Aviso sobre la privacidad de GRC International Group plc

v1.2 2019-06-11

Índice


1. Introducción

Valoramos la confianza que deposita en nosotros al compartir sus datos personales. La seguridad de estos datos es muy importante para nosotros. En este documento se describe cómo recopilamos, utilizamos y protegemos sus datos personales.

Asimismo, se explican sus derechos en relación con sus datos personales y cómo puede ejercer estos derechos.


2. Quiénes somos

GRC International Group plc es la empresa matriz de diversas organizaciones, como IT Governance Ltd e IT Governance Europe Ltd. En la sección 3 se indica una lista completa de organizaciones junto con sus sitios web relacionados.

GRC International Group plc es el responsable del tratamiento de los datos para todas las organizaciones dentro del grupo. Esto implica que GRC International Group plc determina qué datos recopila cada organización dentro del grupo, cómo se utilizarán estos datos y cómo se protegerán.

La dirección registrada de nuestra sede social es:

GRC International Group plc

Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA
Reino Unido

Si tiene alguna pregunta acerca de cómo procesamos los datos personales, o desea ejercer sus derechos como titular de datos, envíenos un correo electrónico a la dirección privacy@grci.group.


3. Empresas y sitios web incluidos en el alcance

Las siguientes empresas y sitios web están incluidos dentro del alcance de esta política de privacidad:

GRC International Group plc www.GRCI.group

IT Governance Ltd

www.itgovernance.co.uk,
www.itgovernance.asia, (Singapur)
IT Governance Europe Ltd www.itgovernance.eu
IT Governance Inc www.itgovernanceusa.com (EU)
IT Governance Publishing Ltd www.itgovernancepublishing.co.uk
GRC e-Learning Ltd www.grcelearning.com
GRCI Law Ltd www.grcilaw.com
Vigilant Software Ltd www.vigilantsoftware.co.uk

 

A menos que se indique específicamente, estos sitios web tendrán sede en el Reino Unido; consulte en la sección 6 la información adicional sobre el tratamiento de datos fuera de la Unión Europea.

Esta política también es válida para cualquier dato personal recopilado en las siguientes aplicaciones web:

Portal de conceptos cibernéticos fundamentales https://ces.itgovernance.co.uk/
Sistema de gestión de "eLearning" de GRC www.users.grcelearning.com
CyberComply y todos sus módulos www.cybercomply.co.uk

 

Incluye datos personales que se recopilan a través de nuestros sitios web, por teléfono, a través de nuestro chat en vivo y a través de cualquier aplicación de medios sociales relacionados.


4. Recopilación de datos personales

Recopilamos sus datos personales para uno o varios de los siguientes propósitos:

  • 1. Proporcionarle información que haya solicitado o que según nuestro criterio pueda ser relevante para un tema en el que haya demostrado interés.
  • 2. Iniciar y concluir transacciones comerciales con usted, o la entidad que represente, para la adquisición de productos y/o servicios.
  • 3. Cumplir un contrato vinculante con usted o con la entidad que represente. En tales circunstancias, puede ser su entidad, en lugar de usted, quien nos haya proporcionado los datos personales.
  • 4. Asegurar la seguridad y funcionamiento seguro de nuestros sitios web y la infraestructura empresarial subyacente.
  • 5. Gestionar cualquier comunicación entre usted y nuestra organización.

La tabla en la sección 5 proporciona información adicional sobre los datos que recopilamos para cada uno de estos propósitos, el fundamento jurídico para hacerlo y el periodo durante el que mantendremos cada tipo de datos.

Información técnica

Asimismo, y con el propósito de asegurar que cada visitante de cualquiera de nuestros sitios web pueda utilizar y desplazarse por el sitio web de forma eficaz, recopilamos la siguiente información:

  • Información técnica, incluida la dirección IP del Protocolo de Internet utilizado para conectar su dispositivo a Internet.
  • Su información de inicio de sesión, tipo de navegador y versión, ajuste de zona horaria, tipos de complementos del navegador y versiones.
  • Sistema operativo y plataforma.
  • Información sobre su visita, incluyendo URLS, los datos de visitas de localizadores uniformes de recursos hasta, a través y desde nuestro sitio web.

Nuestra política de cookies, que puede consultarse desde la página de inicio de cada uno de nuestros sitios web, describe en detalle cómo utilizamos las cookies.

La sección 8, identifica sus derechos con respecto a los datos personales que recopilamos y describe cómo puede ejercer estos derechos.


