Privacy Policy

5. ¿Qué datos personales trata Inverid?

Datos personales de usuarios de ReadID SaaS:

Inverid ofrece servicios de verificación de identidad a sus clientes. Esto implica que verificamos la identidad de los usuarios que hacen uso de ReadID SaaS. El tratamiento de datos personales por parte de Inverid se realiza de acuerdo con la política de privacidad del cliente y esta Política de Privacidad. Podemos recopilar y tratar los siguientes datos personales:

• Datos personales contenidos en el chip de un documento (oficial) de identidad válido, como un pasaporte, documento de identidad o licencia de conducir.
• Datos presentes en la página de información del titular del documento, tanto en el anverso como en el reverso.
• Escaneo biométrico facial, utilizado para verificar que la persona coincide con la imagen en su documento de identidad.
• Dirección IP del usuario.

Estos datos, junto con información no personal, como los resultados de las verificaciones que realizamos, se comparten con el cliente de acuerdo con el contrato de tratamiento de datos.

Para mejorar el rendimiento de ReadID SaaS, necesitamos recopilar información de uso anonimizada, que nos permite detectar problemas con documentos de identidad de determinados países. Esta información no contiene datos personales, y no podemos asociarla directa o indirectamente a ninguna persona específica. La información se utiliza exclusivamente para mejorar la calidad de ReadID, y se conservará solo el tiempo necesario para cumplir con este propósito.

Inverid recopila la siguiente información de uso a través del SDK de ReadID SaaS:

• Datos del teléfono, incluyendo el tipo de dispositivo, versión del sistema operativo (Android o iOS) y tamaño de la memoria. No recopilamos información que identifique de manera exclusiva un dispositivo en particular.
• Información sobre el documento de identidad escaneado: tipo de documento, éxito o fallo en el escaneo, país emisor, certificado de firma almacenado en el chip y fecha de vencimiento. Recopilamos esta fecha de vencimiento para identificar la versión del documento escaneado.
• Información sobre la usabilidad: duración de los distintos pasos del proceso, si el usuario los completa, y la frecuencia de uso.

Inverid utiliza servidores bajo su control, aunque los datos de uso se alojan en servidores de terceros.

Datos personales de representantes de clientes:

Para celebrar acuerdos con Inverid, ofrecer nuestros servicios, y para fines de comunicación con los representantes de nuestros clientes, tratamos los siguientes datos personales:

• Información personal del representante, como nombre, cargo, puesto e información de contacto.
• Información relacionada con el servicio, como las credenciales de acceso al portal de administración de ReadID, incluyendo nombre de usuario, correo electrónico y número de teléfono móvil.

Datos personales de visitantes:

Podemos recopilar datos personales cuando interactúa con nuestro sitio web (por ejemplo, mediante el uso de cookies), recibe, se suscribe a nuestro boletín, participa en seminarios web de Inverid (por ejemplo, al registrarse) y/o solicita empleo en Inverid. Los datos personales pueden incluir:

• Información personal, como dirección IP, hora y ubicación.
• Datos sobre el uso del sitio web, como páginas visitadas, fecha y hora de la visita, archivos descargados y las URL visitadas antes y después de acceder a nuestro sitio web.
• Direcciones de correo electrónico, en caso de suscripción a boletines, descarga de contenido o registro en seminarios web.
• Información de contacto, si decide comunicarse con Inverid para informar un problema bajo nuestra Política de Divulgación Coordinada de Vulnerabilidades. Con su consentimiento, podemos incluir su nombre en nuestro Salón de la Fama.
• Currículum y carta de motivación de los solicitantes de empleo.

Datos personales de usuarios de ReadID Me:

ReadID Me está disponible a través de Play Store y App Store para uso personal. La aplicación permite a los usuarios consultar la información contenida en el chip de su documento de identidad. Inverid no recibe ni trata datos personales de los usuarios de ReadID Me, ya que la aplicación procesa los datos exclusivamente en el dispositivo del usuario y no envía información a ningún servidor.

De manera similar a ReadID SaaS, la aplicación ReadID Me recopila información de uso anonimizada que utilizamos para mejorar nuestros servicios. No almacenamos información personal ni identificamos a los usuarios de ReadID Me.

Datos personales de usuarios de ReadID Client-Only:

En este caso, Inverid no trata ningún dato personal. El cliente es responsable del tratamiento de los datos y de la protección de la privacidad de los mismos. Además, Inverid no recopila datos de uso anónimos en esta modalidad.

