Asana se compromete a proteger y honrar tus derechos de privacidad globales. Dado que varias jurisdicciones han promulgado leyes que afectan la forma en que las empresas manejan la información personal, quisimos tomar un momento para destacar algunas de las medidas que Asana ha implementado para cumplir con las leyes y regulaciones de privacidad globales que se encuentran en constante cambio y hacer énfasis en el compromiso continuo de Asana con la privacidad.

Cumplimiento y comunicación continuos

A medida que las leyes, regulaciones y guías de las autoridades y reguladores de protección de datos continúen evolucionando y más países aprueben nuevas leyes y regulaciones de protección de datos, continuaremos siguiendo de cerca estos desarrollos y evaluaremos nuestro programa para implementar los cambios o mejoras que sean necesarios.

Valoramos la comunicación con nuestros clientes. Si tienes alguna pregunta acerca de nuestras prácticas para la protección de datos, comunícate con nosotros mediante privacy@asana.com.

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) es una ley europea con la que se establece la protección de los datos personales de los residentes de la UE y que entró en vigencia el 25 de mayo de 2018. Bajo el RGPD, las organizaciones que recopilan, mantienen, usan o de algún modo procesan los datos personales de los residentes de la UE (independientemente de la ubicación de la organización) deben implementar ciertas medidas de seguridad y privacidad de esos datos. Asana ha establecido un programa integral de conformidad con el RGPD y se compromete a colaborar con sus clientes y proveedores en sus esfuerzos por cumplir con el RGPD. Algunas medidas importantes que Asana toma para alinear sus prácticas con el RGPD son las siguientes:

• Revisar nuestras políticas y contratos con socios, proveedores y usuarios según sea necesario a medida que los requisitos van cambiando

• Mejorar nuestras prácticas y procedimientos de seguridad

• Revisar y mapear de forma estricta los datos que recopilamos, usamos y compartimos

• Crear documentación más sólida sobre seguridad y privacidad internas

• Capacitar a los empleados acerca de los requisitos globales de privacidad y sobre las mejores prácticas en materia de privacidad y seguridad en general

• Crear y evaluar rigurosamente una política y un proceso de respuesta sobre los derechos de los titulares de datos personales

A continuación, proporcionamos detalles extra acerca de las áreas fundamentales del programa de Asana para el cumplimiento del RGPD y sobre cómo los clientes pueden usar Asana para respaldar sus propias iniciativas de cumplimiento del RGPD.

Acuerdos de procesamiento de datos

Bajo el RGPD, se exige que los “controladores de datos” (es decir, las entidades que determinan los propósitos y medios de procesamiento de datos) formalicen acuerdos con otras entidades que procesan datos en su nombre (denominados “procesadores de datos”). Asana ofrece a sus clientes que son controladores de datos personales de la UE la opción de formalizar un Anexo sobre procesamiento de datos bajo el cual Asana se compromete a procesar y resguardar los datos personales según los requisitos del RGPD. Incluye el compromiso de Asana de procesar los datos personales según las instrucciones del controlador de datos.

Transferencias internacionales de datos

Programa del Marco de Privacidad de Datos de UE-EE. UU., la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. y el Marco de Privacidad de Datos de Suiza-EE. UU.

Asana cumple con el programa del Marco de Privacidad de Datos de UE-EE. UU. (EU-US Data Privacy Framework, DPF), la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. y el Marco de Privacidad de datos de Suiza-EE. UU. (Swiss-US DPF) según lo establece el Departamento de Comercio de EE. UU. Asana ha certificado ante el Departamento de Comercio de EE. UU. que adhiere a los Principios del Marco de Privacidad de Datos de UE-EE. UU. con respecto al procesamiento de datos personales recibidos de la Unión Europea, en virtud del Marco de Privacidad de Datos de EU-EE. UU. y del Reino Unido (y Gibraltar) en virtud de la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. Asana ha certificado ante el Departamento de Comercio de EE. UU. que adhiere a los Principios del programa del Marco de Privacidad de Datos de Suiza-EE. UU. con respecto al procesamiento de los datos personales recibidos de Suiza en virtud del Marco de Privacidad de Datos de Suiza-EE. UU.

En cumplimiento del Marco de Privacidad de Datos (MPD) EU-EE. UU., la Ampliación del Reino Unido al MPD EU-EE. UU. y el MPD Suiza-EE. UU., Asana se compromete a remitir las reclamaciones no resueltas relativas a nuestra gestión de los datos personales recibidas en virtud del MPD UE-EE. UU., la Ampliación del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU. a BBB National Programs, un proveedor alternativo de resolución de conflictos con sede en Estados Unidos. Si usted no recibe de nosotros un acuse de recibo oportuno de su reclamación relacionada con los Principios del MPD, o si no hemos abordado su reclamación relacionada con los Principios del MPD de una manera que le resulte satisfactoria, por favor visite el sitio web del Proceso de resolución de disputas de BBB National Programs en https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers para obtener más información o para presentar una reclamación. Los servicios de BBB National Programs se le proporcionarán sin costo alguno para usted.

