Política de Privacidad para Personas Físicas

1. Entidades del grupo DUE

Due Network”, “nosotros” y “nuestro ” significa:

Due Ltd , registrada en el Reino Unido (“RU”), con domicilio social en 71–75 Shelton Street, Covent Garden, Londres WC2H 9JQ, y número de registro mercantil 14369984;

Due Payments EOOD , registrada en Bulgaria, con número de registro 207457701 y domicilio social en calle Hubcha, n.º 8, 2.ª planta, apt. A-1, Krasno Selo, Sofía 1618, Bulgaria;

Due Network, SL, registrada en España, con domicilio social en Paseo de la Castellana 91, 4.º, 1.ª, Madrid 28046, y número de registro mercantil 16407272;

Due Payments Inc., registrada en Canadá (n.º de registro 1000864948), con domicilio social en 80 Birmingham Street, Unidad C6, Etobicoke (Ontario) M8V 3W6, Canadá; y/o

Due Technologies Inc., registrada en el estado de Delaware (EE. UU.), con domicilio social en 169 Madison Avenue, Suite 11441, Nueva York, NY 10016, EE. UU.;

Due Network Argentina SRL, registrada en Argentina, con domicilio social en Tucumán 1, 4.º piso, CP1049, Ciudad Autónoma de Buenos Aires, Argentina, y número de registro mercantil 2024182.

Nos comprometemos a respetar su privacidad.

2. Sobre este aviso de privacidad

A efectos de la normativa de protección de datos, actuamos como responsables del tratamiento de sus datos personales. Somos responsables de garantizar que utilizamos sus datos personales de conformidad con la legislación en materia de protección de datos.

Este aviso de privacidad es aplicable si usted es usuario final de nuestros productos y servicios. En él se explica la base sobre la que trataremos cualquier dato personal que usted nos facilite, que nosotros generemos o que obtengamos de otras fuentes. Le rogamos que dedique tiempo a leer y comprender este aviso.

Este aviso cubre también, cuando proceda, a clientes potenciales (antes de la contratación), a usuarios que contacten con el servicio de atención al cliente y a visitantes del sitio web (para el tratamiento relacionado con el uso del sitio web y la seguridad). El tratamiento de datos personales mediante cookies y tecnologías de seguimiento similares se rige de forma separada por nuestra Política de Cookies, disponible en https://www.opendue.com/es/legal/cookie-policy

Este aviso no es aplicable a los representantes/titulares reales de clientes institucionales (B2B), que están sujetos al Aviso de Privacidad para Empresas.

3. Su responsable del tratamiento y funciones dentro del grupo

Los productos y servicios se prestan a través de las entidades operativas locales del grupo. La entidad con la que usted contrata (según las Condiciones Generales aplicables) es su responsable del tratamiento para la relación contractual.

Otras entidades del grupo pueden actuar como responsables independientes para actividades de tratamiento específicas (por ejemplo, por sus propias obligaciones regulatorias o para la prestación técnica del servicio).

Cuando dos o más entidades determinen conjuntamente los fines y los medios del tratamiento, podrán actuar como corresponsables del tratamiento (art. 26 RGPD). En ese caso, el contenido esencial del acuerdo entre corresponsables estará disponible para usted y podrá solicitarlo en cualquier momento al Delegado de Protección de Datos en dpo@due.network. Se le indicará asimismo el punto de contacto principal para el ejercicio de sus derechos frente al grupo.

4. Base jurídica

Tratamos sus datos personales sobre la base de los siguientes fundamentos jurídicos, según proceda:

Cumplimiento de una obligación legal: cuando el tratamiento sea necesario para cumplir las obligaciones legales aplicables (p. ej., obligaciones en materia de PBC/FT, conservación de registros, comunicación a las autoridades y obligaciones impuestas por el Reglamento MiCA).

Ejecución de un contrato: cuando el tratamiento sea necesario para ejecutar un contrato con el cliente o para adoptar medidas precontractuales a petición del cliente.

