Esta Política de Privacidad explica cómo Pionew Ireland Limited recopila, utiliza, comparte y protege sus datos personales cuando utiliza la Plataforma Webot.
Situación regulatoria. Pionew Ireland Limited (que opera bajo el nombre comercial “Webot”) está autorizada por el Banco Central de Irlanda como Proveedor de Servicios de Criptoactivos conforme al Reglamento (UE) 2023/1114 (“MiCA”). Tratamos datos personales de conformidad con el Reglamento (UE) 2016/679 (“RGPD”), la Irish Data Protection Act 2018, MiCA, el marco de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo de la UE (AML/CFT), el Reglamento de Transferencia de Fondos (UE) 2023/1113, el Reglamento (UE) 2022/2554 (“DORA”) y la Directiva (UE) 2023/2226 del Consejo (“DAC8”).
Contactos rápidos:
Protección de Datos: dpo@webot.eu
Atención al Cliente: service@webot.eu
1. Introducción
Esta Política de Privacidad se aplica a los datos personales tratados por Pionew Ireland Limited (“Pionew”, “Webot”, “nosotros”, “nuestro” o “nos”) cuando usted visita www.webot.com/eu (el “Sitio”), utiliza nuestra aplicación móvil o accede de cualquier otra forma a los Servicios de Criptoactivos que prestamos como Proveedor de Servicios de Criptoactivos autorizado conforme a MiCA (conjuntamente, los “Servicios” prestados a través de la “Plataforma”).
Esta Política de Privacidad queda incorporada por referencia a nuestros Términos de Servicio y forma parte de nuestro contrato con usted.
Los términos en mayúscula utilizados pero no definidos en este documento tendrán el significado establecido en los Términos de Servicio.
Al utilizar los Servicios, usted reconoce haber leído esta Política de Privacidad. Si no está de acuerdo con cualquier aspecto de esta Política de Privacidad, no deberá utilizar los Servicios.
Esta Política de Privacidad se proporciona en lenguaje claro y sencillo, en soporte duradero y de forma gratuita, de conformidad con los artículos 12 a 14 del RGPD.
Cuando esta Política de Privacidad haga referencia a leyes o marcos regulatorios específicos, podrá solicitar información adicional en cualquier momento contactando con nuestro Delegado de Protección de Datos en dpo@webot.eu.
2. Quiénes somos (Responsable del tratamiento)
El responsable del tratamiento de la recopilación y tratamiento de sus datos personales, conforme al significado del artículo 4(7) del RGPD, es:
Pionew Ireland Limited
Office 01, Ground Floor, Penrose Two, Penrose Dock
Cork, Irlanda T23 YY09
Autorizada por el Banco Central de Irlanda como Proveedor de Servicios de Criptoactivos desde el 18 de diciembre de 2025 conforme a MiCA.
3. Definiciones
En esta Política de Privacidad:
• “Criptoactivo” tiene el significado establecido en el artículo 3(1)(5) de MiCA.
• “RGPD” significa el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), complementado en Irlanda por la Data Protection Act 2018.
• “Datos personales” significa cualquier información relativa a una persona física identificada o identificable, conforme a la definición del artículo 4(1) del RGPD.
• “Tratamiento” tiene el significado establecido en el artículo 4(2) del RGPD.
• “Servicios” significa los Servicios de Criptoactivos que prestamos a través de la Plataforma, tal como se describen en nuestros Términos de Servicio (custodia y administración de Criptoactivos, operación de una plataforma de negociación, intercambio de Criptoactivos por Moneda Fiat y por otros Criptoactivos, ejecución de Órdenes por cuenta de clientes, recepción y transmisión de Órdenes y prestación de servicios de transferencia de Criptoactivos por cuenta de clientes).
4. Datos personales que recopilamos
Recopilamos y tratamos las siguientes categorías de datos personales, dependiendo de cómo interactúe con la Plataforma:
4.1 Datos de identidad y contacto
Nombre completo, fecha y lugar de nacimiento, género, nacionalidad, país de residencia, dirección residencial, dirección de correo electrónico, número de teléfono y cualquier otro dato de contacto que usted proporcione.