6. ¿Cómo obtiene Inverid sus datos personales?

Cómo obtenemos los datos personales de un usuario de ReadID SaaS:

Recibimos sus datos personales a través del proceso de verificación de identidad realizado en nombre del servicio de atención al cliente que usted utiliza. El cliente, que es el responsable del tratamiento, nos ha autorizado contractualmente para tratar sus datos en su nombre como parte del servicio que le proporciona.

Cómo obtenemos los datos personales del representante de un cliente:

Recopilamos estos datos directamente de usted cuando se comunica con nosotros, ya sea a través de correo electrónico, por teléfono o mediante nuestras herramientas de atención al cliente. También podemos obtener sus datos personales durante la prestación de nuestros servicios a su empleador o a través de fuentes públicas, solo en la medida en que sea necesario y relevante. Esto puede incluir la verificación de su identidad y la validación de su derecho de representación, según el servicio ofrecido.

Cómo obtenemos los datos personales de los visitantes:

Cuando visita nuestro sitio web, recopilamos información a través de cookies. Estas cookies mejoran su experiencia de navegación y nos proporcionan datos que podemos utilizar para futuras optimizaciones. Las cookies que utilizamos provienen de plataformas como HubSpot, HotJar, YouTube y DoubleClick.

Nuestro sitio web utiliza varios tipos de cookies:

• Cookies estrictamente necesarias: esenciales para el funcionamiento del sitio web, no se pueden desactivar.
• Cookies de preferencia: permiten que el sitio web recuerde preferencias que influyen en la apariencia y funcionalidad del sitio.
• Cookies analíticas: nos ayudan a entender cómo interactúan los visitantes con el sitio web, recopilando información de manera anónima.
• Cookies de segmentación: utilizadas para crear un perfil de sus intereses, permitiendo la presentación de anuncios relevantes. No almacenan datos personales directamente identificables.

Puede gestionar sus preferencias de cookies a través del botón de configuración disponible en nuestro sitio web y eliminar las cookies almacenadas en su navegador en cualquier momento.

Cómo obtenemos los datos personales de los solicitantes de empleo:

Utilizamos la plataforma de contratación HomeRun para gestionar los formularios de solicitud de empleo y los datos personales asociados. Para más detalles, consulte la política de privacidad de HomeRun. Si solicita un empleo, nos proporciona sus datos directamente durante el proceso de solicitud.

Cómo obtenemos los datos personales de los usuarios de ReadID Me:

Inverid no recopila ningún dato personal a través de la aplicación ReadID Me, ya que está diseñada para su uso personal. Sin embargo, recopilamos ciertos metadatos no personales durante el uso de la aplicación, como se describe previamente, con el fin de mejorar el servicio.

Cómo obtenemos los datos personales de los usuarios de ReadID Client-Only:

En el caso de la versión Client-Only, Inverid no obtiene ningún tipo de dato personal ni de otro tipo de la aplicación. El cliente es responsable exclusivo de la gestión de los datos personales.

7. ¿Por qué y con qué fundamento Inverid trata datos personales?

Inverid solo puede tratar sus datos personales si existe una base legal para hacerlo, lo cual depende del tipo de relación y servicio en cuestión.

Fundamento para el tratamiento de datos de un usuario de ReadID SaaS:

Tratamos sus datos personales como encargado del tratamiento, en nombre del cliente, para cumplir con el acuerdo que tenemos con él. Por lo tanto, la base legal para el tratamiento proviene del cliente y del servicio que le proporciona a usted. Consulte también la política de privacidad del cliente. También puede existir un interés legítimo en mejorar el servicio, como la resolución de problemas, análisis de datos, prevención de fraudes, mantenimiento del sistema y soporte.

Fundamento para el tratamiento de datos de representantes de clientes:

Tratamos sus datos personales para cumplir con el contrato que tenemos con su empleador (nuestro cliente). También puede existir un interés legítimo para mantener una relación de confianza con el cliente, como la prevención del fraude o la realización de estudios de mercado y mejoras del producto. Esto puede incluir la comunicación con representantes de clientes actuales y potenciales.

Fundamento para el tratamiento de datos de visitantes:

El tratamiento de los datos personales de los visitantes de nuestro sitio web generalmente se basa en el consentimiento que usted otorga, por ejemplo, al aceptar el uso de cookies o al suscribirse a nuestro boletín informativo. Puede revocar su consentimiento en cualquier momento, pero cualquier tratamiento realizado antes de la revocación seguirá siendo legal. Si revoca su consentimiento, es posible que algunos servicios no estén disponibles, y le informaremos si esto ocurre.