Intereses legítimos: cuando el tratamiento se base en los intereses legítimos del grupo (por ejemplo, detección y prevención del fraude, gestión de riesgos, ciberseguridad), siempre que dichos intereses no prevalezcan sobre sus derechos y libertades fundamentales. Podemos describir estos intereses y el resultado de la ponderación a petición suya.

Consentimiento: Solo trataremos sus datos personales sobre esta base cuando hayamos solicitado y obtenido expresamente su consentimiento para fines específicos (p. ej., comunicaciones comerciales). Podrá retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Cumplimiento del Reglamento MiCA (art. 6(1)(c) RGPD): Como proveedor de servicios de criptoactivos (CASP) autorizado en virtud del Reglamento (UE) 2023/1114 (MiCA), tratamos datos personales para el cumplimiento de las obligaciones regulatorias que dicho Reglamento nos impone, tales como la documentación de incorporación de clientes, los registros de transacciones, los datos de verificación de carteras y los requisitos de transparencia. Este tratamiento no constituye una base jurídica autónoma, sino que se encuadra en el artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal), siendo MiCA la norma sectorial que origina dicha obligación, de forma análoga a la Ley 10/2010 en el ámbito PBC/FT. El tratamiento es necesario para el cumplimiento normativo, la gestión de riesgos y la protección del inversor.

Cuando tratamos datos personales relativos a condenas e infracciones penales, dicho tratamiento se lleva a cabo de conformidad con el artículo 10 del RGPD y sobre la base del artículo 6(1)(c) del RGPD (obligación legal).

Este tratamiento es estrictamente necesario para el cumplimiento de las obligaciones aplicables en materia de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT) en virtud de la Ley 10/2010, de 28 de abril, en su redacción dada por el Real Decreto-ley 7/2021.

Dicho tratamiento se limita a lo necesario para estos fines e incluye la conservación de la documentación identificativa y los registros de transacciones durante un período de 10 años, de conformidad con el artículo 25 de la Ley 10/2010.Asimismo, cuando el tratamiento se base en intereses legítimos, podrá oponerse en cualquier momento por motivos relacionados con su situación particular. En particular, tiene derecho a oponerse al tratamiento de sus datos personales con fines de mercadotecnia directa en cualquier momento, con efecto inmediato.

5. Datos personales que recopilamos sobre usted

Recopilaremos y trataremos los siguientes datos personales sobre usted:

Información que usted nos facilita directamente a nosotros o a alguna de nuestras filiales al cumplimentar formularios, realizar el proceso de alta o comunicarse con nosotros, ya sea en persona, por teléfono, correo electrónico u otros medios. Esta información puede incluir:

  • datos de contacto, incluidos domicilio postal/de envío, dirección de facturación, correo electrónico y número de teléfono;
  • país de residencia;
  • nacionalidad;
  • residencia fiscal;
  • fecha de nacimiento;
  • Lugar de nacimiento (utilizado para el cotejo de la edad del cliente con posibles coincidencias en listas de sanciones, registros de personas políticamente expuestas y búsquedas de información adversa, así como en aplicación de la Travel Rule en las jurisdicciones que así lo exigen conforme al Reglamento (UE) 2023/1113 y normativa equivalente aplicable);
  • nombre completo;
  • número de documento de identidad; 
  • fecha de caducidad del documento de identidad;
  • dirección de cartera on-chain (dirección de wallet);
  • credenciales de banca abierta (datos de cuenta para la iniciación de pagos); y
  • fotografía (selfie o imagen del documento de identidad);

5.1 Información que recopilamos o generamos internamente sobre usted (no facilitada directamente por usted). Esto incluye:

  • datos de contacto, incluidos domicilio postal/de envío, dirección de facturación, correo electrónico y número de teléfono;
  • país de residencia;
  • fecha de nacimiento;
  • nombre completo;
  • datos del documento de identidad; 
  • dirección de cartera blockchain;
  • credenciales de banca abierta (datos de cuenta para la iniciación de pagos);
  • fotografía; y
  • Datos de transacción, incluidos:
  • fecha(s) de la transacción;
  • importe de la transacción;
  • divisa de la transacción;
  • contraparte (es decir, cliente/comerciante);
  • método de pago; y
  • tipo de pago (TPV, en línea, etc.).
  • Datos/atributos biométricos faciales extraídos de fotografía/vídeo para la verificación de vida y la comparación facial, así como para la detección de duplicados (búsqueda biométrica), cuando proceda. El tratamiento de datos biométricos constituye una categoría especial de datos conforme al artículo 9 del RGPD. La base que habilita su tratamiento es el artículo 9(2)(g) del RGPD (tratamiento necesario por razones de interés público esencial, concretamente la prevención del blanqueo de capitales y la financiación del terrorismo, conforme a la normativa PBC/FT aplicable, incluida la Ley 10/2010, de 28 de abril), en relación con el artículo 9(2)(b) del RGPD cuando proceda (tratamiento necesario para el cumplimiento de obligaciones específicas en el ámbito del Derecho laboral y de la seguridad y protección social), y el artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El tratamiento se limita a lo estrictamente necesario para la verificación de identidad, la prevención del fraude y el cumplimiento de la normativa PBC/FT, y está sujeto a las garantías previstas en la normativa aplicable.
  • Identificación por vídeo: La grabación del proceso de identificación por vídeo, con prueba fehaciente de su fecha y hora, se almacenará en formato digital de conformidad con el artículo 25 de la Ley 10/2010 durante un período de diez (10) años a partir de la finalización de la relación de negocios o de la ejecución de la transacción.

La base jurídica para la conservación de las grabaciones de vídeo es el cumplimiento de una obligación legal en virtud de la normativa española de PBC (artículo 25 de la Ley 10/2010). El "consentimiento" al que se hace referencia en el presente apartado se refiere a su reconocimiento del proceso de grabación y de su período de conservación, no a la base jurídica del tratamiento. No podrá oponerse a esta conservación cuando así lo exija la normativa PBC; no obstante, el acceso a estas grabaciones está estrictamente limitado al personal de cumplimiento autorizado, SEPBLAC y las autoridades judiciales competentes.

Este apartado sobre identificación por vídeo es aplicable exclusivamente a los clientes que completen su proceso de alta con Due Network SL. Los clientes que se registren a través de otras entidades del grupo estarán sujetos a los procedimientos y políticas específicas de la entidad correspondiente.

5.2 Información que obtenemos de otras fuentes.

• información facilitada por proveedores externos de KYC/KYB para llevar a cabo comprobaciones de antecedentes (p. ej., en materia de sanciones, etc.); y

• Información facilitada por proveedores de monitorización de transacciones y verificación de carteras para verificar que la cartera utilizada es segura y que los fondos utilizados no están vinculados a actividades fraudulentas/delictivas.

• Datos técnicos y de seguridad (cuando utilice el sitio web o la aplicación): Podemos tratar identificadores en línea (p. ej., IP), registros de acceso/logs, identificadores de dispositivo y eventos de seguridad para prevenir el fraude, proteger la cuenta y mantener la resiliencia operativa.

• Carácter obligatorio/voluntario: Ciertos datos (p. ej., identificación/KYC) son obligatorios para el cumplimiento de la normativa PBC/FT y para la prestación del servicio. La no aportación de estos datos puede impedirnos abrir o mantener su cuenta o ejecutar transacciones.

• Datos del Reglamento de Transferencia de Fondos (RTF): De conformidad con el Reglamento (UE) 2023/1113 sobre la información que acompaña a las transferencias de fondos y determinados criptoactivos (RTF), estamos obligados a recopilar, verificar y conservar información específica relativa a las transferencias de criptoactivos, que incluye:

  • Información del ordenante (como nombre, dirección y dirección de cartera, así como identificadores adicionales cuando proceda)
  • Información del beneficiario (como nombre y dirección de cartera)
  • Detalles de la transacción, incluidos identificadores y marcas de tiempo.
  • Dirección del beneficiario en el caso de Due Payments Inc (Canadá).

