1. Quién es el Responsable del Tratamiento

El Responsable del Tratamiento es Informatica in Azienda di Emanuel Celano, la organización que gestiona la Certificación DAPI (el “Servicio”). Nuestro enfoque de protección de datos se basa en transparencia, minimización de datos y respeto de sus derechos fundamentales en virtud del RGPD (Reglamento UE 2016/679) y otras normativas de privacidad aplicables.

2. Qué Datos Tratamos

Dependiendo de su solicitud de servicio y de cómo interactúe con DAPI, podríamos tratar las siguientes categorías de datos personales:

• Datos identificativos y de contacto: Nombre, apellidos, dirección de correo electrónico, país de residencia, y cualquier información adicional que proporcione voluntariamente en el formulario de solicitud de certificación, en las comunicaciones por correo electrónico o en las interacciones de soporte.
• Archivos de verificación enviados por usted (los “Archivos de Certificación”): Habitualmente hasta cuatro archivos relacionados con la identidad, que incluyen: (1) documento de identidad oficial emitido por el gobierno (pasaporte, documento nacional de identidad, carné de conducir), (2) fotografía facial frontal, (3) grabación de audio de la voz, y (4) breve vídeo de verificación. Los archivos específicos requeridos pueden variar según su paquete de certificación.
• Metadatos técnicos generados durante la certificación: Nombres de los archivos originales (tal como usted los proporcionó), tamaños de los archivos, formatos de los archivos, hashes criptográficos SHA-256, certificados de sello de tiempo cualificado, código de certificación DAPI, fecha de certificación y registros de proceso internos que documentan la cadena de custodia y los procedimientos de verificación de la integridad.
• Datos de uso del sitio web y datos técnicos: Cuando visita nuestro sitio web, recopilamos información técnica limitada que incluye dirección IP, cadena de agente de usuario, tipo de dispositivo, información del navegador, URL de referencia, páginas visitadas y marcas de tiempo. Estos datos se recopilan mediante registros del servidor y, si están habilitadas, cookies analíticas para la optimización de la seguridad y el rendimiento del sitio web.
• Registros de comunicaciones: Correos electrónicos, mensajes y otras comunicaciones entre usted y el soporte de DAPI relacionados con su solicitud de certificación, entrega o consultas de información.

3. Qué NO Hacemos

DAPI está construido sobre principios de privacidad ante todo. Para ser absolutamente claros sobre lo que NO hacemos con sus datos:

• NO creamos una base de datos biométrica pública. DAPI no es un registro biométrico, una plataforma de verificación de identidad ni una base de datos con función de búsqueda. Sus datos biométricos se utilizan exclusivamente para su certificación privada y no se almacenan de ninguna forma que permita la búsqueda, la correspondencia o la comparación con otros usuarios.
• NO publicamos ni hacemos pública su certificación. Su paquete de certificación, su certificado y todos los materiales relacionados son privados. Nada se indexa por los motores de búsqueda, se hace accesible públicamente ni se publica en línea. Solo usted recibe los entregables de la certificación.
• NO creamos perfiles con función de búsqueda ni insignias de verificación. No existe un “perfil DAPI” público asociado a su nombre o identidad. La certificación existe exclusivamente como paquete probatorio privado en su poder.
• NO vendemos, alquilamos ni intercambiamos datos personales. Sus datos nunca se venden a terceros, intermediarios de datos, anunciantes ni empresas de marketing. Sin excepción.
• NO utilizamos sus datos biométricos para fines no relacionados con su certificación. Sus fotografías faciales, grabaciones de voz y vídeos de verificación se procesan exclusivamente para generar su certificación solicitada – nunca para sistemas de reconocimiento facial, productos de análisis de voz, conjuntos de datos de entrenamiento de IA ni ningún otro fin.

4. Finalidades del Tratamiento

Tratamos sus datos personales únicamente para finalidades legítimas, específicas y claramente definidas. Cada actividad de tratamiento se limita a lo necesario para alcanzar dicha finalidad.

