Estás en: Ibercheck Política de Privacidad

Política de Privacidad

Por Fernando Cabello-Astolfi

 

La presente Política de Privacidad describe, con un enfoque jurídico y accesible, cómo IBERCHECK SOLUCIONES, S.L. (en adelante, “IBERCHECK” o el “Responsable”) trata los datos personales en el marco de su sitio web y de sus servicios de consolidación y análisis informativo, tanto en el ámbito B2B como en el ámbito B2C.

IBERCHECK presta servicios que consisten en consolidar información procedente de fuentes públicas y privadas legalmente accesibles y, cuando proceda, consultar sistemas de información crediticia regulados bajo mandato y consentimiento expreso del interesado. Los informes emitidos tienen carácter informativo y constituyen un input para la toma de decisiones por parte del cliente. IBERCHECK no adopta decisiones automatizadas con efectos jurídicos en el sentido del artículo 22 del RGPD, ni elabora un “scoring” propio automatizado de solvencia.

  • Responsable del Tratamiento y datos de contacto

Responsable del Tratamiento: 

IBERCHECK SOLUCIONES, S.L.

CIF: B-86008950

Domicilio social: Calle Columela, 6, 28001 Madrid (España).

Contacto general: info@ibercheck.com.

Delegado de Protección de Datos (DPO): privacidad@ibercheck.com.

El DPO actúa como punto de contacto para cualquier cuestión relativa al tratamiento de datos personales, sin perjuicio de que el interesado pueda dirigir sus comunicaciones también al canal general.

  • Marco normativo y enfoque de responsabilidad proactiva

IBERCHECK trata los datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la Ley 34/2002 (LSSI-CE) cuando resulte aplicable, y demás normativa sectorial que pudiera incidir en la prestación de servicios y la seguridad de la información.

En aplicación del principio de responsabilidad proactiva (art. 5.2 RGPD), IBERCHECK mantiene un sistema interno de gobernanza que integra la protección de datos en sus procesos, incluyendo:

  1. Registro de Actividades de Tratamiento (art. 30 RGPD), 
  2. análisis de riesgos y medidas técnicas y organizativas (art. 32 RGPD),
  3. contratos y control de encargados (art. 28 RGPD), 
  4. gestión de incidentes y brechas (arts. 33 y 34 RGPD), 
  5. procedimientos de atención a derechos, 
  6. evaluaciones de impacto para la protección de datos, cuando proceda (art. 35 RGPD), y 
  7. evaluaciones de impacto de transferencia (TIA) para transferencias internacionales, cuando proceda (arts. 44 y ss RGPD).

La documentación de cumplimiento se conserva y se mantiene actualizada para acreditar la conformidad ante requerimientos de terceros (p. ej., auditorías) y, en su caso, de la autoridad de control.

  • Ámbito de aplicación y colectivos afectados

La presente Política aplica al tratamiento de datos personales realizado por IBERCHECK en los siguientes contextos:

  1. Usuarios del sitio web: navegación, configuración de cookies y comunicaciones realizadas mediante formularios o canales de contacto.
  2. Clientes B2C: usuarios que contratan directamente servicios como personas físicas.
  3. Clientes B2B: empresas y profesionales que contratan servicios; en este caso pueden tratarse datos de representantes legales, personas de contacto y, en su caso, personas físicas objeto de verificación cuando el servicio lo requiera.
  4. Personas físicas objeto de verificación: cuando el cliente solicite la consolidación de información relativa a una persona física, y exista base jurídica y garantías conforme a la normativa aplicable.

  • Categorías de datos tratados y fuentes de obtención

    1. Categorías de datos

En función del servicio y del canal de interacción, IBERCHECK puede tratar, entre otras, las siguientes categorías de datos: datos identificativos y de contacto; datos profesionales y societarios; datos económicos y financieros; datos relativos a solvencia patrimonial y crédito (solo cuando exista mandato y consentimiento expreso); y datos técnicos de navegación y seguridad.

IBERCHECK no trata categorías especiales del artículo 9 RGPD como regla general. Si el interesado aporta voluntariamente información sensible en una comunicación, dicha información será tratada únicamente en la medida estrictamente necesaria para gestionar la solicitud y conforme a la base jurídica aplicable.

  1. Fuentes de obtención

Los datos pueden provenir de: (i) el propio interesado o el cliente, (ii) fuentes públicas o registros accesibles legalmente, (iii) proveedores de verificación/servicios tecnológicos bajo contrato, y (iv) sistemas de información crediticia regulados, siempre bajo consentimiento expreso y conforme a la LOPDGDD.