5. Fundamento jurídico para el tratamiento de datos personales

La siguiente tabla describe las diversas formas de datos personales que recopilamos y el fundamento jurídico para el tratamiento de estos datos. Nuestra arquitectura empresarial, infraestructura de contabilidad y sistemas y organización de conformidad implican que el tratamiento de todos los datos personales se realice en plataformas comunes para todo el grupo. Ponemos en práctica procesos que aseguran que únicamente las personas de nuestra organización que necesiten acceder a sus datos puedan hacerlo. Se recopilan diversos elementos de datos para varios fines, tal y como se indica en la siguiente tabla. Es posible que se compartan algunos datos con terceros y, cuando esto ocurra, se identifica este hecho a continuación.

Cuando realizamos el tratamiento bajo el fundamento jurídico del interés legítimo, aplicamos la siguiente prueba para determinar cuándo resulta procedente:

Prueba de propósito: ¿existe un interés legítimo que respalde el tratamiento?

Prueba de necesidad: ¿resulta necesario el tratamiento para ese propósito?

Prueba de equilibrio: ¿el interés legítimo se ve anulado, o no, por los intereses, derechos o libertades de la persona afectada?

 

Propósito de la recopilación

Categoría de información

Datos recopilados

Propósito de la recopilación

Fundamento jurídico del tratamiento

¿Datos compartidos con?

Periodo de retención

1. Proporcionarle información

Información temática

Nombre, nombre de la empresa, ubicación geográfica, dirección de correo electrónico, sector empresarial - podría haber sido encontrado por tu Calling Line Indicator (CLI) datos.

Proporcionarle información online o por correo electrónico acerca de productos y servicios que haya solicitado

Cumplimiento contractual

Solo internamente

Máximo 8 años a partir de la fecha de recopilación de la información.

6 meses si se deja sin abrir un correo electrónico de marketing

Proporcionar información adicional, relacionada, en línea o por correo electrónico y actualizaciones de noticias continuas en relación con el área de interés identificada.

Interés legítimo

Solo internamente

Número de teléfono - podría haber sido encontrado por tu Calling Line Indicator (CLI) datos.

Seguimiento para asegurar que la información satisface las necesidades e identificar requisitos adicionales

Interés legítimo

Solo internamente

Información de contacto personal proporcionada a través de formularios de sitio web o en ferias comerciales, o a través de otros medios.

Suscripción a la lista de distribución de correo general

Consentimiento

Solo internamente

2. Información sobre transacciones

Detalles sobre transacciones

Nombre, dirección física, dirección de correo electrónico, detalles de la cuenta bancaria (para cuentas de crédito), otro medio de entrega de contenidos

Tramitar transacciones de compra de productos y servicios con clientes, y asegurar que se pueda abordar cualquier problema relacionado con transacciones.

Cumplimiento contractual

Solo internamente

Máximo 8 años a partir de la fecha de ejecución del contrato.

6 meses a partir de la fecha en la que el titular de datos haya introducido información personal, pero no haya continuado con una transacción.

8 años para registros del IVA a partir de la ejecución del contrato

Para fines de contabilidad y fiscales

Obligación legal

Internamente y asesores profesionales

Documentación en caso de que se presente cualquier demanda legal contractual

Interés legítimo

Internamente y asesores profesionales

Datos de tarjeta de pago

Número de cuenta principal (PAN), nombre del titular de la tarjeta, código de servicio, fecha de expiración

Satisfacer solicitudes de compra mediante el uso de tarjetas de pago

Cumplimiento contractual

Empresa de tarjetas de pago que cumplan la norma PCI DSS

Únicamente se retienen mientras la autorización esté pendiente.

3. Información de cumplimiento

Datos de cumplimiento

Nombre, requisitos dietéticos

Servicios de restauración correspondientes para cursos de formación

Cumplimiento contractual

Internamente e instalaciones de formación

Máximo 6 años a partir de la fecha de ejecución del contrato.

Nombre, detalles de contacto

Acceso a cursos de formación, registros de asistencia

Cumplimiento contractual

Internamente e instalaciones de formación

Nombre, detalles de contacto e identificativos

Asistencia a exámenes, resultados de exámenes y certificaciones

Cumplimiento contractual

Internamente y examinadores externos, supervisores y organismos de certificación

Nombre, detalles de contacto

Detalles de licencias necesarios para la asignación y mantenimiento de una licencia adquirida para el uso de "software" y productos relacionados, formación a distancia y "e-learning".

Cumplimiento contractual

Internamente y cualquier tercero externo cuyos productos o servicios pueda haber adquirido a través de nuestra empresa.

Nombre, dirección o direcciones, dirección de correo electrónico, detalles de contacto

Entrega real de productos y servicios, en formato físico o digital, que pueda haber adquirido de nuestra empresa.

Cumplimiento contractual

Internamente y cualquier empresa logística o suministradora externa con la que hayamos formalizado un contrato para cumplir estos requisitos.

