Política de Privacidad para Empresas

Última actualización: 24 de abril de 2026

1. Entidades del grupo DUE

Due Network”, “nosotros” y “nuestro” significa:

Due Ltd , registrada en el Reino Unido (“RU”), con domicilio social en 71–75 Shelton Street, Covent Garden, Londres WC2H 9JQ, y número de registro mercantil 14369984;

Due Payments EOOD , registrada en Bulgaria, con número de registro 207457701 y domicilio social en calle Hubcha, n.º 8, 2.ª planta, apt. A-1, Krasno Selo, Sofía 1618, Bulgaria;

Due Network, SL, registrada en España, con domicilio social en Paseo de la Castellana 91, 4.º, 1.ª, Madrid 28046, y número de registro mercantil 16407272;

Due Payments Inc., registrada en Canadá (n.º de registro 1000864948), con domicilio social en 80 Birmingham Street, Unidad C6, Etobicoke (Ontario) M8V 3W6, Canadá; y/o

Due Technologies Inc., registrada en el estado de Delaware (EE. UU.), con domicilio social en 169 Madison Avenue, Suite 11441, Nueva York, NY 10016, EE. UU.;

Due Network Argentina SRL, registrada en Argentina, con domicilio social en Tucumán 1, 4.º piso, CP1049, Ciudad Autónoma de Buenos Aires, Argentina, y número de registro mercantil 2024182.

Nos comprometemos a respetar su privacidad.

2. Sobre este aviso de privacidad

A efectos de la normativa de protección de datos, actuamos como responsables del tratamiento de sus datos personales. Somos responsables de garantizar que el tratamiento de sus datos cumple con la legislación aplicable en materia de protección de datos.

Este aviso de privacidad es aplicable si usted es representante, director, apoderado o accionista de uno de nuestros clientes institucionales. En él se explica la base sobre la que trataremos cualquier dato personal que usted nos facilite, que generemos internamente o que obtengamos de fuentes de terceros. Le rogamos que lo lea y comprenda detenidamente.

Este aviso también es aplicable, cuando proceda, a los usuarios autorizados, apoderados, mandatarios, personas de contacto y titulares reales (UBOs) de la empresa.

Este aviso no es aplicable a los candidatos a empleo ni a los usuarios finales consumidores (B2C), que se rigen por avisos específicos (cuando existan).

3. Responsabilidades del responsable del tratamiento y funciones intragrupo

La entidad del grupo Due que actúa como responsable del tratamiento dependerá de la entidad con la que su empresa contrate y/o la entidad que preste el servicio, con sujeción a las obligaciones regulatorias aplicables.
Por regla general, la entidad que suscriba el contrato con su empresa actuará como responsable del tratamiento para las actividades de tratamiento relacionadas con la relación contractual (incorporación, prestación del servicio, soporte y facturación).

En determinadas circunstancias, otras entidades del grupo pueden actuar como responsables independientes para actividades de tratamiento específicas (por ejemplo, por sus propias obligaciones regulatorias o para la prestación técnica del servicio).
Cuando dos o más entidades determinen conjuntamente los fines y los medios del tratamiento, podrán actuar como corresponsables del tratamiento (art. 26 RGPD). En ese caso, el contenido esencial del acuerdo entre corresponsables estará a su disposición y podrá solicitarlo en cualquier momento a nuestro Delegado de Protección de Datos en dpo@due.network.

4. Base jurídica

Tratamos sus datos personales sobre las siguientes bases jurídicas, según proceda:

Cumplimiento de una obligación legal: cuando el tratamiento sea necesario para el cumplimiento de las obligaciones legales aplicables (p. ej., obligaciones en materia de PBC/FT en virtud de la Ley 10/2010, conservación de registros, comunicaciones a las autoridades y obligaciones impuestas por el Reglamento (UE) 2023/1114 (MiCA)).

Ejecución de un contrato: cuando el tratamiento sea necesario para ejecutar un contrato con el cliente o para adoptar medidas precontractuales a petición del cliente.