  • Finalidades del tratamiento

IBERCHECK tratará los datos personales de los usuarios para la prestación de los servicios solicitados, incluyendo, cuando proceda, la elaboración de informes informativos, la consulta de sistemas de información crediticia regulados y la prestación del servicio de vigilancia o notificación de variaciones en dichos sistemas, siempre bajo mandato, solicitud o consentimiento expreso del interesado cuando resulte exigible.

  • Bases jurídicas del tratamiento

Las bases jurídicas aplicables (art. 6 RGPD) pueden ser: ejecución de contrato (art. 6.1.b), obligación legal (art. 6.1.c), consentimiento (art. 6.1.a) e interés legítimo (art. 6.1.f). La base concreta dependerá de cada tratamiento y se documenta en el Registro de Actividades.

  • Interés legítimo: ponderación y garantías aplicadas

Cuando un tratamiento se fundamenta en interés legítimo, IBERCHECK realiza una ponderación documentada (“balance test”) que analiza la finalidad, necesidad, impacto y salvaguardas. El interesado puede oponerse en cualquier momento (art. 21 RGPD), y IBERCHECK cesará el tratamiento salvo motivos legítimos imperiosos o defensa de reclamaciones.

Salvaguardas típicas: minimización, limitación temporal, controles de acceso por rol, trazabilidad, cifrado, y medidas organizativas de confidencialidad. La documentación podrá ponerse a disposición de la autoridad de control si fuera requerida.

  • Destinatarios, encargados del tratamiento y cesiones

En el desarrollo de su actividad, IBERCHECK podrá comunicar o permitir el acceso a datos personales a terceros exclusivamente cuando ello resulte necesario para la prestación del servicio, para el cumplimiento de obligaciones legales o cuando exista base jurídica suficiente conforme a lo previsto en el artículo 6 del RGPD.

Con carácter general, IBERCHECK no vende, alquila ni comercializa datos personales a terceros.

  1. Encargados del tratamiento

Cuando para la prestación del servicio sea necesario que un tercero trate datos personales por cuenta de IBERCHECK, dicho tercero actuará como encargado del tratamiento, formalizándose el correspondiente contrato conforme al artículo 28 RGPD.

Estos contratos incluirán, como mínimo:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
  • Compromiso de confidencialidad.
  • Implementación de medidas técnicas y organizativas apropiadas.
  • Régimen de subcontratación (subencargados).
  • Asistencia en el ejercicio de derechos.
  • Asistencia en el cumplimiento de obligaciones en materia de seguridad, brechas y evaluaciones de impacto.
  • Obligación de suprimir o devolver los datos una vez finalizado el servicio.
  • Puesta a disposición de información necesaria para demostrar el cumplimiento.

A título informativo, IBERCHECK podrá contar, entre otros, con los siguientes encargados del tratamiento:

  • Proveedor de alojamiento y servicios cloud: AMAZON WEB SERVICE (AWS)
  • Proveedor de correo electrónico / comunicaciones transaccionales: MANDRILL, MAILCHIMP
  • Proveedor de servicios de analítica web: Google (GTM)
  • Proveedor de firma electrónica / gestión documental: Logalty
  • Proveedor de soporte técnico / mantenimiento: AWS
  • Proveedor de servicios de verificación o consulta regulada: Logalty, Experian Bureau de Crédito, S.A, Equifax Ibérica y Asnef Equifax Servicios de Información Sobre Solvencia y Crédito SL

La lista actualizada de encargados podrá facilitarse a solicitud del interesado cuando proceda.

IBERCHECK realiza una evaluación previa de sus proveedores críticos desde la perspectiva de protección de datos y seguridad de la información, y mantiene mecanismos de revisión periódica cuando la naturaleza del tratamiento lo requiera.

  1. Subencargados y cadena de tratamiento

Cuando un encargado recurra a subencargados, deberá contar con autorización previa general o específica de IBERCHECK, y garantizar contractualmente que el subencargado asume obligaciones equivalentes en materia de protección de datos.

En caso de que el subencargado se encuentre fuera del Espacio Económico Europeo, resultará de aplicación lo dispuesto en el apartado relativo a transferencias internacionales.

  1. Comunicaciones de datos por obligación legal

IBERCHECK podrá comunicar datos personales a autoridades públicas, órganos judiciales, fuerzas y cuerpos de seguridad o administraciones competentes cuando exista obligación legal o requerimiento válido.

Estas comunicaciones se limitarán estrictamente a los datos necesarios y proporcionados a la finalidad del requerimiento.

  1. Comunicaciones necesarias para la ejecución del servicio

En determinados supuestos, la naturaleza del servicio puede requerir la interacción con terceros (por ejemplo, proveedores de información o sistemas regulados), en cuyo caso el acceso o comunicación se realizará sobre la base jurídica correspondiente y dentro del marco normativo aplicable.

