Aviso sobre el RGPD
Derechos de protección de datos de las personas físicas en el Espacio Económico Europeo. PhishDestroy se compromete a cumplir con el RGPD.
Este aviso se aplica a las personas físicas del Espacio Económico Europeo (EEE) y del Reino Unido. PhishDestroy respeta su privacidad y trata los datos personales de conformidad con el Reglamento General de Protección de Datos (UE) 2016/679.
Responsable del tratamiento
PhishDestroy es un proyecto contra el phishing sin ánimo de lucro impulsado por voluntarios. A efectos del RGPD, el proyecto PhishDestroy actúa como responsable del tratamiento de los datos personales que se tratan a través de nuestros servicios. Póngase en contacto con nuestro responsable de protección de datos en privacy@phishdestroy.io.
Qué datos personales tratamos
Recopilamos y tratamos una cantidad mínima de datos personales, limitándonos a lo estrictamente necesario para nuestra misión contra el phishing:
- Envío de informes sobre amenazas: Nombres de dominio, direcciones URL, direcciones de monedero y cualquier prueba que facilites voluntariamente al informar de una amenaza.
- Datos técnicos: Las direcciones IP, las cadenas de agente de usuario y las marcas de tiempo de acceso se recopilan automáticamente con fines de seguridad y para prevenir abusos.
- Datos analíticos: Estadísticas de uso anonimizadas a través de Google Analytics (Google Tag Manager) para comprender cómo se utilizan nuestros servicios.
- Datos de comunicación: Direcciones de correo electrónico o nombres de usuario de Telegram cuando se ponga en contacto con nosotros directamente.
Nosotros lo hacemos no recopilar datos financieros, documentos de identidad o cualquier categoría especial de datos personales (artículo 9 del RGPD).
Fundamento jurídico del tratamiento
Tratamos los datos personales sobre la base de los siguientes fundamentos jurídicos, tal y como se definen en el artículo 6, apartado 1, del RGPD:
- Interés legítimo (art. 6, apartado 1, letra f)): Tratamiento de datos de inteligencia sobre amenazas, direcciones IP y metadatos técnicos para proteger a los usuarios de Internet contra el phishing y el fraude. Nuestro interés legítimo es la prevención de la ciberdelincuencia y la protección del público.
- Consentimiento (art. 6, apartado 1, letra a)): Cuando envíe voluntariamente un informe sobre una amenaza o se ponga en contacto con nosotros. Puede retirar su consentimiento en cualquier momento.
- Obligación legal (art. 6, apartado 1, letra c)): Cuando se nos exija cumplir con solicitudes legítimas de las autoridades o con resoluciones judiciales.
Tus derechos en virtud del RGPD
Como interesado en el EEE o el Reino Unido, usted tiene los siguientes derechos:
- Derecho de acceso (art. 15): Solicite una copia de los datos personales que tenemos sobre usted.
- Derecho de rectificación (art. 16): Solicitar la rectificación de datos personales inexactos.
- Derecho de supresión (art. 17): Solicita la supresión de tus datos personales («derecho al olvido»).
- Derecho a la limitación del tratamiento (art. 18): Solicita que limitemos el tratamiento de tus datos.
- Derecho a la portabilidad de los datos (art. 20): Reciba sus datos en un formato estructurado y legible por máquina.
- Derecho de oposición (art. 21): Oponerse al tratamiento basado en un interés legítimo.
- Derecho a retirar el consentimiento (art. 7, apartado 3): Retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, envíe un correo electrónico a privacy@phishdestroy.io con el asunto «Solicitud relacionada con el RGPD». Le responderemos en un plazo de 30 días, tal y como exige la ley. No se cobrará ninguna tasa por las solicitudes razonables.
Conservación de datos
Conservamos los datos personales únicamente durante el tiempo que sea necesario para los fines indicados:
- Datos de inteligencia sobre amenazas: Se conservarán de forma indefinida como parte del registro público de la infraestructura de phishing. Los nombres de dominio, las URL y los indicadores técnicos asociados no se consideran datos personales del denunciante.
- Registros del servidor (IP, agente de usuario): Se conservan hasta 90 días por motivos de seguridad y para prevenir abusos, tras lo cual se eliminan automáticamente.
- Registros de comunicación: Se conservarán hasta 12 meses después de la última interacción, salvo que la correspondencia en curso requiera un periodo de conservación más largo.
- Datos analíticos: Datos anonimizados y agregados; los datos a nivel individual no se conservan más allá de lo que procesa Google Analytics según su propia configuración de conservación de datos.
Transferencias internacionales de datos
La infraestructura de PhishDestroy se encuentra distribuida en varias jurisdicciones. Cuando se transfieren datos personales fuera del EEE, nos basamos en:
- Cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea.
- Decisiones sobre la adecuación, cuando proceda (por ejemplo, transferencias a países con un nivel adecuado de protección de datos).
- Necesidad para el cumplimiento de nuestra misión de interés público (art. 49, apartado 1, letra d), del RGPD) en casos limitados.
Servicios de terceros
Utilizamos los siguientes servicios de terceros que pueden tratar datos personales:
- Cloudflare: CDN, protección contra ataques DDoS y servicios DNS. Política de privacidad de Cloudflare.
- Ahrefs: Análisis SEO y supervisión del rendimiento de sitios web. Política de privacidad de Ahrefs.
- Google Analytics (a través de GTM): Análisis de sitios web anonimizados. Política de privacidad de Google.
- API de Telegram Bot: Para el envío de informes sobre amenazas. Política de privacidad de Telegram.
Medidas de seguridad
Aplicamos las medidas técnicas y organizativas adecuadas para proteger los datos personales, entre las que se incluyen conexiones cifradas (TLS/HTTPS), controles de acceso y revisiones periódicas de seguridad. Consulte nuestra Política de seguridad Para más información.
Derecho a presentar una reclamación
Si considera que se han vulnerado sus derechos en materia de protección de datos, tiene derecho a presentar una reclamación ante una autoridad de control del Estado miembro de la UE en el que tenga su residencia habitual, su lugar de trabajo o el lugar donde se haya producido la supuesta infracción. Puede consultar la lista de autoridades de protección de datos de la UE en edpb.europa.eu.
Modificaciones de este aviso
Podemos actualizar este aviso sobre el RGPD para reflejar cambios en nuestras prácticas o en la legislación aplicable. La fecha de «Última actualización» que figura en los metadatos de la página se modificará en consecuencia. El uso continuado de nuestros servicios tras dichos cambios implica la aceptación del aviso actualizado.
Contacto
Para cualquier consulta, solicitud o reclamación relacionada con la protección de datos:
- Correo electrónico: privacy@phishdestroy.io
- Asunto: Solicitud relacionada con el RGPD (para solicitudes formales) o Consulta sobre privacidad (para preguntas generales)