Intereses legítimos: cuando el tratamiento se base en los intereses legítimos del grupo (por ejemplo, detección y prevención del fraude, gestión de riesgos, ciberseguridad), siempre que dichos intereses no prevalezcan sobre sus derechos fundamentales. Podemos describir estos intereses y el resultado de la ponderación a petición suya.

Consentimiento: solo trataremos sus datos personales sobre esta base cuando hayamos solicitado y obtenido expresamente su consentimiento para fines específicos (p. ej., comunicaciones comerciales). Podrá retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento realizado con anterioridad a dicha retirada.

Datos relativos a condenas e infracciones penales: cuando tratemos datos personales relativos a condenas e infracciones penales, dicho tratamiento se llevará a cabo de conformidad con el artículo 10 del RGPD y el artículo 6(1)(c) del RGPD (obligación legal). Este tratamiento es estrictamente necesario para el cumplimiento de las obligaciones aplicables en materia de PBC/FT en virtud de la Ley 10/2010, de 28 de abril, en su redacción dada por el Real Decreto-ley 7/2021, y se limita a lo necesario para dichos fines.

Como proveedor de servicios de criptoactivos (CASP) autorizado en virtud del Reglamento (UE) 2023/1114 (MiCA), tratamos datos personales para cumplir las obligaciones regulatorias que MiCA nos impone, incluidas la custodia y administración de criptoactivos, la monitorización de transacciones y la prevención del abuso de mercado. Este tratamiento no constituye una base jurídica autónoma: se encuadra en el artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal), siendo MiCA la norma sectorial que origina dicha obligación.

Cuando el tratamiento se base en intereses legítimos, podrá oponerse en cualquier momento por motivos relacionados con su situación particular. En particular, cuando el tratamiento tenga fines de mercadotecnia directa, tiene derecho a oponerse en cualquier momento sin necesidad de motivación alguna, con efecto inmediato.

5. Datos personales que recopilamos sobre usted

Recopilaremos y trataremos los siguientes datos personales sobre usted:

Información que usted nos facilita directamente a nosotros o a alguna de nuestras filiales al cumplimentar formularios, realizar el proceso de alta o comunicarse con nosotros, ya sea en persona, por teléfono, correo electrónico u otros medios. Esta información puede incluir:

  • nombre comercial de la organización que representa y el sector en el que opera;
  • datos de contacto, incluidos domicilio postal, correo electrónico y número de teléfono;
  • domicilio social;
  • fecha de constitución.

También recopilaremos y trataremos los siguientes datos personales sobre los administradores, directivos, apoderados y Titulares Reales (UBOs) de su organización:

  • nombre completo;
  • nacionalidad;
  • país de residencia;
  • fecha de nacimiento;
  • lugar de nacimiento;
  • número de documento de identidad;
  • fecha de caducidad del documento de identidad; y
  • fotografía (selfie o imagen del documento de identidad);
  • datos/atributos biométricos faciales extraídos de fotografía/vídeo para la verificación de vida y la comparación facial, así como para la detección de duplicados (búsqueda biométrica), cuando proceda. El tratamiento de datos biométricos constituye datos de categoría especial en virtud del artículo 9(1) del RGPD. La base jurídica aplicable es el artículo 9(2)(g) del RGPD (tratamiento necesario por razones de interés público esencial, concretamente la prevención del blanqueo de capitales y de la financiación del terrorismo, conforme a la normativa PBC/FT aplicable, incluida la Ley 10/2010), en relación con el artículo 9(2)(b) del RGPD cuando proceda, y el artículo 9 de la Ley Orgánica 3/2018 (LOPDGDD) para los tratamientos realizados en España. El tratamiento se limita estrictamente a lo necesario para la verificación de identidad, la prevención del fraude y el cumplimiento de la normativa PBC/FT;
  • identificación por vídeo: El proceso de identificación por vídeo, con prueba fehaciente de fecha y hora, se graba y almacena durante 10 años en formato digital conforme a lo exigido por el artículo 25 de la Ley 10/2010.

La base jurídica para la conservación de las grabaciones de identificación por vídeo es el cumplimiento de una obligación legal en virtud de la normativa española PBC (artículo 25 de la Ley 10/2010).

