versión: enero de 2025

Introducción

El Reglamento General de Protección de Datos (RGPD) tiene un gran impacto en el uso de los datos personales dentro de MoveYou. Sin embargo, la legislación en materia de privacidad sigue dejando muchos aspectos sin aclarar. ¿Cuándo hablamos de un riesgo «alto»? ¿Cuándo «duda» MoveYou de la identidad de un cliente y qué se entiende por «medidas adecuadas»? Estas son solo algunas de las preguntas que pueden surgir a diario. La presente política de privacidad concreta estos términos mediante marcos y criterios de base jurídica, con el objetivo de establecer una línea de conducta única en MoveYou. MoveYou deriva la autoridad para redactar políticas al respecto del artículo 24, apartado 2, del RGPD.

MoveYou es consciente de que sus servicios vulneran en cierta medida la privacidad de sus usuarios; al fin y al cabo, se realiza un seguimiento de los desplazamientos de los usuarios. Cabe señalar que los usuarios utilizan los servicios de MoveYou de forma voluntaria tras registrarse, y que se les proporciona información detallada antes de hacerlo. Este documento explica cómo MoveYou protege la privacidad de sus usuarios y empleados, cómo pretende gestionar los datos personales y cómo se aplican algunas normas generales del RGPD. En resumen: este documento no contiene una repetición de la legislación ya conocida, sino una interpretación de las normas generales y respuestas a la pregunta de cómo MoveYou desea gestionar los datos personales.

A modo de aclaración: esta política no tiene por objeto informar a los clientes ni a los empleados sobre el tratamiento de sus datos personales. La declaración de privacidad para los clientes se encuentra en el sitio web, y la destinada a los empleados, en la guía del personal.

Principios

En MoveYou, todo gira en torno a los datos. A la hora de tratar datos, MoveYou se rige por una serie de valores fundamentales, que también están recogidos en la política ética. Estos valores fundamentales son sencillos:

  • Transparencia
  • Cuidado
  • Sin discriminación
  • Utilice la inteligencia artificial únicamente para predecir los hábitos de viaje y verificar la solvencia crediticia

Empleados

La seguridad de los datos personales empieza por los empleados. ¿Cómo garantiza MoveYou que los empleados traten los datos personales con cuidado?

  • Una política de contratación adecuada (que incluye, cuando sea necesario, un certificado de antecedentes penales). Los empleados conocen un estricto acuerdo de confidencialidad que firman al incorporarse a la empresa. Asimismo, firman un documento en el que confirman haber leído la guía del personal, que incluye esta política y las 10 reglas de oro.

  • Una política de privacidad interna que explica cómo se gestionan los datos personales de nuestros empleados. En MoveYou estamos convencidos de que, si cuidamos bien de nuestros empleados, esto también repercutirá en la gestión de los datos personales de nuestros clientes.

  • Las 10 reglas de oro para los empleados, tal y como figuran en nuestra guía para el personal:

  1. Tenen cuenta queestás trabajando con los datos personales de otra persona y actúa en consecuencia. Trata esos datos exactamente como te gustaría que otros trataran los tuyos.
  2. Asegúrate deleerla política y las normasde MoveYousobre datos personales.
  3. Ten en cuenta que los clientes tienenderecho aconsultar sus datos personales, incluida tu dirección de correo electrónico, si figura en ellos. Si escribes sobre clientes, hazlo de tal manera que esa dirección de correo electrónico también pueda aparecer mañana en la portada de The Telegraph.
  4. La integridad esfundamental; no compartas datos con otras personas sin más. Esto se aplica no solo dentro de MoveYou, sino también fuera de la organización.
  5. Asegúrate de tener una buenacontraseña. Una frase de contraseña es aún mejor. Sustituye letras por números y símbolos. Algo como «M0bilityi$futur€22», ¡pero, por supuesto, diferente!
  6. Habla contus compañeros si ves que los datos personales de los clientes no se tratan con el debido cuidado. Por otro lado, mantén una actitud abierta ante los comentarios y los cambios.
  7. ¿Tienes dudas sobre si estás actuando correctamente con los datos personales?Consulta a la direccióno al delegado de protección de datos a través de fg@moveyou.com.
  8. ¿Sospechas que se ha producido unafiltración de datos? ¡Consulta el protocolo de filtración de datos (que forma parte de la guía para el personal) y comunícalo lo antes posible!
  9. ¡Por fin! Nodejes papeles tirados por el escritorio y bloquea el ordenador cuando salgas del trabajo.
  10. Por último, pero no por ello menos importante:¡piensa con nosotros! ¿Tienes alguna idea sobre cómo podemos gestionar aún mejor los datos entre todos? ¿Echas en falta alguna información? ¡Compártela!