4.2 Datos de verificación y KYC
Información recopilada como parte de nuestras obligaciones de diligencia debida del cliente conforme a la legislación AML/CFT de la UE, incluyendo, entre otros:
• documento de identidad emitido por el gobierno;
• comprobante de domicilio;
• imagen “selfie” o vídeo para verificaciones de presencia (“liveness checks”);
• firma;
• vectores biométricos derivados de documentos de identidad y verificaciones de presencia (cuando sea estrictamente necesario para identificación);
• nacionalidad;
• situación de residencia fiscal y números de identificación fiscal;
• información sobre origen de fondos y origen de patrimonio;
• situación laboral y sector de actividad; y
• información relativa a si usted (o una persona cercana a usted) es una Persona Políticamente Expuesta (“PEP”) o una persona sancionada.
4.3 Datos de cuenta y autenticación
Credenciales de acceso, ID de Cuenta, ID de Cliente, ID de Dispositivo, configuraciones de autenticación de doble factor (2FA), preguntas de seguridad, dirección IP, tokens de sesión e información de recuperación.
4.4 Datos de transacciones y negociación
Información sobre sus Órdenes, operaciones, saldos en custodia, depósitos, retiradas, transferencias (incluidas transferencias entrantes y salientes de Criptoactivos), información de contraparte requerida conforme al Reglamento de Transferencia de Fondos (UE) 2023/1113, direcciones de wallets blockchain, hashes de transacción, metadatos de red, IBANs y datos bancarios para rampas servicios de conversión a moneda fiduciaria, importes, monedas, fechas y centros de ejecución.
4.5 Datos de comunicaciones y soporte
Contenido de las comunicaciones mantenidas con nosotros (incluyendo chat de soporte, correo electrónico, llamadas telefónicas — que pueden grabarse con fines de calidad, formación, resolución de disputas y conservación regulatoria de registros — y otros canales), detalles de solicitudes de servicio, registros de reclamaciones, preferencias de idioma y cualquier otra información que decida compartir con nosotros.
4.6 Datos técnicos y del dispositivo
Dirección IP, identificador de dispositivo, tipo de dispositivo, versión y fabricante del sistema operativo, tipo y versión del navegador, zona horaria, idioma del navegador, URL de referencia, páginas visitadas, enlaces pulsados, comportamiento de desplazamiento y clics, versión de la aplicación, registros de fallos y otra información de diagnóstico.
4.7 Datos de marketing y preferencias
Sus preferencias de marketing, registros de consentimiento, respuestas a encuestas y comentarios.
4.8 Información de terceros
También recibimos datos personales de terceros, incluidos:
• proveedores de verificación de identidad, KYC y biometría;
• proveedores de analítica blockchain y riesgo on-chain (por ejemplo para sanciones, fraude y scoring AML sobre direcciones wallet);
• proveedores de servicios de pago, bancos y socios servicios de conversión a moneda fiduciaria;
• proveedores de sanciones, listas de vigilancia y medios adversos;
• agencias de referencia crediticia y fraude;
• fuentes públicas (incluyendo registros mercantiles, blockchains públicas y medios públicamente accesibles); y
• reguladores, autoridades policiales y tribunales.
Cuando recopilamos datos personales directamente de usted, está obligado a proporcionar las categorías de datos marcadas como obligatorias en el punto de recopilación correspondiente (por ejemplo durante la apertura de Cuenta).
Si no proporciona dicha información, es posible que no podamos celebrar o ejecutar nuestro contrato con usted, o cumplir nuestras obligaciones legales conforme a MiCA, legislación AML/CFT o normativa fiscal (incluyendo DAC8), y podremos vernos obligados a rechazar la alta de cliente o suspender o cerrar su Cuenta.
5. Por qué tratamos sus datos personales y nuestra base jurídica
Solo tratamos sus datos personales cuando disponemos de una base jurídica válida conforme al artículo 6 del RGPD (y, para categorías especiales de datos, al artículo 9).