4. Seguridad

Información sobre seguridad

Información técnica, tal y como se describió anteriormente, además de cualquier otra información adicional que pueda requerirse para este propósito

Proteger nuestras páginas web e infraestructuras frente a ciberataques u otras amenazas, así como informar sobre cualquier acto ilegal y cómo se aborda.

Interés legítimo

Internamente, organizaciones forenses y otras organizaciones que pudiéramos contratar para este propósito.

Estatutos de limitación relevantes

5. Comunicaciones

Información de contacto

Nombres, detalles de contacto y detalles identificativos

Comunicarnos con usted acerca de cualquier problema que nos plantee o que se derive de una interacción entre usted y nuestra empresa.

Interés legítimo

Internamente y, según resulte necesario, con asesores profesionales.

Estatutos de limitación relevantes.

6. Desarrollo de producto

Datos de la encuesta.

Nombres, datos de contacto, datos identificativos.

Desarrollar productos para que cumplan con las expectativas de nuestros clientes.

Consentimiento

Internamente y donde se otorga un consentimiento adicional para fines comerciales.

Si no está anonimizado para investigación estadística, la información puede mantenerse indefinidamente.

Cuando no esté anonimizado, se mantendrá durante un año como máximo.

 

6. Almacenamiento de datos personales

GRCI es una organización domiciliada en el Reino Unido con sedes principales registradas por todo el Reino Unido.

  • La mayoría de nuestros sitios web y aplicaciones web se alojan en la UE y solo accede a los mismos nuestro personal ubicado en la UE.
  • Cuatro de nuestros sitios web, tal y como se identifica en la sección 2 anterior, se dirigen a clientes fuera de la UE y solo accede a los mismos personal ubicado fuera de la UE. Nuestro sitio web en Estados Unidos es el único que también está alojado fuera de la UE. En todos estos casos, aplicamos medidas de seguridad y contractuales adecuadas para asegurar la protección de los datos personales.
  • Los sistemas de gestión de relaciones con clientes, marketing y contabilidad de todas nuestras empresas tienen su sede en la UE o son alojados por empresas que participan en el Escudo de la privacidad UE-EE.UU.
  • Utilizamos una amplia variedad de proveedores de servicios en la nube (CSP) dentro de nuestro entorno de procesamiento. A menos que especifiquemos lo contrario, somos el responsable del tratamiento de los datos en relación con todos estos CSP.
  • A menos que especifiquemos lo contrario, todos los CSP que utilizamos emplean instalaciones de tratamiento con sede en la UE.
  • Nuestros procesadores de pagos y acuerdos bancarios tienen sus sedes en la UE y, para nuestro sitio web estadounidense, en Estados Unidos.
  • Hacemos envíos y entregas de productos físicos en todo el mundo; en consecuencia, empleamos los servicios de empresas logísticas con sedes fuera de la UE y que operan en otros países. Establecemos relaciones legales y de seguridad adecuadas con estos socios.
  • Revendemos productos suministrados por organizaciones fuera de la UE. Esto puede implicar que nuestro socio de reventa dispondrá de acceso a información sobre titulares de datos que adquieran sus productos.
  • Aplicamos una política de retención de datos en relación con todos los datos, en formato papel o digital, y todos los aspectos de la misma relacionados con los datos personales se incluyen en la tabla del apartado 5 anterior.


7. Medidas de seguridad

Nuestro sistema de gestión de la seguridad de la información ( SGSI) está certificado de conformidad con la norma ISO/IEC 27001. Nuestra empresa en el Reino Unido también ostenta la certificación "Cyber Essentials Plus" y todos nuestros procesamientos de tarjetas de pago cumplen la norma PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago o Payment Card Industry Data Security Standard por sus siglas en inglés).

Aplicamos controles de seguridad que consideramos adecuados para proteger los datos personales. La evaluación de riesgos, incluida la evaluación de riesgos para los derechos y libertades de los titulares de datos, constituye la esencia de nuestro ISMS. No obstante, no disponemos de control alguno sobre los eventos que puedan ocurrir entre su dispositivo y el límite de nuestra infraestructura de información. Debe ser consciente de los numerosos riesgos para la seguridad de la información que pueden existir y adoptar las medidas adecuadas para proteger su propia información. No aceptamos ninguna responsabilidad en relación con las infracciones que ocurran fuera de nuestro ámbito de control.