• Prestación del servicio y ejecución del contrato: Para ejecutar el servicio de certificación DAPI que usted ha solicitado, incluyendo la recepción de archivos, la generación de hashes, la aplicación del sello de tiempo, la creación del certificado, el control de calidad y la entrega segura del paquete completo de certificación.
• Integridad y valor probatorio: Para generar hashes criptográficos (SHA-256), aplicar sellos de tiempo cualificados (conformes a eIDAS), crear documentación de la cadena de custodia y producir pruebas forenses que respalden la autenticidad y la prueba temporal de sus materiales certificados.
• Seguridad y prevención del fraude: Para proteger el Servicio contra el uso indebido, los intentos de suplantación, las solicitudes de certificación fraudulentas, los accesos no autorizados y el abuso de nuestros sistemas. Esto incluye la verificación de la legitimidad y la supervisión de la seguridad.
• Soporte al cliente y comunicación: Para responder a sus preguntas, proporcionar asistencia técnica, dar instrucciones seguras para el envío de archivos, ayudar con el uso del certificado y resolver cualquier problema relacionado con su certificación.
• Cumplimiento legal y obligaciones normativas: Para satisfacer los requisitos establecidos por las leyes aplicables, incluidas las obligaciones contables, las normativas fiscales, las normas contra el blanqueo de capitales (cuando sean aplicables) y la respuesta a solicitudes legítimas de autoridades competentes.
• Mejora del servicio: Para analizar patrones de uso agregados y anonimizados (no datos individuales) con el fin de mejorar el rendimiento del sitio web, las medidas de seguridad y la eficiencia del proceso de certificación.

5. Base Jurídica del Tratamiento

En virtud del RGPD y de las leyes de protección de datos aplicables, tratamos los datos personales sobre la base de uno o más de los siguientes fundamentos jurídicos:

• Ejecución de un contrato (RGPD Art. 6(1)(b)): El tratamiento es necesario para ejecutar el servicio de certificación DAPI que usted ha solicitado y del que es parte. Esto cubre la prestación del servicio, el procesamiento de archivos, la generación del certificado y la entrega.
• Obligación legal (RGPD Art. 6(1)(c)): El tratamiento es necesario para cumplir con las obligaciones legales, incluidos los requisitos contables, las normativas fiscales y las respuestas a solicitudes legítimas de autoridades competentes (tribunales, fuerzas del orden, organismos reguladores).
• Intereses legítimos (RGPD Art. 6(1)(f)): El tratamiento es necesario para nuestros intereses legítimos en: (a) mantener la seguridad del sitio web y prevenir abusos, (b) prevención del fraude y verificación de la legitimidad, (c) proteger nuestros sistemas y la propiedad intelectual, (d) administración interna y operaciones comerciales. Ponderamos cuidadosamente estos intereses con sus derechos y libertades.
• Consentimiento (RGPD Art. 6(1)(a)): Solo cuando el tratamiento se basa exclusivamente en su consentimiento voluntario (por ejemplo, comunicaciones de marketing opcionales si están habilitadas, o cookies analíticas opcionales). Tiene derecho a revocar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento antes de su revocación.

6. Minimización y Conservación de Datos

DAPI está específicamente diseñado para minimizar la conservación de contenidos biométricos sensibles manteniendo la verificabilidad y el valor legal de las certificaciones emitidas. Seguimos estrictos principios de minimización de datos.

Archivos de Certificación (Datos Biométricos)

Sus archivos de identidad (documento de identidad, fotografía facial, grabación de voz, vídeo de verificación) se procesan exclusivamente para producir su paquete de certificación y NO se conservan más tiempo del necesario para la entrega y el control de calidad:

• Eliminación: Los archivos se eliminan de forma permanente en un plazo de 48 horas desde la entrega de la certificación.
• Eliminación de los correos electrónicos: Los correos que contienen sus archivos se eliminan de los servidores de correo en un plazo de 30 días desde la entrega de la certificación.

Metadatos de Certificación (Conservados)

Los siguientes metadatos técnicos se conservan de forma permanente porque son necesarios para mantener la verificabilidad y el valor legal de su certificación emitida:

• Hashes criptográficos (SHA-256): Huellas digitales que no pueden descifrarse para reconstruir los archivos originales
• Certificados de sello de tiempo cualificado: Marcas de tiempo RFC 3161 que prueban la fecha de certificación
• Metadatos básicos: Su nombre, código DAPI, fecha de certificación, especificaciones técnicas de los archivos
• Registros de proceso: Documentación de la cadena de custodia y registros de verificación de la integridad
• Acuses de recibo de entrega: Confirmación de que el paquete de certificación ha sido entregado

Otros Períodos de Conservación de Datos

• Comunicaciones de soporte: Conservadas con fines operativos hasta 2 años, o más si lo exigen obligaciones legales/contables
• Registros del sitio web y análisis: Habitualmente conservados entre 6-12 meses para análisis de seguridad y rendimiento
• Registros contables/fiscales: Conservados durante los períodos exigidos por la ley (habitualmente 10 años en Italia)

7. Dónde se Almacenan y Tratan los Datos

Los datos se tratan a través de canales controlados y seguros con acceso limitado:

• Procesamiento de la certificación: Accesible únicamente al experto forense responsable de la certificación.
• Comunicaciones por correo electrónico: Gestionadas mediante proveedores de correo electrónico certificado (PEC) y servicios de correo seguros conformes con los estándares italianos y europeos de protección de datos.
• Alojamiento del sitio web: Infraestructura situada en centros de datos de la UE con las certificaciones de seguridad y conformidad con el RGPD apropiadas.
• Almacenamiento de metadatos: Metadatos de certificación conservados (hashes, sellos de tiempo, registros de proceso) almacenados en servidores seguros en Italia/UE con copias de seguridad cifradas.