Medidas

Se aplican las siguientes medidas para garantizar la seguridad de los datos personales de nuestros clientes y empleados:

  • Seguridad física de acceso dentro y en los alrededores de las instalaciones mediante:
    • Cámaras
    • Acceso mediante reconocimiento facial
    • Acceso a determinadas zonas mediante huella dactilar
  • Copias de seguridad diarias en los servidores de Amazon
  • Matriz de autorizaciones en los discos del software y del ordenador
  • Control del acceso concedido a las instalaciones y al software
  • Formación sobre concienciación en materia de privacidad y seguridad.
  • Directrices sobre el uso de herramientas de las TIC
  • Acuerdos de confidencialidad para empleados
  • Acuerdos de nivel de servicio
  • Selección del personal (referencias y certificado de antecedentes penales, cuando sea necesario)
  • Determinación de funciones, responsabilidades y acuerdos con terceros en relación, por ejemplo, con la responsabilidad civil
  • Realización de evaluaciones de impacto sobre el empleo y revisión anual
  • Reunión obligatoria anual del comité de ética y durante el desarrollo de nuevos servicios y productos
  • Política de contraseñas
  • Cifrado de datos
  • Autenticación multifactorial
  • Pruebas periódicas de seguridad y de penetración
  • Procedimiento en caso de filtración de datos

MoveYou tiene como objetivo obtener la certificación ISO en el futuro. Además, MoveYou desea ofrecer autenticación multifactorial para la parte de la aplicación destinada a los usuarios finales.

Transparencia

En virtud de los artículos 13 y 14 del RGPD, MoveYou está obligada a informar a las partes interesadas sobre una serie de cuestiones relacionadas con el tratamiento de datos personales. MoveYou ha elaborado una política de privacidad en su sitio web. Se informa a los usuarios de dicha política cuando se registran y estos se comprometen a leerla antes de utilizar los servicios. Sin embargo, MoveYou no puede garantizar una transparencia total debido a intereses competitivos. Al fin y al cabo, si MoveYou revelara qué fuentes (públicas) se utilizan para rastrear a los clientes, estaría revelando su secreto comercial. Dado que esto no se ajusta del todo a la obligación de transparencia prevista en el RGPD, MoveYou se esfuerza por ser lo más transparente posible y, aunque la lista no es exhaustiva, sí ofrece algunos ejemplos. Todo ello con el fin de cumplir lo dispuesto en el artículo 14, apartado 5, letra b), del RGPD. En caso de que un cliente insista en recibir una lista completa, MoveYou se reunirá con el solicitante para discutir juntos las posibilidades. MoveYou tiene la intención de, además de la declaración de privacidad escrita, mostrarla también en material visual mediante un vídeo en el sitio web.