Cuando solicite un empleo, tratamos sus datos personales bajo el fundamento de un interés legítimo.

Fundamento para el tratamiento de datos de usuarios de ReadID Me:

Inverid no trata datos personales en el contexto de ReadID Me, por lo que no se requiere una base legal para el tratamiento de datos personales. Solo tratamos datos no personales para mejorar nuestro servicio.

Fundamento para el tratamiento de datos de usuarios de ReadID Client-Only:

En esta modalidad, Inverid no trata ningún dato personal ni como responsable ni como encargado del tratamiento. El cliente es el único responsable del tratamiento de los datos y de cumplir con las bases legales correspondientes.

Cumplimiento de obligaciones legales: Además de los fundamentos mencionados, Inverid puede estar obligada a tratar datos personales para cumplir con ciertas obligaciones legales, como requisitos fiscales, órdenes judiciales o investigaciones policiales.

Si el tratamiento de sus datos personales se realiza para un propósito diferente al que originalmente fueron recopilados, evaluaremos cuidadosamente si dicho nuevo tratamiento es legal, en caso de no basarse en su consentimiento previo.

8. ¿Durante cuánto tiempo conserva Inverid sus datos personales?

Inverid retiene sus datos personales solo durante el tiempo necesario para cumplir con los fines específicos para los que fueron recopilados, o para cumplir con las leyes y regulaciones aplicables. A continuación, se detallan los diferentes períodos de retención según el tipo de usuario y los datos tratados:

Períodos de retención de los datos de usuario de ReadID SaaS:

• Máximo de 50 días: Las sesiones de ReadID SaaS que contienen datos personales se retienen durante un máximo de 50 días. Se recomienda a los clientes establecer un período más corto, como unos pocos días, y/o solicitar la eliminación inmediata tras recibir los resultados de la verificación.
• Eliminación permanente: Al eliminarse una sesión de ReadID, los datos se eliminan permanentemente de la base de datos. Sin embargo, permanecen en las copias de seguridad durante un máximo de 14 días, aunque este período puede reducirse a petición del cliente.
• En caso de que utilicemos subencargados para realizar biometría facial con fines de verificación del titular del documento de identidad o para realizar el tratamiento óptico de imágenes de documentos, les solicitamos que conserven los datos personales recopilados solo durante el tiempo que sea necesario para lograr el propósito para el cual se recopilaron los datos. Esto también se establece en el anexo de tratamiento de datos del acuerdo contractual con el cliente.
• Extensión por fraude: Si existen sospechas razonables de fraude, el período de retención puede extenderse hasta que ya no existan dichos motivos.
• Datos no personales: Los datos no personales recopilados en sesiones ReadID Ready y SDK con SaaS se retienen mientras sean necesarios para mejorar los servicios.

Períodos de retención de datos de representantes de clientes:

• Siete (7) años: Los datos personales tratados en el contexto de un acuerdo con el cliente se archivan durante siete años después de la finalización del contrato.
• Eliminación inmediata: Los datos de los representantes que requirieron acceso al portal de administración ReadID o a servicios relacionados se eliminan tras la eliminación de la cuenta.

Períodos de retención de datos de visitantes:

• Los datos recopilados basados en su consentimiento (por ejemplo, para boletines o cookies) se tratan hasta que retire su consentimiento.
• Tres (3) años: Los nombres en el "Salón de la Fama" se eliminan tras tres años.
• Un (1) mes: Los datos personales de solicitantes de empleo no seleccionados (como CVs y cartas de motivación) se eliminan después de un mes.

Períodos de retención de los datos de usuario de ReadID Me:

• Inverid solo trata datos no personales en este contexto, que se conservan mientras sean necesarios para mejorar el servicio.

Períodos de retención de los datos de usuario de ReadID Client-Only:

• Dado que Inverid no trata datos personales en este contexto, no se aplican políticas de retención. Consulte la política de privacidad del cliente que ofrece esta versión del servicio.

Reglas generales para la eliminación de datos:

• Cuando los datos ya no sean necesarios para los fines mencionados, se eliminarán o anonimizarán permanentemente.
• Motivos legales: Si existe una obligación legal (como una orden judicial), Inverid puede retener los datos por más tiempo de lo estipulado.

9. ¿Inverid transfiere sus datos personales a otras partes y a países fuera de la UE?

