Pie de imprenta

Información según el artículo 5 de la TMG

Educaro Mexico S. A. de C. V.
Calle Londres 47,
Colonia Juárez, Cuauhtémoc,
06600 Ciudad de México, México

Representado por:
Sinai Jimenez
Andreas Morandell

 

Contacto:
Teléfono: +52 56 2711 5555
Correo electrónico: mexico@educaro.de

Política de Privacidad

1. Introducción

1.1. Responsable

El responsable según el Art. 4 (7) del Reglamento General de Protección de Datos de la UE (DSGVO) es Educaro GmbH, Bolkerstraße 14-16, 40213 Düsseldorf, Alemania, correo electrónico: info@educaro.de. Representantes legales: Leon Schneider, Director General; y Christian Sassin, Director General.

1.2. Responsable de la protección de datos

Nuestro responsable de la protección de datos es heyData UG (haftungsbeschränkt), Gormannstr. 14, 10119 Berlín, www.heydata.eu, correo electrónico: info@heydata.de.

2. Política de seguridad

El objetivo principal de las medidas de protección aplicadas a nivel organizativo y técnico, es proteger a Educaro GmbH y a sus clientes de daños, garantizar la capacidad de trabajo constante de los empleados y evitar la pérdida de datos. Esto también incluye el manejo seguro de información sensible.

Por lo tanto, es responsabilidad de todos los empleados garantizar el nivel y la calidad de la seguridad que los clientes y socios comerciales de Educaro GmbH esperan y que debe garantizarse de acuerdo con el mandato empresarial.

La alta dirección tiene la responsabilidad general de un nivel de seguridad suficiente y adecuado tanto técnica como económicamente para evitar daños a la empresa y garantizar el éxito empresarial a largo plazo. 

Están obligados las empresas subcontratadas, los autónomos, los socios del centro de datos y, por supuesto, los propios empleados de la empresa. La protección de los datos personales también debe garantizarse a través de medidas técnicas y organizativas adecuadas, de conformidad con el artículo 32 de la DSGVO. La revisión externa continua garantiza el mantenimiento y, sobre todo, la mejora constante de las medidas de protección de datos. 

Este concepto de protección de datos pretende presentar los aspectos de la protección de datos en una documentación resumida. A continuación se describen las medidas técnicas y organizativas para la protección de datos que Educaro GmbH adopta por defecto para cumplir los requisitos del art. 32 de la DSGVO.

3.Confidencialidad (Art. 32 párrafo 1 lit. b DSGVO)

3.1.Control de acceso

Las siguientes medidas aplicadas impiden el acceso de personas no autorizadas a las instalaciones de procesamiento de datos:

  • Normativa clave / libro clave
  • Selección cuidadosa del personal de seguridad

3.2. Control de accesos

Las siguientes medidas aplicadas impiden el acceso de personas no autorizadas a los sistemas de tratamiento de datos:

  • Autenticación con usuario y contraseña
  • Uso de Firewalls
  • Uso de la tecnología VPN para los accesos remotos
  • Administración de las autorizaciones de los usuarios
  • Creación de perfiles de usuario
  • Control de llaves
  • Instrucción general para bloquear manualmente el escritorio al salir del lugar de trabajo

3.3. Control de acceso

Las siguientes medidas aplicadas garantizan que las personas no autorizadas no tengan acceso a los datos personales:

  • Registro de la destrucción de datos
  • Registro del acceso a las aplicaciones (especialmente al introducir, modificar y borrar datos)
  • Utilización de un concepto de autorización
  • Número de administradores lo más reducido posible
  • Administración de los derechos de los usuarios por parte de los administradores del sistema

3.4. Control de separación

Las siguientes medidas garantizan que los datos personales recogidos para diferentes fines se traten por separado:

  • Separación del sistema productivo y de prueba
  • Separación lógica del cliente (en el lado del software)
  • Creación de un concepto de autorización
  • Determinación de los derechos de la base de datos

4.Integridad (Art. 32 párrafo 1 lit. b DS-GVO)

