Información sobre el RGPD

En lo referente al cumplimiento de la legislación vigente en materia de datos personales, y particularmente si su organización almacena o pretende almacenar datos personales utilizando nuestros servicios, le proporcionamos la siguiente información relacionada con los servicios que pudiera tener contratados con acens.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD o en inglés General Data Protection Regulation – GDPR), regula el tratamiento de datos de carácter personal y tiene como objetivo la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. Esta norma ha sido adaptada a nuestro ordenamiento jurídico mediante Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Se consideran “datos personales” a toda información sobre una persona física identificada o identificable (“el interesado”), como puedan ser: nombre, apellidos, DNI, teléfono, email, dirección postal, datos físicos, datos económicos, datos culturales/sociales de personas, etc.

El RGPD define al “responsable del tratamiento”, o “responsable”, como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.

acens es responsable del tratamiento en aquellos casos en los que recopila y gestiona datos de carácter personal para el desempeño de su actividad (por ejemplo: clientes, proveedores, empleados, etc.), informando a los interesados sobre la finalidad y características de dicho tratamiento, en este sentido puede consultar nuestra Política de privacidad.

Debe tener en cuenta que si en su actividad empresarial recopila y/o gestiona datos personales la legislación contempla diversos aspectos de obligado cumplimiento para el responsable del tratamiento de datos de carácter personal (registro de actividades de tratamiento, información previa al interesado, derechos del interesado, obligaciones como responsable, notificación de violaciones de seguridad, análisis de impacto en privacidad, etc.). Para más información consulte en la página web de la Agencia Española de Protección de Datos, y en particular la Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

El responsable del tratamiento puede requerir el apoyo o los servicios de otras entidades (proveedores), que, en el caso de acceder, gestionar o almacenar los datos personales de alguna forma, serían considerados “encargado del tratamiento” o “encargado”. En esos casos, el responsable del tratamiento tiene la obligación general de elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.

Es posible que su entidad determine los fines y medios de los tratamientos de datos personales, asumiendo el papel de responsable del tratamiento, o que haya sido contratada por otra entidad y asuma el papel de encargado del tratamiento. En ambos casos puede contratar los servicios de acens para albergar los datos y aplicaciones, pasando a ser acens uno de los encargados del tratamiento.

acens como encargado del tratamiento

Si ha contratado los servicios de acens, y va a almacenar datos de carácter personal en nuestra infraestructura, acens pasaría a ser uno de los encargados del tratamiento, y el propio RGPD establece que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros.

Los contratos de servicios de acens generados a partir de la fecha de aplicación del RGPD (25-5-2018) contemplan los aspectos necesarios para regular esa relación de acuerdo a los requisitos legales, incluyendo las obligaciones de acens como encargado del tratamiento.

Si tiene un contrato anterior a la fecha de aplicación del RGPD (25-5-2018) podrá descargar un anexo al contrato de servicios firmado por acens para cumplimiento del RGPD. Este anexo se puede obtener desde el Panel de control de Cliente, accediendo a la sección de “Administración de cliente” (click en identificador de usuario en la esquina superior derecha) y en la pestaña “Contrato RGPD”.

Le informamos que acens es una marca cuya titularidad o licencia de uso pertenece a Telefónica Soluciones De Informática Y Comunicaciones De España S A U con C.I.F: A78053147 y dirección en Ronda de la comunicación, s/n, Edificio Norte 2, 28050 Madrid

Los servicios marca acens prestados por Telefónica Soluciones De Informática Y Comunicaciones De España S A U se ubican en Centros de Datos albergados en Madrid y Barcelona propiedad de acens Technologies, S.L.U. con N.I.F B-84948736 y domicilio en Calle San Rafael N° 14 28108 Alcobendas (Madrid), no recurriendo a otro encargados para llevar a cabo determinadas actividades de tratamiento salvo que así se especifique en la oferta de servicios o en las Condiciones Particulares del servicio contratado.

