1. Objetivo
Establecer los lineamientos para la recolección, uso, almacenamiento, protección y eliminación de los datos personales tratados por GASNET, garantizando el cumplimiento de la Ley 172-13 de la República Dominicana y asegurando la confidencialidad, integridad y disponibilidad de la información.
2. Alcance
Esta política aplica a:
● Clientes y contribuyentes que utilicen los servicios de facturación electrónica.
● Empleados y proveedores que compartan datos personales con GASNET.
● Procesos y sistemas que gestionen datos personales, incluyendo plataformas en la nube, servidores, canales de atención y respaldos.
3. Definiciones
- CDP: Comisión Nacional de Protección de Datos Personales. Es el órgano de control creado por la Ley 172-13 de la República Dominicana para velar por el cumplimiento de la normativa de protección de datos personales.
- Autoridad de Control: Comisión Nacional de Protección de Datos Personales (CDP), Tel. 809-685-2308, consultas@cdp.gob.do.
- Cifrado: Técnica utilizada para garantizar que los datos sensibles sean almacenados y transmitidos de manera segura mediante codificación.
- Consentimiento: Manifestación libre, informada, específica e inequívoca del titular para el tratamiento de sus datos personales.
- Dato Personal: Cualquier información que permita identificar, directa o indirectamente, a una persona física (ej. nombre, cédula, correo, IP, usuario de sistema). Incluye datos públicos y no públicos.
- Dato Público: Dato accesible o susceptible de ser divulgado por la autoridad competente según la Ley 172-13 de la República Dominicana.
- Dato Sensible: Dato personal que revele origen racial, ético, estado de salud, biometría, creencias religiosas, políticas o vida sexual, según art. 3 Ley 172-13.
- Derechos del Titular: Acceder, rectificar, cancelar, oponerse, solicitar portabilidad y ser informado sobre el tratamiento de sus datos. Puede ejercerlos enviando solicitud a soporte@gasnet.do.
- Periodo de Retención: Los datos personales se conservarán mientras la cuenta esté activa y durante 10 años adicionales por obligaciones fiscales, tras lo cual se anonimiza o eliminan.
- SaaS (Software as a Service): Modelo de distribución de software en el que las aplicaciones se entregan a través de internet.
- Titular de los Datos: Persona física o jurídica cuyos datos personales son objeto de tratamiento.
- Tratamiento de Datos: Cualquier operación sobre datos personales, como recolección, almacenamiento, uso, transmisión o eliminación.
- Violación de Datos: Acceso, destrucción, alteración o divulgación no autorizada de datos personales que debe notificarse a la CDP y a los titulares en 72 h.
4. Aspectos Generales
4.1 El tratamiento de los datos Personales
En GASNET se regirá por los siguientes principios:
- Legalidad y transparencia: Los datos se tratarán conforme a la Ley 172-13 y serán usados sólo para fines autorizados.
- Finalidad legítima: Los datos se recolectan exclusivamente para la prestación de servicios de facturación electrónica, gestión administrativa y cumplimiento legal.
- Minimización: Solo se recolectarán los datos estrictamente necesarios.
- Exactitud: Los datos deben mantenerse actualizados.
- Confidencialidad y seguridad: Se aplicarán medidas técnicas y organizativas para prevenir accesos no autorizados, pérdida o alteración.
- Ley 126-02 sobre el Derecho de Autor: GASNET cumple con los principios de protección de la propiedad intelectual y derechos de autor relacionados con la creación, modificación y distribución de documentos digitales.
- Limitación temporal: Los datos se conservarán por un período máximo de 10 años, salvo obligación legal distinta.
- GASNET no dirige sus servicios a personas menores de 18 años. En caso de detectarse un menor, se suspenderá la cuenta y se eliminarán sus datos en un plazo máximo de 48 horas.
- GASNET NO recolecta ni almacena datos sensibles (salud, religión, opiniones políticas, etc.). En caso de ser necesario, se solicitará consentimiento explícito y separado.