Clientes y acompañantes

Se celebran acuerdos de intercambio de datos con cada cliente y cada acompañante. Los clientes y los acompañantes no deben considerarse encargados del tratamiento (ya que actúan bajo su propia autoridad y en su propio nombre¹), sino responsables del tratamiento en el sentido del RGPD. MoveYou también se considera responsable del tratamiento y no encargado del tratamiento en nombre de la otra parte por las mismas razones mencionadas anteriormente. Además, MoveYou determina por sí misma los fines y los medios y, además, ejerce una influencia real considerable sobre el tratamiento de los datos. Por último, en las aplicaciones siempre se indica que están desarrolladas por MoveYou, lo que significa que tanto el Cliente, el Copasajero como MoveYou son responsables del tratamiento (independientes) en el sentido del RGPD. Por ese motivo, no es obligatorio un acuerdo de encargado del tratamiento tal y como se contempla en el art. 28 del RGPD. Dado que la legislación y la jurisprudencia en el ámbito de los acuerdos de intercambio de datos en situaciones distintas al tratamiento aún no se han consolidado y, en algunos casos, puede existir una responsabilidad conjunta tal y como se contempla en el art. 26 del RGPD, se celebran acuerdos de intercambio de datos con cada cliente. A tal fin, MoveYou dispone de cláusulas tipo que forman parte del contrato principal y que han sido revisadas por el departamento jurídico. Si se celebran acuerdos que se apartan de estas cláusulas tipo o si el servicio se desvía de lo habitual, el acuerdo se remite al departamento jurídico.

1. A diferencia de lo establecido en el artículo 28, apartado 1, del RGPD.

Evaluación del impacto ético y en materia de privacidad

El RGPD exige a los responsables del tratamiento que realicen una evaluación de impacto relativa a la protección de datos del tratamiento, especialmente cuando este implique el uso de nuevas tecnologías. Además, se requiere una evaluación de impacto relativa a la protección de datos (en lo sucesivo, «EIPD») en caso de que se lleve a cabo una evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos para la persona física o que la afecten de manera sustancial de forma similar.

Dado el uso de inteligencia artificial, el seguimiento de usuarios y las verificaciones de solvencia, MoveYou lleva a cabo esta EIPD. Es imposible realizarla de forma comprensible para la plataforma en su conjunto. Por lo tanto, el análisis de riesgos se lleva a cabo por separado en los siguientes servicios:

  • Repostaje
  • Cargando
  • Aparcamiento
  • Transporte compartido/transporte público
  • Pago posterior (particulares y empresas) o Datos de movilidad

MoveYou ha decidido no solo cumplir con los requisitos legales, sino también abordar las cuestiones éticas. Al fin y al cabo, estos servicios no solo afectan a la privacidad de los usuarios, sino que también plantean numerosas cuestiones sociales y éticas. Por ese motivo, MoveYou utiliza el nombre «Evaluación del impacto ético y en la privacidad» (EPIA) para referirse a la DPIA. Las EPIA son un punto obligatorio en el orden del día del comité de ética y se revisan cada seis meses.

Comité de ética

Dada la sensibilidad y la opinión pública sobre el seguimiento de los usuarios y la inteligencia artificial, MoveYou no desea implementar estas tecnologías a ciegas, aunque el registro sea totalmente voluntario. Por este motivo, MoveYou ha creado un comité ético que revisa anualmente los productos y servicios de MoveYou y analiza si siguen siendo éticamente aceptables en ese momento. El comité lleva a cabo esta labor utilizando el EPIA. Además de la revisión anual, el comité también se reúne cuando se desarrollan nuevos servicios y productos, y estos se someten a consulta en una fase temprana del proceso como parte de la obligación de «privacidad desde el diseño»2. El comité de ética está compuesto por cinco miembros que se turnan, que no son empleados de MoveYou, y a quienes la dirección de MoveYou informa sobre el servicio y el producto en cuestión. Mediante votación, se emite un dictamen de peso que la dirección solo puede ignorar si lo justifica debidamente.

Delegado de Protección de Datos

El RGPD exige a los responsables del tratamiento que nombren a un delegado de protección de datos (DPO) en caso de que se encarguen principalmente de operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados (3). Dada la actividad principal de MoveYou, se ha nombrado como DPO a la abogada corporativa Elles Caroline Boer.

Protocolo en caso de filtración de datos

En MoveYou manejas datos personales a diario. A pesar del cuidado y las medidas de seguridad que se adoptan, a veces pueden producirse fallos. En este protocolo encontrarás información sobre qué es exactamente una filtración de datos, cómo prevenirla y cómo actuar si crees que has detectado una.