Medidas de seguridad

El RGPD establece que, en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, se deberán aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Para evaluar la adecuación del nivel de seguridad, se deben tener en cuenta los riesgos que tenga el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. En este sentido se puede seguir la Guía práctica de Análisis de riesgos desarrollada por la Agencia Española de Protección de Datos.

Entre las medidas de seguridad el RGPD indica que pueden incluir, entre otras:

  • la seudonimización y el cifrado de datos personales;
  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Dado que acens proporciona únicamente la infraestructura técnica, y en los casos en los que se incluya o contrate la administración y gestión a nivel de sistema operativo y/o aplicaciones, las medidas de seguridad proporcionadas por acens se limitan a estas funciones, estando excluidos otros aspectos, fuera del entorno y el servicio prestado por acens, y que el responsable del tratamiento tiene la obligación de considerar.

En función de aquellos servicios que sean contratados por el cliente, acens se responsabiliza de implantar las siguientes medidas de seguridad en los servicios prestados exclusivamente en los términos que a continuación se detallan por cada grupo, es responsabilidad del cliente revisar que dichas medidas se ajustan al nivel de seguridad aplicable al riesgo asociado al tratamiento de datos personales específico que realizará utilizando el servicio de acens:

  • la seudonimización y el cifrado de datos personales;

    La administración de los servicios y sistemas proporcionados por acens es realizada de manera cifradas mediante protocolos seguros, ya sea vía web mediante protocolos TLS o con los mecanismos de cifrado proporcionados por los sistemas operativos para acceso a protocolos de gestión.

    Adicionalmente, acens ofrece Certificados digitales, para su instalación en los sistemas web del cliente y posibilitar la transmisión cifrada de datos.

    La seudonimización debe ser realizada por el cliente mediante desarrollos a nivel de aplicación o mediante otros mecanismos asegurando que la información ya no pueda atribuirse a un interesando sin utilizar información adicional, siempre que dicha información figure por separado y esté sujeta a las debidas medidas de seguridad.

  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

    Los Centros de Proceso de Datos donde se alberga la infraestructura que presta el servicio están equipadas con control de acceso y sistemas de monitorización y control para garantizar que únicamente accede a las mismas el personal autorizado. El control de acceso físico dispondrá de un registro que permitirá determinar el usuario que accedió en un determinado momento a las dependencias. Así mismo, esos Centros de Proceso de Datos cuentan con sistemas de gestión ambiental (temperatura y humedad), y sistemas de alimentación ininterrumpida, contando con sistemas de detección y extinción de incendios.

    En el caso de estar incluido en el servicio prestado la posibilidad de acceso físico al área asignado (Housing), el cliente será responsable de mantener actualizada la lista de personal con acceso autorizado y comunicar los cambios a acens.

    Las plataformas de servicios gestionadas por acens para la prestación de los servicios de hosting compartido y Cloud Público cuentan con sistemas de redundancia local para el hardware y el almacenamiento, así como de medidas de seguridad para la protección ante ataques de volumen o ataques de red basados en firmas conocidas.

    Las plataformas dedicadas y de Cloud Privado proporcionan los mecanismos de redundancia especificados en la oferta de servicios particular para el cliente, así como las medidas y sistemas de seguridad que en cada caso se contraten.

    El personal de administración y operación de sistemas de acens ha recibido la formación necesaria para realizar las labores de gestión en los sistemas implicados, dispone de las normas y procedimientos para la realización de las mismas y es consciente del compromiso de acens en lo relativo a la confidencialidad e integridad de los datos del cliente. Estas funciones no incluyen las relativas a la administración y gestión que, según las condiciones de los servicios contratados, deba realizar el cliente.

    acens mantendrá una relación actualizada de usuarios con acceso autorizado a la administración y operación de los sistemas de información, existiendo un procedimiento de asignación, distribución y almacenamiento de contraseñas de acceso que garantiza su confidencialidad e integridad, implantando mecanismos para la identificación de forma inequívoca y personalizada de estos usuarios, así como de las acciones realizadas en los sistemas. Asimismo, se indicará el acceso autorizado para cada uno de los usuarios, además de la lista de personal con autorización para conceder, alterar o anular el acceso autorizado sobre datos y recursos relativos al servicio prestado por acens. La gestión de contraseñas no incluye aquellas proporcionadas al cliente para el acceso al servicio, cuyo mantenimiento y control será responsabilidad del cliente según lo estipulado en las condiciones del servicio contratado, así como las relativas a aplicaciones propietarias instaladas por el cliente.