4.1.Control de transferencias

Se garantiza que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transferencia o almacenamiento en soportes de datos y que sea posible comprobar qué personas u organismos han recibido datos personales. Para ello, se aplican las siguientes medidas:

  • Configuración de túneles VPN
  • Registro de accesos y recuperaciones
  • Suministro de datos a través de conexiones cifradas como SFTP o HTTPS
  • Uso de procedimientos de firma

4.2. Control de entradas

Las siguientes medidas garantizan la posibilidad de comprobar quién ha tratado los datos personales en los sistemas de tratamiento de datos y en qué momento:

  • Registro de la introducción, modificación y supresión de datos
  • Conservación de los formularios cuyos datos se han transferido al tratamiento automatizado
  • Trazabilidad de la entrada, modificación y eliminación de datos a través de nombres de usuarios individuales (no de grupos de usuarios)
  • Asignación de derechos de introducción, modificación y supresión de datos sobre la base de un concepto de autorización

5.Disponibilidad y resistencia (Art. 32 párrafo 1 lit. b DS-GVO)

Las siguientes medidas garantizan que los datos personales estén protegidos contra la destrucción o pérdida accidental y estén siempre a disposición del cliente:

  • Creación de una copia de seguridad y recuperación
  • Mantener las copias de seguridad de los datos en una ubicación segura y externa
  • Separación de sistemas operativos y datos

6.Procedimientos de revisión, valoración y evaluación periódicas (art. 32 (1) (d) del RGPD; art. 25 (1) del RGPD)

6.1. Gestión de la protección de datos

Las siguientes medidas pretenden garantizar una organización que cumpla los requisitos básicos de la ley de protección de datos:

  • Uso de la plataforma heyData para la gestión de la protección de datos
  • Nombramiento del responsable de la protección de datos heyData
  • Compromiso de los empleados con la privacidad de los datos
  • Formación periódica de los empleados en materia de protección de datos
  • Mantener una visión general de las actividades de tratamiento (Art. 30 DSGVO)
  • Realización de evaluaciones de impacto sobre la protección de datos cuando sea necesario (art. 35 de la DSGVO)

6.2. Gestión de respuesta ante incidentes

Las siguientes medidas tienen por objeto garantizar que los procesos de notificación se pongan en marcha en caso de violaciones de la protección de datos:

  • Proceso de notificación de violaciones de la protección de datos de conformidad con el artículo 4 nº 12 del RGPD ante las autoridades de control (artículo 33 del RGPD)
  • Proceso de notificación de la violación de datos de conformidad con el artículo 4 nº 12 del RGPD con respecto a los interesados (artículo 34 del RGPD)
  • Participación del responsable de la protección de datos en los incidentes de seguridad y las violaciones de datos
  • Uso de Firewalls

6.3. Ajustes por defecto que respetan la protección de datos (Art. 25 (2) DS-GVO)

Las siguientes medidas aplicadas tienen en cuenta los requisitos de los principios "Privacidad desde el diseño" y "Privacidad por defecto":

  • Formación de los empleados en "Privacidad por diseño" y "Privacidad por defecto"
  • No se recopilan más datos personales de los necesarios para el propósito respectivo

6.4. Control de pedidos

Las siguientes medidas garantizan que los datos personales sólo pueden ser tratados de acuerdo con estas instrucciones:

  • Instrucciones escritas al contratista o instrucciones en forma de texto (por ejemplo, mediante un contrato de tramitación de pedidos)
  • Garantizar la destrucción de los datos tras la finalización del pedido, por ejemplo, solicitando las confirmaciones correspondientes
  • Confirmación por parte de los contratistas de que comprometen a sus propios empleados a mantener el secreto de los datos (normalmente en el contrato de procesamiento de pedidos)
  • Selección cuidadosa de los contratistas (especialmente en lo que respecta a la seguridad de los datos)

7.Tratamiento de datos en nuestro sitio web

7.1.Uso informativo del sitio web

Durante el uso informativo del sitio web, es decir, cuando los visitantes del sitio no nos transmiten información por separado, recogemos los datos personales que el navegador transmite a nuestro servidor para garantizar la estabilidad y la seguridad de nuestro sitio web. Se trata de un interés legítimo, por lo que la base legal es el Art. 6 párrafo 1 p. 1 lit. f DSGVO.

