Taptap Digital | Corporate Privacy Policy

cyber-security-concept-digital-art (1).jpg

Corporate Privacy Policy

1. Nuestro objetivo

Taptap Digital SL y su grupo de empresas (en adelante “Taptap”) otorga la máxima importancia a la protección y a la seguridad de los datos personales. Nuestro objetivo es que Taptap sea referente en la protección de la privacidad. Por lo tanto, forma parte de nuestra naturaleza cumplir con todos los requisitos legales a la hora de recopilar y procesar datos personales. Estos requisitos incluyen, en particular, las regulaciones del Reglamento de Protección de Datos de la UE y todas las leyes sobre protección de datos que resulten de aplicación.

Esta política de protección de datos describe los principios y las medidas que Taptap aplica para proteger los derechos y las libertades de las personas físicas con respecto al tratamiento de sus datos personales.

2. Nuestros principios para el tratamiento de datos personales

A la hora de procesar datos personales, aplicamos los siguientes principios:

Licitud: el procesamiento de datos personales siempre requiere una base legal.
Transparencia: todo interesado debe ser capaz de comprender el tratamiento de sus datos personales.
Limitación de la finalidad: los fines para los que se procesan los datos personales deben identificarse claramente con antelación y definirse en el momento de la recogida.
Minimización de los datos: el tratamiento de datos personales se limitará a la medida apropiada, factual, relevante y necesaria para el objetivo del tratamiento. Lo mismo se aplicará a las opciones de acceso.
Exactos y actualizados: los datos personales se deben almacenar de forma correcta y completa y mantenerse actualizados. Se deberán toman las medidas adecuadas para borrar, corregir, complementar o actualizar aquellos datos que sean inexactos o estén incompletos o desactualizados.
Limitación de almacenamiento: los datos personales solo se deben almacenar durante el tiempo que sea necesario para el objetivo del tratamiento o según lo permitan otras regulaciones legales
Integridad y confidencialidad: en el procesamiento de datos personales, se deben tomar las medidas técnicas y organizativas adecuadas para proteger los datos de forma apropiada, en particular, frente al tratamiento no autorizado o ilegal, o frente a la pérdida accidental y a la destrucción o daños accidentales.

Como parte de la ejecución responsable de nuestro compromiso, documentamos el tratamiento de los datos personales como prueba del cumplimiento de los principios antes mencionados.

3. Licitud del tratamiento de datos

Cualquier tratamiento de datos personales es ilegal si no existe una base legal para ello. Taptap procesa datos personales, en particular, por las siguientes razones (lícitas):

Ejecución de un contrato o aplicación de medidas precontractuales, por ejemplo, tratamiento de datos de clientes en base a un servicio contratado o bien el tratamiento de datos de los empleados en base a un contrato de trabajo.
Cumplimiento de una obligación legal, por ejemplo, la conservación de los datos después de finalizar la relación en cumplimiento de acuerdo con la legislación tributaria.
Intereses legítimos, por ejemplo, envío de publicidad de servicios propios similares a los contratados (siempre que no se haya solicitado la exención de publicidad).
Consentimiento del interesado, por ejemplo, para realizar tratamientos de perfilado de los afectados o tratar los datos de salud.

Algunas categorías especiales de datos personales, por ejemplo, sobre origen étnico o creencias religiosas, o bien en relación con la salud, solo se pueden tratar con consentimiento explícito o autorización legal.

4. Derechos de los interesados

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos personales es una prioridad clave para Taptap. Para garantizar dicha protección, el interesado cuenta, entre otros, con los siguientes derechos:

Información: se informará a los interesados de manera ágil y transparente sobre cómo se van a tratar sus datos. Esto se aplica tanto si los datos personales se obtienen directamente del interesado como si son recopilados por otros organismos (recogida por parte de terceros).
Acceso: los interesados pueden solicitar en cualquier momento información sobre sus datos personales almacenados y/o procesados, así como una copia de sus datos personales almacenados y/o procesados.
Rectificación: los interesados pueden solicitar en cualquier momento que se corrijan o se completen aquellos datos personales que sean falsos o incompletos, por ejemplo, si un nombre o una dirección son incorrectos.
Supresión: los interesados pueden solicitar que se supriman sus datos personales. Este derecho se aplicará siempre que no entre en conflicto con obligaciones o derechos existentes, por ejemplo, la obligación de almacenamiento según la legislación vigente.
Limitación del tratamiento: los interesados pueden solicitar que sus datos personales se restrinjan, por ejemplo, si son inexactos.
Oposición: los interesados pueden oponerse al tratamiento de sus datos personales con fines publicitarios en cualquier momento. Para otros fines, dicha objeción es posible bajo ciertas condiciones, dependiendo de las circunstancias personales particulares del interesado.
Decisión individual automatizada caso por caso: en el contexto de transacciones comerciales eficientes, los interesados solo están sujetos a una decisión automatizada caso por caso si la misma es legal, por ejemplo, en el contexto del cumplimiento de un contrato. Se informará a los interesados acerca de los procedimientos de tratamiento automatizado correspondientes.