Las principales finalidades y bases jurídicas se establecen en la tabla siguiente.
| Finalidad | Base jurídica | Categorías de datos |
| Apertura de Cuenta, autenticación, alta de cliente, acceso continuo a la cuenta y prestación de los Servicios (custodia, operación de plataforma de negociación, intercambio, ejecución y recepción/transmisión de Órdenes y servicios de transferencia). | Artículo 6(1)(b) RGPD — ejecución de un contrato. | Datos de identidad y contacto; datos de cuenta y autenticación; datos de transacciones y negociación; datos de comunicaciones y soporte. |
| Diligencia debida del cliente (KYC), monitorización continua, monitorización transaccional, controles de sanciones y PEP, reporting de actividad sospechosa y demás obligaciones AML/CFT conforme a legislación irlandesa y de la UE. | Artículo 6(1)(c) RGPD — obligación legal. Artículo 9(2)(g) para datos biométricos, por razones de interés público sustancial. | Datos de identidad y contacto; datos de verificación y KYC (incluidos vectores biométricos cuando proceda); datos de transacciones y negociación; información de terceros. |
| Cumplimiento de obligaciones MiCA como Proveedor de Servicios de Criptoactivos, incluyendo conservación de registros, estados de custodia (artículo 75 MiCA), supervisión de abuso de mercado (Título VI MiCA), registros de ejecución de órdenes (artículo 78 MiCA), gestión de conflictos de interés (artículo 72 MiCA) y gestión de reclamaciones (artículo 71 MiCA y Reglamento Delegado (UE) 2025/294). | Artículo 6(1)(c) RGPD — obligación legal. | Datos de identidad y contacto; datos de cuenta y autenticación; datos de transacciones y negociación; datos de comunicaciones y soporte. |
| Finalidad | Base jurídica | Categorías de datos |
| Cumplimiento del Reglamento de Transferencia de Fondos (UE) 2023/1113 (“Travel Rule”), incluyendo la transmisión y recepción de información del ordenante y del beneficiario para transferencias de Criptoactivos. | Artículo 6(1)(c) RGPD — obligación legal. | Datos de identidad y contacto; datos de transacciones y negociación. |
| Obligaciones fiscales y de reporting, incluidas obligaciones conforme a DAC8 (Directiva (UE) 2023/2226) y otros marcos fiscales irlandeses y de la UE. | Artículo 6(1)(c) RGPD — obligación legal. | Datos de identidad y contacto; datos de verificación y KYC (residencia fiscal, TIN); datos de transacciones y negociación. |
| Gestión del riesgo TIC, resiliencia operativa, prevención del fraude, detección de abuso de mercado, detección y respuesta a incidentes de seguridad, conforme a DORA (Reglamento (UE) 2022/2554) y a nuestro marco interno de seguridad. | Artículo 6(1)(c) RGPD — obligación legal; y artículo 6(1)(f) RGPD — intereses legítimos en proteger la seguridad e integridad de la Plataforma, nuestros clientes y nuestro negocio. | Datos de cuenta y autenticación; datos de transacciones y negociación; datos técnicos y del dispositivo; información de terceros (incluyendo analítica blockchain). |
| Atención al cliente, gestión de reclamaciones, resolución de disputas y establecimiento, ejercicio o defensa de reclamaciones legales. | Artículo 6(1)(b) RGPD — ejecución de contrato; artículo 6(1)(c) RGPD — obligación legal; y artículo 6(1)(f) RGPD — intereses legítimos en defender y ejercer nuestros derechos legales. | Todas las categorías de datos, según sean relevantes para el caso. |
| Mejora de la Plataforma, realización de análisis de uso, resolución de incidencias, pruebas de nuevas funcionalidades y análisis agregados y anonimizados de productos. | Artículo 6(1)(f) RGPD — intereses legítimos en operar, proteger, mejorar y desarrollar la Plataforma, equilibrados con sus derechos y libertades. | Datos de cuenta y autenticación; datos de transacciones y negociación; datos técnicos y del dispositivo; datos de comunicaciones y soporte (en forma seudonimizada o agregada, cuando sea posible). |
| Marketing directo de nuestros propios productos y servicios a clientes existentes (cuando esté permitido) y marketing a potenciales clientes sobre la base del consentimiento. | Artículo 6(1)(a) RGPD — consentimiento; o artículo 6(1)(f) RGPD — intereses legítimos, cuando usted sea cliente existente y no se haya opuesto. Puede oponerse o retirar el consentimiento en cualquier momento (véase la Sección 17). | Datos de identidad y contacto; datos de marketing y preferencias; datos técnicos y del dispositivo. |
| Uso de cookies y tecnologías similares que no sean estrictamente necesarias, incluidas cookies analíticas y de marketing. | Artículo 6(1)(a) RGPD — consentimiento (de conformidad con la Directiva ePrivacy 2002/58/CE y S.I. No. 336/2011). | Datos técnicos y del dispositivo; datos de marketing y preferencias. |
| Cumplimiento de órdenes judiciales, solicitudes legales de autoridades públicas y otras obligaciones legales a las que estemos sujetos. | Artículo 6(1)(c) RGPD — obligación legal. | Todas las categorías de datos, según lo requerido por la orden o solicitud correspondiente. |
| Operaciones corporativas (incluyendo una posible fusión, adquisición, venta o reorganización de todo o parte de nuestro negocio o activos). | Artículo 6(1)(f) RGPD — intereses legítimos en desarrollar y proteger nuestro negocio. | Todas las categorías de datos, sobre una base de necesidad de conocimiento y sujetas a obligaciones de confidencialidad. |
Cuando nos basemos en el artículo 6(1)(f) (intereses legítimos), hemos realizado una evaluación de equilibrio para garantizar que nuestros intereses no prevalezcan sobre sus intereses, derechos o libertades. Puede solicitar más información sobre dicha evaluación contactando con nuestro DPO en dpo@webot.eu.
