Cumplimiento de GDPR

Este aviso de GDPR explica cómo RemotIQ Pty Ltd trata los datos personales cuando son aplicables el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, GDPR) y el GDPR del Reino Unido (UK GDPR). Complementa nuestra Política de Privacidad. En caso de incompatibilidad sobre un tema regulado específicamente por GDPR o UK GDPR, prevalece este aviso para las personas dentro de su alcance.

A quién aplica

El GDPR aplica al tratamiento de datos personales de personas en el Espacio Económico Europeo (EEE). El UK GDPR aplica al tratamiento de datos personales de personas en el Reino Unido. Cumplimos con ambos cuando proceden. Las referencias al GDPR en este aviso deben leerse como referidas al UK GDPR para personas en el Reino Unido.

Nuestro rol: responsable y encargado

Tenemos dos roles distintos según la actividad. Como responsable, determinamos los fines y medios del tratamiento de visitantes del sitio, prospectos, clientes, proveedores, candidatos y contactos corporativos. Nuestra Política de Privacidad describe ese tratamiento en detalle. Como encargado, tratamos datos personales por cuenta de nuestros clientes cuando prestamos servicios — por ejemplo, al operar o mantener un sistema que contiene datos de los usuarios finales del cliente. En ese caso, el cliente es el responsable y nuestro tratamiento se rige por sus instrucciones documentadas y por el Acuerdo de Tratamiento de Datos (DPA) firmado entre las partes.

Categorías de datos personales

Como responsable solemos tratar: datos de identificación y contacto (nombre, correo, teléfono, cargo, empresa); datos comerciales (propuestas, facturas, metadatos de pago); datos técnicos (dirección IP, identificadores de dispositivo, huella de navegador donde sea estrictamente necesario, registros de interacciones con nuestros servicios); datos de candidatos (nombre, contacto, CV y cualquier información adicional que decidas aportar). Como encargado, las categorías las determina nuestro cliente y constan en su DPA e instrucciones; no recopilamos datos personales adicionales por iniciativa propia.

Bases de licitud (cuando somos responsable)

Nos basamos en las siguientes bases del Artículo 6 GDPR. Ejecución de un contrato — para prestar los servicios, gestionar cuentas, emitir facturas y atender tus solicitudes. Intereses legítimos — para comunicar con prospectos que inician contacto, mantener y mejorar nuestros servicios, llevar nuestros registros, gestionar seguridad y administrar nuestro negocio de forma proporcional. Consentimiento — para cookies no esenciales, comunicaciones de marketing donde se requiera, y cualquier tratamiento donde el consentimiento sea la base más adecuada; el consentimiento puede retirarse en cualquier momento. Obligación legal — para cumplir con leyes aplicables incluidas las fiscales, contables, antiblanqueo y solicitudes lícitas de autoridades. No nos basamos en decisiones automatizadas con efectos jurídicos o significativos similares conforme al Artículo 22 GDPR.

Tratamiento por cuenta de clientes (cuando somos encargado)

Cuando actuamos como encargado cumplimos el Artículo 28 GDPR. Tratamos datos personales solo conforme a instrucciones documentadas del responsable, incluso para transferencias internacionales, salvo obligación legal. Aseguramos que el personal con acceso esté sujeto a confidencialidad. Aplicamos medidas técnicas y organizativas adecuadas. Recurrimos a subencargados solo con autorización del responsable y trasladando obligaciones equivalentes. Asistimos al responsable, considerando la naturaleza del tratamiento y la información disponible, para responder a los derechos de los interesados y cumplir obligaciones de seguridad y notificación de brechas. Borramos o devolvemos los datos personales al final de la prestación, salvo que la ley exija conservarlos.

Subencargados

Recurrimos a subencargados cuidadosamente seleccionados — por ejemplo, proveedores de infraestructura, correo y pagos. Mantenemos una lista actual disponible a clientes bajo DPA. Notificamos con antelación cualquier subencargado nuevo o de reemplazo y otorgamos al responsable el derecho a oponerse. Garantizamos por contrato que el subencargado quede sujeto a las mismas obligaciones de protección de datos que nuestro DPA, en particular ofreciendo garantías suficientes de medidas técnicas y organizativas adecuadas.

Transferencias internacionales

Tenemos sede en Australia, que la Comisión Europea no ha declarado como jurisdicción adecuada bajo el Artículo 45 GDPR. Cuando transferimos datos personales del EEE o del Reino Unido hacia Australia u otros terceros países, nos basamos en las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914) para transferencias del EEE, y en el International Data Transfer Addendum del Reino Unido publicado por la ICO para transferencias del Reino Unido. Realizamos evaluaciones de impacto de transferencias y aplicamos medidas suplementarias — cifrado en tránsito y en reposo, controles de acceso y, cuando proceda, seudonimización — para proteger los datos. Una copia del mecanismo de transferencia aplicable está disponible solicitándola a privacy@remotiq.com.au.

Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos personales frente a destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizados. Incluyen: cifrado en tránsito (TLS) y en reposo cuando se soporte; controles de acceso por mínimo privilegio; autenticación multifactor para cuentas administrativas; prácticas seguras de desarrollo; segregación entre entornos de clientes; gestión de riesgos de proveedores; registros y monitoreo; copias de seguridad y restauración probada; y procedimientos de respuesta a incidentes. Revisamos las medidas con regularidad y las actualizamos según el riesgo y el estado de la técnica.

Notificación de brechas

Como responsable, notificamos a la autoridad de control una brecha sin dilación indebida y, cuando sea posible, no más tarde de 72 horas tras tener conocimiento de ella, salvo que sea improbable que entrañe un riesgo para los derechos y libertades de las personas. Cuando sea probable que la brecha entrañe un riesgo alto, notificamos a las personas afectadas sin dilación indebida. Como encargado, notificamos al responsable sin dilación indebida tras tener conocimiento de una brecha que afecte a sus datos, aportando la información necesaria para que cumpla sus propias obligaciones.

Tus derechos

Las personas en el EEE y Reino Unido cuentan con los siguientes derechos: derecho de información, derecho de acceso, derecho de rectificación, derecho de supresión (derecho al olvido) en circunstancias definidas, derecho a la limitación del tratamiento, derecho a la portabilidad de datos para los facilitados cuando el tratamiento se base en consentimiento o contrato y sea automatizado, derecho de oposición al tratamiento basado en interés legítimo (incluida la elaboración de perfiles) y al marketing directo en cualquier momento, derecho a retirar el consentimiento en cualquier momento sin afectar a la licitud previa, y derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos o similarmente significativos.

Cómo ejercer tus derechos

Si somos el responsable de tus datos, escribe a privacy@remotiq.com.au. Respondemos en 30 días; si la solicitud es compleja o numerosa podemos prorrogar hasta dos meses adicionales informándote del motivo. No cobramos por responder, salvo que las solicitudes sean manifiestamente infundadas o excesivas. Podemos pedir verificación de identidad para proteger tus datos. Si solo tenemos tus datos como encargado por cuenta de un cliente, dirigiremos tu solicitud a ese cliente (el responsable) sin dilación indebida; también puedes contactarle directamente.

Menores

Nuestros servicios están dirigidos a organizaciones y a los profesionales que trabajan en ellas. No recopilamos a sabiendas datos personales de menores de 16 años (o la edad relevante para el consentimiento digital según ley local) sin consentimiento verificable de progenitor o tutor. Si crees que tenemos datos de un menor, contacta privacy@remotiq.com.au y los borraremos.

Conservación

Como responsable conservamos los datos solo el tiempo necesario para el fin que motivó su recogida, incluidos requisitos legales, contables o de reporting. Los plazos típicos están descritos en nuestra Política de Privacidad. Como encargado conservamos los datos por la duración de la prestación y los borramos o devolvemos al final conforme al DPA, salvo retención exigida por ley.

Acuerdo de Tratamiento de Datos (DPA)

Los clientes que necesiten un DPA pueden solicitar nuestro modelo a privacy@remotiq.com.au. Incorpora las Cláusulas Contractuales Tipo de la UE y el Addendum del Reino Unido cuando proceda, y cubre gobierno de subencargados, medidas de seguridad, notificación de brechas y asistencia con derechos de los interesados. Firmamos el DPA antes de tratar cualquier dato personal por cuenta del cliente cuando aplique GDPR o UK GDPR.

Autoridades de control

Tienes derecho a presentar una reclamación ante una autoridad de control, en particular la del Estado miembro de tu residencia habitual, lugar de trabajo o lugar de la presunta infracción. En el Reino Unido, la autoridad es la Information Commissioner's Office (ICO) — ico.org.uk. La lista de autoridades de la UE la publica el Comité Europeo de Protección de Datos en edpb.europa.eu. Aun así, agradeceríamos que nos plantees primero tus inquietudes en privacy@remotiq.com.au.

Representantes en UE y Reino Unido

No tenemos establecimiento actual en la UE ni en el Reino Unido. Si el Artículo 27 GDPR o UK GDPR exigiera que designemos un representante, lo nombraremos y actualizaremos este aviso con sus datos. Mientras tanto, dirige cualquier consulta a privacy@remotiq.com.au.

Cambios a este aviso

Actualizamos este aviso cuando cambia nuestro tratamiento o cuando guías de autoridades o jurisprudencia hacen apropiada una aclaración. La fecha de vigencia indica la versión actual. Los cambios materiales sobre tratamiento de datos personales se comunicarán con antelación a las personas y clientes afectados.

Contacto

Privacidad y GDPR: privacy@remotiq.com.au. Postal: RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australia.