Antes de iniciar la grabación, se le solicitará que preste su consentimiento técnico mediante una acción afirmativa clara para proceder con el procedimiento de identificación por vídeo, de forma separada de otros términos y condiciones. Esta grabación es estrictamente necesaria para el cumplimiento de la normativa PBC/FT y los requisitos de autorización de SEPBLAC.

Información que obtenemos de otras fuentes, incluida:

Información facilitada por terceros para KYC/KYB a fin de llevar a cabo comprobaciones de antecedentes (p. ej., sanciones, etc.).

Además, cuando sea necesario para prestar el servicio, cumplir obligaciones regulatorias o proteger la seguridad, podemos tratar categorías adicionales (según proceda), tales como:

– datos de identificación/verificación: tipo y número del documento de identidad, fecha de emisión/caducidad, nacionalidad, justificante de domicilio, cargo/función y poderes de representación;

– datos societarios y de titularidad real: estructura de propiedad/control, UBOs y documentación societaria;
– datos de cumplimiento y riesgo: condición de PEP, resultados del cribado de sanciones y, cuando proceda, fuentes de información pública/adversa;

– datos operativos y de seguridad: registros de acceso, direcciones IP, identificadores técnicos y eventos de seguridad, necesarios para prevenir el fraude e investigar incidentes.

Carácter obligatorio/voluntario: Ciertos datos son obligatorios para el cumplimiento de las obligaciones PBC/FT y/o para la ejecución del contrato. La no aportación de estos datos puede impedirnos completar el alta de su empresa, prestar el servicio o procesar transacciones.

En el marco de nuestras comprobaciones de PBC/FT y sanciones, podemos tratar información relativa a condenas o infracciones penales. Este tratamiento es necesario para el cumplimiento de la legislación aplicable y para satisfacer nuestras obligaciones legales como sujeto obligado en virtud de la normativa PBC. Cuando lo exija la legislación local, nos basaremos en los fundamentos jurídicos que dicha legislación prevea para este tratamiento. Para más información, póngase en contacto con dpo@due.network.

Garantías (art. 10 RGPD): Limitamos el acceso al personal autorizado bajo deber de confidencialidad, aplicamos controles de acceso y registro, y minimización de datos.

6. Usos de sus datos personales

Sus datos personales podrán ser almacenados y tratados por nosotros de las siguientes formas y para los siguientes fines:

• Para comunicarnos con usted;

• Para garantizar que nuestros clientes son aptos para utilizar nuestros servicios, lo que incluye:

• verificar que el cliente y los UBOs (titulares reales/beneficiarios), usuarios autorizados y personas de contacto son quienes dicen ser;

• verificar que el cliente dispone de fondos suficientes para completar la transacción; y

• llevar a cabo comprobaciones de antecedentes (p. ej., en relación con el fraude, sanciones, delitos, etc.).

Estamos autorizados a utilizar sus datos personales de estas formas porque:

• tenemos obligaciones legales y reglamentarias que debemos cumplir;

• podemos necesitarlos para establecer, ejercer o defender nuestros derechos legales o a efectos de procedimientos judiciales; o

• el uso de sus datos personales tal como se describe es necesario para nuestros intereses empresariales legítimos (o los intereses legítimos de una o más de nuestras filiales) expuestos anteriormente.

Tratamos sus datos personales para los siguientes fines y sobre las siguientes bases jurídicas:

• Verificación de identidad y KYC/KYB (incluidas las comprobaciones de sanciones, titularidad real y documentos de identidad): obligación legal (legislación PBC/FT y normativa de sanciones). Estas comprobaciones podrán ser realizadas por proveedores especializados.

• Monitorización de transacciones, análisis de carteras y prevención del fraude (incluido el análisis automatizado): obligación legal (PBC/FT) y, cuando proceda, intereses legítimos (detección y prevención del fraude). Se ha realizado una Evaluación de Intereses Legítimos disponible a petición.

• Ejecución del contrato (alta, procesamiento de pagos, atención al cliente): contrato.

