Filosofía de custodia informativa

mysentraeon reconoce que cada fragmento de información recibida representa una responsabilidad concreta. Nuestra aproximación parte del entendimiento de que los datos corporativos no emergen en un vacío: nacen en momentos específicos de la relación comercial y responden a necesidades operativas identificables.

Este documento articula cómo absorbemos, manejamos y protegemos la información que llega a nuestros sistemas a través de interacciones empresariales. El propósito es triple: transparencia absoluta sobre mecanismos operativos, claridad respecto a derechos ejercitables, y exposición franca de los límites inherentes a cualquier sistema de gestión informativa.

Lo que sigue no es un catálogo de promesas inalcanzables. Es una descripción funcional de procesos reales, limitaciones existentes, y el marco jurídico que gobierna nuestro tratamiento de información corporativa en territorio español.

Mecanismos de obtención informativa

La información llega a nuestros sistemas mediante tres vías primordiales, cada una con características distintivas en cuanto a volumen, naturaleza y momento de captura.

Provisión directa durante interacciones empresariales

Cuando una organización establece contacto inicial mediante nuestro formulario web, ingresa elementos identificativos básicos: denominación empresarial, persona de contacto, dirección electrónica corporativa y número telefónico. Este intercambio es deliberado y consciente.

Si la relación evoluciona hacia una contratación de servicios financieros, la profundidad informativa aumenta. Recibimos entonces estructuras fiscales, datos bancarios para procesamiento de transacciones, información sobre volúmenes operativos y, en algunos casos, detalles sobre arquitectura comunicacional interna de la empresa cliente.

Generación automática durante uso del servicio

Nuestros sistemas registran patrones de acceso sin intervención humana. Esto incluye direcciones IP desde donde se accede a la plataforma, marcas temporales de conexión, navegadores empleados y funcionalidades utilizadas dentro del panel de control empresarial.

Estos registros tienen finalidad exclusivamente técnica: detectar anomalías operativas, optimizar rendimiento de sistemas y mantener integridad de infraestructura. No realizamos perfilado comercial basado en estos elementos.

Derivación desde terceros autorizados

En circunstancias limitadas, obtenemos información empresarial a través de proveedores externos. Esto ocurre principalmente con entidades bancarias durante verificaciones de solvencia o con agencias de validación fiscal cuando necesitamos confirmar estatus corporativo.

Cada proveedor externo opera bajo contratos específicos que delimitan exactamente qué información puede compartirse, bajo qué circunstancias, y con qué salvaguardas técnicas.

Categorización informativa y bases legitimadoras

No toda información se maneja de forma idéntica. Aplicamos tratamientos diferenciados según la naturaleza del elemento informativo y la justificación legal que ampara su procesamiento.

Esta estructura refleja una realidad operativa: diferentes tipos de información responden a diferentes necesidades empresariales y diferentes marcos temporales. La uniformidad forzada sería artificialmente rígida y contraproducente.

Finalidades operativas concretas

Procesamos información empresarial para cumplir funciones específicas dentro de nuestra operativa de servicios financieros. Cada categoría informativa se vincula a propósitos identificables.

Prestación del servicio contratado

Los servicios de comunicación empresarial financiera requieren conocer estructuras organizativas del cliente, canales de comunicación preferentes, y personas autorizadas para diferentes tipos de transacciones. Sin estos elementos, resulta materialmente imposible entregar el servicio acordado.

Cuando un cliente corporativo solicita análisis de flujos comunicacionales, necesitamos acceder a históricos de intercambios, volúmenes procesados y patrones temporales de actividad. La información aquí no es accesoria: es constitutiva del servicio mismo.

Cumplimiento de obligaciones regulatorias

La normativa de prevención de blanqueo de capitales nos obliga a verificar identidad corporativa y mantener registros de transacciones superiores a ciertos umbrales. Esta no es una elección empresarial: es un mandato legal ineludible.

Las autoridades fiscales pueden requerir documentación histórica. Conservamos información durante periodos extendidos no por preferencia operativa, sino porque la legislación tributaria española así lo exige bajo amenaza de sanciones significativas.