El interesado recibirá toda la información relacionada con el tratamiento de sus datos personales en un lenguaje claro y simple.

En el caso de una violación de la seguridad de los datos personales, los interesados serán informados de dicho incidente si se cumplen los requisitos legales correspondientes a los riesgos para sus derechos y libertades.

El interesado es libre de presentar una reclamación ante Taptap, ponerse en contacto con su delegado de protección de datos, con la autoridad supervisora de protección de datos o un tribunal de justicia para ejercer sus derechos y libertades en relación con el tratamiento de sus datos personales. Esta política no restringe ni afecta a los derechos legales o a las reclamaciones legítimas de los interesados.

5. Tratamiento por parte de terceros y cesión de datos

Si los datos personales son tratados por proveedores de servicios o colaboradores externos en nombre de Taptap, se tomarán las medidas adecuadas para la protección de los datos (dependiendo del campo de acción) en el tratamiento, por ejemplo:

Tratamiento por parte de terceros de datos personales: de conformidad con el articulo 28 RGPD, Taptap dispone del oportuno contrato de encargo de tratamiento con aquellos prestadores de servicios con acceso a datos personales. Asimismo, en aquellos supuestos que Taptap ostenta la condición de encargada del tratamiento se están celebrando los oportunos contratos de encargo de tratamiento.
Transferencia de funciones: si se encomiendan a un tercero otras tareas, además del tratamiento de los datos personales, para el ejercicio de las cuales requiere su propia autoridad de decisión con respecto al uso de los datos, se formalizarán con dicha parte acuerdos de protección de los datos (comparables a los correspondientes al tratamiento de datos por parte de terceros), que establecerán las medidas técnicas y organizativas adecuadas, comparables a las necesarias para el tratamiento de datos por parte de terceros.
Acuerdo de confidencialidad: si no pudiera descartarse, en casos individuales, una divulgación indebida de datos personales, se formalizará un acuerdo de confidencialidad con el proveedor por razones de seguridad.

Los datos personales sólo podrán procesarse fuera de la UE o verse desde fuera de la UE si se establecen las garantías y pruebas adecuadas para garantizar la seguridad del tratamiento, por ejemplo, formalizando cláusulas estándar para la protección de los datos.

6. Seguridad de los datos, evaluación del impacto y medidas técnicas de protección

Aplicamos todas las medidas técnicas y organizativas adecuadas para proteger el tratamiento de los datos personales. Estas incluyen, en particular, medidas para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales, incluida la capacidad de recuperación de los sistemas y servicios.

En todas las operaciones de tratamiento, se tienen en cuenta los riesgos para los derechos y libertades de los interesados a la hora de seleccionar las citadas medidas técnicas y organizativas. En el caso de que los riesgos sean elevados, los procesos de tratamiento estarán sujetos a un control adicional de los riesgos y las medidas a adoptar.

Al procesar los datos personales, se observa el principio de "protección de los datos mediante el diseño de la tecnología y preajustes adecuados para la protección de los datos" (privacidad de los datos por diseño/por defecto), por ejemplo, mediante la seudonimización o minimización de los datos personales.

Las medidas técnicas y organizativas se revisan regularmente en términos de efectividad y se ajustan según sea necesario, teniendo en cuenta los últimos avances técnicos. Esto también se aplica a las medidas técnicas y organizativas cuando se trata de proveedores de servicios o socios externos.

7. Acciones para el cumplimiento de la normativa

En este apartado se listan las principales acciones llevadas a cabo para el cumplimiento de la normativa de protección de datos:

Se han identificado e inventariado los tratamientos de datos personales realizados mediante el oportuno registro de actividades de tratamiento de datos personales.

Mediante el análisis de riesgos, se han analizado los tratamientos de datos con el fin aplicar las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En cuanto a aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados, desde Taptap se han llevado a cabo evaluaciones de impacto específicas.