• Comunicaciones comerciales (en su caso): consentimiento — solicitaremos su consentimiento antes de utilizar sus datos personales con fines de mercadotecnia directa. Cuando sea legalmente aplicable, ciertas comunicaciones B2B podrán basarse en intereses legítimos, siempre que se ofrezca un mecanismo de exclusión voluntaria.

• Reclamaciones legales y cumplimiento de requerimientos de reguladores o autoridades: obligación legal / para establecer, ejercer o defender reclamaciones legales.

Si desea obtener una copia de nuestra Evaluación de Intereses Legítimos o más información sobre la base jurídica específica de una actividad de tratamiento concreta, póngase en contacto con dpo@due.network. Due Network S.L. mantiene un Registro de Actividades de Tratamiento (RAT) conforme al artículo 30 del RGPD, que documenta detalladamente las actividades de tratamiento llevadas a cabo como responsable. Puede solicitar información adicional sobre actividades de tratamiento específicas dirigiéndose al Delegado de Protección de Datos en dpo@due.network.

Resumen de finalidades y bases jurídicas:

– KYC/KYB/PBC y sanciones: obligación legal.

– Prestación del servicio: contrato.

– Prevención del fraude/seguridad/resiliencia DORA: obligación legal y/o interés legítimo (con ponderación).

– Marketing (en su caso): consentimiento (y exclusión voluntaria cuando proceda para el interés legítimo).

– Autoridades/litigios: obligación legal y/o reclamaciones.

6.1 Decisiones automatizadas y elaboración de perfiles (art. 22 RGPD)

 Utilizamos herramientas automatizadas para apoyar el cumplimiento normativo, entre ellas:

  1. Cribado de sanciones/PEP contra listas de vigilancia globales mediante algoritmos de comparación;
  2. Detección de fraudes mediante el análisis de patrones de transacciones, geolocalización y datos de interacción del usuario;
  3. Puntuación de riesgo para la incorporación de clientes basada en los niveles de confianza de la verificación de identidad.

Lógica: Algoritmos basados en reglas y modelos de aprendizaje automático entrenados con datos históricos de cumplimiento y listas de vigilancia regulatorias.

Posibles consecuencias: Restricciones de cuenta, bloqueo de transacciones o requisitos de diligencia debida reforzada. Todas las alertas automatizadas están sujetas a revisión humana por parte del personal de cumplimiento cualificado antes de que se adopte cualquier decisión definitiva.

Decisiones únicamente automatizadas: Cuando una decisión que produzca efectos jurídicos o efectos igualmente significativos (p. ej., rechazo automático del registro) se base únicamente en el tratamiento automatizado, usted tiene derecho en virtud del artículo 22(3) del RGPD a:

  1. Obtener intervención humana;
  2. Expresar su punto de vista; y
  3. Impugnar la decisión.

6.2 Criptomonedas, carteras y blockchains

El uso de criptoactivos y/o carteras puede dar lugar a que ciertas transacciones queden registradas en redes públicas (blockchains). Estas redes son de terceros y no están controladas por Due.
En consecuencia, ciertos datos (p. ej., direcciones públicas, hashes de transacciones y metadatos asociados) pueden ser públicos o estar sujetos a análisis forense por parte de terceros, y pueden ser inmutables (no pueden modificarse ni eliminarse). Le recomendamos que tenga en cuenta estas implicaciones antes de operar en redes públicas.

6.3 Seguridad y resiliencia operativa

Aplicamos medidas técnicas y organizativas razonables para proteger los datos contra pérdidas, accesos no autorizados y divulgación. En el marco de nuestras obligaciones regulatorias, podemos tratar datos para la detección de incidentes, investigaciones forenses y notificación a las autoridades competentes en caso de incidentes de seguridad. Estas actividades se llevan a cabo de conformidad con la normativa aplicable y con la debida consideración por la protección de los datos personales.Como entidad sujeta al Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (DORA), podemos asimismo tratar datos relativos a incidentes TIC, incluidos registros de incidentes, datos sobre proveedores críticos de servicios TIC de terceros e información necesaria para los informes de incidentes graves en virtud de DORA (arts. 9, 17 y 19). Dicho tratamiento se lleva a cabo sobre la base del artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal) y está sujeto a las medidas de seguridad y proporcionalidad establecidas en el Reglamento DORA. Mantenemos marcos integrales de gestión del riesgo TIC, protocolos de notificación de incidentes a las autoridades competentes y programas de pruebas de resiliencia.

