POLÍTICA DE REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) DE DEVDUO SOLUTIONS SOCIEDAD LIMITADA

1. Introducción y Objeto

1.1. DevDuo Solutions Sociedad Limitada (en adelante, "la Empresa"), con NIF B21776810 y sede social en Edificio Cristasa, Avenida Argentina 132, Gijón, Asturias, está comprometida con la protección de la privacidad y los datos personales de sus clientes, empleados, proveedores y cualquier otra persona con la que interactúe.

1.2. Esta Política de Reglamento General de Protección de Datos (RGPD) establece los principios y directrices que rigen el tratamiento de datos personales por parte de la Empresa, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y la normativa española de protección de datos vigente.

1.3. El objetivo de esta política es informar a los interesados sobre cómo la Empresa recopila, utiliza, almacena, comparte y protege sus datos personales, así como sobre sus derechos en materia de protección de datos.

2. Principios del Tratamiento de Datos Personales

DevDuo Solutions se compromete a cumplir con los principios relativos al tratamiento establecidos en el artículo 5 del RGPD:

  • Licitud, equidad y transparencia: Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
  • Limitación de la finalidad: Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
  • Minimización de datos: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: Los datos personales serán exactos y, si fuera necesario, mantenidos actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines para los que se tratan.
  • Integridad y confidencialidad: Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
  • Responsabilidad proactiva (Accountability): La Empresa será responsable del cumplimiento de los principios anteriores y capaz de demostrarlo.

3. Responsable del Tratamiento

El responsable del tratamiento de los datos personales es:

DevDuo Solutions Sociedad Limitada NIF: B21776810 Sede social: Edificio Cristasa, Avenida Argentina 132, Gijón, Asturias Correo electrónico para consultas de protección de datos: info@devduosolutions.com

4. Categorías de Datos Personales Tratados y Finalidades del Tratamiento

  • Datos de clientes: Nombre, apellidos, dirección de correo electrónico, número de teléfono, datos de facturación. Finalidad: Gestión de la relación contractual, prestación de servicios de desarrollo de software y consultoría informática, facturación, soporte técnico. Base legal: Ejecución de un contrato.
  • Datos de empleados: Nombre, apellidos, datos de contacto, información laboral, datos bancarios. Finalidad: Gestión de la relación laboral, administración de nóminas, gestión de recursos humanos. Base legal: Ejecución de un contrato, cumplimiento de obligaciones legales.
  • Datos de usuarios de la web: Dirección IP, datos de navegación (cookies). Finalidad: Gestión y mejora de la página web, análisis de uso. Base legal: Consentimiento (para cookies no esenciales), interés legítimo (para cookies técnicas).

5. Destinatarios de los Datos Personales

Los datos de empleados son compartidos la asesoría laboral, fiscal y contable.

  • Proveedores de servicios de alojamiento web.
    Los datos pertenecientes a usuarios de los sistemas informáticos desarrollados por la compañía no son compartidos con ningún proveedor externo.
  • Proveedores de software de gestión.
    No se comparten datos.
  • Asesores fiscales y contables.
    Exclusivamente datos de empleados y clientes de la sociedad.
  • Entidades bancarias para la gestión de pagos.
    Clientes de la sociedad
  • Administraciones públicas en cumplimiento de obligaciones legales.
    No aplica

6. Transferencias Internacionales de Datos

No se realizan transmisiones internacionales de datos

7. Plazo de Conservación de los Datos Personales

  • Los datos de clientes se conservarán durante la vigencia de la relación contractual y, posteriormente, durante los plazos legales de prescripción.
  • Los datos de empleados se conservarán durante la relación laboral y, posteriormente, durante los plazos legales exigidos por la normativa laboral y fiscal.
  • Los datos de navegación web se conservarán según la política de cookies específica.

8. Derechos de los Interesados

Los interesados tienen los siguientes derechos en relación con sus datos personales:

  • Derecho de acceso: A obtener confirmación de si la Empresa está tratando datos personales que les conciernen y, en tal caso, a obtener información sobre dichos datos y su tratamiento.
  • Derecho de rectificación: A obtener la rectificación de los datos personales inexactos o incompletos.
  • Derecho de supresión ("al olvido"): A obtener la supresión de los datos personales cuando concurran determinados motivos.
  • Derecho a la limitación del tratamiento: A obtener la limitación del tratamiento de sus datos personales cuando concurran determinados motivos.
  • Derecho a la portabilidad de los datos: A recibir los datos personales que les incumban, que hayan facilitado a la Empresa, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida la Empresa.
  • Derecho de oposición: A oponerse al tratamiento de sus datos personales cuando el tratamiento se base en el interés legítimo de la Empresa o en el cumplimiento de una misión de interés público.
  • Derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles: A no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en ellos o les afecte significativamente de modo similar.
  • Derecho a retirar el consentimiento: Cuando el tratamiento se base en el consentimiento, el interesado tiene derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento previo a su retirada.

9. Ejercicio de los Derechos

Los interesados podrán ejercer sus derechos de protección de datos dirigiéndose por escrito a la dirección postal o al correo electrónico indicado en el apartado 3 de esta política, adjuntando una copia de su documento de identidad para acreditar su identidad.