A menos que se indique lo contrario en esta Política de privacidad o se le comunique de forma separada, Inverid puede divulgar sus datos personales a los responsables de datos para los que actuamos como encargados del tratamiento (por ejemplo, nuestros clientes) y a nuestros proveedores de servicios autorizados (subencargados), así como a cualquier persona que tenga derecho legal a recibir sus datos personales. Inverid también utiliza proveedores externos de TI y proveedores de servicios de cookies. Hemos evaluado diligentemente que estos proveedores cumplan con los requisitos de protección de datos.

Transferencia de datos de usuario de ReadID SaaS

Inverid utiliza proveedores de servicios externos (subencargados) para llevar a cabo la verificación óptica de documentos de identidad y para realizar detección de vida y comparación de rostros. Solo compartimos los datos personales necesarios para que estos proveedores cumplan con sus funciones.

Los subencargados autorizados actuales contratados para el servicio ReadID se enumeran a continuación, junto con enlaces a sus políticas de privacidad:

• Proveedor de nube pública:
  • Amazon Web Services (AWS), Inc. Utilizamos varias regiones de AWS según la ubicación de nuestros clientes. Las ubicaciones actuales son Irlanda, Frankfurt, Londres y Sídney. La política de privacidad general de AWS se puede encontrar aquí: Política de Privacidad de AWS. Amazon Web Services EMEA SARL actúa como representante autorizado de AWS, Inc. en el Espacio Económico Europeo (EEE). Para más detalles, consulte los anexos de tratamiento de datos de AWS: DPA de AWS y Addendum Suplementario de DPA de AWS.
  • Open Telekom Cloud, T-Systems International GmbH. Para consultar el anexo de tratamiento de datos, consulte aquí.
  • Microsoft Azure, utilizado como reserva en frío para asegurar la continuidad. Contamos con un acuerdo con Microsoft Ireland Operations Limited para el alojamiento de servidores ReadID en Irlanda como ubicación preferente. Para más información, consulte la política de privacidad de Azure aquí y el anexo de tratamiento de datos más reciente aquí.
• Proveedor de verificación biométrica:
  • iProov Ltd: Política de privacidad de iProov.
• Proveedores de verificación óptica:
  • Veriff ÖU: Política de privacidad de Veriff.
  • Onfido Ltd: Política de privacidad de Onfido.

Tenga en cuenta que estos subencargados también pueden recurrir a subencargados ellos mismos.

Legalidad de la transferencia de datos

Inverid solo comparte sus datos personales con terceros cuando lo permite la legislación de privacidad y protección de datos aplicable. Inverid puede proporcionar datos personales a terceros cuando:

• Es necesario para ejecutar el contrato con usted.
• Usted ha dado su consentimiento.
• Inverid tiene un interés legítimo.
• Inverid está legalmente obligado a hacerlo.

Todos nuestros datos se alojan y procesan en el Espacio Económico Europeo (EEE), excepto los datos personales tratados para clientes de ReadID que se encuentran fuera del EEE o que requieren que realicemos una verificación óptica o biométrica por parte de subencargados. En estos casos, el tratamiento se realiza en el Reino Unido, donde la transferencia de datos personales es legal gracias a una decisión de la Comisión Europea sobre la adecuación de la protección de datos. Para más información sobre el tratamiento de sus datos personales en este contexto, consulte también la política de privacidad del cliente.

Transferencia de datos de representantes de clientes

Los datos personales de los representantes de clientes pueden compartirse con nuestros socios de publicidad y marketing, empresas que realizan encuestas de satisfacción, agencias de cobranza de deudas, registros de crédito, autoridades y organizaciones que intermedian o proporcionan servicios de correo electrónico, cumplimiento o pago, entre otros. Los datos personales necesarios para acceder a los datos de sesión de ReadID pueden compartirse con los proveedores de nube pública mencionados anteriormente.

Transferencia de datos de visitantes

Los datos de visitantes pueden transferirse a proveedores externos de TI y proveedores de servicios de cookies. Hemos evaluado que estos proveedores cumplen con los requisitos de protección de datos.

Transferencia de datos de usuario de ReadID Me

Inverid no trata datos personales en este contexto. Solo se transfieren metadatos a los proveedores de nube pública mencionados anteriormente para su posterior tratamiento.

Transferencia de datos de solo cliente de ReadID

No se requiere una política de transferencia ya que no tratamos datos personales en este contexto. Consulte la política de privacidad del cliente que ofrece la versión solo para clientes de ReadID.

10. ¿Están seguros mis datos?

