Estás en: Ibercheck Política de Privacidad

Política de Privacidad

Por Fernando Cabello-Astolfi

 

La presente Política de Privacidad describe, con un enfoque jurídico y accesible, cómo IBERCHECK SOLUCIONES, S.L. (en adelante, “IBERCHECK” o el “Responsable”) trata los datos personales en el marco de su sitio web y de sus servicios de consolidación y análisis informativo, tanto en el ámbito B2B como en el ámbito B2C.

IBERCHECK presta servicios que consisten en consolidar información procedente de fuentes públicas y privadas legalmente accesibles y, cuando proceda, consultar sistemas de información crediticia regulados bajo mandato y consentimiento expreso del interesado. Los informes emitidos tienen carácter informativo y constituyen un input para la toma de decisiones por parte del cliente. IBERCHECK no adopta decisiones automatizadas con efectos jurídicos en el sentido del artículo 22 del RGPD, ni elabora un “scoring” propio automatizado de solvencia.

Responsable del Tratamiento y datos de contacto

Responsable del Tratamiento: 

IBERCHECK SOLUCIONES, S.L.

CIF: B-86008950

Domicilio social: Calle Columela, 6, 28001 Madrid (España).

Contacto general: info@ibercheck.com.

Delegado de Protección de Datos (DPO): privacidad@ibercheck.com.

El DPO actúa como punto de contacto para cualquier cuestión relativa al tratamiento de datos personales, sin perjuicio de que el interesado pueda dirigir sus comunicaciones también al canal general.

Marco normativo y enfoque de responsabilidad proactiva

IBERCHECK trata los datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la Ley 34/2002 (LSSI-CE) cuando resulte aplicable, y demás normativa sectorial que pudiera incidir en la prestación de servicios y la seguridad de la información.

En aplicación del principio de responsabilidad proactiva (art. 5.2 RGPD), IBERCHECK mantiene un sistema interno de gobernanza que integra la protección de datos en sus procesos, incluyendo:

  1. Registro de Actividades de Tratamiento (art. 30 RGPD), 
  2. análisis de riesgos y medidas técnicas y organizativas (art. 32 RGPD),
  3. contratos y control de encargados (art. 28 RGPD), 
  4. gestión de incidentes y brechas (arts. 33 y 34 RGPD), 
  5. procedimientos de atención a derechos, 
  6. evaluaciones de impacto para la protección de datos, cuando proceda (art. 35 RGPD), y 
  7. evaluaciones de impacto de transferencia (TIA) para transferencias internacionales, cuando proceda (arts. 44 y ss RGPD).

La documentación de cumplimiento se conserva y se mantiene actualizada para acreditar la conformidad ante requerimientos de terceros (p. ej., auditorías) y, en su caso, de la autoridad de control.

Ámbito de aplicación y colectivos afectados

La presente Política aplica al tratamiento de datos personales realizado por IBERCHECK en los siguientes contextos:

  1. Usuarios del sitio web: navegación, configuración de cookies y comunicaciones realizadas mediante formularios o canales de contacto.
  2. Clientes B2C: usuarios que contratan directamente servicios como personas físicas.
  3. Clientes B2B: empresas y profesionales que contratan servicios; en este caso pueden tratarse datos de representantes legales, personas de contacto y, en su caso, personas físicas objeto de verificación cuando el servicio lo requiera.
  4. Personas físicas objeto de verificación: cuando el cliente solicite la consolidación de información relativa a una persona física, y exista base jurídica y garantías conforme a la normativa aplicable.

Categorías de datos tratados y fuentes de obtención

Categorías de datos

En función del servicio y del canal de interacción, IBERCHECK puede tratar, entre otras, las siguientes categorías de datos: datos identificativos y de contacto; datos profesionales y societarios; datos económicos y financieros; datos relativos a solvencia patrimonial y crédito (solo cuando exista mandato y consentimiento expreso); y datos técnicos de navegación y seguridad.

IBERCHECK no trata categorías especiales del artículo 9 RGPD como regla general. Si el interesado aporta voluntariamente información sensible en una comunicación, dicha información será tratada únicamente en la medida estrictamente necesaria para gestionar la solicitud y conforme a la base jurídica aplicable.

Fuentes de obtención

Los datos pueden provenir de: (i) el propio interesado o el cliente, (ii) fuentes públicas o registros accesibles legalmente, (iii) proveedores de verificación/servicios tecnológicos bajo contrato, y (iv) sistemas de información crediticia regulados, siempre bajo consentimiento expreso y conforme a la LOPDGDD.

Finalidades del tratamiento

IBERCHECK trata los datos personales para finalidades específicas, explícitas y legítimas, entre ellas: prestación del servicio y gestión contractual; consolidación y elaboración de informes informativos; cumplimiento de obligaciones legales; seguridad de la información; y, cuando proceda, comunicaciones comerciales con base legitimadora y mecanismos de oposición.

Bases jurídicas del tratamiento

Las bases jurídicas aplicables (art. 6 RGPD) pueden ser: ejecución de contrato (art. 6.1.b), obligación legal (art. 6.1.c), consentimiento (art. 6.1.a) e interés legítimo (art. 6.1.f). La base concreta dependerá de cada tratamiento y se documenta en el Registro de Actividades.

