para cumplir la legislación contra el blanqueo de capitales aplicable en los países donde operamos, estamos obligados a conservar durante un determinado número de años los datos personales relacionados con las personas a las que realizamos comprobaciones relacionadas con dicha actividad fraudulenta (por ejemplo, los directores de las empresas que se registran para utilizar nuestro servicio). También debemos conservar los datos relacionados con las transacciones de pagos para poder procesar las demandas de indemnización o las devoluciones correspondientes a través de los sistemas de pago que rigen nuestros servicios (por ejemplo, la domiciliación bancaria en el Reino Unido).

12. ¿Podéis responder a las solicitudes de los interesados para ejercer sus derechos?

Podemos responder a las peticiones de los interesados e intentamos simplificar el proceso todo lo posible. Si deseas enviarnos tu solicitud a través de nuestro portal en línea, haz clic aquí.Si crees que los datos personales que poseemos son incorrectos o están incompletos, envíanos un correo electrónico a help@gocardless.com. Escribe "Privacidad" en el asunto y haz constar los datos de tu solicitud. Nos pondremos en contacto contigo lo antes posible.Para obtener más información sobre el tratamiento de los datos personales y tus derechos, puedes leer la política de privacidad.

13. Utilizo GoCardless en mi negocio para cobrar pagos. ¿Cómo puedo asegurarme de que cumplo con el RGPD?

Como negocio, también eres responsable del tratamiento de los datos personales de tus clientes. Esto significa que es responsabilidad tuya asegurarte de contar con los motivos adecuados para procesar los datos personales de tus clientes y tomar otras medidas requeridas para cumplir con la nueva normativa.Como GoCardless es un responsable del tratamiento de datos, asumimos la responsabilidad directa sobre el cumplimiento de la legislación sobre el procesamiento de datos que llevamos a cabo. Para asegurarte de que queda clara nuestra función en los servicios, incluye nuestro nombre y nuestra política de privacidad en tus páginas de pago. Para acceder a instrucciones sobre cómo asegurar que ambas partes cumplimos con nuestras obligaciones en materia de transparencia, consulta nuestra guía de páginas de pago.

14. ¿GoCardless tiene un representante designado en materia de RGPD con el que pueda ponerme en contacto?

GoCardless ha designado formalmente a un responsable de protección de datos para asegurarnos de cumplir con la legislación. Si deseas dirigirle cualquier consulta relacionada con nuestro enfoque sobre la privacidad y la protección de datos, envía un correo electrónico a help@gocardless.com con la palabra "Privacidad" en el asunto.

Nuestra posición como responsables del tratamiento de datos

1. ¿Por qué GoCardless es un responsable del tratamiento de los datos personales de los clientes finales?

La ley de protección de datos trata a las empresas que gestionan datos personales como responsables del tratamiento o procesadores de datos. Bajo la ley de protección de datos, la mayoría de las empresas que actúan como proveedores para otras empresas se consideran procesadores de datos. Pero hay excepciones, que se suelen aplicar en aquellos casos en los que unas empresas prestan servicios a otras en áreas muy reguladas, como ocurre con los pagos.Como parte de nuestra preparación de cara al RGPD, hemos llevado a cabo una profunda revisión de nuestras actividades de procesamiento y hemos llegado a la conclusión de que, según la ley, debemos actuar como responsables del tratamiento de datos, no como procesadores de datos. Hemos basado esta decisión en:

• las indicaciones de nuestro organismo regulador de protección de datos

  , el Comisionado de Información del Reino Unido

  ;

• la jurisprudencia que interpreta estos requisitos;

• las indicaciones del Grupo de Trabajo del Artículo 29

   

  , un grupo de asesoramiento relacionado con la ley de protección de datos de la Unión Europea; 

• el asesoramiento de nuestros abogados externos en materia de protección de datos.

Cuando recopilamos y procesamos los datos personales relativos a personas que compran tus bienes o servicios por medio de pagos con tecnología de GoCardless, estamos sujetos a requisitos, reglas, leyes y normas que debemos cumplir, así como a procesos diseñados para que nuestros servicios de pago funcionen con más eficacia, y se apliquen los protocolos adecuados de control del fraude y otros riesgos (en terminología legal, estamos determinando "los fines y los medios"). Por ejemplo, determinamos el período de tiempo durante el que debemos conservar los datos de los clientes finales para cumplir los requisitos reglamentarios de los esquemas de pago.Puedes leer más acerca de este rol, y lo que significa para nuestros negocios y sus clientes, en nuestro blog.