¿Qué es una filtración de datos?

Se habla de una filtración de datos cuando estos se han borrado, perdido o modificado de forma involuntaria. Pero también cuando otras personas han accedido a ellos o han caído en manos de personas a las que no estaban destinados. ¿Sabías que hay situaciones que pueden considerarse rápidamente una filtración de datos? Un destinatario equivocado de un correo electrónico o una carta, una copia impresa que se ha dejado en la impresora o archivos adjuntos ocultos, filtros y pestañas en un archivo de Excel enviado. Nos puede pasar a todos.

¿Qué deberías hacer?

Notifique cualquier sospecha de violación de datos a la dirección lo antes posible y responda a las preguntas que figuran a continuación. Algunas violaciones de datos deben notificarse a la autoridad de control, la Autoridad Neerlandesa de Protección de Datos (en adelante, DPA). Esto debe hacerse con rapidez, concretamente en un plazo de 72 horas. Por lo tanto, es importante que notifique cualquier violación de datos lo antes posible. El DPO (el supervisor interno, en nuestro caso Elles Caroline Boer) examina primero si se trata de una violación de datos y, a continuación, si supone un riesgo grave para las personas afectadas y si se les debe informar. ¿Quiere saber cómo evalúa el DPO una violación de datos? Puede leerlo a continuación.

Esta no es la única razón para enviar notificaciones. MoveYou está obligada por ley a llevar un registro de todas las violaciones de datos (4). De este modo, la autoridad de protección de datos puede exigirnos responsabilidades si no hemos notificado una violación de datos cuando debíamos haberlo hecho.

(3) Artículo 37, apartado 5, del Reglamento General de Protección de Datos (RGPD). 

(4) Art. 33, apartado 5, del RGPD.

Cuestionario para notificar una (posible) violación de datos al delegado de protección de datos:

  1. ¿Cuándo y a qué hora se produjo la (presunta) violación de seguridad?
  2. ¿Qué tipo de datos personales se filtraron? Por ejemplo, nombre, número de la Seguridad Social, datos financieros, (copias de) documentos de identidad, fotografías.
  3. ¿Estaban cifrados los datos filtrados? Y, en caso afirmativo, ¿cómo?
  4. ¿Cuántas personas (aproximadamente) forman parte del grupo cuyos datos se han filtrado?
  5. ¿Cómo se produjo la fuga? Describa el incidente con el mayor detalle posible; ¿qué ocurrió?
  6. ¿Se produjo la filtración a terceros o a particulares? En tal caso, ¿se trata de un proveedor o socio de MoveYou?
  7. Tras el incidente, ¿qué medidas tomó para subsanar o mitigar la filtración de datos o el incidente?
  8. ¿Cuáles podrían ser las posibles consecuencias para los datos? Por ejemplo, un acceso no autorizado, la interrupción (temporal) de un servicio, la pérdida de exactitud de los datos o su uso indebido o ilícito.
  9. ¿Es posible borrar de forma remota los datos personales filtrados o impedir el acceso a ellos? En caso afirmativo, ¿se ha hecho ya?
  10. ¿Cuál es el posible perjuicio para los interesados? (Piensa, por ejemplo, en la discriminación, el daño a la reputación, el robo de identidad, el fraude o las pérdidas económicas).
  11. ¿Se ha resuelto ya el incidente?
  12. ¿Es posible adoptar medidas técnicas u organizativas adicionales para evitar que se repita un incidente similar? En caso afirmativo, ¿qué medidas técnicas u organizativas?
  13. Si necesita más información, ¿cómo se llama y en qué número de teléfono de la oficina puede localizarle?

¿Cómo se puede prevenir?

Es algo muy obvio, pero consiste en comprobar siempre dos veces los destinatarios de tu carta o correo electrónico. Y en revisar con especial atención el contenido y los archivos adjuntos. Simplemente ten presente que estás trabajando con datos personales y actúa en consecuencia.

