GDPR: el compromiso de MegaMTA

• GDPR: el compromiso de MegaMTA
• Acceso, gestión y seguridad de datos
• Seguridad de aplicaciones y comunicaciones
• Seguridad en el procesamiento de datos
• Consentimiento
• Validez temporal del consentimiento
• Herramientas para el ejercicio de los derechos de los interesados

El GDPR otorga nuevos derechos a los usuarios. Gracias al cumplimiento de la plataforma, MegaMTA es capaz de responder preguntas de los usuarios que desean ejercer derechos sobre los datos.

• Derecho de rectificación: cualquier Usuario puede modificar sus datos en cualquier momento.
• Derecho al olvido: si un Usuario desea ejercer su derecho al olvido, puede cederlo directamente accediendo a la página "Su cuenta".
• Derecho a la portabilidad: cualquier Usuario puede exportar su información contenida en la plataforma en archivos .txt.
• Derecho de acceso: a través de la página "Su cuenta" puede acceder a la plataforma y ver toda la información que MegaMTA posee.

Cada Usuario de MegaMTA tiene la posibilidad de iniciar sesión con la dirección de correo electrónico utilizada para registrarse y para cada acceso se genera un token de acceso desechable que se envía por correo electrónico al Usuario. Todos los datos que el Usuario sube a la plataforma se guardan en nuestros sistemas, permitiendo al Usuario tener un control total en los métodos de gestión, investigación y acceso.

La arquitectura MegaMTA es, como las aplicaciones de "software como servicio" más modernas. Sin embargo, dado que la privacidad y seguridad de nuestros usuarios siempre ha sido nuestra prioridad, queríamos mantener una base de datos encriptada.

Esta solución nos permite tener varias ventajas, incluido un nivel muy alto de flexibilidad tanto en términos de recuperación de datos.

En la plataforma se han definido algunas reglas básicas que se consideran medidas adecuadas en el ámbito de la seguridad y el tratamiento de datos:

• Transmisión encriptada mediante SSL, tanto durante el acceso como cuando se utiliza la plataforma
• Token de acceso guardado en formato cifrado y no reversible (hash). Es posible que ninguno de los miembros del personal de MegaMTA lo conozca
• Las páginas de inicio de sesión adoptan controles para evitar accesos no autorizados y ataques de "fuerza bruta"
• Acceso a través del sistema de autenticación de dos factores
• Ponemos el registro de acceso detallado a disposición de los usuarios

La seguridad no se limita al uso de la plataforma, sino que también es un requisito de las comunicaciones enviadas. MegaMTA utiliza el estándar DKIM (DomainKeys Identified Mail) para enviar mensajes. Este es un sistema de autenticación que le permite "certificar" que el contenido del mensaje recibido por el destinatario es el enviado originalmente por el remitente.

De esta forma se cifra todo el correo electrónico, utilizando el protocolo TLS, lo que imposibilita su alteración y lectura no autorizada durante el transporte hasta llegar a su destino.

Además, nuestros sistemas verifican automáticamente todos los enlaces contenidos en los correos electrónicos, incluidas las redirecciones, para evitar el spam, el uso malintencionado de la plataforma y el robo de datos (incluidos los datos personales).

Los datos subidos a la plataforma se guardan y guardan a través de una copia de seguridad, para ser eliminados automáticamente dentro de los 20 días posteriores a la solicitud de cancelación por parte del Usuario.

MegaMTA cuenta con un equipo de cumplimiento y privacidad dedicado, que supervisa la seguridad de la organización y el cumplimiento de las leyes aplicables. Todas las personas que trabajan para MegaMTA, y en particular aquellas que puedan tener acceso a los datos del Usuario, han recibido la formación adecuada en materia de seguridad y privacidad y tienen disposiciones claras a seguir para salvaguardar la confidencialidad, integridad y disponibilidad de los datos.

Todo acceso está limitado por un sistema de permisos por función y finalidad de uso, lo que nos permite asegurarnos de que solo las personas autorizadas puedan tener acceso a los datos o servidores. Además, incluso el personal autorizado no puede ver los datos personales de los Usuarios sin una autorización adicional, siempre vinculada a una solicitud específica y rastreable por parte del Usuario o con la autorización previa del equipo de cumplimiento para verificar el comportamiento no conforme. Los roles y accesos se comprueban con regularidad.

El Reglamento establece que el responsable del tratamiento (MegaMTA) debe poder demostrar que el interesado ha dado su consentimiento para el tratamiento de sus datos personales. Para nosotros esto siempre ha sido una prioridad y por ello nuestros usuarios pueden encontrar todas las herramientas necesarias, siempre actualizadas, para gestionar mejor el consentimiento:

• Sistema de confirmación de registro (doble opt-in) implementado como estándar en nuestros formularios
• La página "Historial de la cuenta" del usuario es clara e incluye todos los elementos necesarios para demostrar el consentimiento del interesado

El GDPR establece que es responsabilidad del controlador de datos (MegaMTA) y sus administradores establecer los tiempos de retención de datos y asegurarse de que este período se limite al mínimo necesario.

MegaMTA conservará los Datos Personales procesados hasta que el Usuario reciba el consentimiento; Sin embargo, periódicamente se pregunta al Usuario de forma automática:

• Para renovar el consentimiento
• Para actualizar sus datos

En caso de que el Usuario revoque el consentimiento, MegaMTA ya no utilizará los Datos Personales del Usuario

Con el fin de permitir a los sujetos afectados por el tratamiento el ejercicio de los derechos previstos (acceso, cancelación, limitación al tratamiento, portabilidad) hemos entrado en las funciones del área "Tu Cuenta" de forma clara e intuitiva. Cada Usuario / destinatario puede ejercer directamente no solo el derecho de cancelación (opt-out) sino también el de acceder:

• Sepa qué datos se procesan a través de la plataforma
• Restringir su procesamiento
• Solicitar que no se le rastree
• Personalice el contenido de las comunicaciones
• Portabilidad: exportación de información personal

Con el fin de permitir que los sujetos involucrados en el procesamiento puedan ejercer el derecho de cancelación de sus datos personales, la plataforma MegaMTA ofrece la función "Baja para ejercicio del derecho al olvido": a través de esta función se dará de baja el interesado. y se eliminarán todos los datos adicionales, excepto la dirección de correo electrónico, la fecha de registro, la dirección IP de registro y el dispositivo utilizado para el registro, ya que pueden utilizarse para demostrar el consentimiento en el futuro.