Estos datos se tratan para garantizar la trazabilidad de las transferencias de criptoactivos y para cumplir las obligaciones aplicables en materia de prevención del blanqueo de capitales y de la financiación del terrorismo. Podrán ponerse a disposición de las autoridades competentes cuando así se solicite.

El tratamiento se lleva a cabo sobre la base del artículo 6(1)(c) del RGPD (obligación legal), de conformidad con los requisitos establecidos en el RTF.

En el marco de nuestras comprobaciones de PBC/FT y sanciones, podemos tratar información relacionada con condenas o infracciones penales. Este tratamiento es necesario para el cumplimiento de la legislación aplicable y para satisfacer nuestras obligaciones legales como sujeto obligado en virtud de la legislación PBC. Cuando lo exija la legislación local, nos amparamos en las bases jurídicas específicas previstas por dicha legislación para tratar estos datos. Para más información, póngase en contacto con dpo@due.network.

Garantías (art. 10 RGPD): Limitamos el acceso al personal autorizado, aplicamos controles de acceso y registro, minimización de datos y confidencialidad.

6. Usos de sus datos personales

Sus datos personales podrán ser almacenados y tratados por nosotros de las siguientes formas y para los siguientes fines, con objeto de garantizar que usted es apto para utilizar nuestros servicios:

• para verificar que usted es quien dice ser (es decir, verificación de identidad);

• para confirmar que dispone de fondos suficientes para realizar la compra; y

• para garantizar que usted es un "buen usuario" y no está asociado a fraudes, sanciones, delitos, etc.

Tenemos derecho a utilizar sus datos personales de estas formas porque:

•  Tenemos obligaciones legales y reglamentarias que debemos cumplir;

• Podemos necesitarlos para establecer, ejercer o defender nuestros derechos legales o para los fines de procedimientos judiciales; o

•  El uso de sus datos personales tal como se describe es necesario para nuestros intereses empresariales legítimos (o los intereses legítimos de una o más de nuestras filiales) expuestos anteriormente.

Tratamos sus datos personales para los siguientes fines y sobre las siguientes bases jurídicas:

Finalidad Base legal (Art. 6 RGPD) Notas
Verificación de identidad y KYC/KYB Art. 6(1)(c) — Obligación legal Leyes AML/CFT y requisitos de MiCA; puede implicar proveedores externos
Procesamiento biométrico (prueba de vida, reconocimiento facial) Art. 6(1)(c) + Art. 9 RGPD Uso limitado a verificación de identidad y prevención de fraude
Monitoreo de transacciones y prevención de fraude Art. 6(1)(c) + Art. 6(1)(f) Obligación legal + interés legítimo
Ejecución de contrato (onboarding, pagos, soporte) Art. 6(1)(b) Necesario para prestar el servicio
Comunicaciones de marketing Art. 6(1)(a) — Consentimiento Solo con consentimiento explícito; revocable en cualquier momento
Reclamaciones legales y requerimientos regulatorios Art. 6(1)(c) + Art. 6(1)(f) Cumplimiento normativo + defensa legal
Resiliencia operativa (DORA) Art. 6(1)(c) Registro y reporte de incidentes TIC
Transferencias de criptoactivos (Travel Rule / TFR) Art. 6(1)(c) Recopilación obligatoria de datos del originador y beneficiario

Si desea obtener una copia de nuestra Evaluación de Intereses Legítimos o más información sobre la base jurídica específica de un tratamiento concreto, póngase en contacto con dpo@due.network. Due Network S.L. mantiene un Registro de Actividades de Tratamiento (RAT) conforme al artículo 30 del RGPD, que documenta de forma detallada las actividades de tratamiento llevadas a cabo como responsable. Puede solicitar información adicional sobre los tratamientos específicos que le conciernan dirigiéndose al Delegado de Protección de Datos en dpo@due.network.

Resumen de finalidades y bases jurídicas:

– KYC/PBC y sanciones: obligación legal.

– Prestación del servicio: contrato.

– Fraude/seguridad y resiliencia: obligación legal y/o interés legítimo (con ponderación).