6.4 Otros fines compatibles

Podemos tratar sus datos personales para otros fines compatibles con los expuestos anteriormente, aplicando el test de compatibilidad previsto en el artículo 6(4) del RGPD, teniendo en cuenta factores tales como el vínculo entre el fin original y el nuevo fin, el contexto en que se recogieron los datos y los posibles riesgos para sus derechos y libertades. Documentaremos la base jurídica aplicable (incluidas las Evaluaciones de Intereses Legítimos cuando proceda). Si el nuevo fin es materialmente diferente del fin original para el que se recogieron sus datos, le informaremos proactivamente y, cuando sea necesario, obtendremos su consentimiento antes de iniciar dicho tratamiento.

7. Comunicación de su información a terceros

Adoptaremos medidas para garantizar que los datos personales solo sean accesibles para los empleados que necesiten acceder a ellos para los fines descritos en este aviso.

Sus datos podrán comunicarse, cuando proceda, a las siguientes categorías de destinatarios:

• Autoridades públicas y organismos supervisores (incluidas las Unidades de Inteligencia Financiera, las fuerzas del orden y las autoridades fiscales), cuando lo exija la ley o sea necesario para la prevención o detección de actividades delictivas;

• Autoridades Nacionales Competentes (ANC) para servicios de criptoactivos, la Autoridad Europea de Valores y Mercados (AEVM/ESMA) y la Autoridad Bancaria Europea (ABE/EBA), cuando así lo exija el Reglamento MiCA a efectos de autorización, supervisión o aplicación;

• proveedores de servicios de cumplimiento y KYC/KYB, proveedores de verificación de sanciones y proveedores de datos de riesgo (actuando como encargados del tratamiento);

• proveedores de servicios de TI, alojamiento, nube y almacenamiento de datos (actuando como encargados del tratamiento);

• auditores externos, asesores jurídicos y auditores forenses, cuando sea necesario a efectos de auditoría o investigación;

• compradores o posibles compradores del negocio en caso de venta o reestructuración empresarial;

• socios bancarios y proveedores de servicios de pago (incluidos bancos compensadores, bancos adquirentes, procesadores de tarjetas, pasarelas de pago y facilitadores de nóminas/pagos), a efectos de ejecución, liquidación y compensación de transacciones y de la realización de las correspondientes comprobaciones de cumplimiento.

En todos los casos, los destinatarios estarán obligados contractualmente a tratar los datos de conformidad con este aviso y a no utilizarlos para otros fines.

Subencargados del tratamiento: cuando proceda, mantendremos contratos con las garantías adecuadas y disposiciones de gobernanza para los subencargados del tratamiento.

7.1 Encargados del tratamiento, responsables y subencargados

Trabajamos con proveedores de servicios que pueden actuar como encargados del tratamiento (tratando datos personales en nuestro nombre, por ejemplo, procesadores de pagos, proveedores de KYC/identificación, proveedores de alojamiento/nube) o como responsables independientes (por ejemplo, socios bancarios que tratan datos para sus propios fines regulatorios). Todos los encargados y subencargados están vinculados por contratos que contienen las garantías adecuadas (incluidas las cláusulas contractuales tipo cuando sea necesario) y obligaciones de seguridad. Cuando un socio actúe como responsable independiente, le informaremos sobre el tratamiento que lleva a cabo y la base jurídica correspondiente, facilitando datos de contacto o un enlace a su información de privacidad cuando sea posible.

8. Transferencias de datos personales fuera del Espacio Económico Europeo (“EEE”) y del Reino Unido

Los datos personales que recopilamos pueden ser transferidos y almacenados fuera del EEE/RU. También pueden ser tratados por personal que trabaje fuera del EEE/RU para nuestras filiales o proveedores.