Cuando el cliente solicite la elaboración de un informe que implique la consulta de sistemas de información crediticia regulados, dicha consulta se realizará exclusivamente bajo mandato y consentimiento expreso del interesado, conforme al artículo 20 LOPDGDD.

IBERCHECK no mantiene ficheros propios de morosidad ni realiza cesiones indiscriminadas de datos a terceros.

  1. Delimitación de responsabilidad en entornos B2B

En el ámbito B2B, cuando el cliente utilice el informe como input para su proceso interno de toma de decisiones, será el cliente quien determine los criterios y finalidades ulteriores del tratamiento que realice sobre la base del informe.

En tales casos, el cliente actuará como responsable independiente respecto de las decisiones adoptadas y de los tratamientos posteriores que realice, asumiendo sus propias obligaciones de transparencia, legitimación y proporcionalidad.

IBERCHECK no participa en la definición de los criterios decisorios del cliente ni en la adopción de decisiones finales.

  1. Transparencia y rendición de cuentas

IBERCHECK mantiene actualizado su inventario de encargados y categorías de destinatarios como parte de su Registro de Actividades de Tratamiento, pudiendo poner a disposición de la autoridad de control la documentación acreditativa del cumplimiento de las obligaciones del artículo 28 RGPD.

  • Transferencias internacionales

En el marco de la prestación de sus servicios, IBERCHECK podrá recurrir a proveedores tecnológicos ubicados fuera del Espacio Económico Europeo (EEE) o que impliquen accesos remotos desde terceros países. En tales supuestos, el Responsable aplicará estrictamente el régimen previsto en los artículos 44 a 49 del Reglamento (UE) 2016/679 (RGPD), garantizando que el nivel de protección de los datos personales no resulte menoscabado por el hecho de la transferencia.

IBERCHECK no concibe la transferencia internacional como un mero trámite contractual, sino como un proceso de evaluación jurídica y técnica que debe asegurar un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea.

  1. Decisiones de adecuación (art. 45 RGPD)

Cuando la Comisión Europea haya adoptado una decisión de adecuación respecto del país de destino, la transferencia podrá realizarse sobre dicha base, en la medida en que el país garantice un nivel de protección adecuado. IBERCHECK verificará periódicamente la vigencia, alcance material y eventuales limitaciones de tales decisiones.

  1. Garantías adecuadas: Cláusulas Contractuales Tipo (art. 46 RGPD)

En ausencia de decisión de adecuación, IBERCHECK suscribirá con el destinatario las Cláusulas Contractuales Tipo (SCC, por sus siglas en inglés) aprobadas por la Comisión Europea, seleccionando el módulo aplicable según la relación jurídica (responsable‑encargado, encargado‑subencargado o responsable‑responsable).

La suscripción de SCC se complementará con un análisis sustantivo sobre la normativa del país de destino, especialmente en relación con el acceso por autoridades públicas, garantías judiciales y derechos efectivos de recurso.

  1. Evaluación de Impacto de Transferencia (TIA)

Cuando la transferencia se base en garantías adecuadas, IBERCHECK realizará una Evaluación de Impacto de Transferencia (Transfer Impact Assessment – TIA), documentando:

  • Naturaleza y sensibilidad de los datos.
  • Finalidad y duración del tratamiento.
  • Marco normativo del país receptor.
  • Riesgo de acceso desproporcionado por autoridades.
  • Medidas técnicas y organizativas adicionales.

  1. Medidas técnicas y organizativas complementarias

Cuando el análisis revele riesgos adicionales, IBERCHECK podrá aplicar medidas complementarias tales como:

  • Cifrado robusto en tránsito y en reposo.
  • Seudonimización previa a la transferencia.
  • Segregación lógica de entornos.
  • Restricciones contractuales adicionales.
  • Auditorías periódicas a proveedores.

  1. Subencargados y transferencias ulteriores

Cuando el destinatario actúe como encargado y recurra a subencargados fuera del EEE, IBERCHECK exigirá garantías equivalentes y mecanismos de control contractual adecuados.

  1. Derogaciones del artículo 49 RGPD

Las derogaciones del artículo 49 RGPD se aplicarán de forma excepcional y caso por caso, cuando no resulten viables otras garantías estructurales, documentando la decisión.

  1. Transparencia y derechos del interesado

El interesado podrá solicitar información sobre las garantías aplicables a la transferencia internacional, sin perjuicio de limitaciones derivadas de confidencialidad o seguridad.

  1. Revisión periódica

IBERCHECK verificará periódicamente la vigencia de las garantías contractuales y del entorno normativo del país de destino, adoptando medidas adicionales o suspendiendo la transferencia si fuera necesario.

  • Plazos de conservación y bloqueo

Los datos se conservan mientras exista relación contractual y, posteriormente, durante plazos de prescripción aplicables. Se aplicará bloqueo conforme al art. 32 LOPDGDD cuando proceda. Los plazos se gestionan por categorías (contractual, informes, logs) y se revisan periódicamente.