Tenga en cuenta que si su reclamación no se resuelve a través de estos canales, en circunstancias limitadas, es posible que haya disponible una opción de arbitraje vinculante, tal y como se establece en el Anexo I de los Principios del MPD. Asana estará sujeta a las facultades de investigación y ejecución de la Comisión Federal de Comercio (Federal Trade Commission, FTC) con respecto a su cumplimiento de las disposiciones del MPD UE-EE. UU., la Ampliación del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU.

Asana tomará las medidas razonables y adecuadas necesarias para garantizar que todo aquel tercero que actúe como “encargado del tratamiento de datos” según la terminología de la UE, el Reino Unido y Suiza trate los datos personales que le confiamos de forma coherente con los Principios del MPD. Asana será potencialmente responsable en los casos de ulterior transferencia a terceros de datos de personas físicas de la UE, el Reino Unido y Suiza recibidos de conformidad con el MPD UE-EE. UU., la Ampliación del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU., respectivamente.

Si existiera algún conflicto entre los términos de esta declaración de privacidad y los Principios del MPD EU-EE. UU. o los Principios del MPD Suiza-EE. UU., regirán los Principios.

Si desea conocer más acerca del programa del Marco de Privacidad de Datos (Data Privacy Framework, DPF) y visualizar nuestra certificación, le solicitamos que visite https://www.dataprivacyframework.gov/.

Si no correspondiera aplicar el Marco de Privacidad de Datos de UE-EE. UU., la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. y el Marco de Privacidad de Datos de Suiza-EE. UU., Asana se basa en otros mecanismos de transferencia de datos para transferir datos personales fuera del EEE, del Reino Unido y Suiza, como las Cláusulas Contractuales Tipo.

Herramientas para acceso, gestión y portabilidad de los datos

El RGPD, en ciertas circunstancias, avala el derecho de los sujetos a, entre otras cosas, acceder, eliminar y hacer correcciones a los datos personales. Asana se compromete a facilitar las respuestas a solicitudes de datos personales de conformidad con el RGPD, tal como se describe con más detalle en nuestra Declaración de privacidad.

Documentación de privacidad

En esencia, el RGPD se centra en la transparencia, la equidad y la responsabilidad. En consonancia, la ley exige que las organizaciones mantengan documentación sobre sus prácticas de privacidad y sobre las decisiones acerca de cómo administran los datos personales. Asana comparte el compromiso del RGPD con estos principios y ha incluido en el programa de cumplimiento continuo con el RGPD documentación sobre las actividades de recopilación y procesamiento de datos, además de las diversas políticas y normas que acata conforme al RGPD. Para más información sobre cómo Asana recopila, usa y divulga los datos personales, consulta la Política de privacidad de Asana.

Seguridad de los datos

El RGPD exige que las organizaciones usen las medidas técnicas y organizativas apropiadas para proteger la seguridad, la confidencialidad y la integridad de los datos personales. La seguridad sigue siendo una prioridad para Asana y nuestras certificaciones ISO 27018 (Protección de datos personales en la nube), ISO 27701 (Gestión de información de privacidad) y otras certificaciones demuestran nuestro compromiso con los estándares de privacidad globales. Además, hemos superado con éxito las auditorías SOC 2 (Tipo I) y (Tipo II) de controles relevantes para la seguridad, la disponibilidad y la confidencialidad. Significa que un proveedor externo e independiente ha validado nuestros procesos y prácticas con relación a estos criterios de servicios confiables y ha confirmado nuestra capacidad para mantener el cumplimiento con los controles que hemos implementado. Del mismo modo, hemos implementado diversas medidas de seguridad para proteger la seguridad de nuestra plataforma que incluyen cifrar las conexiones web para proteger las transmisiones de datos, replicar nuestras bases de datos para respaldar la confiabilidad de la plataforma y controlar el acceso a nuestras instalaciones y a nuestra red de oficinas. Asana también ofrece a los clientes la posibilidad de usar controles extra para seguridad a fin de mejorar la seguridad de los datos de sus equipos. Para más información, consulta nuestra página sobre Confianza en Asana.

Ejerce tus derechos bajo la ley de privacidad global relevante

En caso de que desees ejercer tus derechos, envía una solicitud a través de nuestro Formulario de solicitudes relativas a los derechos globales de protección de datos. Para más información sobre cómo Asana brinda a sus usuarios la posibilidad de acceder a su información personal o solicitar su eliminación, específicamente conforme a la CCPA, consulta la sección de Información de privacidad para residentes de California de nuestra Declaración de privacidad.

California Consumer Privacy Act (CCPA) (Ley de Privacidad del Consumidor de California)

La CCPA (modificada por la ley CPRA) es una ley que proporciona a los usuarios de California determinados derechos con respecto a su información personal. Específicamente, la ley exige que los negocios sujetos al estatuto brinden a los usuarios la posibilidad de solicitar el acceso y la eliminación de su información personal, y de rechazar ciertos tipos de divulgaciones de su información personal. La ley también restringe el modo en que pueden usar esa información los prestadores de servicios que procesan la información personal por parte de un negocio.

