1. Objetivo

Establecer los lineamientos para la recolección, uso, almacenamiento, protección y eliminación de los datos personales tratados por GASNET, garantizando el cumplimiento de la Ley 172-13 de la República Dominicana y asegurando la confidencialidad, integridad y disponibilidad de la información.

 

2. Alcance

Esta política aplica a:

 
Clientes y contribuyentes que utilicen los servicios de facturación electrónica.

 Empleados y proveedores que compartan datos personales con GASNET.

  Procesos y sistemas que gestionen datos personales, incluyendo plataformas en la nube, servidores, canales de atención y respaldos.

 

3. Definiciones

  • CDP: Comisión Nacional de Protección de Datos Personales. Es el órgano de control creado por la Ley 172-13 de la República Dominicana para velar por el cumplimiento de la normativa de protección de datos personales.
  • Autoridad de Control: Comisión Nacional de Protección de Datos Personales (CDP), Tel. 809-685-2308, consultas@cdp.gob.do.
  • Cifrado: Técnica utilizada para garantizar que los datos sensibles sean almacenados y transmitidos de manera segura mediante codificación.
  • Consentimiento: Manifestación libre, informada, específica e inequívoca del titular para el tratamiento de sus datos personales.
  • Dato Personal: Cualquier información que permita identificar, directa o indirectamente, a una persona física (ej. nombre, cédula, correo, IP, usuario de sistema). Incluye datos públicos y no públicos.
  • Dato Público: Dato accesible o susceptible de ser divulgado por la autoridad competente según la Ley 172-13 de la República Dominicana.
  • Dato Sensible: Dato personal que revele origen racial, ético, estado de salud, biometría, creencias religiosas, políticas o vida sexual, según art. 3 Ley 172-13.
  • Derechos del Titular: Acceder, rectificar, cancelar, oponerse, solicitar portabilidad y ser informado sobre el tratamiento de sus datos. Puede ejercerlos enviando solicitud a soporte@gasnet.do.
  • Periodo de Retención: Los datos personales se conservarán mientras la cuenta esté activa y durante 10 años adicionales por obligaciones fiscales, tras lo cual se anonimiza o eliminan.
  • SaaS (Software as a Service): Modelo de distribución de software en el que las aplicaciones se entregan a través de internet.
  • Titular de los Datos: Persona física o jurídica cuyos datos personales son objeto de tratamiento.
  • Tratamiento de Datos: Cualquier operación sobre datos personales, como recolección, almacenamiento, uso, transmisión o eliminación.
  • Violación de Datos: Acceso, destrucción, alteración o divulgación no autorizada de datos personales que debe notificarse a la CDP y a los titulares en 72 h.
 
4. Aspectos Generales
4.1 El tratamiento de los datos Personales

En GASNET se regirá por los siguientes principios:

  • Legalidad y transparencia: Los datos se tratarán conforme a la Ley 172-13 y serán usados sólo para fines autorizados.
  • Finalidad legítima: Los datos se recolectan exclusivamente para la prestación de servicios de facturación electrónica, gestión administrativa y cumplimiento legal.
  • Minimización: Solo se recolectarán los datos estrictamente necesarios.
  • Exactitud: Los datos deben mantenerse actualizados.
  • Confidencialidad y seguridad: Se aplicarán medidas técnicas y organizativas para prevenir accesos no autorizados, pérdida o alteración.
  • Ley 126-02 sobre el Derecho de Autor: GASNET cumple con los principios de protección de la propiedad intelectual y derechos de autor relacionados con la creación, modificación y distribución de documentos digitales.
  • Limitación temporal: Los datos se conservarán por un período máximo de 10 años, salvo obligación legal distinta.
  • GASNET no dirige sus servicios a personas menores de 18 años. En caso de detectarse un menor, se suspenderá la cuenta y se eliminarán sus datos en un plazo máximo de 48 horas.
  • GASNET NO recolecta ni almacena datos sensibles (salud, religión, opiniones políticas, etc.). En caso de ser necesario, se solicitará consentimiento explícito y separado.
  • ISO/IEC 27001: Norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). A pesar de no contar con la certificación
  • ISO 270001 GASNET implementa medidas de seguridad alineadas con los principios de ISO 27001 para proteger los datos públicos.
 