  • Medidas técnicas y organizativas de seguridad

IBERCHECK adopta medidas de seguridad apropiadas (art. 32 RGPD) que incluyen cifrado TLS, control de accesos, registros de actividad, copias de seguridad, segregación de entornos y procedimientos de gestión de vulnerabilidades e incidencias.

  • Derechos de los interesados y reclamaciones

El interesado puede ejercer derechos (arts. 15 a 22 RGPD) ante el DPO en la dirección de correo antes mencionada. En caso de disconformidad, podrá reclamar ante la AEPD.

  • Actualizaciones

IBERCHECK podrá actualizar esta Política por cambios normativos o del servicio. La versión vigente será la publicada en el sitio web.

  • Naturaleza informativa y limitación de responsabilidad

Los informes se basan en información disponible en el momento de la consulta y en fuentes externas. IBERCHECK no garantiza actualización permanente ni inexistencia de errores imputables a terceros. La decisión final corresponde al cliente.

En la medida permitida por la ley, se excluyen daños reputacionales, pérdida de oportunidad, lucro cesante y daños indirectos. La responsabilidad, en su caso, se limita al importe efectivamente abonado y percibido por el servicio concreto, salvo dolo o negligencia grave.

  1. Servicio de Vigilancia de IBERCHECK

Cuando el usuario solicite o active expresamente el servicio gratuito de Vigilancia de IBERCHECK, IBERCHECK tratará sus datos personales con la finalidad de monitorizar, durante el periodo de vigencia del servicio, determinadas variaciones relevantes que puedan producirse en relación con su situación en sistemas de información crediticia regulados, en particular ASNEF, y remitirle avisos informativos por correo electrónico cuando se detecten cambios asociados a su perfil.´

 

Este tratamiento podrá incluir datos identificativos y de contacto del usuario, datos necesarios para verificar su identidad, datos relativos a solvencia patrimonial y crédito y la información estrictamente necesaria sobre la existencia de variaciones en los sistemas consultados. IBERCHECK no utilizará este servicio para elaborar un scoring propio automatizado de solvencia ni para adoptar decisiones automatizadas con efectos jurídicos o significativamente similares sobre el usuario.

 

La base jurídica del tratamiento será la solicitud y autorización expresa del usuario, de conformidad con el artículo 6.1.a) del RGPD, así como, cuando proceda, la ejecución del servicio solicitado por el propio usuario conforme al artículo 6.1.b) del RGPD. La consulta o seguimiento de sistemas de información crediticia se realizará, en todo caso, bajo mandato y consentimiento expreso del interesado y conforme al artículo 20 de la LOPDGDD.

 

El servicio se activará por periodos sucesivos de seis (6) meses. Al finalizar cada periodo, IBERCHECK remitirá al usuario una comunicación informativa por correo electrónico relativa a la continuidad del servicio. Salvo que el usuario solicite la baja a través del enlace o mecanismo habilitado en dicha comunicación, o mediante cualquiera de los canales indicados en esta Política de Privacidad, el servicio se renovará automáticamente por un nuevo periodo de seis (6) meses.

El usuario podrá cancelar el servicio en cualquier momento, sin coste alguno, a través del enlace de baja incluido en las comunicaciones relativas al servicio, desde su panel de control mediante el botón “BAJA VIGILANCIA”, o mediante los canales indicados en esta Política de Privacidad. La baja implicará el cese de la monitorización y de las notificaciones asociadas al servicio, sin afectar a la licitud de los tratamientos realizados con anterioridad.

 

Los datos tratados para la prestación del servicio se conservarán durante el tiempo necesario para su ejecución y, una vez finalizado, durante los plazos estrictamente necesarios para atender posibles responsabilidades legales, reclamaciones o evidencias de la autorización otorgada, aplicándose, cuando proceda, el bloqueo previsto en el artículo 32 de la LOPDGDD.

 

Las comunicaciones remitidas en el marco del servicio de Vigilancia tendrán carácter operativo e informativo, al estar vinculadas a un servicio solicitado por el usuario. IBERCHECK no utilizará dichas comunicaciones para el envío de comunicaciones comerciales electrónicas no solicitadas, salvo que exista una base jurídica válida conforme a la normativa aplicable, incluida la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico.

 

Para la prestación del servicio podrán intervenir proveedores tecnológicos, prestadores de servicios de verificación o consulta regulada y, en su caso, plataformas colaboradoras a través de las cuales se haya activado o contratado el servicio. Dichos terceros actuarán conforme al rol que corresponda en cada caso, como encargados del tratamiento, responsables independientes o prestadores intervinientes en la ejecución del servicio, y siempre sobre la base jurídica aplicable.