Los datos personales se alojan y tratan principalmente dentro del EEE y el RU. No obstante, debido a la estructura internacional del grupo y/o al uso de determinados proveedores o necesidades operativas (p. ej., soporte, cumplimiento normativo o resiliencia), los datos personales pueden ser transferidos y almacenados fuera del EEE/RU en determinados casos.

Cuando transfiramos datos personales fuera del EEE/RU, nos aseguraremos de que estén protegidos de manera coherente con el nivel de protección aplicable en el EEE/RU, por ejemplo mediante:

• la transferencia a un país aprobado por la Comisión Europea o el Gobierno del Reino Unido, según corresponda;

• la adhesión del destinatario a normas corporativas vinculantes (sólo para transferencias intragrupo); o

• la firma de contratos basados en cláusulas contractuales tipo aprobadas por la Comisión Europea o el Gobierno del Reino Unido, según corresponda.

Las garantías aplicadas varían según la jurisdicción de destino. En particular: el Reino Unido está reconocido como destino adecuado por la Comisión Europea (Decisiones de adecuación 2021/1772 y 2021/1773); Argentina dispone de una decisión de adecuación de la Comisión Europea, complementada con cláusulas contractuales tipo como medida adicional; las transferencias a Due Payments Inc. (Canadá) se realizan mediante Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, dado que la decisión de adecuación de Canadá está actualmente en revisión; las transferencias a Due Technologies Inc. (Estados Unidos) se realizan sobre la base de CCT, complementadas con medidas técnicas y organizativas tras una Evaluación de Impacto de la Transferencia (EIT).En otros casos, la ley puede permitir transferencias fuera del EEE/RU. En todo caso, nos aseguraremos de que cualquier transferencia cumpla con la normativa de protección de datos.

Puede obtener más información sobre las garantías aplicables a dichas transferencias (incluida una copia de las cláusulas contractuales tipo) poniéndose en contacto con nosotros de conformidad con el apartado “11. Contacto” que figura a continuación.

Para las transferencias desde el EEE/RU podemos utilizar, cuando proceda, las CCT de la Comisión Europea y, para el RU, el IDTA de la ICO o el Addendum del RU a las CCT, junto con medidas suplementarias cuando proceda, tras la evaluación de riesgos de la transferencia.

Para todas las transferencias fuera del EEE/RU, llevamos a cabo Evaluaciones de Impacto de la Transferencia (EIT) que evalúan el régimen de protección de datos del país de destino y los riesgos específicos para los datos personales. Cuando sea necesario, aplicamos medidas técnicas suplementarias (seudonimización, cifrado) además de las garantías contractuales.

9. Conservación de datos personales

El período de conservación de sus datos personales dependerá de la finalidad del tratamiento y de las obligaciones legales aplicables. Estos criterios incluyen:

• la finalidad para la que se utilizan los datos, conservándolos únicamente durante el tiempo necesario para dicha finalidad; y

• las obligaciones legales, ya que las leyes o reglamentos pueden establecer un período mínimo de conservación.

Los requisitos de conservación pueden variar según la jurisdicción; por ejemplo, algunos países exigen períodos de conservación más largos de conformidad con la legislación local.

  • Plazos de conservación indicativos (sujetos a los requisitos legales aplicables):
  • Registros KYC/KYB/PBC y documentación de diligencia debida: 10 años desde la finalización de la relación de negocios o la ejecución de una operación ocasional, conforme a lo exigido por el artículo 25 de la Ley 10/2010.
  • Registros transaccionales/contables: 10 años desde la fecha de la transacción (obligaciones PBC/FT en virtud de la Ley 10/2010, con prevalencia sobre los requisitos del Código de Comercio).
  • Grabaciones de identificación por vídeo: 10 años desde la fecha de verificación, conforme al artículo 25 de la Ley 10/2010.
  • Registros de seguridad y antifraude: conservados durante un período limitado en función de la proporcionalidad y las necesidades de seguridad (generalmente hasta 2 años), salvo que sean necesarios durante períodos más largos en relación con investigaciones PBC, comunicaciones de actividades sospechosas u obligaciones legales.
  • Reclamaciones y litigios: conservados durante el plazo de prescripción aplicable (generalmente 5 años en virtud del derecho civil español, salvo que lo prolongue normativa específica), y hasta la resolución definitiva del asunto.

