Fecha de entrada en vigor: 05 de agosto de 2025.

El presente documento establece las normas de almacenamiento y protección de los datos personales que Polina Haribian "Pannl Inc" (en lo sucesivo, "Empresa", "nosotros") procesa al prestar servicios en el sitio web https://pannlinc.com/ (en lo sucesivo, el "Sitio"). La Política se ha elaborado de conformidad con los requisitos del Reglamento General de Protección de Datos (RGPD) de la UE, la legislación española y las recomendaciones de la Comisión Europea. En ella se describen las medidas técnicas y organizativas, los periodos de conservación, los procedimientos de destrucción y las acciones en caso de violación de la seguridad de los datos.

1. Principios básicos del almacenamiento de datos

1. Legalidad, limitación de la finalidad y minimización de datos. Sólo recogemos y almacenamos los datos personales necesarios para fines específicos y legítimos (registro, comunicación con el usuario, envío de notificaciones y seguridad).
2. Limitación de la vida útil. Los datos no se conservan más tiempo del necesario para su procesamiento. El periodo de conservación depende de la actividad de la cuenta: los datos de la cuenta se eliminan a petición del usuario o cuando se elimina la cuenta; los registros de seguridad (direcciones IP, registros) se conservan hasta 12 meses; las solicitudes de formularios de opinión se conservan hasta 24 meses. No creamos calendarios de conservación separados para cada categoría, ya que los datos se eliminan cuando dejan de ser necesarios.
3. Precisión y pertinencia. El usuario puede actualizar sus datos en su cuenta personal; si se detectan errores, se corrigen los datos.
4. Integridad y confidencialidad. Aplicamos medidas técnicas y organizativas para proteger los datos contra el acceso no autorizado, la pérdida, la destrucción o la alteración.
5. Rendición de cuentas y documentación. De acuerdo con las recomendaciones de la UE, las organizaciones deben mantener registros detallados: datos de contacto, motivos del tratamiento, descripción de las categorías de interesados, destinatarios, transferencias transfronterizas, periodos de conservación y medidas de seguridad utilizadas. europa.eu. La empresa revisa y actualiza periódicamente esta documentación.

2. Lugar de almacenamiento y responsabilidad

• Almacenamiento de datos. Los datos personales se almacenan en servidores ubicados en la Unión Europea. Utilizamos un proveedor de alojamiento con normas de seguridad y copias de seguridad certificadas.
• Falta de transmisión transfronteriza. Los datos personales no se transfieren fuera del Espacio Económico Europeo. Si dicha transferencia fuera necesaria, utilizaremos los mecanismos previstos en el RGPD (cláusulas contractuales tipo, decisiones de adecuación).
• Responsable del tratamiento. La Empresa tiene pleno control sobre la recogida y almacenamiento de datos. En la actualidad, no se ha nombrado a ningún responsable de la protección de datos (RPD); la responsabilidad de la protección de datos recae en la dirección de la Empresa.
• Personal y acceso. El acceso a los datos personales está restringido a los empleados y contratistas que los necesitan para cumplir sus obligaciones laborales. Los empleados firman acuerdos de confidencialidad y reciben formación sobre protección de datos. Existen políticas estrictas de control de acceso y auditorías periódicas de los derechos de acceso.

3. Medidas técnicas de protección

1. Cifrado y seguridad de la conexión. La transferencia de datos entre el usuario y el Sitio se realiza a través del protocolo seguro HTTPS/TLS, que proporciona cifrado de la información en tránsito.
2. Hashing de contraseña. Las contraseñas de los usuarios se almacenan cifradas (hash y soloed), lo que impide la posibilidad de recuperar la contraseña original.
3. Protección del servidor. Los servidores están ubicados en centros de datos seguros, utilizan sistemas de detección de intrusos de última generación, cortafuegos, software antivirus y actualizaciones periódicas. El acceso a la gestión de los servidores se realiza a través de canales seguros y autenticación multifactor.
4. Copia de seguridad y restauración. Periódicamente se realizan copias de seguridad de los datos, que se almacenan encriptados. Existe un plan de recuperación para garantizar la continuidad de los servicios.
5. Pseudonimización y minimización. Intentamos utilizar datos anonimizados o seudonimizados siempre que es posible (por ejemplo, para análisis). De este modo, incluso en caso de filtración, se minimiza el riesgo para los interesados.
6. Protección contra malware. Analizamos periódicamente los servidores en busca de vulnerabilidades y programas maliciosos, actualizamos el software y aplicamos parches de seguridad.