Mejora técnica de plataforma

Analizamos datos agregados de uso para identificar puntos de fricción en nuestra interfaz, funcionalidades infrautilizadas, o errores recurrentes. Este análisis emplea información anonimizada y se enfoca en patrones colectivos, no en comportamientos individuales.

Si detectamos que el 73% de usuarios abandonan un formulario específico en el mismo punto, eso señala un problema de diseño que debemos corregir. Este tipo de observación mejora la experiencia para todos los clientes sin requerir identificación individual.

Comunicaciones relacionadas con el servicio

Enviamos notificaciones operativas esenciales: confirmaciones de transacciones procesadas, alertas sobre cambios en términos contractuales, recordatorios de renovación de documentación requerida, y comunicados sobre actualizaciones de plataforma que afectan funcionalidad.

Estas comunicaciones no son promocionales. Son informativas y vinculadas directamente a la relación comercial existente. Un cliente puede solicitar formato diferente (email en lugar de SMS, por ejemplo), pero no puede rechazar completamente su recepción mientras mantenga servicios activos.

Circulación informativa hacia entidades externas

La información empresarial no permanece encapsulada en nuestros sistemas. Circula hacia determinadas entidades bajo condiciones específicas y controladas.

Proveedores de infraestructura técnica

Nuestros servidores están alojados en centros de datos especializados operados por terceros. Estos proveedores acceden a información empresarial como consecuencia necesaria de prestar servicios de hosting, pero operan bajo contratos de procesamiento que les prohíben explícitamente cualquier uso distinto al mantenimiento de infraestructura.

Del mismo modo, empleamos servicios especializados de respaldo y recuperación de desastres. La información replicada en estos sistemas de backup incluye datos empresariales completos, pero permanece bajo cifrado durante tránsito y almacenamiento.

Entidades financieras colaboradoras

Cuando procesamos transacciones financieras en nombre de clientes, compartimos información necesaria con bancos emisores y receptores. Este intercambio es inherente a la naturaleza del servicio: no podemos ejecutar una transferencia sin comunicar datos de cuenta destino a la entidad bancaria correspondiente.

Estas instituciones financieras operan bajo sus propias políticas de privacidad y marcos regulatorios sectoriales. No controlamos su gestión informativa más allá del momento transaccional específico.

Autoridades y organismos reguladores

Respondemos a requerimientos legítimos de autoridades fiscales, judiciales o reguladoras cuando se presentan mediante procedimientos formales apropiados. Verificamos la legitimidad de cada solicitud y limitamos la divulgación al alcance estrictamente necesario para cumplir el requerimiento.

En 2024, recibimos 12 requerimientos de este tipo. Todos fueron procesados mediante canales legales establecidos y después de validación jurídica interna.

Situaciones de reorganización empresarial

Si mysentraeon participa en una fusión, adquisición, o reestructuración corporativa significativa, la información empresarial de clientes forma parte de los activos transferidos. En tal escenario, notificaremos con antelación razonable y garantizaremos que la entidad receptora mantenga niveles de protección equivalentes a los aquí descritos.

Arquitectura de protección

Implementamos múltiples capas de salvaguarda técnica y organizativa. Ningún sistema es invulnerable, pero la acumulación de medidas reduce sustancialmente la probabilidad de compromiso.

Protecciones técnicas implementadas

• Cifrado AES-256 para información en reposo dentro de bases de datos y sistemas de almacenamiento
• Protocolo TLS 1.3 obligatorio para cualquier transmisión de información entre sistemas o hacia usuarios
• Segregación de redes internas mediante VLANs con políticas de firewall restrictivas entre segmentos
• Autenticación de doble factor obligatoria para cualquier acceso administrativo a sistemas que contienen información empresarial
• Sistemas de detección de intrusiones que monitorizan patrones anómalos de acceso y alertan automáticamente al equipo de seguridad
• Copias de respaldo automatizadas cada 6 horas con almacenamiento geográficamente distribuido
• Registro exhaustivo de accesos a información sensible con conservación de logs durante 24 meses

Controles organizativos vigentes

El acceso a información empresarial está estrictamente compartimentado. Los empleados de soporte técnico solo ven elementos necesarios para resolver incidencias específicas. El personal financiero accede únicamente a información transaccional relevante para sus funciones. Los administradores de sistemas tienen capacidades técnicas amplias pero operan bajo supervisión y auditoría continua.