4.2 Derechos de los titulares de datos:
  • Acceso: Conocer qué datos están siendo tratados y su finalidad.
  • Rectificación: Solicitar la actualización o corrección de datos inexactos.
  • Cancelación: Solicitar la eliminación de datos cuando ya no sean necesarios.
  • Oposición: Negarse al tratamiento en casos específicos autorizados por la Ley 172-13.
  • Portabilidad: Solicitar copia de sus datos en un formato estructurado y de uso común.

 

4.3 Medidas para proteger los datos personales:

GASNET implementa las siguientes medidas para proteger los datos personales:

  • Respaldo automático diario.
  • Redundancia en la nube.
  • Cifrado de información en tránsito y en reposo.
  • Controles de acceso basados en roles.
  • Registro y monitoreo de accesos a datos sensibles.
  • Planes de contingencia y continuidad.

Los datos personales pueden ser almacenados y tratados en plataformas externas y servidores en la nube, ubicados fuera de la República Dominicana.


Los titulares podrán ejercer sus derechos mediante los siguientes canales:

  • Correo electrónico: info@gasnet.do
  • Teléfono: 809-518-8999
  • Dirección física: C. Horacio Blanco Fombona 24, Santo Domingo, República Dominicana.

 

4.4 Característica del sistema y medidas de protección
  • Autorización Basada en Roles y Atributos (RBAC/ABAC)
    Esquema RBAC (Control de acceso basado por roles); que asigna y revoca permisos por rol: contribuyente, contador, auditor, administrador. Cada usuario solo accede a los datos estrictamente necesarios para su función.
  • Cifrado de Datos Sensibles y Contraseñas
    Toda la información personal y datos almacenados en el sistema ZENCILLO se cifra con AES-256.
  • Acceso Personalizado y Lógicamente Aislado
    Cada empresa suscrita opera en un espacio lógico separado. Solo los usuarios autorizados por la propia empresa pueden consultar o modificar sus comprobantes y reportes.
  • Descarga y Portabilidad de Datos
    Los usuarios pueden solicitar y descargar todos los datos que el sistema haya procesado, asegurando que puedan cumplir con sus obligaciones fiscales o auditorías.
  • Respaldo Cifrado y Retención Controlada
    Copias incrementales diarias, siempre cifradas con AES-256. Se conservan 30 días como mínimo y luego se eliminan de forma segura (sobrescritura y borrado lógico).
  • Autenticación Fortalecida
    Acceso con contraseña + 2FA (Google Authenticator o SMS). Bloqueo automático tras 5 intentos fallidos y notificación inmediata al usuario y al administrador.
  • Registro y Auditoría de Accesos
    Se registran todos los accesos (timestamp, IP, usuario, recurso consultado). Los logs se almacenan inmutables durante 1 año para posibles auditorías forenses.
  • Política de Contraseñas
    Mínimo 12 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos. Expiración cada 90 días.
  • Encriptación de Backups
    Las copias de seguridad están cifradas con AES-256 y se guardan en servidores físicos en un área resguardada con control de acceso biométrico.

 

5. Procedimiento ante Violaciones de Datos

En caso de violación de datos personales, GASNET notificará a la CDP y a los titulares afectados en un plazo máximo de 72 horas desde su detección, mediante correo electrónico y publicación en el sitio web.

 

6. Responsabilidades

  • Director Ejecutivo: Activa el plan de contingencia, aprueba decisiones críticas y coordina la comunicación con la DGII y con clientes.
  • Seguridad Informática: Monitorea infraestructura, ejecuta pruebas de respaldo, coordina restauraciones y reporta al Director Ejecutivo.
  • Soporte Técnico: Mantiene la atención a usuarios (clientes), asegurando la disponibilidad de canales alternativos de contacto.

 

7. Publicación

 

Esta política será publicada en el sitio web oficial de GASNET y estará disponible para clientes, empleados y proveedores.