Fuga de datos en empresas asociadas

Puede ocurrir que se produzca una filtración de datos a una parte con la que colaboramos o a la que hemos subcontratado. En los contratos con dichos socios, hemos establecido acuerdos sobre cómo actuar en caso de que se produzca una violación de la seguridad de los datos. En la mayoría de los casos, se ha acordado que se contactará con el delegado de protección de datos (DPO) de MoveYou.

Evaluación de una filtración de datos

El RGPD establece lo siguiente en relación con la notificación de una violación de datos: «Si se ha producido una violación de datos personales, el responsable del tratamiento deberá notificarla al responsable del tratamiento sin demora injustificada y, si es posible, a más tardar 72 horas después de haber tenido conocimiento de ella, salvo que sea improbable que dicha violación de datos personales suponga un riesgo para los derechos y libertades de las personas físicas».

¿Qué es un riesgo?

Existe un riesgo si la filtración de datos puede ocasionar un perjuicio físico, material o inmaterial a las personas cuyos datos son objeto de la filtración. Entre los ejemplos de tales daños se incluyen la discriminación, el robo de identidad o el fraude, las pérdidas económicas y el daño a la reputación. Cuando la fuga de datos afecte a datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la afiliación sindical, o a datos personales que incluyan datos genéticos o datos relativos a la salud o a la vida sexual, o a condenas y delitos penales o a medidas de seguridad relacionadas, dicho daño debe considerarse probable.

La Autoridad de Protección de Datos (DPA) ha publicado unas directrices sobre cómo evaluar este riesgo. Si los datos personales se enviaron a un destinatario incorrecto pero fiable, esto puede significar que la filtración de datos ya no supone un riesgo. Según la DPA, «fiable» significa que se puede afirmar con razonable certeza que el destinatario incorrecto no tiene intención de causar ningún daño. Por ejemplo, que el destinatario no haga nada con los datos recibidos por error y cumpla con las instrucciones que se le den, como destruirlos o devolverlos. La DPA indica en su sitio web que, por ejemplo, una parte con la que se mantenga una relación comercial, como un proveedor habitual o un socio, podría considerarse de confianza. A la hora de evaluar un riesgo derivado de una violación de datos, se siguen las recomendaciones de la DPA.

En función de los criterios anteriores, el delegado de protección de datos decide si un incidente constituye una violación de datos y si, en tal caso, debe notificarse a la autoridad de protección de datos.

Notificación de una violación de datos al interesado

No todas las violaciones de datos notificadas a la autoridad de protección de datos deben comunicarse también a los interesados; solo si la violación puede suponer un riesgo elevado para los derechos y libertades de los interesados, deberá comunicarse dicha violación a los interesados.

No es necesario notificar una violación de datos al interesado si:

  • Se han adoptado sin demora, y a más tardar en un plazo de 24 horas, las medidas técnicas y organizativas adecuadas para mitigar los riesgos;
  • Se han adoptado sin demora, y a más tardar en un plazo de 24 horas, medidas destinadas a minimizar el alto riesgo para los derechos y libertades de los interesados;
  • Realizar dicha comunicación supondría un esfuerzo desproporcionado. En su lugar, bastará con un anuncio público o una medida similar para informar a los interesados.

Derechos de los interesados

En virtud del Reglamento General de Protección de Datos, los interesados gozan de diversos derechos en relación con sus datos personales. A continuación se exponen dichos derechos, las posibles restricciones a los mismos y los motivos de denegación.

Los interesados pueden presentar las siguientes solicitudes u objeciones a MoveYou:

  • Derecho a la información (artículos 13 y 14 del RGPD)
  • Derecho de acceso (art. 15 del RGPD)
  • Derecho de rectificación y/o integración (art. 16 del RGPD) o Derecho al olvido (art. 17 del RGPD)
  • Derecho a la limitación del tratamiento (art. del RGPD) o Derecho de oposición (art. 21 del RGPD)
  • Derecho a la portabilidad de los datos (art. 20 del RGPD)

Estos derechos fundamentales son muy importantes, pero no son absolutos. Esto significa que, en ocasiones, otro derecho (fundamental) tiene mayor peso o que existen motivos (legales) para limitar o denegar estos derechos.