Cada empleado firma acuerdos de confidencialidad específicos y recibe formación trimestral sobre gestión apropiada de información empresarial. Las violaciones de estos protocolos constituyen causa de terminación laboral inmediata.

Limitaciones reconocidas

A pesar de estas medidas, vulnerabilidades residuales persisten. Ataques de ingeniería social sofisticados pueden engañar a empleados autorizados. Vulnerabilidades desconocidas en software de terceros pueden ser explotadas antes de que los fabricantes publiquen parches. Amenazas persistentes avanzadas con recursos significativos pueden eventualmente comprometer sistemas suficientemente protegidos.

En caso de brecha de seguridad que afecte información empresarial, notificaremos a clientes afectados dentro de 72 horas desde el descubrimiento del incidente, detallando naturaleza del compromiso, información potencialmente expuesta, y medidas correctivas implementadas.

Capacidades de control para clientes empresariales

Las organizaciones que confían información a mysentraeon retienen derechos específicos respecto a su gestión. Estos derechos no son absolutos: encuentran límites en obligaciones legales y necesidades operativas, pero proporcionan canales efectivos de control.

Acceso y verificación

Cualquier entidad empresarial puede solicitar un informe completo de la información que mantenemos sobre ella. Proporcionamos este informe en formato estructurado (CSV o JSON) dentro de 15 días hábiles desde la solicitud verificada.

El informe incluye categorías de información almacenada, fechas de obtención, propósitos de procesamiento activos, y listado de terceros que han recibido información durante los 12 meses precedentes.

Rectificación de inexactitudes

Si la información que mantenemos contiene errores fácticos, pueden solicitar corrección inmediata. Esto aplica a elementos como direcciones postales incorrectas, datos de contacto desactualizados, o denominaciones empresariales modificadas.

La rectificación no se extiende a registros históricos de transacciones ya completadas: estos permanecen inalterados para preservar integridad de auditoría, pero podemos añadir anotaciones explicativas si existen disputas sobre interpretación.

Limitación de procesamiento

Los clientes pueden solicitar que congelemos el procesamiento de información específica mientras se resuelven disputas sobre legitimidad de su tratamiento. Durante este periodo de congelación, mantenemos la información pero suspendemos su uso activo.

Esta capacidad tiene límites: no podemos congelar información cuyo procesamiento sea legalmente obligatorio o esencial para prestación de servicios que el cliente mantiene activos.

Portabilidad de información

Cuando el procesamiento se basa en ejecución contractual, los clientes pueden solicitar que transfiramos su información directamente a otro proveedor de servicios, en la medida que sea técnicamente factible.

Utilizamos formatos estándar de industria para facilitar esta portabilidad. Hemos completado con éxito 28 transferencias de este tipo durante 2024, con un tiempo medio de procesamiento de 8 días hábiles.

Eliminación completa

Tras la terminación de servicios y una vez transcurridos los periodos legales de retención, los clientes pueden exigir eliminación total de su información empresarial de nuestros sistemas.

La eliminación es irreversible y se ejecuta mediante borrado criptográfico de claves de cifrado, haciendo la información técnicamente irrecuperable incluso si fragmentos físicos permanecen en medios de almacenamiento.

No podemos eliminar información cuya conservación sea legalmente obligatoria: registros fiscales durante 6 años, documentación contractual durante 15 años, información sujeta a procedimientos judiciales activos.

Oposición a procesamiento

Cuando el procesamiento se fundamenta en interés legítimo (no en obligación legal o ejecución contractual), los clientes pueden oponerse presentando razones particulares relacionadas con su situación específica.