Interés legítimo: ponderación y garantías aplicadas

Cuando un tratamiento se fundamenta en interés legítimo, IBERCHECK realiza una ponderación documentada (“balance test”) que analiza la finalidad, necesidad, impacto y salvaguardas. El interesado puede oponerse en cualquier momento (art. 21 RGPD), y IBERCHECK cesará el tratamiento salvo motivos legítimos imperiosos o defensa de reclamaciones.

Salvaguardas típicas: minimización, limitación temporal, controles de acceso por rol, trazabilidad, cifrado, y medidas organizativas de confidencialidad. La documentación podrá ponerse a disposición de la autoridad de control si fuera requerida.

Destinatarios, encargados del tratamiento y cesiones

En el desarrollo de su actividad, IBERCHECK podrá comunicar o permitir el acceso a datos personales a terceros exclusivamente cuando ello resulte necesario para la prestación del servicio, para el cumplimiento de obligaciones legales o cuando exista base jurídica suficiente conforme a lo previsto en el artículo 6 del RGPD.

Con carácter general, IBERCHECK no vende, alquila ni comercializa datos personales a terceros.

Encargados del tratamiento

Cuando para la prestación del servicio sea necesario que un tercero trate datos personales por cuenta de IBERCHECK, dicho tercero actuará como encargado del tratamiento, formalizándose el correspondiente contrato conforme al artículo 28 RGPD.

Estos contratos incluirán, como mínimo:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
  • Compromiso de confidencialidad.
  • Implementación de medidas técnicas y organizativas apropiadas.
  • Régimen de subcontratación (subencargados).
  • Asistencia en el ejercicio de derechos.
  • Asistencia en el cumplimiento de obligaciones en materia de seguridad, brechas y evaluaciones de impacto.
  • Obligación de suprimir o devolver los datos una vez finalizado el servicio.
  • Puesta a disposición de información necesaria para demostrar el cumplimiento.

A título informativo, IBERCHECK podrá contar, entre otros, con los siguientes encargados del tratamiento:

  • Proveedor de alojamiento y servicios cloud: [● COMPLETAR DENOMINACIÓN SOCIAL]
  • Proveedor de correo electrónico / comunicaciones transaccionales: [● COMPLETAR]
  • Proveedor de servicios de analítica web: [● COMPLETAR]
  • Proveedor de firma electrónica / gestión documental: [● COMPLETAR]
  • Proveedor de soporte técnico / mantenimiento: [● COMPLETAR]
  • Proveedor de servicios de verificación o consulta regulada: [● COMPLETAR]

La lista actualizada de encargados podrá facilitarse a solicitud del interesado cuando proceda.

IBERCHECK realiza una evaluación previa de sus proveedores críticos desde la perspectiva de protección de datos y seguridad de la información, y mantiene mecanismos de revisión periódica cuando la naturaleza del tratamiento lo requiera.

Subencargados y cadena de tratamiento

Cuando un encargado recurra a subencargados, deberá contar con autorización previa general o específica de IBERCHECK, y garantizar contractualmente que el subencargado asume obligaciones equivalentes en materia de protección de datos.

En caso de que el subencargado se encuentre fuera del Espacio Económico Europeo, resultará de aplicación lo dispuesto en el apartado relativo a transferencias internacionales.

Comunicaciones de datos por obligación legal

IBERCHECK podrá comunicar datos personales a autoridades públicas, órganos judiciales, fuerzas y cuerpos de seguridad o administraciones competentes cuando exista obligación legal o requerimiento válido.

Estas comunicaciones se limitarán estrictamente a los datos necesarios y proporcionados a la finalidad del requerimiento.

Comunicaciones necesarias para la ejecución del servicio

En determinados supuestos, la naturaleza del servicio puede requerir la interacción con terceros (por ejemplo, proveedores de información o sistemas regulados), en cuyo caso el acceso o comunicación se realizará sobre la base jurídica correspondiente y dentro del marco normativo aplicable.

Cuando el cliente solicite la elaboración de un informe que implique la consulta de sistemas de información crediticia regulados, dicha consulta se realizará exclusivamente bajo mandato y consentimiento expreso del interesado, conforme al artículo 20 LOPDGDD.

IBERCHECK no mantiene ficheros propios de morosidad ni realiza cesiones indiscriminadas de datos a terceros.

Delimitación de responsabilidad en entornos B2B

En el ámbito B2B, cuando el cliente utilice el informe como input para su proceso interno de toma de decisiones, será el cliente quien determine los criterios y finalidades ulteriores del tratamiento que realice sobre la base del informe.

En tales casos, el cliente actuará como responsable independiente respecto de las decisiones adoptadas y de los tratamientos posteriores que realice, asumiendo sus propias obligaciones de transparencia, legitimación y proporcionalidad.

IBERCHECK no participa en la definición de los criterios decisorios del cliente ni en la adopción de decisiones finales.