Estos datos son:

  • Dirección IP
  • Fecha y hora de la solicitud
  • Diferencia horaria con respecto a la hora del meridiano de Greenwich (GMT)
  • Contenido de la solicitud (página específica)
  • Estado de acceso/Código de estado HTTP
  • Cantidad de datos transferidos en cada caso
  • Sitio web del que procede la solicitud
  • Navegador
  • Sistema operativo y su interfaz
  • Idioma y versión del software del navegador

Estos datos también se almacenan en archivos de registro. Se eliminan cuando su almacenamiento ya no es necesario, a más tardar después de 14 días.

7.2.Alojamiento web y provisión del sitio web

Nuestro sitio web está alojado en GoDaddy.com LLC, Corporate Headquarters 14455 N. Hayden Rd, Ste. 22, Scottsdale, AZ 85260 USA (política de privacidad: ) sobre la base de un acuerdo de procesamiento contractual (Art. 28 DSGVO). Hayden Rd, Ste. 226, Scottsdale, AZ 85260 USA (política de privacidad: https://de.godaddy.com/legal/agreements/privacy-policy). Al hacerlo, el proveedor procesa los datos personales transmitidos a través del sitio web, por ejemplo, sobre el contenido, el uso, los metadatos o los datos de contacto. Es nuestro interés legítimo proporcionar un sitio web, por lo que la base legal del tratamiento de datos es el Art. 6 párrafo 1 p. 1 lit. f DSGVO.

7.3.Formulario de contacto

Al ponerse en contacto con nosotros a través del formulario de contacto de nuestro sitio web, almacenamos los datos que se solicitan allí y el contenido del mensaje.
La base legal para el tratamiento es nuestro interés legítimo en responder a las consultas que se nos dirigen. La base legal para el tratamiento es, por tanto, el art. 6, apartado 1, p. 1 lit. f de la DSGVO.
Eliminamos los datos acumulados en este contexto una vez que el almacenamiento ya no es necesario o restringimos el procesamiento si existen obligaciones legales de conservación.

7.4.Anuncios de empleo

Publicamos las vacantes disponibles en nuestra empresa en nuestro sitio web, en páginas vinculadas al sitio web o en sitios web de terceros.
El tratamiento de los datos facilitados en el marco de la solicitud se lleva a cabo con el fin de ejecutar el procedimiento de solicitud. En la medida en que esto es necesario para nuestra decisión de establecer una relación laboral, la base legal es el Art. 88 (1) DSGVO en conjunción con la Sección 26 (1) BDSG. Hemos marcado los datos necesarios para llevar a cabo el proceso de solicitud en consecuencia o nos remitimos a ellos. Si los solicitantes no facilitan estos datos, no podremos tramitar la solicitud.
Los datos adicionales son voluntarios y no se requieren para una solicitud. Si los solicitantes proporcionan más información, esto se basa en su consentimiento (Art. 6 párrafo 1 p. 1 lit. a DSGVO).

Pedimos a los solicitantes que se abstengan de proporcionar información sobre opiniones políticas, creencias religiosas y datos sensibles similares en su CV y carta de presentación. No son necesarios para una solicitud. Si, a pesar de todo, los solicitantes facilitan dicha información, no podemos impedir su tratamiento en el marco de la tramitación del CV o de la carta de presentación. Su tratamiento se basa entonces también en el consentimiento de los solicitantes (Art. 9 párrafo 2 lit. a DSGVO).

Por último, tratamos los datos de los solicitantes para otros procedimientos de solicitud si nos han dado su consentimiento para ello. En este caso, la base legal es el Art. 6 párrafo 1 p. 1 lit. a DSGVO.

Transmitimos los datos de los solicitantes a los empleados responsables del departamento de recursos humanos, a nuestros encargados de la contratación y a los empleados que participan en el proceso de solicitud.

Si entablamos una relación laboral con el solicitante tras el proceso de solicitud, sólo eliminamos los datos una vez finalizada la relación laboral. En caso contrario, eliminamos los datos a más tardar seis meses después de rechazar a un solicitante.