– Marketing (en su caso): consentimiento (con posibilidad de revocación/baja).

– Autoridades/litigios: obligación legal y/o reclamaciones.

Podemos utilizar herramientas automatizadas para detectar fraudes, gestionar riesgos y cumplir la normativa PBC/FT (p. ej., puntuación de riesgo, reglas/alertas y análisis automatizado). Salvo que se indique lo contrario, estas herramientas se utilizan como apoyo a la toma de decisiones y están sujetas a revisión humana.

Si en algún caso se adopta una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente (por ejemplo, la denegación automática del registro), se le informará al respecto, incluyendo información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas, y podrá solicitar intervención humana, expresar su punto de vista e impugnar la decisión (art. 22 RGPD), de conformidad con la normativa aplicable.

6.1 Elaboración de perfiles y toma de decisiones automatizada (art. 22 RGPD)

Utilizamos herramientas automatizadas para apoyar el cumplimiento normativo, entre ellas:

  • Cribado de sanciones/PEP contra listas de vigilancia globales mediante algoritmos de comparación;
  • Detección de fraudes mediante el análisis de patrones de transacciones, geolocalización y datos de interacción del usuario;
  • Puntuación de riesgo para la incorporación de clientes basada en los niveles de confianza de la verificación de identidad.

Lógica: Algoritmos basados en reglas y modelos de aprendizaje automático entrenados con datos históricos de cumplimiento y listas de vigilancia regulatorias.

Posibles consecuencias: Restricciones de cuenta, bloqueo de transacciones o requisitos de diligencia debida reforzada. Todas las alertas automatizadas están sujetas a revisión humana por personal de cumplimiento cualificado antes de que se adopte cualquier decisión definitiva.

Decisiones únicamente automatizadas: Cuando una decisión que produzca efectos jurídicos o efectos igualmente significativos (p. ej., rechazo automático del registro) se base únicamente en el tratamiento automatizado, usted tiene derecho en virtud del artículo 22(3) del RGPD a:

  • Obtener intervención humana;
  • Expresar su punto de vista; y
  • Impugnar la decisión.

6.2 Criptomonedas, carteras y blockchains

El uso de criptoactivos y/o carteras puede dar lugar a que ciertas transacciones queden registradas en redes públicas (blockchains). Estas redes son de terceros y no están controladas por Due.
En consecuencia, ciertos datos (p. ej., direcciones públicas, hashes de transacciones y metadatos asociados) pueden ser públicos o estar sujetos a análisis forense por parte de terceros, y pueden ser inmutables (no pueden modificarse ni eliminarse). Le recomendamos que tenga en cuenta estas implicaciones antes de operar en redes públicas.

6.3 Seguridad y resiliencia operativa

Aplicamos medidas técnicas y organizativas razonables para proteger los datos contra pérdidas, accesos no autorizados y divulgación. En el marco de nuestras obligaciones regulatorias, podemos tratar datos para la detección de incidentes, la investigación forense y la notificación a las autoridades pertinentes en caso de incidentes de seguridad. Estas actividades se llevan a cabo de conformidad con la normativa aplicable y con la debida consideración por la protección de los datos personales.Como entidad sujeta al Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (DORA), podemos asimismo tratar datos relativos a incidentes relacionados con las tecnologías de la información y la comunicación (TIC), incluyendo registros de incidentes, datos de proveedores de servicios TIC terceros críticos e información necesaria para los informes de incidentes graves exigidos por DORA (arts. 9, 17 y 19 del Reglamento DORA). Dicho tratamiento se lleva a cabo sobre la base del artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal) y está sujeto a las medidas de seguridad y proporcionalidad establecidas en el propio Reglamento DORA.