Transparencia y rendición de cuentas

IBERCHECK mantiene actualizado su inventario de encargados y categorías de destinatarios como parte de su Registro de Actividades de Tratamiento, pudiendo poner a disposición de la autoridad de control la documentación acreditativa del cumplimiento de las obligaciones del artículo 28 RGPD.

Transferencias internacionales

En el marco de la prestación de sus servicios, IBERCHECK podrá recurrir a proveedores tecnológicos ubicados fuera del Espacio Económico Europeo (EEE) o que impliquen accesos remotos desde terceros países. En tales supuestos, el Responsable aplicará estrictamente el régimen previsto en los artículos 44 a 49 del Reglamento (UE) 2016/679 (RGPD), garantizando que el nivel de protección de los datos personales no resulte menoscabado por el hecho de la transferencia.

IBERCHECK no concibe la transferencia internacional como un mero trámite contractual, sino como un proceso de evaluación jurídica y técnica que debe asegurar un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea.

Decisiones de adecuación (art. 45 RGPD)

Cuando la Comisión Europea haya adoptado una decisión de adecuación respecto del país de destino, la transferencia podrá realizarse sobre dicha base, en la medida en que el país garantice un nivel de protección adecuado. IBERCHECK verificará periódicamente la vigencia, alcance material y eventuales limitaciones de tales decisiones.

Garantías adecuadas: Cláusulas Contractuales Tipo (art. 46 RGPD)

En ausencia de decisión de adecuación, IBERCHECK suscribirá con el destinatario las Cláusulas Contractuales Tipo (SCC, por sus siglas en inglés) aprobadas por la Comisión Europea, seleccionando el módulo aplicable según la relación jurídica (responsable‑encargado, encargado‑subencargado o responsable‑responsable).

La suscripción de SCC se complementará con un análisis sustantivo sobre la normativa del país de destino, especialmente en relación con el acceso por autoridades públicas, garantías judiciales y derechos efectivos de recurso.

Evaluación de Impacto de Transferencia (TIA)

Cuando la transferencia se base en garantías adecuadas, IBERCHECK realizará una Evaluación de Impacto de Transferencia (Transfer Impact Assessment – TIA), documentando:

  • Naturaleza y sensibilidad de los datos.
  • Finalidad y duración del tratamiento.
  • Marco normativo del país receptor.
  • Riesgo de acceso desproporcionado por autoridades.
  • Medidas técnicas y organizativas adicionales.

Medidas técnicas y organizativas complementarias

Cuando el análisis revele riesgos adicionales, IBERCHECK podrá aplicar medidas complementarias tales como:

  • Cifrado robusto en tránsito y en reposo.
  • Seudonimización previa a la transferencia.
  • Segregación lógica de entornos.
  • Restricciones contractuales adicionales.
  • Auditorías periódicas a proveedores.

Subencargados y transferencias ulteriores

Cuando el destinatario actúe como encargado y recurra a subencargados fuera del EEE, IBERCHECK exigirá garantías equivalentes y mecanismos de control contractual adecuados.

Derogaciones del artículo 49 RGPD

Las derogaciones del artículo 49 RGPD se aplicarán de forma excepcional y caso por caso, cuando no resulten viables otras garantías estructurales, documentando la decisión.

Transparencia y derechos del interesado

El interesado podrá solicitar información sobre las garantías aplicables a la transferencia internacional, sin perjuicio de limitaciones derivadas de confidencialidad o seguridad.

Revisión periódica

IBERCHECK verificará periódicamente la vigencia de las garantías contractuales y del entorno normativo del país de destino, adoptando medidas adicionales o suspendiendo la transferencia si fuera necesario.

Plazos de conservación y bloqueo

Los datos se conservan mientras exista relación contractual y, posteriormente, durante plazos de prescripción aplicables. Se aplicará bloqueo conforme al art. 32 LOPDGDD cuando proceda. Los plazos se gestionan por categorías (contractual, informes, logs) y se revisan periódicamente.

Medidas técnicas y organizativas de seguridad

IBERCHECK adopta medidas de seguridad apropiadas (art. 32 RGPD) que incluyen cifrado TLS, control de accesos, registros de actividad, copias de seguridad, segregación de entornos y procedimientos de gestión de vulnerabilidades e incidencias.

Derechos de los interesados y reclamaciones

El interesado puede ejercer derechos (arts. 15 a 22 RGPD) ante el DPO en la dirección de correo antes mencionada. En caso de disconformidad, podrá reclamar ante la AEPD.

Actualizaciones

IBERCHECK podrá actualizar esta Política por cambios normativos o del servicio. La versión vigente será la publicada en el sitio web.

Naturaleza informativa y limitación de responsabilidad

Los informes se basan en información disponible en el momento de la consulta y en fuentes externas. IBERCHECK no garantiza actualización permanente ni inexistencia de errores imputables a terceros. La decisión final corresponde al cliente.

En la medida permitida por la ley, se excluyen daños reputacionales, pérdida de oportunidad, lucro cesante y daños indirectos. La responsabilidad, en su caso, se limita al importe efectivamente abonado y percibido por el servicio concreto, salvo dolo o negligencia grave.