Si los solicitantes nos han dado su consentimiento para utilizar también sus datos para otros procedimientos de solicitud, no borraremos sus datos hasta un año después de recibir la solicitud.

7.5. Reserva de citas

Los visitantes del sitio pueden reservar citas con nosotros en nuestro sitio web. Para ello, además de los datos introducidos, procesamos metadatos o datos de comunicación. Tenemos un interés legítimo en ofrecer a los interesados una opción fácil de usar para concertar citas. Por lo tanto, la base legal para el tratamiento de datos es el Art. 6 párrafo 1 p. 1 lit. f DSGVO. Si utilizamos una herramienta de terceros para el acuerdo, la información al respecto se encuentra en "Herramientas de terceros".

7.6.Herramientas de terceros

7.6.1.Vídeos de YouTube

Utilizamos la herramienta Videos de YouTube para los vídeos de nuestro sitio web. El proveedor es Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda. El proveedor procesa los metadatos/comunicaciones (por ejemplo, información sobre el dispositivo, direcciones IP) y los datos de uso (por ejemplo, páginas web visitadas, interés en el contenido, tiempos de acceso) en los Estados Unidos. La base jurídica del tratamiento es el artículo 6, apartado 1, p. 1, letra a de la DSGVO. El tratamiento se basa en el consentimiento. Los interesados pueden revocar su consentimiento en cualquier momento poniéndose en contacto con nosotros, por ejemplo, utilizando los datos de contacto que figuran en nuestra política de privacidad. La revocación no afecta a la legalidad del tratamiento hasta la revocación. La base jurídica para la transferencia a un país fuera del EEE es el consentimiento. Puede encontrar más información en la política de privacidad del proveedor en https://policies.google.com/privacy.

7.6.2. ​Google Analytics​

Utilizamos la herramienta Google Analytics para el análisis. El proveedor es Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Dublin, D04e5w5, Ireland. El proveedor procesa los datos de uso (por ejemplo, sitios web visitados, interés en el contenido, tiempos de acceso) y los meta-datos de comunicación (por ejemplo, información del dispositivo, direcciones IP) en los Estados Unidos. La base jurídica del tratamiento es el artículo 6, apartado 1, p. 1, letra a de la DSGVO. El tratamiento se basa en el consentimiento. Los interesados pueden revocar su consentimiento en cualquier momento poniéndose en contacto con nosotros, por ejemplo, utilizando los datos de contacto que figuran en nuestra política de privacidad. La revocación no afecta a la legalidad del tratamiento hasta la revocación. La base jurídica de la transferencia a un país fuera del EEE son las cláusulas contractuales estándar. La seguridad de los datos transferidos al tercer país (es decir, un país fuera del EEE) está garantizada de acuerdo con el procedimiento de revisión previsto en el artículo 93, apartado 2, de la DSGVO, que ha adoptado cláusulas estándar de protección de datos (artículo 46, apartado 2, letra c), de la DSGVO), que hemos acordado con el proveedor. Los datos se eliminarán cuando la finalidad de su recogida haya dejado de ser aplicable y no haya obligación de conservarlos. Puede encontrar más información en la política de privacidad del proveedor en https://policies.google.com/privacy?hl=de.

7.6.3. ​HubSpot​

Utilizamos la herramienta HubSpot para la gestión de las relaciones con los clientes. El proveedor es HubSpot, Inc., 25 1st Street Cambridge, MA 0214, USA. El proveedor procesa los datos de uso (por ejemplo, sitios web visitados, interés en el contenido, tiempos de acceso) y los meta-datos de comunicación (por ejemplo, información del dispositivo, direcciones IP) en los Estados Unidos. La base jurídica del tratamiento es el artículo 6, apartado 1, p. 1, letra a de la DSGVO. El tratamiento se basa en el consentimiento. Los interesados pueden revocar su consentimiento en cualquier momento poniéndose en contacto con nosotros, por ejemplo, utilizando los datos de contacto que figuran en nuestra política de privacidad. La revocación no afecta a la legalidad del tratamiento hasta la revocación. La base jurídica de la transferencia a un país fuera del EEE son las cláusulas contractuales estándar. La seguridad de los datos transferidos al tercer país (es decir, un país fuera del EEE) está garantizada de acuerdo con el procedimiento de revisión previsto en el artículo 93, apartado 2, de la DSGVO, que ha adoptado cláusulas estándar de protección de datos (artículo 46, apartado 2, letra c), de la DSGVO), que hemos acordado con el proveedor. Los datos se eliminarán cuando la finalidad para la que se recogieron deje de ser aplicable y no exista ninguna obligación de conservación en sentido contrario. Puede encontrar más información en la política de privacidad del proveedor en https://legal.hubspot.com/privacy-policy.

