En Fin, trabajamos arduamente para cumplir con el Reglamento General de Protección de Datos de la UE (GDPR), para asegurar que cumplimos con sus obligaciones y mantenemos transparencia sobre la mensajería al cliente y cómo usamos los datos.

Aquí hay una visión general del GDPR y cómo logramos el cumplimiento en Fin:

El GDPR es una ley integral de protección de datos que entró en vigor el 25 de mayo de 2018. Reemplazó la legislación existente de la UE para fortalecer la protección de los “datos personales” y los derechos del individuo. Es un conjunto único de reglas que regula el procesamiento y monitoreo de datos de la UE.

Sí, muy probablemente. Si usted posee o procesa los datos de cualquier persona en la UE, el GDPR se aplicará a usted, esté o no ubicado en la UE.

Le ayudamos a cumplir con sus requisitos de portabilidad de datos; puede exportar fácilmente todos sus datos vinculados a un individuo y eliminar permanentemente todos los datos vinculados a un usuario individual.

Automáticamente expiraremos los datos de visitantes que no hayan sido vistos en 9 meses, para asegurar que cumplimos con los requisitos de retención del GDPR.

Fin considera cuidadosamente todas las solicitudes de datos de terceros, incluyendo solicitudes de agencias de seguridad nacional y fuerzas del orden.

Como política, no proporcionamos a terceros información que no les pertenece y solo respondemos a solicitudes cuando estamos legalmente obligados a hacerlo. Esto significa que Fin solo proporcionará datos en respuesta a una orden judicial, citación, mandato u otra solicitud legal válida que nos obligue a entregar datos de una cuenta de cliente.

Cuando la ley nos lo permita, siempre le notificaremos sobre las solicitudes que recibamos y trabajaremos con usted si desea impugnar una solicitud o limitar la divulgación.

El DPA (que incorpora los nuevos SCC emitidos por la Comisión Europea el 4 de junio de 2021) está incorporado en los Términos de Servicio bajo los cuales se rigen sus servicios Fin y no se necesita una firma separada.

Compromisos sólidos de protección de datos son una parte clave de los requisitos del GDPR. Nuestro acuerdo de procesamiento de datos comparte nuestros compromisos de privacidad y establece los términos para que Fin y nuestros clientes cumplan con los requisitos del GDPR. Está disponible para que los clientes lo firmen a solicitud.

No podemos aceptar alteraciones a nuestro DPA, ya que no estamos a la escala para celebrar DPAs personalizados con clientes. Si tiene preguntas específicas sobre el DPA, por favor contáctenos vía Messenger.

Nuestra política es que solo contratamos con base en nuestro DPA GDPR.
​
Este enfoque establecido se basa en razones legales y operativas sólidas y refleja la práctica común para proveedores SaaS.
​
Desde una perspectiva legal, el GDPR de la UE requiere que un procesador como Fin transfiera a sus subprocesadores ciertas obligaciones de protección de datos contenidas en sus contratos con clientes. Hemos preparado nuestro DPA para el cumplimiento del GDPR y, como tal, para contener obligaciones que pueden ser transferidas a nuestros subprocesadores. Simplemente, no podríamos cumplir con el requisito de transferencia del GDPR si celebramos DPAs personalizados con clientes. Esto es especialmente cierto en relación con subprocesadores a gran escala, como Amazon Web Services, donde hay poca o ninguna flexibilidad para negociar sus términos estándar.
​
Desde una perspectiva operativa, Fin tiene decenas de miles de clientes y es un negocio en rápida expansión. Simplemente no tenemos la capacidad ni la flexibilidad operativa para celebrar diferentes DPAs con diferentes términos para cada cliente. Esto crearía compromisos excesivamente onerosos para Fin y no es escalable. Al usar el DPA GDPR de Fin, podemos gestionar mejor nuestras obligaciones de protección de datos y así enfocar nuestras actividades en procesar datos personales de manera conforme y proporcionar a los clientes un servicio simplificado.
​

Para cumplir con los requisitos del GDPR para transferencias internacionales de datos, Fin participa en el Marco de Privacidad de Datos UE-EE.UU. (DPF), la Extensión del Reino Unido al DPF UE-EE.UU. y el Marco de Privacidad de Datos Suizo-EE.UU. según lo establecido por el Departamento de Comercio de EE.UU. Para más información, consulte nuestra Política de Privacidad.

Contamos con un Oficial de Protección de Datos dedicado para supervisar y asesorar sobre nuestra gestión de datos. Póngase en contacto a través del messenger o enviando un correo a dataprotection@intercom.io.

Cuando es apropiado, requerimos que todos nuestros proveedores terceros firmen acuerdos de procesamiento de datos que aseguren que los datos de los clientes permanecerán protegidos conforme al GDPR y nuestras obligaciones con usted.

Todos los datos enviados hacia o desde nosotros están encriptados en tránsito usando cifrado de 256 bits. Nuestra API y puntos finales de aplicación son solo TLS/SSL y obtienen una calificación “A+” en las pruebas de Qualys SSL Labs. Esto significa que solo usamos suites de cifrado fuertes y tenemos características como HSTS y Perfect Forward Secrecy completamente habilitadas. También encriptamos datos en reposo usando un algoritmo de cifrado AES-256 estándar de la industria.

La seguridad es una prioridad para nosotros. Realizamos auditorías externas regulares, pruebas de penetración y recompensas por bug. Hemos construido un marco de seguridad robusto, logrando estándares internacionales de cumplimiento (SOC2, ISO27001, ISO27701, ISO27018, HIPAA y HDS) y revisamos nuestro diseño de acceso interno para asegurar que las personas correctas tengan acceso al nivel adecuado de datos de clientes. Más detalles están disponibles en nuestra página de Seguridad.

Continuamos ayudando a nuestros clientes y posibles clientes a cumplir. Algunos pasos que puede tomar son:

También continuaremos monitoreando nuevas y emergentes directrices para determinar si necesitamos hacer cambios adicionales en nuestras prácticas de datos como resultado de la sentencia del TJUE.