Política de Privacidad · MyGOLD SpA
Política de gestión de riesgos de privacidad · De conformidad con el RGPD (UE) 2016/679
MyGOLD SpA, como Responsable del Tratamiento de Datos de conformidad con el artículo 4, apartado 7, del Reglamento UE 2016/679 (RGPD), se compromete a garantizar la protección de los datos personales de sus clientes y de todas las personas cuyos datos se traten en el marco de sus servicios de intermediación y custodia de oro físico y metales preciosos.
Esta Política de Gestión de Riesgos de Privacidad describe, de manera transparente y comprensible, el enfoque adoptado por MyGOLD SpA para identificar, evaluar y gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, de conformidad con el principio de responsabilidad establecido en el artículo 5, apartado 2, del RGPD.
Introducción
Este documento se publica junto con la Información sobre el Tratamiento de Datos Personales y la Política de Cookies de MyGOLD SpA, con el fin de garantizar la máxima transparencia para todas las partes interesadas. El servicio de custodia y compraventa de oro físico está disponible a través de la plataforma THE REAL MONEY.
Referencias reglamentarias
Esta política se elabora de conformidad con el siguiente marco normativo:
| Referencia | Descripción |
|---|---|
| Reglamento (UE) 2016/679 — RGPD | Protección de datos personales. Marco principal de referencia para todas las obligaciones de privacidad. |
| Ley 7/2000 (17 de enero) | Normativa italiana sobre el comercio de oro: requisitos de identificación y retención de datos para operadores y clientes OPO. |
| Decreto Legislativo 231/2007 — AML | Lucha contra el blanqueo de capitales: obligaciones de recopilar, conservar y comunicar datos personales relacionados con los procedimientos KYC/KYB. Período de conservación: 10 años. |
| ISO/IEC 27001:2022 | Norma internacional para sistemas de gestión de la seguridad de la información: referencia para las medidas técnicas y organizativas adoptadas. |
Nuestro enfoque para la gestión de riesgos de privacidad
MyGOLD SpA adopta un enfoque sistemático y documentado para la gestión de riesgos de privacidad, basado en los principios de proporcionalidad y responsabilidad establecidos por el RGPD:
- Evaluamos los riesgos para los derechos y libertades de las personas antes de iniciar cualquier nuevo tratamiento de datos personales.
- Adoptamos medidas de seguridad técnicas y organizativas proporcionales al nivel de riesgo detectado (art. 32 RGPD).
- Para el tratamiento de datos que presente un alto riesgo, realizamos una Evaluación de Impacto en la Protección de Datos (DPIA) de conformidad con el art. 35 del RGPD.
- El Delegado de Protección de Datos (DPD) supervisa el proceso de evaluación de riesgos.
- Revisamos periódicamente nuestra evaluación de riesgos para tener en cuenta los nuevos tratamientos, los cambios normativos o las nuevas amenazas a la seguridad.
Evaluación de impacto en el tratamiento de datos de alto riesgo (DPIA)
Dada la naturaleza de los servicios ofrecidos — intermediación y custodia de oro físico, gestión de planes de ahorro y cumplimiento de la normativa AML — algunos de los tratamientos de datos realizados por MyGOLD SpA presentan características que los califican como de alto riesgo para los derechos y libertades de los interesados, lo que requiere una Evaluación de Impacto relativa a la Protección de Datos (DPIA) de conformidad con el artículo 35 del RGPD.
Las DPIA se elaboran y actualizan periódicamente con la participación del Responsable de Cumplimiento Normativo. Si una DPIA identifica un riesgo residual elevado a pesar de las medidas adoptadas, MyGOLD SpA consultará con la Autoridad Italiana de Protección de Datos (Garante per la Protezione dei Dati Personali) de conformidad con el artículo 36 del RGPD antes de iniciar o continuar el tratamiento de datos.
Medidas de seguridad adoptadas
De conformidad con el artículo 32 del RGPD, MyGOLD SpA adopta medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento.
5.1 Medidas técnicas
- Cifrado de datos personales en tránsito y en reposo.
- Sistemas de autenticación seguros para el acceso a la plataforma.
- Control de acceso a los datos basado en el principio de mínimo privilegio.
- Supervisión continua de la seguridad de los sistemas de información.
- Procedimientos de respaldo y recuperación ante desastres.
- Pruebas de seguridad periódicas de las infraestructuras informáticas.
5.2 Medidas organizativas
- Designación del Responsable del Tratamiento de Datos con responsabilidad formal en materia de cumplimiento de la privacidad.
- Designación del Responsable de Cumplimiento como persona de contacto interna para cuestiones de privacidad operativa.
- Registro de tratamientos actualizado de conformidad con el art. 30 del RGPD.
- Formación periódica del personal sobre protección de datos personales y procedimientos AML.
- Procedimientos documentados para la gestión de violaciones de datos personales.
- Acuerdos de procesamiento de datos (APD, art. 28 RGPD) con todos los proveedores que procesan datos en nombre de MyGOLD SpA.
- Aplicación de los principios de Privacidad desde el Diseño y Privacidad por Defecto (art. 25 RGPD) para cada nuevo servicio o cambio significativo en el procesamiento.
- Sistema de gestión de seguridad de la información (SGSI) certificado según la norma ISO/IEC 27001:2022: referencia para todas las medidas de seguridad de la información.
Gestión de violaciones de datos
En caso de una violación de datos personales, MyGOLD SpA se compromete a:
- Evaluar con prontitud la naturaleza y el alcance de la violación de seguridad y el riesgo para los derechos y libertades de los interesados.
- Notificar la violación a la Autoridad Italiana de Protección de Datos dentro de las 72 horas posteriores a tener conocimiento de la misma, si la violación puede suponer un riesgo para los derechos y libertades de las personas físicas (Artículo 33 del RGPD).
- Comunicar la violación de seguridad a los interesados sin dilación indebida, si el riesgo para sus derechos y libertades es alto (Artículo 34 del RGPD), indicando la naturaleza de la violación y las medidas adoptadas o propuestas.
- Documentar todas las infracciones en el Registro de Incidentes, incluidas aquellas que no requieren notificación al Garante (Artículo 33, párrafo 5 del RGPD).
Privacidad desde el Diseño y Privacidad por Defecto
MyGOLD SpA integra la protección de datos personales en el diseño de cada nuevo servicio o cambio significativo en el procesamiento existente (Privacidad desde el Diseño), de conformidad con el artículo 25 del RGPD.
Por defecto, procesamos únicamente los datos personales estrictamente necesarios para cada finalidad específica, limitando la recopilación, el acceso, la conservación y la difusión de datos al mínimo indispensable.
Antes de iniciar nuevas operaciones de procesamiento que puedan suponer un alto riesgo para los derechos y libertades de los interesados, MyGOLD SpA lleva a cabo una Evaluación de Impacto en la Protección de Datos (DPIA) con la participación del Delegado de Protección de Datos.
Actualizaciones de esta política
Esta Política está sujeta a revisión anual por parte del Responsable del Tratamiento de Datos y del Delegado de Cumplimiento Normativo, o en caso de cambios normativos significativos o nuevas operaciones de tratamiento que requieran una nueva evaluación de riesgos.
La versión actualizada siempre está disponible en www.mygold.world, en la sección «Privacidad».