6. Categorías especiales de datos
No buscamos recopilar ninguna “categoría especial” de datos personales conforme al significado del artículo 9 del RGPD (como datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona).
No obstante, en el curso de la prestación de los Servicios, podremos recopilar y tratar datos biométricos limitados con fines de verificación de identidad y prevención del fraude, robo de identidad y blanqueo de capitales.
Cuando lo hagamos, nos basaremos en el artículo 9(2)(g) RGPD (interés público sustancial), dado que el tratamiento es necesario para cumplir nuestras obligaciones conforme a los marcos AML/CFT y MiCA de la UE.
Los vectores biométricos se tratarán únicamente en la medida estrictamente necesaria, se mantendrán separados de otros identificadores y serán eliminados conforme a nuestro calendario de conservación.
No extraemos de sus datos transaccionales inferencias relativas a sus opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, salud, vida sexual u orientación sexual.
Nuestra política interna prohíbe a nuestros empleados extraer o analizar dichas inferencias a partir de datos transaccionales.
7. Menores de edad
El Sitio, la Plataforma y los Servicios no están dirigidos a personas menores de 18 años y no podrán ser utilizados por ellas.
No recopilamos conscientemente datos personales de menores.
Si obtenemos conocimiento efectivo de que hemos recopilado datos personales de una persona menor de 18 años, los eliminaremos sin demora (salvo cuando estemos legalmente obligados a conservar dichos datos) y adoptaremos medidas para desactivar la Cuenta correspondiente.
Si usted es padre, madre o tutor legal y considera que disponemos de datos personales de un menor, por favor contacte con nuestro DPO en dpo@webot.eu.
8. Destinatarios de sus datos personales
Compartimos datos personales con las categorías de destinatarios indicadas a continuación, sobre una base de necesidad de conocimiento y únicamente para las finalidades descritas en esta Política de Privacidad.
Todos los destinatarios están sujetos a obligaciones de confidencialidad y, cuando actúan como encargados del tratamiento en nuestro nombre, a un acuerdo escrito de tratamiento de datos conforme al artículo 28 del RGPD.
8.1 Entidades afiliadas dentro de nuestro grupo corporativo
Otras sociedades dentro del grupo corporativo al que pertenece Pionew Ireland Limited, cuando sea necesario para funciones centralizadas como cumplimiento normativo, seguridad, gestión de riesgos o soporte tecnológico.
Cada transferencia estará sujeta a acuerdos internos de intercambio de datos y, cuando la transferencia se realice fuera del EEE, a las garantías descritas en la Sección 9.