De conformidad con el principio de transparencia y, de conformidad con los artículos 13 y/o 14 del RGPD, Taptap viene facilitando la información pertinente a los interesados respecto a las condiciones de los tratamientos que les afecten y sobre sus derechos. Dicha información se ha facilitado, en función de la categoría de los interesados, mediante distintos tipos de avisos de privacidad.

De conformidad con el principio de responsabilidad proactiva y con el fin de garantizar que los tratamientos a realizar son conformes con la normativa, Taptap dispone, entre otros, de los siguientes protocolos y normas:
- Protocolo de Seguridad, documento que recoge las medidas técnicas y organizativas necesarias para garantizar la protección, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; así como verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento y, en su caso, seudonimizar y cifrar los datos personales.
- Protocolo de Incidentes de Seguridad, en el cual se establece los procedimientos de notificaciones y comunicaciones de violaciones de seguridad.
- Protocolo de atención de derechos, en el cual se recoge el procedimiento a seguir para atender el ejercicio de derechos de los interesados.
- Protocolo de borrado y retención de datos, en el cual se establecen plazos de conservación de los datos y responsables de borrado de información, de conformidad con el principio de limitación del plazo de conservación de los datos personales.

8. Responsabilidades y organización en materia de protección de datos

Taptap es responsable de implementar, en el ejercicio de su actividad, las medidas legalmente exigibles en materia de privacidad.

Por un lado, sus órganos de dirección se encargan de facilitar la creación de las condiciones previas necesarias para la implementación de los requisitos de protección de datos por parte de sus empleados.

Además, la implementación y el cumplimiento de los requisitos legales en materia de protección de datos cuentan con el respaldo del Delegado de Protección de Datos de Taptap.

Fecha de la última actualización de la presente política: 25 de enero de 2024.

DESCARGAR EN PDF

Our Objective

Taptap Digital SL and its associated entities ("Taptap") accord paramount importance to the protection and security of personal data. Our aim is for Taptap to set a standard in privacy safeguarding. Accordingly, it is fundamental to our operations to adhere to all statutory mandates when gathering and processing personal data. These mandates specifically encompass the stipulations of the EU Data Protection Regulation and any pertinent data protection statutes.

This data protection policy delineates the tenets and protocols that Taptap enacts to preserve the rights and liberties of natural persons in relation to the processing of their personal data.

2. Our principles for the processing of personal data

In the processing of personal data, we adhere to the following principles:

Lawfulness: The processing of personal data always requires a legal basis.
Transparency: Every data subject should be able to understand the processing of their personal data.
Purpose Limitation: The purposes for which personal data are processed must be clearly identified in advance and defined at the time of collection.
Data Minimisation: The processing of personal data shall be limited to what is appropriate, factual, relevant, and necessary for the purpose of the processing. This shall also apply to the access options.
Accurate and Up-to-Date: Personal data must be stored correctly and completely and kept up to date. Suitable measures should be taken to erase, correct, supplement, or update any data that are inaccurate, incomplete, or outdated.
Storage Limitation: Personal data should only be stored for the time necessary for the purpose of the processing or as permitted by other legal regulations.
Integrity and Confidentiality: In the processing of personal data, appropriate technical and organisational measures should be taken to adequately protect the data, particularly against unauthorised or unlawful processing, or against accidental loss and against accidental destruction or damage.

As part of the responsible execution of our commitment, we document the processing of personal data as proof of adherence to the aforementioned principles.

3. Lawfulness of data processing

Any processing of personal data is unlawful if it does not have a legal basis. Taptap processes personal data, particularly for the following legitimate reasons:

Execution of a contract or implementation of pre-contractual measures, for example, processing customer data based on a contracted service or employee data based on an employment contract.
Compliance with a legal obligation, for instance, data retention post-termination in accordance with tax law.
Legitimate interests, such as sending advertising for services similar to those contracted (provided advertising exemption has not been requested).
Consent of the data subject, for example, for profiling activities or processing health data.

Certain special categories of personal data, such as information on ethnic origin or religious beliefs, or health-related data, can only be processed with explicit consent or legal authorisation.