    Los empleados de acens tendrán acceso autorizado únicamente a los recursos necesarios para el desempeño de sus funciones de administración y operación. El cliente tendrá la responsabilidad de establecer los mecanismos de control de acceso necesarios con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones del servicio contratado, así como los relativos a aplicaciones propietarias instaladas por el cliente.

    acens realiza la gestión e inventario de los soportes entregados por el cliente o resultantes de la realización de copias de respaldo. Asimismo, acens tiene implantadas medidas para la destrucción y desecho de soportes. La salida de estos soportes fuera de los locales de acens se realiza siempre y cuando exista autorización previa del cliente. El cliente será responsable de la información que, obtenida a través de la red con acceso autorizado, sea almacenada en soportes propios.

    El cliente tendrá la responsabilidad de establecer los mecanismos de registro de acceso necesarios en las aplicaciones, con las herramientas destinadas a tal fin en el servicio contratado según lo estipulado en las condiciones acordadas, así como los relativos a aplicaciones propietarias instaladas por el cliente.

    acens efectúa una monitorización 7×24 de los sistemas internos y plataformas de servicios gestionadas por acens, escalando las incidencias que afecten al rendimiento y disponibilidad a los administradores de cada entorno. En los sistemas del cliente dependerá de la modalidad de monitorización contratada.

  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

    acens realizará copias de seguridad de la información del cliente según el modelo de servicio de Backup contratado, cuota y planificación.

    acens realiza operaciones de control general para verificar el correcto funcionamiento de la plataforma que proporciona el servicio de backup.

    Es responsabilidad del cliente establecer la política de copias de seguridad, indicando los ficheros o directorios que se deben incluir en estas copias de seguridad, así como solicitar las restauraciones oportunas en su caso para realizar las verificaciones que estime pertinentes. Si el servicio de backup incluye la posibilidad de gestionar la planificación por parte del cliente, será responsabilidad del cliente realizar la planificación y verificar la realización de las copias en base a la información recibida.

    Salvo que se especifique lo contrario en las Condiciones Particulares del servicio contratado o se contrate expresamente, acens no proporciona redundancia geográfica en las copias de seguridad, estando ubicados los sistemas de backup en el mismo centro que los sistemas de información.

  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

    acens mantiene sendos Sistemas de Gestión de Seguridad y Calidad basados en norma ISO 27001 e ISO 9001, que contemplan la verificación, evaluación y valoración de las medidas técnicas y organizativas aplicadas, cubriendo entre otras cuestiones el seguimiento en el tiempo de la gestión de cumplimiento de RGPD de acuerdo a las categorías de tratamientos efectuados para sus clientes. Estos sistemas de Gestión están certificados según alcance y descripción disponible en la página Certificados ISO y revisados periódicamente por auditores externos que verifican el estado adecuado de las medidas y procesos implantados.

    acens proporcionará los datos necesarios a los clientes para la realización de auditorías por parte del personal propio del cliente o por un tercero, siempre y cuando ello no suponga distorsiones irrazonables en el desarrollo por acens de su actividad ordinaria y tales informaciones o documento tengan relación con los trabajos o servicios encargados y con los tratamientos de datos personales que el cliente realiza en infraestructura de acens.

    Adicionalmente, existen medidas de seguridad aplicables a servicios concretos, que en cuyo caso se especificarán y describirán en la oferta o en las Condiciones Particulares correspondientes a cada servicio disponibles en la siguiente ubicación: https://www.acens.com/corporativo/politicas-y-condiciones-de-uso/.

Información adicional

Dispone de información adicional en la página web de la Agencia de Protección de Datos, en particular en la sección Guías y Herramientas.