6.4 Otros fines compatibles

Podemos tratar sus datos personales para otros fines compatibles con los expuestos anteriormente, aplicando para ello el test de compatibilidad previsto en el artículo 6(4) del RGPD y teniendo en cuenta, entre otros factores, el vínculo entre el fin original y el nuevo fin, el contexto en que se recogieron los datos y los posibles riesgos para sus derechos y libertades. Documentaremos la base jurídica aplicable (incluidas las Evaluaciones de Intereses Legítimos cuando proceda). Si el nuevo fin resulta incompatible con el fin original para el que se recogieron sus datos, le informaremos proactivamente y, en su caso, recabaremos su consentimiento antes de iniciar dicho tratamiento.

7. Restricciones de edad

Nuestros servicios no están destinados a personas menores de 18 años. No recopilamos conscientemente datos personales de menores. Si cree que hemos recopilado inadvertidamente datos de un menor, póngase en contacto con dpo@due.network de inmediato y adoptaremos medidas para eliminar dicha información.

8. Divulgación de su información a terceros

Adoptaremos medidas para garantizar que los datos personales solo sean accesibles para los empleados que necesiten acceder a ellos para los fines descritos en este aviso.

Sus datos podrán divulgarse, cuando proceda, a las siguientes categorías de destinatarios:

• Autoridades públicas y organismos supervisores (incluidas las Unidades de Inteligencia Financiera, las autoridades policiales y las autoridades fiscales) cuando lo exija la ley o sea necesario para la prevención o detección de actividades delictivas.

• Proveedores de servicios de cumplimiento y KYC/KYB, proveedores de verificación de sanciones y proveedores de datos de riesgo (actuando como encargados del tratamiento).

• Socios bancarios, socios de pago y otros proveedores de servicios financieros que actúen como encargados del tratamiento o corresponsables.
Proveedores de servicios de TI, alojamiento, nube y almacenamiento de datos (actuando como encargados del tratamiento).

• Auditores externos, asesores jurídicos y auditores forenses cuando sea necesario a efectos de auditoría o investigación.

• Compradores o posibles compradores del negocio en caso de venta o reestructuración empresarial.

• En todos los casos, los destinatarios estarán obligados contractualmente a tratar los datos de conformidad con este aviso y a no utilizarlos para ningún otro fin.

Aclaración de funciones: Algunos destinatarios (p. ej., determinados socios bancarios/de pago) pueden actuar como responsables independientes para sus propios fines regulatorios.

Encargados del tratamiento y subcontratistas

Trabajamos con proveedores de servicios que actúan como encargados del tratamiento (p. ej., proveedores de KYC/identificación, socios bancarios, servicios de alojamiento, servicios en la nube y proveedores de verificación). Todos los encargados están vinculados por contratos que contienen las garantías adecuadas (incluidas las cláusulas contractuales tipo) y obligaciones de seguridad.

9. Transferencias de datos personales fuera del Espacio Económico Europeo ("EEE") y del Reino Unido

Los datos personales que recopilamos de usted pueden ser transferidos y almacenados en un destino fuera del EEE/RU. También pueden ser tratados por personal que trabaje fuera del EEE/RU para nuestras filiales o para uno de nuestros proveedores.

Los datos personales se alojan y tratan principalmente dentro del EEE y el RU. No obstante, debido a la estructura internacional del grupo y/o a las necesidades específicas de proveedores u operativas (p. ej., soporte, cumplimiento normativo o resiliencia), pueden producirse transferencias fuera del EEE/RU en casos específicos.

Cuando transfiramos sus datos personales fuera del EEE/RU, nos aseguraremos de que estén protegidos de manera coherente con la protección que dispensamos dentro del EEE/RU. Las garantías aplicadas varían según la jurisdicción de destino:

• Reino Unido: reconocido como destino adecuado por la Comisión Europea (Decisiones de adecuación 2021/1772 y 2021/1773). Para transferencias con origen en el RU, aplicamos el Acuerdo Internacional de Transferencia de Datos (IDTA) de la ICO o el UK Addendum a las CCT, según proceda;

• Argentina: reconocida como país con nivel adecuado de protección por la Comisión Europea. Aplicamos adicionalmente cláusulas contractuales tipo como medida de refuerzo;• Canadá: dispone de decisión de adecuación parcial de la Comisión Europea (sector privado bajo PIPEDA), actualmente bajo revisión. Para las transferencias a Due Payments Inc. utilizamos cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea;• Estados Unidos (Due Technologies Inc.): no existe decisión de adecuación general. Las transferencias se realizan sobre la base de cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea, complementadas con medidas técnicas y organizativas suplementarias según la evaluación de impacto de la transferencia (TIA);• Transferencias intragrupo: pueden ampararse en normas corporativas vinculantes (BCR) cuando proceda.