8.2 Proveedores de servicios y encargados del tratamiento
Proveedores externos cuidadosamente seleccionados que actúan siguiendo nuestras instrucciones, incluidos:
• proveedores de cloud computing, hosting y almacenamiento (por ejemplo Amazon Web Services);
• proveedores de verificación de identidad, KYC y biometría;
• proveedores de analítica blockchain y riesgo on-chain (por ejemplo para sanciones, fraude y scoring AML sobre direcciones wallet);
• proveedores de sanciones, PEP, listas de vigilancia y medios adversos;
• plataformas de atención al cliente, ticketing y comunicaciones;
• proveedores de analítica, business intelligence y análisis de producto (por ejemplo Snowflake, Mode Analytics, Appsflyer, Amplitude y Google Analytics);
• proveedores de correo electrónico, SMS y notificaciones push;
• proveedores de prevención de fraude y ciberseguridad;
• socios bancarios y pasarelas de moneda fiduciaria; y
• asesores profesionales (jurídicos, contables, auditoría y consultoría).
8.3 Contrapartes conforme al Reglamento de Transferencia de Fondos
Cuando usted envíe o reciba transferencias de Criptoactivos, compartiremos con el Proveedor de Servicios de Criptoactivos del ordenante o beneficiario la información requerida conforme al Reglamento de Transferencia de Fondos (UE) 2023/1113.
Dichos Proveedores de Servicios de Criptoactivos actuarán como responsables independientes del tratamiento respecto de los datos que reciban.
8.4 Autoridades públicas
Podremos divulgar datos personales al Banco Central de Irlanda, a la Comisión Irlandesa de Protección de Datos, a los Revenue Commissioners (incluyendo para fines DAC8), a An Garda Síochána, a la Unidad de Inteligencia Financiera de Irlanda, tribunales, autoridades fiscales y cualquier otra autoridad reguladora, supervisora, judicial o policial competente, cuando estemos legalmente obligados a hacerlo o cuando tengamos fundamentos legítimos para ello (por ejemplo para cumplir una orden judicial, solicitud legal o para proteger nuestros derechos, bienes o seguridad).
8.5 Operaciones corporativas
En caso de una posible fusión, adquisición, venta, reorganización o procedimiento de insolvencia, podremos divulgar datos personales a compradores potenciales o efectivos, inversores, prestamistas o sus asesores, sujetos a garantías adecuadas de confidencialidad.
8.6 Bajo sus instrucciones
A otros destinatarios cuando usted nos indique específicamente hacerlo o haya otorgado su consentimiento.
Puede solicitar una lista más detallada de nuestros encargados del tratamiento y categorías de destinatarios materiales contactando con dpo@webot.eu.
No vendemos sus datos personales ni los compartimos con fines de publicidad comportamental cruzada realizada por terceros.
9. Transferencias internacionales de datos personales
Pionew Ireland Limited está establecida en Irlanda y trata principalmente sus datos personales dentro del Espacio Económico Europeo (EEE).
No obstante, algunos de nuestros proveedores de servicios, socios comerciales o entidades afiliadas están ubicados fuera del EEE y, por tanto, podremos transferir sus datos personales a “terceros países” conforme al significado del Capítulo V del RGPD.
Cuando transfiramos datos personales fuera del EEE, garantizaremos que se aplique uno de los siguientes mecanismos legales de transferencia:
• Decisiones de adecuación emitidas por la Comisión Europea, cuando el país de destino haya sido reconocido como proveedor de un nivel adecuado de protección de datos (la lista actual de decisiones de adecuación está disponible en commission.europa.eu);
• Cláusulas Contractuales Tipo (“SCCs”) aprobadas por la Comisión Europea conforme a la Decisión (UE) 2021/914, complementadas cuando sea necesario con salvaguardas técnicas, organizativas y contractuales adicionales basadas en una evaluación de impacto de transferencia;
• Normas Corporativas Vinculantes (“Binding Corporate Rules”), cuando hayan sido aprobadas por una autoridad supervisora competente para nuestro grupo; o
• alguna de las excepciones específicas previstas en el artículo 49 del RGPD (por ejemplo su consentimiento explícito e informado, o cuando la transferencia sea necesaria para la ejecución de un contrato celebrado en su interés).
Puede obtener una copia del mecanismo de transferencia correspondiente o más información sobre las salvaguardas aplicables a una transferencia concreta contactando con nuestro DPO en dpo@webot.eu.
10. Privacidad al utilizar Criptoactivos y blockchains
Las transacciones de Criptoactivos se registran en blockchains públicas, que son registros distribuidos operados por redes descentralizadas de participantes.
Las blockchains públicas están diseñadas para ser resistentes a manipulaciones e inmutables: una vez que una transacción se registra, no podemos eliminarla, modificarla ni alterarla.