El acceso a sus datos está estrictamente limitado al personal autorizado directamente involucrado en el procesamiento de la certificación, la entrega y el soporte. Implementamos controles de acceso basados en roles, registro de auditorías y principios de necesidad de conocimiento.

8. Compartición de Datos y Destinatarios

No compartimos sus Archivos de Certificación ni sus datos personales con terceros excepto cuando sea necesario para prestar el servicio o cuando lo exija la ley. Los posibles destinatarios incluyen:

• Proveedores de servicios de sello de tiempo: Autoridades de sello de tiempo cualificadas eIDAS que generan marcas de tiempo RFC 3161. Estos proveedores reciben únicamente datos técnicos (hashes), no sus archivos biométricos ni información de identificación personal.
• Proveedores de correo/comunicación: Servicios de correo electrónico certificado (PEC) y plataformas de comunicación seguras utilizadas para enviar instrucciones y entregar su paquete de certificación. Estos proveedores tratan los datos como encargados del tratamiento bajo estrictas obligaciones contractuales.
• Proveedores de infraestructura y alojamiento: Alojamiento de servidores, servicios de copia de seguridad e infraestructura técnica necesaria para el almacenamiento seguro y el funcionamiento del sitio web. Seleccionados en función de su conformidad con el RGPD y los estándares de seguridad apropiados.
• Autoridades legales y reguladoras: Tribunales, fuerzas del orden, autoridades fiscales u otras autoridades competentes cuando la divulgación sea requerida por una solicitud legal válida, una orden judicial o la ley aplicable.
• Asesores profesionales: Asesores jurídicos, contables o auditores cuando sea necesario para el cumplimiento legal, la resolución de disputas u obligaciones financieras (bajo obligaciones de secreto profesional).

9. Transferencias Internacionales

DAPI da prioridad al tratamiento de datos dentro de la Unión Europea para beneficiarse de las sólidas protecciones del RGPD. Sin embargo, si los datos deben transferirse fuera de la UE/EEE (por ejemplo, si usted se encuentra fuera de Europa o si determinados proveedores de servicios operan a nivel internacional), adoptamos las garantías requeridas por la ley:

• Cláusulas Contractuales Tipo (CCT): Términos contractuales aprobados por la Comisión de la UE que garantizan una protección de datos adecuada en países sin decisiones de adecuación de la UE.
• Decisiones de adecuación: Transferencias hacia países reconocidos por la Comisión de la UE como proveedores de una protección de datos adecuada (Reino Unido, Suiza, Japón, etc.).
• Garantías adicionales: Cifrado en tránsito y en reposo, controles de acceso, certificaciones de seguridad y compromisos contractuales por parte de los destinatarios.

Contáctenos si necesita información específica sobre las transferencias internacionales relevantes para su certificación, incluidos detalles sobre las garantías aplicadas y copias de los mecanismos de transferencia pertinentes.

10. Medidas de Seguridad

Implementamos medidas de seguridad técnicas y organizativas apropiadas a la sensibilidad de los datos, incluida la información biométrica. Las medidas de seguridad incluyen (cuando sea pertinente):

• Controles de acceso: Acceso basado en roles, autenticación robusta, principios de mínimo privilegio y registro de auditorías de todos los accesos a datos sensibles.
• Cifrado: Cifrado TLS/SSL para datos en tránsito (sitio web, correo electrónico) y cifrado en reposo para datos sensibles almacenados y copias de seguridad.
• Integridad criptográfica: El hashing SHA-256 garantiza la integridad de los archivos y detecta cualquier modificación no autorizada.
• Supervisión y registro: Monitoreo de seguridad, detección de intrusiones, rastros de auditoría y revisiones periódicas de seguridad.
• Respuesta a incidentes: Procedimientos documentados para la detección, respuesta y notificación de incidentes de seguridad, incluidas las violaciones de datos.