8. Sus derechos como titular de datos

Cuando almacenamos su información personal, usted disfruta de diversos derechos como titular de los datos. Si deseara ejercer cualquiera de estos derechos, envíenos un correo electrónico a la dirección privacy@grci.group o utilice la información suministrada en la sección Contáctenos a continuación. Para tramitar su solicitud, le pedimos que proporcione dos formularios válidos de identificación para fines de verificación. Sus derechos son los siguientes:

a) Los propósitos del tratamiento
b) Las categorías de datos personales correspondientes
c) Los destinatarios a los que se han revelado los datos personales
d) El periodo de retención o el periodo de retención previsto para esos datos personales
e) Cuando se hayan recopilado datos personales de un tercero, la fuente de los datos personales

Si existieran circunstancias excepcionales que impliquen que podamos negarnos a proporcionar la información, las explicaremos. Si las solicitudes fueran frívolas o abusivas, nos reservamos el derecho de rechazarlas. Si la respuesta a solicitudes pudiera requerir tiempo adicional u ocasionara gastos excesivos (que usted podría verse obligado a asumir), le informaremos.

  • El derecho a ser informado
    Como responsable del tratamiento de los datos, estamos obligados a facilitar información transparente sobre nuestras actividades de tratamiento de datos. Cumplimos esta obligación a través de esta política de privacidad y cualquier comunicación relacionada que pudiéramos enviarle.

  • El derecho de acceso
    Puede solicitar una copia de sus datos personales que almacenamos sin coste alguno. Una vez que hayamos verificado su identidad y, si resultara relevante, la autoridad de cualquier solicitante externo, le proporcionaremos acceso a sus datos personales que almacenemos, así como a la siguiente información:

  • El derecho de rectificación
    Cuando considere que almacenamos información personal inexacta o incompleta sobre usted, puede ejercer su derecho de corrección o completar estos datos. Puede ejercerlo con el derecho a restringir el tratamiento para asegurar que no se tramite información incorrecta/incompleta hasta que sea corregida.

  • El derecho de supresión (el "derecho al olvido")
    Cuando no exista base legal o persista el motivo legítimo para el tratamiento de datos personales, puede solicitar que eliminemos los datos personales. Esto incluye datos personales que puedan haber sido tratados ilícitamente. Adoptaremos todas las medidas razonables para asegurar su eliminación.

  • El derecho a restringir el procesamiento
    Puede pedirnos que interrumpamos el tratamiento de sus datos personales. Mantendremos aún los datos, aunque no continuaremos procesándolos. Este derecho es una alternativa al derecho de supresión. Si se cumpliera alguna de las siguientes condiciones, puede ejercer el derecho a restringir el tratamiento:

    a) Se impugna la exactitud de los datos personales.
    b) El tratamiento de los datos personales es ilícito.
    c) Ya no se requiere realizar el tratamiento de los datos personales aunque se requieren los datos personales por parte de un proceso legal.
    d) Se ha ejercido el derecho a objetar y el tratamiento está restringido a la espera de una decisión sobre el estado del tratamiento.

  • El derecho a la portabilidad de los datos
    Puede solicitar que su conjunto de datos personales se transfieran a otro responsable del tratamiento de los datos o procesador, proporcionados en un formato legible por máquina de uso habitual. Este derecho solo estará disponible si el tratamiento original se basara en el consentimiento, el tratamiento se realizara mediante medios automatizados y si el tratamiento se basara en el cumplimiento de una obligación contractual.

  • El derecho a objetar
    Dispone del derecho a objetar a nuestro tratamiento de sus datos cuando

    • El tratamiento se base en interés legítimo.
    • El tratamiento se realice para fines de marketing directo.
    • El tratamiento se realice para fines científicos o de investigación histórica.
    • El tratamiento implique toma de decisiones y elaboración de perfiles de forma automatizada.


9. Contáctenos

Comunique cualquier comentario, pregunta o sugerencia acerca de esta política de privacidad o nuestro tratamiento de sus datos personales a privacy@grci.group

Alternativamente, puede contactarnos en nuestra sede central global, a través de la siguiente dirección de correo o números de teléfono:

GDPR Compliance Manager
GRC International Group plc
Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA
Reino Unido

Teléfono: +44 (0)333 800 7000
Fax: +44 (0) 1353 662667

Nuestra centralita telefónica presta servicio de 9:00 am – 5:30 pm GMT, de lunes a viernes. Nuestro equipo de atención recibirá un mensaje y garantizará que la persona adecuada responda con la mayor prontitud posible.


10. Reclamaciones

Si deseas realizar una reclamación, no dude en contactarnos a través de los detalles de contacto indicados anteriormente. Todas las reclamaciones se tramitarán confidencialmente.

Si estuviera insatisfecho con nuestro tratamiento de sus datos, o acerca de cualquier reclamación que nos haya planteado en relación con nuestro tratamiento de sus datos, tiene derecho a elevar su reclamación a una autoridad supervisora dentro de la Unión Europea. En el Reino Unido, es la autoridad británica de protección de datos, "Information Commissioner’s Office (ICO)", que también representa nuestra autoridad supervisora principal. Puede consultar su información de contacto en https://ico.org.uk/global/contact-us/
 

arriba
Esta web utiliza cookies. Conoce aquí nuestra política de cookies.