8.Tratamiento de datos en plataformas de medios sociales

Estamos representados en las redes sociales para presentar allí nuestra empresa y nuestros servicios. Los operadores de estas redes tratan regularmente los datos de sus usuarios con fines publicitarios. Entre otras cosas, crean perfiles de usuarios a partir de su comportamiento en línea, que se utilizan, por ejemplo, para mostrar en las páginas de las redes y en otros lugares de Internet la publicidad que corresponde a los intereses de los usuarios. Para ello, los operadores de las redes almacenan información sobre el comportamiento de los usuarios en cookies en los ordenadores de los usuarios. Además, no se puede descartar que los operadores fusionen esta información con otros datos. Los usuarios pueden obtener más información e instrucciones sobre cómo oponerse al tratamiento por parte de los operadores del sitio en las declaraciones de protección de datos de los respectivos operadores que se enumeran a continuación. También es posible que los operadores o sus servidores estén situados en países no pertenecientes a la UE, de modo que traten los datos allí. Esto puede suponer riesgos para los usuarios, por ejemplo, porque es más difícil hacer valer sus derechos o porque los organismos gubernamentales tienen acceso a los datos.

Cuando los usuarios de las redes se ponen en contacto con nosotros a través de nuestros perfiles, tratamos los datos que nos proporcionan para responder a las consultas. Se trata de nuestro interés legítimo, por lo que la base legal es el Art. 6 párrafo 1 p. 1 lit. f DSGVO.

8.1. Facebook

Mantenemos un perfil en Facebook. El operador es Facebook Ireland Ltd, 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda. La política de privacidad está disponible aquí: https://www.facebook.com/policy.php. Una forma de oponerse al tratamiento de datos es a través de la configuración de los anuncios: https://www.facebook.com/settings?tab=ads.
Somos responsables conjuntamente del tratamiento de los datos de los visitantes de nuestro perfil sobre la base de un acuerdo en el sentido del Art. 26 DSGVO con Facebook. Facebook explica exactamente qué datos se procesan en: https://www.facebook.com/legal/terms/information_about_page_insights_data. Los interesados pueden ejercer sus derechos tanto contra nosotros como contra Facebook. Sin embargo, según nuestro acuerdo con Facebook, estamos obligados a remitir las solicitudes al mismo. Por lo tanto, los interesados recibirán una respuesta más rápida si se ponen en contacto con Facebook directamente.

8.2. Instagram

Mantenemos un perfil en Instagram. El operador es Facebook Ireland Ltd, 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda. La política de privacidad está disponible aquí: https://help.instagram.com/519522125107875.

8.3. YouTube

Mantenemos un perfil en YouTube. El operador es Google Ireland Limited Gordon House, Barrow Street Dublín 4. Irlanda. La política de privacidad está disponible aquí: https://policies.google.com/privacy?hl=de.

8.4. LinkedIn

Mantenemos un perfil en LinkedIn. El operador es LinkedIn Ireland Unlimited Company, Wilton Place, Dublín 2, Irlanda. La política de privacidad está disponible aquí: https://www.linkedin.com/legal/privacy-policy?_l=de_DE. Una forma de oponerse al tratamiento de datos es a través de la configuración de los anuncios: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.

8.5. Xing

Mantenemos un perfil en Xing. El operador es New Work SE, Dammtorstraße 29-32, 20354 Hamburgo. La política de privacidad está disponible aquí: https://privacy.xing.com/de/datenschutzerklaerung.