4. Rights of data subjects

Safeguarding the rights and liberties of natural persons in relation to the processing of their personal data is a paramount concern for Taptap. To ensure such protection, data subjects are entitled to, among others, the following rights:

Information: Data subjects shall be promptly and transparently informed about the processing of their data. This applies whether the personal data is obtained directly from the subject or through third-party collection.
Access: Data subjects may at any time request information about their stored/processed personal data, as well as a copy of such data.
Rectification: Data subjects may request the correction or completion of their personal data if it is incorrect or incomplete, such as an erroneous name or address.
Erasure: Data subjects may request the deletion of their personal data. This right is applicable unless it conflicts with existing obligations or rights, such as statutory storage obligations.
Restriction of Processing: Data subjects may request that the processing of their personal data be restricted, for instance, if the data is inaccurate.
Objection: Data subjects may object to the processing of their personal data for advertising purposes at any time. For other purposes, such objection is possible under certain conditions, depending on the data subject's particular personal circumstances.
Individual automated decision-making: In the context of efficient business transactions, data subjects are subject to automated decision-making on a case-by-case basis only if it is lawful, for instance, in fulfilling a contract. Data subjects will be informed about the corresponding automated processing procedures.

Data subjects will receive all information related to the processing of their personal data in clear and simple language.

In the event of a personal data security breach, data subjects will be informed of the incident if legal requirements concerning risks to their rights and freedoms are met.

Data subjects are free to lodge a complaint with Taptap, contact its Data Protection Officer, the data protection supervisory authority, or a court of law to exercise their rights concerning the processing of their personal data. This policy does not restrict or affect the legal rights or legitimate claims of the data subjects.

5. Third-party processing and data transfer

Should personal data be processed by service providers or external collaborators on behalf of Taptap, appropriate data protection measures (dependent on the scope of activity) shall be enforced, for instance:

Third-party personal data processing: In accordance with Article 28 GDPR, Taptap has the requisite data processing agreement in place with service providers who access personal data. Likewise, when Taptap acts as a data processor, the necessary data processing contracts are being established.
Transfer of functions: If a third party is entrusted with tasks beyond personal data processing, which require their decision-making authority regarding data usage, data protection agreements (comparable to those for third-party data processing) shall be formalised with such parties. These will mandate appropriate technical and organisational measures, akin to those necessary for third-party data processing.
Confidentiality agreement: If there is a risk of improper disclosure of personal data in individual cases, a confidentiality agreement will be formalised with the provider for security reasons.

Personal data may only be processed outside of the EU or viewed from outside the EU if adequate guarantees and verifications are established to ensure the security of the processing, for example, by formalising standard data protection clauses.

6. Data security, impact assessment, and technical protection measures

We implement all requisite technical and organisational measures to safeguard the processing of personal data. These particularly include mechanisms to ensure the confidentiality, integrity, and availability of personal data, as well as the resilience of systems and services.

In every data processing activity, we carefully assess any risks to the individuals' rights and privacy to choose the most suitable technical and organisational safeguards. If we identify high risks, we'll implement extra controls and measures to mitigate them effectively.

In processing personal data, the principle of 'data protection through technological design and appropriate pre-emptive data protection measures' (privacy by design/default) is observed, for instance, by pseudonymisation or data minimisation.

Technical and organisational measures are regularly reviewed for effectiveness and adjusted as necessary, in light of the latest technical advancements. This also applies to measures when involving service providers or external partners.

7. Compliance actions

This section lists the principal actions undertaken to comply with data protection regulations:

a. Personal data processing activities have been identified and inventoried with a proper register of data processing activities.

b. Risk assessments have been conducted on data processing activities to implement appropriate technical and organisational security measures commensurate with the risk level.

c. For processes likely to pose a high risk to the rights and liberties of data subjects, specific impact assessments have been carried out by Taptap.

d. In line with the principle of transparency and in accordance with Articles 13 and/or 14 of the GDPR, Taptap provides relevant information to data subjects regarding the processing conditions affecting them and their rights, through various types of privacy notices.

e. Following the principle of proactive accountability and to ensure compliance with regulations, Taptap has, among others, the following protocols and standards:

- A Security Protocol detailing necessary measures for continuous protection, confidentiality, integrity, availability, and resilience of processing systems and services; a rapid restoration of data availability and access in the event of a physical or technical incident; regular evaluation of the effectiveness of implemented technical and organisational measures to ensure processing security; and where appropriate, pseudonymisation and encryption of personal data.

- An Incident Security Protocol establishing procedures for reporting and communicating security breaches.

- A Rights Response Protocol outlining procedures to address the exercise of data subjects' rights.

- A Data Erasure and Retention Protocol setting data retention periods and data erasure responsibilities, in accordance with the principle of limiting the retention period of personal data.

8. Responsibilities and Organisation in Data Protection Matters