10. Ejercicio de sus derechos

Usted dispone de varios derechos legales en relación con los datos personales que tratamos sobre usted, entre ellos:

• el derecho a obtener información sobre el tratamiento de sus datos personales y a acceder a dichos datos;

• el derecho a retirar su consentimiento en cualquier momento; esto no afectará a la licitud del tratamiento basado en el consentimiento anterior a su retirada, ni nos impedirá continuar tratando datos cuando exista otra base jurídica válida distinta del consentimiento.

• el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre usted o le afecte significativamente de manera similar, y a:

  1. obtener intervención humana;
  2. expresar su punto de vista; y
  3. impugnar la decisión.

• en determinadas circunstancias, el derecho a recibir determinados datos personales en un formato estructurado, de uso común y lectura mecánica y/o a solicitar su transmisión a un tercero cuando sea técnicamente posible. Tenga en cuenta que este derecho solo se aplica a los datos que usted nos haya facilitado, y únicamente cuando el tratamiento se base en el consentimiento o en un contrato; no es aplicable al tratamiento basado en obligación legal, que cubre la mayoría de los tratamientos realizados en el contexto B2B;

• el derecho a solicitar la rectificación de datos inexactos o incompletos;

• el derecho a solicitar la supresión de sus datos personales en determinadas circunstancias, sin perjuicio de nuestra obligación legal de conservarlos;

• el derecho de oposición al tratamiento y el derecho a solicitar su limitación en determinadas circunstancias; y

• el derecho a presentar una reclamación ante la autoridad de control de protección de datos competente si considera que hemos vulnerado sus derechos.

Puede ejercer sus derechos poniéndose en contacto con nosotros de conformidad con el apartado “11. Contacto” que figura a continuación.

Puede obtener más información sobre sus derechos poniéndose en contacto con la autoridad de control de protección de datos de su jurisdicción. Puede consultar la lista de autoridades nacionales de protección de datos de la UE en el sitio web del Comité Europeo de Protección de Datos (https://edpb.europa.eu).

En el RU, la autoridad de control es la Oficina del Comisionado de Información (ICO), a la que puede contactar en https://ico.org.uk.

Autoridad de control en España: Agencia Española de Protección de Datos (AEPD).

Cómo tramitaremos las solicitudes: podremos solicitar información adicional razonable para verificar su identidad y proteger sus datos; responderemos dentro de los plazos legales aplicables.

Reclamaciones y quejas de clientes:

De conformidad con la normativa financiera española aplicable, toda queja, incidencia o reclamación presentada recibirá un acuse de recibo con un número de referencia único.

Para las solicitudes de ejercicio de derechos de protección de datos, responderemos dentro de los plazos establecidos en el artículo 12 del RGPD: en el plazo de un mes desde la recepción, prorrogable hasta dos meses adicionales cuando sea necesario dada la complejidad y el volumen de solicitudes. Para las reclamaciones de servicios financieros en virtud de la normativa española aplicable, facilitaremos una resolución motivada en el plazo de dos meses desde la recepción (o en 15 días hábiles para los incidentes relacionados con pagos en virtud de la PSD2, cuando proceda).

11. Contacto

Si desea más información sobre la recopilación, uso, divulgación, transferencia o tratamiento de sus datos personales, o sobre el ejercicio de cualquiera de los derechos anteriores, póngase en contacto con nuestro Delegado de Protección de Datos (DPD), formalmente designado e inscrito ante la Agencia Española de Protección de Datos (AEPD):

Correo electrónico: dpo@due.network (recomendado para una respuesta más rápida)

Dirección postal:

Delegado de Protección de Datos

Due Network S.L.

Paseo de la Castellana 91, 4.º 1.ª

28046 Madrid, España

Podemos actualizar este aviso periódicamente. Cuando los cambios sean sustanciales, le notificaremos por medios razonables (por ejemplo, por correo electrónico a los contactos corporativos o mediante la publicación de una notificación en el panel/portal, si existe). La fecha de la última actualización figura al comienzo del aviso.