• Resto de jurisdicciones: el destinatario ha firmado un contrato basado en cláusulas contractuales tipo aprobadas por la Comisión Europea o el Gobierno del RU (según corresponda), complementadas con las medidas suplementarias que resulten necesarias.

En otras circunstancias, la ley puede permitirnos transferir sus datos personales fuera del EEE/RU. En todo caso, nos aseguraremos de que cualquier transferencia de sus datos personales cumpla con la legislación de protección de datos.

Puede obtener más información sobre la protección que se dispensa a sus datos personales cuando se transfieren fuera del EEE/RU (incluida una copia de las cláusulas contractuales tipo que hemos suscrito con los destinatarios de sus datos personales) poniéndose en contacto con nosotros de conformidad con el apartado "Contacto" que figura a continuación.

Para las transferencias desde el EEE/RU podemos utilizar, cuando proceda, las CCT de la Comisión Europea y, para el RU, el IDTA de la ICO o el Addendum del RU a las CCT, junto con medidas suplementarias cuando proceda, tras la evaluación de riesgos de la transferencia.

10. Conservación de datos personales

El período durante el cual conservamos sus datos personales puede variar. El período de conservación vendrá determinado por varios criterios, entre ellos:

• La finalidad para la que lo utilizamos: necesitaremos conservar los datos durante el tiempo necesario para dicha finalidad; 

• obligaciones legales: las leyes o reglamentos pueden establecer un período mínimo durante el cual debemos conservar sus datos personales;

• los requisitos de conservación pueden variar según la jurisdicción; por ejemplo, algunos países exigen que los datos personales se conserven durante períodos más largos en virtud de la legislación local.

Plazos de conservación indicativos (sujetos a los requisitos legales y reglamentarios aplicables):

  • Registros KYC/PBC y documentación de diligencia debida: 10 años desde la terminación de la relación de negocios o la ejecución de una operación ocasional, de conformidad con el artículo 25 de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo. Esto incluye documentos de identificación, grabaciones de identificación por vídeo, información sobre titularidad efectiva, evaluaciones de riesgo y documentación de diligencia debida.
  • Registros transaccionales y contables: conservados de conformidad con las obligaciones legales aplicables, incluidos los requisitos PBC/FT (10 años en virtud de la Ley 10/2010) y las obligaciones mercantiles/contables (generalmente 6 años en virtud del Código de Comercio español). Dichos datos se conservarán durante el período requerido por la base jurídica aplicable en cada caso. Esto puede incluir detalles de transacciones, importes, divisas, contrapartes, métodos de pago, hashes de transacciones en blockchain y datos relacionados con el RTF.
  • Registros de seguridad y antifraude: conservados durante un período limitado en función de la proporcionalidad y las necesidades de seguridad (generalmente hasta 2 años), salvo que sean necesarios durante períodos más largos en relación con investigaciones PBC, comunicaciones de actividades sospechosas u obligaciones legales.
  • Reclamaciones y litigios: conservados durante el plazo de prescripción aplicable (generalmente 5 años en virtud del derecho civil español, salvo que lo prolongue normativa específica), y hasta la resolución definitiva del asunto.

Una vez transcurridos los plazos de conservación aplicables, los datos personales serán eliminados de forma segura o anonimizados de forma irreversible de conformidad con nuestros procedimientos de conservación y destrucción de datos. Los datos anonimizados podrán conservarse con fines estadísticos o de investigación, siempre que no puedan ser re identificados.