Los datos blockchain pueden ser objeto de técnicas forenses y analíticas (incluidas las utilizadas por proveedores de analítica blockchain) que, combinadas con otros datos, pueden permitir la reidentificación de las partes que realizan transacciones.
Debe tener en cuenta que:
• las direcciones wallet, importes de transacciones, marcas temporales (“timestamps”) y contrapartes en una blockchain pública son accesibles públicamente por diseño;
• Pionew no tiene capacidad para obtener la eliminación o rectificación de datos personales registrados en una blockchain pública que no esté bajo nuestro control; y
• cuando usted decida revelar su dirección wallet a terceros (por ejemplo publicándola o compartiéndola con contrapartes), ello puede permitir que otros asocien actividad on-chain con usted.
Cuando ejerza derechos conforme al RGPD respecto de datos que conservemos off-chain, aplicaremos dichos derechos en la medida en que los datos estén bajo nuestro control, conforme a la Sección 15.
11. Toma de decisiones automatizada y elaboración de perfiles
Utilizamos tratamiento automatizado, incluida la elaboración de perfiles (“profiling”), especialmente para:
• verificación de identidad (incluidas verificaciones de presencia (“liveness checks”) y verificaciones de autenticidad documental);
• monitorización transaccional AML/CFT, controles de sanciones, controles PEP y detección de actividad sospechosa;
• detección y prevención de fraude; y
• detección de abuso de mercado en la plataforma de negociación que operamos.
Cuando una decisión basada exclusivamente en tratamiento automatizado produzca efectos jurídicos sobre usted o le afecte significativamente de forma similar (por ejemplo una decisión de rechazar alta de cliente, congelar, restringir o cerrar su Cuenta, o rechazar una transacción), nos basaremos en:
• el artículo 22(2)(a) RGPD (necesario para celebrar o ejecutar un contrato entre usted y nosotros); o
• el artículo 22(2)(b) RGPD (autorizado por legislación de la UE o irlandesa, en particular normativa AML/CFT y de financiación del terrorismo).
En todos esos casos, usted tendrá derecho a obtener intervención humana, expresar su punto de vista y impugnar la decisión.
Para ejercer estos derechos, contacte con nuestro DPO en dpo@webot.eu.
12. Conservación de datos
Conservamos sus datos personales únicamente durante el tiempo necesario para las finalidades para las cuales fueron recopilados, teniendo en cuenta nuestra relación contractual con usted, nuestras obligaciones legales y regulatorias y los plazos de prescripción aplicables a posibles reclamaciones legales.
| Categoría de datos | Período de conservación |
| Registros KYC, diligencia debida y AML/CFT (incluidos documentos de verificación de identidad, resultados de controles de sanciones y PEP). | Al menos 5 años tras la finalización de la relación comercial, conforme a la Criminal Justice (Money Laundering and Terrorist Financing) Act 2010 (modificada) y legislación AML/CFT de la UE. Puede ampliarse cuando lo requieran autoridades competentes. |
| Registros de transacciones y negociación, estados de custodia, registros de ejecución de Órdenes y registros de comunicaciones relacionadas con la prestación de los Servicios. | Al menos 5 años desde la fecha de la transacción o comunicación, conforme a obligaciones de conservación de registros MiCA y legislación irlandesa aplicable. |
| Registros fiscales y de reporting (incluidos registros DAC8). | Durante el período requerido por la legislación fiscal irlandesa (habitualmente hasta 7 años). |
| Datos de cuentas inactivas o cerradas (cuando no estén sujetos a una obligación más extensa). | Hasta 6 años tras el cierre de la Cuenta para gestionar posibles disputas y reclamaciones legales. |
| Registros de reclamaciones. | Al menos 5 años tras la resolución, conforme al artículo 71 de MiCA y al Consumer Protection Code del Banco Central de Irlanda. |
| Registros TIC y de seguridad (incluidos registros de incidentes relacionados con DORA). | Durante el período necesario para garantizar resiliencia operativa y reporting de incidentes conforme a DORA y, en cualquier caso, durante los períodos establecidos en nuestras políticas internas de seguridad de la información. |
| Datos de marketing y preferencias. | Hasta que retire su consentimiento u objete al tratamiento, más un período residual para mantener una lista de supresión. |
| Cookies y tecnologías similares. | Conforme a lo descrito en nuestra Política de Cookies disponible en la Plataforma. |
Cuando los datos personales ya no sean necesarios, los eliminaremos o anonimizaremos de forma segura, salvo cuando su conservación durante un período más prolongado sea requerida por ley, solicitada por una autoridad competente o necesaria para establecer, ejercer o defender reclamaciones legales.