Restricciones

Finalidad del derecho de acceso

El derecho de acceso del interesado no implica que MoveYou esté obligada a facilitar una copia de los documentos que contienen los datos personales. MoveYou puede hacerlo, pero también puede optar por otra forma, siempre que con ese método de facilitación se cumpla la finalidad del acceso. La finalidad del artículo 15 del RGPD es que el interesado pueda informarse sobre el tratamiento y comprobar su licitud. Obviamente, MoveYou desea atender a los clientes que simplemente desean recibir una copia de determinados documentos (y no desean verificar la licitud), pero se trata de una forma de atención al cliente que no está sujeta a plazos de tramitación ni a otras formalidades legales.

Los derechos y libertades de los demás

Cuando se atiende una solicitud, los nombres de terceros (como empleados u otros usuarios) se anonimizan o no se facilitan con el fin de proteger sus derechos y libertades.

Carga de la prueba

Si la persona en cuestión considera que la documentación presentada está incompleta y MoveYou ha declarado que, tras una investigación, se ha comprobado que un determinado documento no está (o ya no está) disponible, y esto no parece inverosímil, corresponde al solicitante demostrar que lo contrario es cierto.

Otros motivos de denegación

Una solicitud puede ser denegada (parcialmente) por motivos de seguridad nacional, seguridad pública, prevención, detección y persecución de delitos, así como para la protección de la persona interesada o de los derechos y libertades de terceros, o por otras limitaciones mencionadas en el artículo 23 del RGPD.

MoveYou puede denegar una solicitud si es manifiestamente excesiva o cobrar una tasa en tal caso. Debido al volumen de datos de que dispone MoveYou y al tiempo que requiere su tratamiento, se consideran excesivas más de dos solicitudes por año natural. Una solicitud también puede ser denegada si no se cumplen los requisitos previos, como la identificación (más información al respecto más adelante).

Por último, una solicitud podrá denegarse si se sospecha que existe abuso de derecho. Se produce abuso de derecho cuando una facultad se utiliza para un fin distinto de aquel para el que fue concedida, por lo que la finalidad de la solicitud puede ser relevante a la hora de evaluar si se produce abuso de derecho. En caso de duda, se solicitará una explicación de dicha finalidad. Son ejemplos de abuso de derecho las solicitudes cuyo objetivo sea impugnar el despido de un empleado, demostrar la inocencia o iniciar un litigio.

Política de identificación

Cuando un interesado presenta una solicitud en virtud del RGPD, se verifica su identidad para garantizar que la solicitud se refiere a la persona correcta. MoveYou no solicita expresamente una copia de un documento de identidad para evitar el tratamiento ilícito. En la mayoría de los casos, MoveYou ya dispone de una gran cantidad de datos personales del solicitante. En ese caso, se formulan una serie de preguntas de verificación, preferiblemente por teléfono, como la dirección, el número de matrícula o la fecha de nacimiento, para comprobar que el perfil correcto se corresponde con la persona correcta. Si el empleado de MoveYou tiene dudas sobre la identidad del solicitante, por ejemplo, porque la voz no se corresponde con la edad o el sexo, o cuando las respuestas a las preguntas de verificación son dudosas, el empleado de MoveYou invita al solicitante a presentar un documento de identidad válido en la oficina de Franeker o Ámsterdam. Si las circunstancias no lo permiten, se intentará que el solicitante demuestre su identidad mediante una videollamada.

Plan de seguimiento

Con el fin de garantizar la privacidad de los usuarios y los empleados, se aplica el siguiente plan de supervisión. Este se comunica directamente a la dirección y, si es necesario, se revisa anualmente.

tabla de privacidad 1024x699 1