4 Medidas organizativas

1. Políticas y directrices. Hemos desarrollado políticas y directrices internas sobre el tratamiento, almacenamiento y protección de datos personales, que están a disposición de los empleados y se actualizan periódicamente. Las directrices europeas subrayan la necesidad de tales procedimientos escritos europa.eu.
2. Delimitación del acceso. Se aplica el principio de acceso mínimo necesario: cada empleado sólo tiene acceso a los datos necesarios para cumplir sus tareas.
3. Formación del personal. Los empleados reciben formación sobre el RGPD, la seguridad de los datos y la gestión de incidentes.
4. Política de escritorio limpio. Los documentos con datos personales se almacenan en sistemas seguros y se excluye el almacenamiento en soportes no protegidos.
5. Acuerdos de confidencialidad. Los contratistas y empleados firman acuerdos de confidencialidad que siguen vigentes incluso después de finalizar la cooperación.
6. Auditoría y control. Se realizan auditorías internas periódicas del cumplimiento de la política de seguridad, incluidos los derechos de acceso, los registros de acciones y la seguridad de los servidores.

5. Principios de "protección de datos desde el diseño y por defecto"

El GDPR exige a las organizaciones que establezcan mecanismos de protección de datos en la fase de diseño y utilicen configuraciones de privacidad por defecto.europa.eu. Aplicamos estos principios de la siguiente manera:

• Privacidad por diseño. Al desarrollar nuevas funciones y servicios, analizamos los riesgos para la privacidad, aplicamos la minimización de datos, el cifrado, la seudonimización y otros métodos de seguridad;
• Privacidad por defecto. La configuración por defecto de nuestros servicios limita al máximo la visibilidad y difusión de los datos personales;
• (DPIA). Cuando se introducen nuevas formas de tratamiento de datos (por ejemplo, integrando un servicio de terceros), se lleva a cabo una evaluación de impacto sobre la protección de datos.

6. Procedimiento de destrucción de datos

• Supresión a petición del usuario. Un usuario puede eliminar su cuenta en su gabinete personal o solicitar la eliminación enviando un correo electrónico a info@pannlinc.com. Todos los datos personales asociados a la cuenta se eliminarán o anonimizarán en un plazo de 30 días.
• Eliminación automática. Si el usuario no ha utilizado la cuenta durante más de 24 meses o ha retirado su consentimiento para el tratamiento de datos, eliminamos los datos personales que no deban conservarse por imperativo legal (por ejemplo, documentos contables o registros de seguridad).
• Eliminación de copias de seguridad. Los datos almacenados en las copias de seguridad se sobrescriben automáticamente cuando caduca el ciclo de copia de seguridad (normalmente en un plazo de 90 días).
• Destrucción física. Si se utilizan soportes físicos, los datos se destruyen mediante métodos que impiden su recuperación.

7. Acciones en caso de violación de datos

1. Identificación del incidente. Supervisamos los eventos de seguridad mediante sistemas de detección de intrusos y registros. Si se detecta una actividad sospechosa, se notifica inmediatamente a las personas responsables.
2. Evaluación de riesgos. Se determina el grado de riesgo para los derechos y libertades de los interesados.
3. Notificación a las autoridades y a los interesados. En caso de violación grave que pueda suponer un riesgo para los derechos y libertades de los usuarios, la Empresa se compromete a notificarlo a la Agencia Española de Protección de Datos en el plazo de 72 horas y a informar a los usuarios afectados.
4. Documentación. Todos los incidentes se registran con las circunstancias, consecuencias y medidas adoptadas, de acuerdo con el principio de responsabilidad.
5. Prevención de la repetición. Una vez resuelto el incidente, se analizan las causas, se aplican medidas de seguridad adicionales y se actualizan los procedimientos en caso necesario.

8. Seguimiento y actualización de la política

• Inspecciones periódicas. Esta política se revisa periódicamente para garantizar el cumplimiento de la legislación vigente y los cambios en los procesos empresariales.
• Novedades para los empleados. Todos los cambios se comunican a los empleados y se publican en el portal interno.
• Publicidad. Podrá publicarse en el sitio web una versión abreviada de las normas para informar a los usuarios sobre las medidas de protección de datos.

9. Información de contacto

Si tiene preguntas sobre el almacenamiento y la protección de datos, puede ponerse en contacto con

• Correo electrónico: info@pannlinc.com
• Dirección postal: Carrer Carreters 49, 03130 Santa Pola (Alicante), España
• Autoridad supervisora: Agencia Española de Protección de Datos (AEPD) - Calle de Jorge Juan 6, 28001 Madrid, España.

---

Esta política forma parte del sistema de gestión de protección de datos de Pannl Inc. La infracción de las normas puede dar lugar a medidas disciplinarias y responsabilidad legal.