13. Cómo protegemos sus datos personales
Hemos implementado medidas técnicas y organizativas apropiadas, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como los riesgos para sus derechos y libertades, conforme al artículo 32 del RGPD.
Como entidad financiera dentro del ámbito de DORA, mantenemos un marco integral de gestión de riesgos TIC, incluyendo:
• políticas de seguridad de la información;
• gestión de identidad y acceso;
• cifrado de datos en tránsito y en reposo;
• segmentación de redes;
• gestión de vulnerabilidades;
• mecanismos de continuidad de negocio y recuperación ante desastres;
• gestión de riesgos de terceros; y
• pruebas periódicas de resiliencia.
Restringimos el acceso a datos personales únicamente al personal y encargados del tratamiento que necesiten acceder para desempeñar sus funciones y formamos a nuestro personal en obligaciones de protección de datos y seguridad.
Cuando contratamos encargados del tratamiento que tratan datos personales en nuestro nombre, realizamos procesos de diligencia debida y formalizamos acuerdos escritos de tratamiento de datos que incluyen las salvaguardas requeridas por el artículo 28 RGPD y el artículo 30 de DORA (cuando corresponda).
14. Violaciones de datos personales
Mantenemos un proceso de gestión de incidentes para violaciones de datos personales e incidentes relacionados con TIC.
Conforme al artículo 33 del RGPD, cuando una violación de datos personales pueda suponer un riesgo para los derechos y libertades de las personas físicas, notificaremos a la Comisión Irlandesa de Protección de Datos sin demora indebida y, cuando sea posible, en un plazo no superior a 72 horas desde que tengamos conocimiento de la violación.
Cuando la violación de datos personales pueda suponer un alto riesgo para sus derechos y libertades, también le notificaremos sin demora indebida, conforme al artículo 34 del RGPD.
Cuando un incidente grave relacionado con TIC esté comprendido dentro del ámbito de DORA, lo notificaremos al Banco Central de Irlanda dentro de los plazos establecidos en DORA y en las Normas Técnicas de Regulación correspondientes.
Documentamos todas las violaciones de datos personales y los incidentes TIC graves conforme a nuestras obligaciones regulatorias.
15. Sus derechos
Sujeto a las condiciones y limitaciones establecidas en el RGPD y en la Irish Data Protection Act 2018, usted dispone de los siguientes derechos en relación con sus datos personales:
• Derecho de acceso (artículo 15 RGPD) — a obtener confirmación sobre si estamos tratando sus datos personales y, en tal caso, a recibir una copia de dichos datos e información sobre el tratamiento.
• Derecho de rectificación (artículo 16 RGPD) — a corregir datos personales inexactos y completar datos incompletos.
• Derecho de supresión (artículo 17 RGPD), también conocido como el “derecho al olvido” — a solicitar la eliminación de sus datos personales en determinadas circunstancias. Este derecho no es absoluto y puede verse limitado por obligaciones legales prevalentes (en particular obligaciones AML/CFT, conservación de registros MiCA y obligaciones fiscales).
• Derecho a la limitación del tratamiento (artículo 18 RGPD) — a exigirnos que suspendamos el tratamiento de sus datos personales en determinadas circunstancias.
• Derecho a la portabilidad de los datos (artículo 20 RGPD) — a recibir los datos personales que nos haya proporcionado en un formato estructurado, de uso común y lectura mecánica, cuando el tratamiento esté basado en su consentimiento o en un contrato y se realice por medios automatizados.
• Derecho de oposición (artículo 21 RGPD) — a oponerse al tratamiento basado en intereses legítimos, incluida la elaboración de perfiles para dichas finalidades, y a oponerse en cualquier momento al tratamiento con fines de marketing directo.
• Derecho a no ser objeto de decisiones automatizadas (artículo 22 RGPD), tal como se describe adicionalmente en la Sección 11.