- ISO/IEC 27001: Norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). A pesar de no contar con la certificación
- ISO 270001 GASNET implementa medidas de seguridad alineadas con los principios de ISO 27001 para proteger los datos públicos.
4.2 Derechos de los titulares de datos:
- Acceso: Conocer qué datos están siendo tratados y su finalidad.
- Rectificación: Solicitar la actualización o corrección de datos inexactos.
- Cancelación: Solicitar la eliminación de datos cuando ya no sean necesarios.
- Oposición: Negarse al tratamiento en casos específicos autorizados por la Ley 172-13.
- Portabilidad: Solicitar copia de sus datos en un formato estructurado y de uso común.
4.3 Medidas para proteger los datos personales:
GASNET implementa las siguientes medidas para proteger los datos personales:
- Respaldo automático diario.
- Redundancia en la nube.
- Cifrado de información en tránsito y en reposo.
- Controles de acceso basados en roles.
- Registro y monitoreo de accesos a datos sensibles.
- Planes de contingencia y continuidad.
Los datos personales pueden ser almacenados y tratados en plataformas externas y servidores en la nube, ubicados fuera de la República Dominicana.
Los titulares podrán ejercer sus derechos mediante los siguientes canales:
- Correo electrónico: info@gasnet.do
- Teléfono: 809-518-8999
- Dirección física: C. Horacio Blanco Fombona 24, Santo Domingo, República Dominicana.
4.4 Característica del sistema y medidas de protección
- Autorización Basada en Roles y Atributos (RBAC/ABAC)
Esquema RBAC (Control de acceso basado por roles); que asigna y revoca permisos por rol: contribuyente, contador, auditor, administrador. Cada usuario solo accede a los datos estrictamente necesarios para su función. - Cifrado de Datos Sensibles y Contraseñas
Toda la información personal y datos almacenados en el sistema ZENCILLO se cifra con AES-256. - Acceso Personalizado y Lógicamente Aislado
Cada empresa suscrita opera en un espacio lógico separado. Solo los usuarios autorizados por la propia empresa pueden consultar o modificar sus comprobantes y reportes. - Descarga y Portabilidad de Datos
Los usuarios pueden solicitar y descargar todos los datos que el sistema haya procesado, asegurando que puedan cumplir con sus obligaciones fiscales o auditorías. - Respaldo Cifrado y Retención Controlada
Copias incrementales diarias, siempre cifradas con AES-256. Se conservan 30 días como mínimo y luego se eliminan de forma segura (sobrescritura y borrado lógico). - Autenticación Fortalecida
Acceso con contraseña + 2FA (Google Authenticator o SMS). Bloqueo automático tras 5 intentos fallidos y notificación inmediata al usuario y al administrador. - Registro y Auditoría de Accesos
Se registran todos los accesos (timestamp, IP, usuario, recurso consultado). Los logs se almacenan inmutables durante 1 año para posibles auditorías forenses. - Política de Contraseñas
Mínimo 12 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos. Expiración cada 90 días. - Encriptación de Backups
Las copias de seguridad están cifradas con AES-256 y se guardan en servidores físicos en un área resguardada con control de acceso biométrico.
5. Procedimiento ante Violaciones de Datos
En caso de violación de datos personales, GASNET notificará a la CDP y a los titulares afectados en un plazo máximo de 72 horas desde su detección, mediante correo electrónico y publicación en el sitio web.
6. Responsabilidades
- Director Ejecutivo: Activa el plan de contingencia, aprueba decisiones críticas y coordina la comunicación con la DGII y con clientes.
- Seguridad Informática: Monitorea infraestructura, ejecuta pruebas de respaldo, coordina restauraciones y reporta al Director Ejecutivo.
- Soporte Técnico: Mantiene la atención a usuarios (clientes), asegurando la disponibilidad de canales alternativos de contacto.
7. Publicación
Esta política será publicada en el sitio web oficial de GASNET y estará disponible para clientes, empleados y proveedores.