10. Medidas de Seguridad

DevDuo Solutions ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:

Medidas Técnicas:

    Cifrado (Encriptación):
    • Cifrado de datos en reposo (almacenados en bases de datos, servidores, dispositivos).
    • Cifrado de datos en tránsito (durante la transmisión a través de redes internas y externas, como HTTPS para la web).
    • Utilización de algoritmos de cifrado robustos y actualizados.
    Controles de Acceso:
    • Implementación del principio de mínimo privilegio (solo otorgar los permisos necesarios para realizar las tareas).
    • Gestión de identidades y accesos (IAM): autenticación robusta (contraseñas complejas, doble factor de autenticación), autorización basada en roles.
    • Revisiones periódicas de los derechos de acceso y revocación de accesos innecesarios.
    • Seguridad física de los centros de datos y equipos (control de acceso físico, vigilancia).
    Seguridad de Redes:
    • Firewalls para controlar el tráfico entrante y saliente.
    • Sistemas de detección y prevención de intrusiones (IDS/IPS).
    • Utilización de VPNs para conexiones remotas seguras.
    Protección contra Malware:
    • Implementación de software antivirus y antimalware actualizado en todos los dispositivos.
    • Políticas de navegación segura y descarga de software.
    • Análisis periódico de los sistemas en busca de malware.
    Seguridad de los Sistemas:
    • Actualización regular de software y sistemas operativos con los últimos parches de seguridad.
    • Configuración segura de servidores y aplicaciones.
    • Endurecimiento de sistemas (desactivación de servicios y funcionalidades innecesarias).
    Copias de Seguridad (Backups):
    • Realización de copias de seguridad periódicas de los datos críticos.
    • Almacenamiento seguro de las copias de seguridad (separado de los sistemas principales, posiblemente cifrado).
    • Pruebas de restauración de las copias de seguridad para garantizar su efectividad.
    Anonimización y Seudonimización:
    • Utilización de técnicas de anonimización para datos que no necesitan estar vinculados a una persona identificada.
    • Implementación de seudonimización para reducir la vinculación directa con los interesados y dificultar la identificación sin información adicional.
    Registro de Actividad (Logging):
    • Mantenimiento de registros de acceso a los sistemas, modificaciones de datos, errores, y otros eventos relevantes para la seguridad.
    • Análisis periódico de los registros para detectar actividades sospechosas o incidentes de seguridad.

Medidas Organizativas:

    Políticas y Procedimientos de Seguridad:
    • Desarrollo e implementación de políticas de seguridad de la información claras y actualizadas (por ejemplo, política de contraseñas, política de uso de dispositivos personales, política de borrado seguro de datos).
    • Establecimiento de procedimientos para la gestión de incidentes de seguridad, la respuesta a brechas de datos, y la continuidad del negocio.
    Formación y Concienciación del Personal:
    • Programas de formación periódicos para empleados sobre la importancia de la protección de datos, las políticas de seguridad, y cómo identificar y evitar riesgos (phishing, ingeniería social, etc.).
    • Promoción de una cultura de seguridad dentro de la organización.
    Gestión de Acceso y Autorizaciones:
    • Definición clara de roles y responsabilidades en relación con el tratamiento de datos.
    • Procesos formales para la concesión, modificación y revocación de accesos.
    Control de Proveedores:
    • Implementación de procesos de diligencia debida para evaluar la seguridad de los proveedores que acceden a datos personales.
    • Inclusión de cláusulas de protección de datos en los contratos con proveedores.
    • Supervisión del cumplimiento de las obligaciones de protección de datos por parte de los proveedores.
    Auditorías de Seguridad:
    • Realización de auditorías internas y/o externas periódicas para evaluar la eficacia de las medidas de seguridad implementadas y detectar posibles vulnerabilidades.
    Evaluación de Impacto en la Protección de Datos (EIPD o DPIA):
    • Realización de EIPDs para identificar y evaluar los riesgos para la protección de datos asociados a nuevos proyectos o tratamientos de datos de alto riesgo.
    • Implementación de medidas para mitigar los riesgos identificados en la EIPD.
    Designación de un Delegado de Protección de Datos (DPD o DPO):
    • Si la empresa cumple con los criterios establecidos en el RGPD (por ejemplo, tratamiento a gran escala de categorías especiales de datos o seguimiento regular y sistemático a gran escala), designar un DPD con las funciones y responsabilidades definidas en el RGPD.
    Mantenimiento de Registros de Actividades de Tratamiento:
    • Mantener un registro actualizado de todas las categorías de tratamiento de datos personales que realiza la empresa, tal como lo exige el artículo 30 del RGPD.

11. Brechas de Seguridad

En caso de producirse una violación de la seguridad de los datos personales, la Empresa notificará la brecha a la autoridad de control competente sin dilación indebida y, cuando sea probable que la violación suponga un alto riesgo para los derechos y libertades de los interesados, se lo comunicará también a los afectados.

12. Actualizaciones de la Política de RGPD

La presente Política de RGPD podrá ser actualizada periódicamente para reflejar cambios en la normativa o en nuestras prácticas de tratamiento de datos. La versión actualizada se publicará en nuestra página web o se comunicará a los interesados por otros medios apropiados.

13. Derecho a Presentar una Reclamación ante la Autoridad de Control

Los interesados tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideran que el tratamiento de sus datos personales infringe la normativa de protección de datos.

Fecha de publicación: 31 de marzo de 2025
DevDuo Solutions Sociedad Limitada
B21776810
Edificio Cristasa, Avenida Argentina 132, Gijón, Asturias