• Derecho a retirar el consentimiento (artículo 7 RGPD) — en cualquier momento cuando el tratamiento esté basado en consentimiento. La retirada no afectará la licitud del tratamiento realizado antes de dicha retirada.
• Derecho a presentar una reclamación ante una autoridad supervisora, conforme a lo indicado en la Sección 18.
Para ejercer cualquiera de estos derechos, contacte con nuestro DPO en dpo@webot.eu.
También puede rectificar determinados datos personales directamente a través de la configuración de su Cuenta en la Plataforma.
Responderemos a su solicitud sin demora indebida y, en cualquier caso, dentro del plazo de un (1) mes desde su recepción, conforme al artículo 12(3) del RGPD.
Dicho plazo podrá ampliarse hasta dos (2) meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y número de solicitudes; le informaremos de dicha ampliación dentro del plazo de un (1) mes desde la recepción de la solicitud, junto con las razones del retraso.
Podremos necesitar verificar su identidad antes de responder a una solicitud, con el fin de proteger sus datos personales.
El ejercicio de estos derechos es generalmente gratuito, aunque podremos cobrar una tarifa razonable o negarnos a actuar cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo.
16. Cookies y tecnologías similares
Utilizamos cookies, píxeles y tecnologías similares en el Sitio y la Plataforma, tanto para finalidades estrictamente necesarias para prestar los Servicios (por ejemplo para seguridad y autenticación) como, con su consentimiento, para analítica y marketing.
Puede gestionar sus preferencias en nuestro banner de cookies y en nuestra Política de Cookies, donde se describen las cookies que utilizamos, las finalidades para las cuales se utilizan y los períodos de conservación aplicables.
17. Comunicaciones de marketing
Podremos enviarle comunicaciones de marketing sobre nuestros Servicios, incluso por correo electrónico, notificación push o mensaje dentro de la aplicación, cuando usted haya otorgado su consentimiento o cuando ello esté permitido por ley.
Puede darse de baja de comunicaciones de marketing en cualquier momento haciendo clic en el enlace “unsubscribe” incluido en cualquier correo electrónico de marketing, ajustando sus preferencias de notificación en la Plataforma o contactándonos en dpo@webot.eu.
La exclusión de comunicaciones de marketing no afecta a las comunicaciones relacionadas con el servicio que sean necesarias para el funcionamiento de su Cuenta.
18. Reclamaciones ante una autoridad supervisora
Si tiene dudas sobre cómo tratamos sus datos personales, agradeceríamos la oportunidad de abordarlas directamente; por favor contacte en primera instancia con nuestro DPO en dpo@webot.eu.
Asimismo, usted tiene derecho en cualquier momento a presentar una reclamación ante una autoridad supervisora competente de protección de datos, en particular en el Estado miembro de la UE de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción.
La autoridad supervisora principal de Pionew Ireland Limited es:
Data Protection Commission
21 Fitzwilliam Square South
Dublin 2, D02 RD28, Irlanda
Sitio web: www.dataprotection.ie
Teléfono: +353 (0)761 104 800
Usted conserva además cualquier otro recurso administrativo o judicial disponible conforme a la legislación de la UE o nacional.
19. Cambios en esta Política de Privacidad
Podremos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestros Servicios, tecnología, legislación aplicable o requisitos regulatorios.
Cuando las modificaciones afecten sustancialmente a sus derechos; a sus derechos, le proporcionaremos al menos treinta (30) días de preaviso a través de la Plataforma o mediante su dirección de correo electrónico registrada antes de que los cambios entren en vigor.
Las actualizaciones menos significativas (por ejemplo aclaraciones menores) podrán realizarse mediante la publicación de una versión actualizada en el Sitio, junto con una fecha revisada de “Última actualización”.
Le recomendamos revisar periódicamente esta Política de Privacidad.
El uso continuado de los Servicios después de la fecha efectiva de una modificación constituirá reconocimiento de la Política de Privacidad actualizada.
20. Contacte con nosotros
Para cualquier consulta, comentario o solicitud relacionada con esta Política de Privacidad o con el tratamiento de sus datos personales, contacte con:
Pionew Ireland Limited
Correo electrónico: dpo@webot.eu
Dirección postal:
Office 01, Ground Floor, Penrose Two, Penrose Dock, Cork, Irlanda T23 YY09.