2. ¿Cómo me afecta a mí, como negocio que usa GoCardless?

La posición de GoCardless como responsable del tratamiento de datos es una ventaja para los negocios que trabajan con nosotros. GoCardless asume la responsabilidad directa de las obligaciones legales relacionadas con el procesamiento de los datos personales de nuestros servicios de pago. Tus clientes finales tienen una relación legal directa con GoCardless en cuanto al uso que hacemos de sus datos personales. Esto implica que pueden ejercer determinados derechos directamente contra nosotros.Para que podamos cumplir con nuestras respectivas obligaciones conforme a la ley, te pedimos que incluyas un enlace a nuestra política de privacidad en el punto de cobro o en otras interfaces disponibles.Si tienes alguna pregunta sobre este requisito, escríbenos a help@gocardless.com.

3. ¿Cómo me afecta esto a mí, como asociado que ofrece la integración con GoCardless?

Como asociado, también serás un negocio de GoCardless y habrás suscrito con la plataforma un acuerdo de servicios de pago o negocios, además del acuerdo de asociados. Por lo tanto, lo señalado en el punto 2 también te afecta.De conformidad con los términos del Acuerdo de asociados de integración de GoCardless, y conforme a lo previsto en el Acuerdo de negocios conectados que los negocios de GoCardless deben aceptar antes de conectarse a tu sistema, debes suscribir un acuerdo con cada uno de los negocios que utilizan tu servicio, donde se expongan los términos adecuados en materia de protección de datos. Cuando un negocio activa tu integración, apela a su capacidad como responsable del tratamiento datos para autorizarnos a compartir contigo todos los datos personales de los clientes, y es tu responsabilidad proteger dichos datos y proporcionar suficientes garantías al respecto. Esto no ha cambiado al adherirnos a la función de responsables del tratamiento. Los acuerdos ya deberían estar suscritos.Los negocios que trabajan con nosotros deben asegurarse de que nuestra política de privacidad esté disponible en todo momento para sus clientes finales. Siempre que se proporcionen páginas de pago, deberá incluirse un enlace a nuestra política de privacidad. Nuestros términos actualizados para el RGPD establecen este requisito, así como la capacidad de GoCardless de comprobar que dicha política se ha incluido.

4. ¿Cómo me afecta esto a mí cuando pago a un negocio a través de GoCardless?

GoCardless es el proveedor de pagos para un negocio al que realizas pagos de forma recurrente. Somos una organización regulada por la FCA británica y centrada en la prestación del mejor servicio de domiciliación bancaria disponible.Tras una revisión exhaustiva con motivo del Reglamento General de Protección de Datos, hemos aclarado nuestra posición como responsables del tratamiento de los datos relacionados con personas que hacen pagos a empresas a través de GoCardless. Las razones de esta aclaración se hallan expuestas en una entrada reciente en nuestro blog. Además, nuestra notificación de privacidad establece cómo, cuándo y por qué utilizamos tus datos personales.El RGPD impone normas estrictas sobre cómo podemos utilizar tus datos, cómo debemos protegerlos y cómo debemos actuar si algo sale mal. Además, estamos obligados por la normativa de servicios financieros, que también cubre los datos y la seguridad. Puedes tener la seguridad de que trataremos tus datos de manera respetuosa y conforme a la ley.Si tienes alguna otra duda, ponte en contacto con nosotros o con el negocio al que realizas pagos a través de GoCardless.

5. ¿Cómo puedo obtener una copia del acuerdo de procesamiento de datos (APD)?

Puedes revisar los términos actualizados sobre la protección de datos que se aplican a tu acuerdo con nosotros en la sección denominada "Protección de datos" de nuestro Acuerdo de negocios en línea.Observarás varias diferencias respecto a la lista de términos requeridos por el artículo 28 del RGPD. Esto se debe a que el acuerdo refleja nuestra función como responsables del tratamiento. El artículo 28 solo se aplica a los contratos con los procesadores de datos, ya que impone por contrato las obligaciones que la ley establece directamente a los responsables del tratamiento.