Siempre que un negocio que esté sujeto a la CCPA participe de un acuerdo de servicios o suscripción con Asana, Asana actuará como prestador de servicios de ese negocio. Específicamente, Asana procesará la información personal de dichos clientes solamente a los fines expuestos en el acuerdo que rija y, además, cooperará con los clientes para cumplir sus obligaciones con respecto a toda solicitud de acceso o eliminación de datos.

Anexo sobre procesamiento de datos de la CCPA

Asana ha actualizado su Anexo sobre procesamiento de datos para hacer referencia específicamente a nuestras obligaciones en virtud de la CCPA (modificada por la ley CPRA). Si tu organización es cliente de Asana y necesita un anexo, comunícate escribiendo a dpa@asana.com.

Ley Gramm-Leach-Bliley

La Ley Gramm-Leach-Bliley (GLBA) obliga a las instituciones financieras; es decir, a las empresas que ofrecen productos o servicios financieros a los clientes, como préstamos, asesoramiento financiero o sobre inversiones, o seguros; a explicar a sus clientes las prácticas de intercambio de información y a proteger los datos sensibles. Los proveedores de servicios que con el permiso de las instituciones financieras accedan a la información de los clientes que no sea de dominio público (NPI, por sus siglas en inglés) también tienen la obligación de cumplir con la GLBA. Asana cumple con las Normas de privacidad y de protección de la GLBA. Además de implementar medidas de seguridad, solamente usamos el contenido de trabajo de nuestros clientes para prestar servicios y sin ningún otro fin. Los clientes no deben almacenar en Asana datos personales sensibles (como los números de cuentas financieras o de seguro social personales).

Ley de Derechos Educativos y Privacidad de la Familia

La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal que obliga a las instituciones académicas, como los institutos de enseñanza superior o las universidades, a proteger la privacidad de los registros de educación de los estudiantes. Asana brinda todo lo necesario para que nuestros clientes cumplan con la Ley FERPA. Garantiza que los datos personales se guarden seguros y que solo se usen para prestar nuestros servicios de acuerdo a nuestros Términos de servicio y Política de privacidad. Asana se compromete contractualmente a no divulgar los datos de los clientes excepto en caso de que lo instruya la institución académica contratante, tal como lo avalan nuestros términos o como lo exige la ley.

HIPAA

La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) es una ley federal de los Estados Unidos que establece la creación de estándares nacionales para proteger la información de salud confidencial de los pacientes contra la divulgación sin el consentimiento o conocimiento de los pacientes. Las entidades sujetas a la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (“HIPAA”) pueden usar Asana para gestionar el trabajo de conformidad con la Ley HIPAA.

El cumplimiento de la Ley HIPAA para Asana se rige por el anexo sobre el Acuerdo de Socio Comercial de Asana (BAA). Para obtener más detalles sobre el cumplimiento de la Ley HIPAA con Asana, consulta la hoja técnica de HIPAA.

Ley de Protección de Datos Personales

La Ley de Protección de Datos Personales (APPI) es la principal ley de protección de datos de Japón que regula la protección de la información personal. Se aplica a los operadores comerciales que realizan el tratamiento de datos personales de individuos en Japón. La versión original de la Ley de Protección de Datos Personales promulgada en 2003 ha sufrido modificaciones, y las más recientes entraron en vigor el 1 de abril de 2022.

Así como en el RGPD se hace una distinción entre “controladores de datos” y “procesadores de datos”, en la APPI se distingue entre “operadores comerciales”, o entidades con la autoridad para controlar y tomar decisiones sobre la información personal retenida (es decir, los clientes de Asana) y proveedores de servicios de terceros que administran datos personales en nombre de un operador comercial (es decir, Asana).

La APPI también impone restricciones a las transferencias transfronterizas de datos personales fuera de Japón. Los datos personales pueden transferirse a destinatarios que se encuentren en el extranjero si existen acuerdos contractuales vigentes que garanticen el cumplimiento de las normas de protección de datos de Japón.

Asana se compromete a procesar y salvaguardar los datos personales de conformidad con lo que exige la APPI y sus enmiendas. El Anexo de procesamiento de datos de Asana abarca (1) nuestros compromisos de protección de datos para garantizar que cumplimos con la APPI; (2) cómo ayudaremos a nuestros clientes con sus obligaciones en virtud de la APPI; y (3) las medidas técnicas y organizativas implementadas para proteger la información personal. Para obtener más información sobre las prácticas de seguridad y protección de datos de Asana, consulta nuestra página sobre Confianza.

Recursos relacionados

• Declaración de privacidad de Asana

• Anexo sobre procesamiento de datos de Asana

• Página sobre Confianza en Asana

• Certificación de Asana de los Escudos de la Privacidad de UE-EE. UU. y de Suiza-EE. UU.

• Texto completo del RGPD

• Texto completo de la CCPA (modificado por la CPRA)