Legal

RGPD & Acuerdo de Tratamiento de Datos

Última actualización: por definir · Versión borrador 0.1

01 Marco normativo

Originum trata los datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta página resume cómo se articula ese cumplimiento y los términos del acuerdo de tratamiento de datos disponible para nuestros clientes.

02 Roles de las partes

En la relación con clientes empresariales, los roles habituales son:

El cliente actúa como responsable del tratamiento de los datos personales que pudieran estar contenidos en los archivos que certifica.
Originum actúa como encargado del tratamiento respecto de los metadatos técnicos que procesa por cuenta del cliente.

Matiz técnico clave: dado que Originum solo procesa el hash del archivo y nunca su contenido, en la práctica el tratamiento de datos personales por nuestra parte es mínimo o inexistente respecto al contenido certificado.

03 Minimización y privacidad desde el diseño

El protocolo ORP-001 implementa el principio de minimización del artículo 5 del RGPD a nivel arquitectónico: el archivo no abandona la infraestructura del cliente, y a Originum solo llega una huella criptográfica irreversible (hash SHA-256). No es posible reconstruir el contenido a partir del hash, por lo que el riesgo para los interesados se reduce drásticamente por diseño.

04 Acuerdo de Encargo de Tratamiento (DPA)

Ponemos a disposición de nuestros clientes empresariales un Acuerdo de Encargo de Tratamiento (DPA) conforme al artículo 28 del RGPD, que regula, entre otros:

El objeto, duración, naturaleza y finalidad del tratamiento.
El tipo de datos personales y categorías de interesados.
Las obligaciones y derechos del responsable.
Las medidas técnicas y organizativas de seguridad.

Para solicitar el DPA, escríbenos a privacidad@originum.io.

05 Subencargados

Originum puede recurrir a subencargados del tratamiento (por ejemplo, proveedores de infraestructura cloud en la UE) que ofrecen garantías suficientes de cumplimiento del RGPD. Mantenemos una relación actualizada de subencargados a disposición de los clientes con DPA en vigor, y comunicaremos cualquier cambio previsto.

06 Transferencias internacionales

El servicio se aloja en infraestructura ubicada en la Unión Europea. No realizamos transferencias internacionales de datos personales fuera del Espacio Económico Europeo de forma ordinaria. El anclaje en Bitcoin no constituye una transferencia de datos personales, ya que únicamente se publica una huella criptográfica.

07 Notificación de brechas

En caso de violación de seguridad de los datos personales que tratamos como encargados, notificaremos al cliente sin dilación indebida y le facilitaremos la información necesaria para que pueda cumplir, en su caso, con sus obligaciones de notificación ante la autoridad de control y los interesados.

08 Derecho de auditoría

El cliente, en su condición de responsable, tiene derecho a verificar el cumplimiento de las obligaciones del encargado en los términos previstos en el DPA, incluyendo la puesta a disposición de la información necesaria para demostrar dicho cumplimiento.