Evaluamos cada oposición individualmente, balanceando los intereses empresariales legítimos de mysentraeon contra las circunstancias particulares presentadas por el cliente.

Duración de retención informativa

No conservamos información indefinidamente. Aplicamos políticas de eliminación progresiva basadas en naturaleza de la información y requisitos regulatorios aplicables.

Estas duraciones no son negociables individualmente: responden a mandatos legales uniformes aplicables a toda entidad que opera servicios financieros en España.

Fundamentos legales del procesamiento

El Reglamento General de Protección de Datos de la Unión Europea exige que todo procesamiento de información se sustente en al menos una de seis bases legales posibles. Nuestra operativa se fundamenta en tres de ellas.

Ejecución de contratos comerciales

Cuando una empresa contrata servicios de comunicación financiera, ese contrato justifica legalmente el procesamiento de información necesaria para cumplir las obligaciones asumidas. No podríamos ejecutar el servicio acordado sin manejar datos bancarios, información de contacto, y elementos operativos específicos.

Esta base legal cubre aproximadamente el 60% de nuestro procesamiento informativo total.

Cumplimiento de obligaciones legales

La legislación española nos impone deberes específicos: verificar identidad de clientes corporativos para prevenir blanqueo de capitales, conservar documentación fiscal durante periodos establecidos, responder a requerimientos de autoridades competentes.

Estos procesamientos no dependen de voluntad empresarial ni pueden ser objeto de oposición por parte de clientes: son mandatos legales ineludibles bajo amenaza de sanciones administrativas significativas.

Interés legítimo de la organización

Ciertos procesamientos se justifican porque mysentraeon tiene un interés legítimo en realizarlos, ese interés no es anulado por derechos superiores de los titulares de información, y existe una relación razonable de expectativa entre el titular y la organización.

Por ejemplo: mantener registros de comunicaciones comerciales para resolver disputas contractuales futuras constituye un interés legítimo. Analizar patrones agregados de uso para mejorar funcionalidad de plataforma también califica como interés legítimo.

Antes de procesar información bajo esta base, realizamos evaluaciones formales de proporcionalidad documentando el interés específico, la necesidad del procesamiento, y la ausencia de impacto desproporcionado sobre titulares.

Transferencias internacionales de información

La mayor parte de nuestra infraestructura y procesamiento ocurre dentro del Espacio Económico Europeo, beneficiándose de protecciones uniformes del RGPD.

Sin embargo, empleamos servicios específicos de proveedores con presencia global. En particular, nuestro sistema de respaldo secundario replica información cifrada hacia instalaciones ubicadas en Suiza (país con decisión de adecuación de la Comisión Europea).

Ocasionalmente, cuando un cliente empresarial solicita transferencias hacia cuentas bancarias en jurisdicciones fuera del EEE, compartimos información transaccional específica con la institución financiera receptora. Estas transferencias se ejecutan bajo cláusulas contractuales estándar aprobadas por autoridades europeas.

No realizamos transferencias hacia jurisdicciones consideradas inadecuadas sin garantías adicionales específicas, y notificamos a clientes cuando transferencias de este tipo sean necesarias para ejecutar instrucciones específicas que ellos mismos hayan emitido.

Modificaciones a este marco informativo

Este documento no está petrificado. Evolucionará en respuesta a cambios regulatorios, transformaciones en nuestra operativa técnica, o incorporación de nuevos servicios que requieran tratamientos informativos diferentes.

Cuando realicemos modificaciones sustanciales que afecten derechos o expectativas razonables de clientes empresariales, notificaremos con 30 días de antelación mediante comunicación directa a las direcciones de contacto registradas.

Cambios menores de naturaleza clarificatoria o actualizaciones de información de contacto se publicarán directamente sin notificación individual, pero siempre indicando fecha de última revisión en el encabezado del documento.

Los clientes que no acepten modificaciones sustanciales tienen derecho a terminar la relación comercial sin penalizaciones, recuperando cualquier pago prorrateado por servicios no consumidos.