Legal/Compliance pregunta: Base legal y documentos RODO para Empatyzer

Empatyzer proporciona plantillas y documentación RODO que incluyen un acuerdo de encargo de tratamiento (DPA) con roles y obligaciones definidos y la descripción de las medidas técnicas y organizativas de seguridad. Cuando el perfilado o el tratamiento pueden tener un impacto significativo en los derechos de las personas, realizamos o apoyamos la elaboración de una DPIA y facilitamos un resumen con las medidas mitigadoras. Operamos con alojamiento de datos en servidores ubicados en la UE, cifrado en reposo y en tránsito, separación lógica de datos por cliente, control de accesos y registros de auditoría. Respecto a la base legal, recomendamos evaluar cada escenario: los tratamientos agregados y analíticos suelen sustentarse en el interés legítimo del responsable; los tratamientos que generan resultados individuales o funciones con implicaciones personales normalmente requieren ejecución de contrato o, en ciertos casos, consentimiento informado, dada la posible asimetría entre empleado y empleador. Nuestra política de retención se basa en la minimización: los datos personales en bruto se conservan por periodos limitados establecidos en un calendario y después se anonimizan para su uso en informes agregados; la eliminación de una cuenta borra los datos operativos y los excluye de las estadísticas agregadas conforme al procedimiento. Empatyzer no facilita resultados individuales sin agregación y aplica umbrales de tamaño y técnicas de anonimización en los informes para reducir el riesgo de identificación y abuso. En contratos y términos prohibimos expresamente el uso de la herramienta para evaluaciones formales de personal y establecemos cláusulas contra usos dañinos, aunque es imprescindible que el cliente implemente políticas internas de uso y protocolos de escalado. Para la ejecución de derechos disponemos de un procedimiento detallado: cómo presentar solicitudes, plazos de respuesta, verificación de identidad y gestión de rectificaciones, limitaciones, supresión y portabilidad. Ante un incidente de seguridad notificamos al cliente con prontitud, como máximo en cinco días laborables, y proporcionamos registros y medidas correctoras; el cliente, como responsable, decide sobre las notificaciones a las autoridades competentes. No utilizamos datos de clientes para entrenar modelos públicos; este compromiso figura en el contrato y el acceso del proveedor está limitado, auditado y registrado.

Documentos disponibles: DPA, modelo o resumen de DPIA, política de retención, guía para ejercer derechos y descripción de medidas de seguridad y procedimientos de incidentes; la base legal y la configuración se acuerdan con cada cliente.