11. Sus derechos

Usted dispone de varios derechos legales en relación con los datos personales que conservamos sobre usted. Estos derechos incluyen:

• el derecho a obtener información sobre el tratamiento de sus datos personales y a acceder a los datos personales que conservamos sobre usted;

• el derecho a retirar su consentimiento en cualquier momento; esto no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada ni nos impedirá continuar tratando datos cuando exista otra base jurídica válida distinta del consentimiento.

• En algunas circunstancias, el derecho a recibir determinados datos personales en un formato estructurado, de uso común y lectura mecánica y/o a solicitar que transmitamos dichos datos a un tercero cuando ello sea técnicamente posible. Tenga en cuenta que este derecho solo se aplica a los datos personales que usted nos haya facilitado;

• el derecho a solicitar que rectifiquemos sus datos personales si son inexactos o incompletos;

• El derecho a solicitar que suprimamos sus datos personales en determinadas circunstancias. Tenga en cuenta que puede haber circunstancias en las que solicite que suprimamos sus datos personales, pero tengamos derecho legal a conservarlos.

• el derecho de oposición y el derecho a solicitar que restrinjamos nuestro tratamiento de sus datos personales en determinadas circunstancias. De nuevo, puede haber circunstancias en las que usted se oponga o solicite que restrinjamos nuestro tratamiento de sus datos personales, pero tengamos derecho legal a continuar tratándolos y/o a rechazar dicha solicitud; y

• el derecho a presentar una reclamación ante la autoridad de control de protección de datos (cuyos datos se facilitan a continuación) si considera que alguno de sus derechos ha sido vulnerado por nosotros.

Puede ejercer sus derechos de protección de datos poniéndose en contacto con nuestro Delegado de Protección de Datos (DPD), designado formalmente e inscrito ante la Agencia Española de Protección de Datos (AEPD), a través de los siguientes canales:

Correo electrónico: dpo@due.network (recomendado para una respuesta más rápida)

Dirección postal:

Delegado de Protección de Datos

Due Network S.L.

Paseo de la Castellana 91, 4.º 1.ª

28046 Madrid, España

Para ayudarnos a tramitar su solicitud de manera eficiente, incluya su nombre, datos de contacto, el derecho que desea ejercer y cualquier información que pueda ayudarnos a identificar sus datos.

Podemos solicitar información adicional para verificar su identidad cuando sea necesario, de conformidad con el artículo 12(6) del RGPD.

Responderemos a su solicitud sin demora indebida y, en todo caso, en el plazo de un mes a partir de su recepción. Este plazo podrá prorrogarse hasta dos meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes.

Por regla general, el ejercicio de sus derechos es gratuito. No obstante, podemos cobrar una tasa razonable o negarnos a atender solicitudes que sean manifiestamente infundadas o excesivas, de conformidad con el artículo 12(5) del RGPD.

Si considera que sus derechos no han sido atendidos adecuadamente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es), C/ Jorge Juan, 6, 28001 Madrid.

Puede ejercer sus derechos poniéndose en contacto con nosotros a través de los datos que figuran en el apartado "Contacto" que figura a continuación.

Puede obtener más información sobre sus derechos poniéndose en contacto con la autoridad de control de protección de datos de su jurisdicción:

En el RU, la autoridad de control de protección de datos es la Oficina del Comisionado de Información ("ICO").

Autoridad de control en España: Agencia Española de Protección de Datos (AEPD).

Cómo tramitamos las solicitudes: Podemos solicitar información adicional razonable para verificar su identidad y proteger sus datos; responderemos dentro de los plazos legales aplicables.

12. Contacto

Si desea más información sobre la recopilación, uso, divulgación, transferencia o tratamiento de sus datos personales o sobre el ejercicio de cualquiera de los derechos enumerados anteriormente, dirija sus preguntas, comentarios y solicitudes a dpo@due.network.

Podemos actualizar este aviso periódicamente. Cuando los cambios sean sustanciales, le notificaremos por medios razonables (por ejemplo, por correo electrónico o mediante una notificación en el panel/portal, si existe). La fecha de la última actualización aparece al principio del aviso.