11. Cookies y Seguimiento

DAPI utiliza cookies y tecnologías similares para funcionalidades esenciales del sitio web, seguridad y (opcionalmente) análisis. Nuestro enfoque:

• Cookies esenciales: Necesarias para el correcto funcionamiento del sitio web (gestión de sesiones, seguridad, balanceo de carga). No pueden deshabilitarse y no requieren consentimiento ya que son estrictamente necesarias.
• Cookies de seguridad: Utilizadas para prevenir abusos, detectar actividades sospechosas y proteger contra ataques (p. ej., limitación de velocidad, detección de bots).
• Cookies analíticas (si están habilitadas): Nos ayudan a comprender cómo los visitantes utilizan el sitio web (páginas vistas, patrones de navegación, tasas de error) para mejorar la experiencia del usuario. Las cookies analíticas están deshabilitadas por defecto y requieren su consentimiento.
• Cookies de marketing: DAPI no utiliza cookies de marketing, publicidad ni seguimiento de redes de terceros.

Puede controlar las preferencias de cookies a través de la configuración de su navegador. Tenga en cuenta que bloquear las cookies esenciales puede afectar a la funcionalidad del sitio web. Información detallada sobre cookies disponible en nuestra Política de Cookies.

12. Sus Derechos en virtud del RGPD y de las Leyes de Protección de Datos

Dependiendo de su jurisdicción (en particular si se encuentra en la UE/EEE o en el Reino Unido), tiene los siguientes derechos respecto a sus datos personales:

Cómo Ejercer sus Derechos

Para ejercer cualquiera de estos derechos, contáctenos utilizando la dirección de correo electrónico oficial publicada en la página de contacto del sitio web. Por favor incluya:

• Nombre y apellidos completos e información de contacto
• Su código de certificación DAPI (si procede)
• El derecho específico que desea ejercer y los detalles pertinentes
• Prueba de identidad (para prevenir accesos no autorizados)

Responderemos a su solicitud en el plazo de un mes (ampliable en dos meses adicionales para solicitudes complejas). Si no podemos atender su solicitud, explicaremos el motivo y le informaremos de su derecho a presentar una reclamación ante una autoridad de control.

13. Solicitudes Relativas a las Pruebas Certificadas

Específicamente, los siguientes datos podrían tener que conservarse aunque usted solicite su supresión:

• Hashes criptográficos (SHA-256): Necesarios para verificar que los certificados emitidos por nosotros siguen siendo auténticos y no han sido manipulados. Sin los hashes conservados, el certificado pierde su verificabilidad.
• Certificados de sello de tiempo: Prueba temporal legal que no puede eliminarse sin invalidar el valor probatorio del sello de tiempo.
• Documentación de la cadena de custodia: Registros de proceso que establecen cómo se realizó la certificación, necesarios en procedimientos legales donde la metodología puede ser cuestionada.
• Metadatos de certificación: Información básica (nombre, código DAPI, fecha) que le vincula al certificado emitido, necesaria si disputas legales se refieren a la autenticidad del certificado.

Base jurídica para la conservación: El Art. 17(3)(e) del RGPD permite denegar la supresión cuando el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones judiciales – que es la finalidad fundamental de la certificación DAPI. Si solicita la supresión y debemos denegarla a causa de estas limitaciones:

• Explicaremos específicamente qué datos no pueden eliminarse y por qué
• Confirmaremos la eliminación de todos los datos que SÍ pueden eliminarse (p. ej., comunicaciones de soporte, datos de uso del sitio web)
• Proporcionaremos alternativas disponibles (limitación, anonimización donde sea posible)
• Le informaremos de su derecho a presentar una reclamación ante la autoridad de control si no está de acuerdo

14. Modificaciones de esta Política de Privacidad

Podríamos actualizar esta Política de Privacidad periódicamente para reflejar:

• Cambios o mejoras en el servicio DAPI
• Actualizaciones de las leyes o reglamentos de protección de datos aplicables
• Nuevas medidas de seguridad o actividades de tratamiento
• Comentarios de autoridades de control o evaluaciones de protección de datos

La versión más reciente de esta Política de Privacidad siempre estará publicada en esta página con la fecha de “Última actualización” en la parte superior. Los cambios sustanciales que afecten significativamente a sus derechos se le comunicarán por correo electrónico (si disponemos de su información de contacto) o mediante un aviso destacado en el sitio web. Los cambios entran en vigor desde la fecha de publicación. Le recomendamos que revise esta Política de Privacidad periódicamente para mantenerse informado sobre cómo protegemos sus datos.

15. Contacto y Responsable de Protección de Datos

Para preguntas sobre privacidad, solicitudes de protección de datos o para ejercer sus derechos en virtud del RGPD y de las leyes de protección de datos aplicables, contáctenos utilizando los datos de contacto oficiales publicados en el sitio web.

Autoridad de Control (Italia): Si considera que sus derechos de protección de datos han sido vulnerados, tiene derecho a presentar una reclamación ante la autoridad italiana de protección de datos:

Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma, Italia Sitio web: www.garanteprivacy.it Email: garante@gpdp.it