Inverid ha implementado las medidas de seguridad organizativas, técnicas y contractuales necesarias para proteger sus datos personales contra pérdida accidental, acceso no autorizado, alteración o divulgación. Algunos ejemplos de controles organizativos incluyen políticas de seguridad relacionadas con el tratamiento de datos, nuestras certificaciones de seguridad y nuestro código de conducta. Los controles técnicos implican el cifrado de datos personales tanto en reposo como en tránsito, y controles de acceso que incluyen autenticación robusta. Estos controles están establecidos contractualmente. Como parte de nuestro contrato con el cliente, existe un Anexo de Tratamiento de Datos cuyo propósito es proteger a los usuarios de ReadID y a los representantes de los clientes, estableciendo expectativas claras sobre el manejo de sus datos personales.

Hemos establecido procedimientos para abordar cualquier sospecha de violación de datos personales y notificaremos a nuestro cliente, a cualquier autoridad de protección de datos relevante e incluso a usted directamente sobre una violación cuando estemos legalmente obligados a hacerlo.

Dentro de Inverid, solo el personal cuya función laboral lo requiere tiene acceso a sus datos personales. Todas estas personas están sujetas a un deber de confidencialidad y son evaluadas periódicamente. Contamos con un Sistema de Gestión de Seguridad de la Información certificado (ISO 27001:2022) y de Privacidad de la Información (ISO 27701:2019). Como parte de nuestras certificaciones, nuestras medidas de seguridad para proteger sus datos personales son evaluadas anualmente por un auditor externo independiente. Todos nuestros subencargados del tratamiento de datos también cuentan, como mínimo, con la certificación ISO 27001.

11. ¿Cuáles son sus derechos?

Usted tiene derecho a:

• Solicitar información sobre los datos personales que tratamos y las actividades que realizamos con ellos.
• Acceder a sus datos personales.
• Rectificar sus datos personales.
• Eliminar sus datos personales.
• Solicitar la portabilidad de sus datos personales (si es técnica y legalmente posible).
• Oponerse a un tratamiento específico de sus datos personales.
• Retirar su consentimiento en cualquier momento.

Para ejercer estos derechos, por favor envíe un correo electrónico a dpo@inverid.com.

Tenga en cuenta que si su solicitud se refiere a datos que hemos tratado como encargados del tratamiento (es decir, en el curso de nuestra prestación de servicios), deberá dirigir su solicitud al cliente, quien es el responsable del tratamiento de sus datos personales. Le informaremos al respecto si es necesario.

Cuando ejerza sus derechos, es posible que necesitemos solicitarle información específica para ayudarnos a confirmar su identidad y garantizar su derecho a acceder a sus datos personales (o a ejercer cualquiera de sus otros derechos legales). Esto es una medida de seguridad para asegurar que sus datos personales no se divulguen a personas que no tienen derecho a recibirlos.

También podemos ponernos en contacto con usted para solicitarle información adicional relacionada con su solicitud, con el fin de agilizar nuestra respuesta.

Intentamos responder a todas las solicitudes legítimas en el plazo de un mes. Ocasionalmente, podría tomar más tiempo si su solicitud es especialmente compleja o si ha realizado varias solicitudes. En tal caso, se lo notificaremos y le mantendremos informado.

12. ¿Cómo puede contactar con nuestro Responsable de Protección de Datos (DPO)?

Inverid ha designado un Responsable de Protección de Datos (DPO). El DPO supervisa la aplicación y el cumplimiento de las leyes de protección de datos, como el Reglamento General de Protección de Datos (RGPD). Si no está satisfecho con la forma en que se ha gestionado una consulta o una reclamación, puede ponerse en contacto con el DPO a través de dpo@inverid.com. Además, puede plantear una pregunta o presentar una reclamación ante la Autoridad Neerlandesa de Protección de Datos (Autoriteit Persoonsgegevens). Tenga en cuenta que, en la mayoría de los casos, Inverid actúa como encargado del tratamiento de datos personales de sus clientes, es decir, no como responsable del tratamiento. En tales casos, es posible que le redirijamos al responsable del tratamiento de sus datos personales.

13. ¿Podemos cambiar esta Política de Privacidad?

Sí, nuestra Política de Privacidad puede cambiar de vez en cuando. Siempre encontrará la versión más actualizada en: inverid.com/privacy y en las páginas web relacionadas.

La política actual ha sido actualizada en 18-10-2024 e integra las tres políticas de privacidad independientes que teníamos anteriormente para nuestro sitio web Inverid y los diversos productos ReadID en una sola política.