Política de Privacidad | ANF AC – Protección de Datos y Transparencia

RESOURCES

Privacy Policy

Version 1.4
Publication Date: 02/11/2020

Our Privacy Policy

ANF Certification Authority (ANF AC), registered in the National Registry of the Ministry of the Interior under number 171.443, with Tax ID G-63287510, has developed this Privacy Policy to express its commitment to the protection of personal data and to describe the criteria governing the collection, use, retention, and disclosure of personal information obtained during visits to our websites or through the provision of services offered on this website (hereinafter, the “Platform”), as well as data collected in person on paper or through the use of ANF AC’s applications and services.

This website does not collect personal data from users without their knowledge. Data is not shared with third parties unless disclosure is necessary to comply with applicable laws, legal or judicial requirements, or audit obligations.

If you click on a link published on our platform that redirects you to another website, please note that the owner of that website will have their own Privacy Policy. We recommend that you read their policy, as we are not responsible for what occurs on their site.

PLEASE REVIEW THIS PRIVACY POLICY BEFORE USING OUR WEBSITE OR ANY OF ANF AC’S APPLICATIONS OR SOLUTIONS. IF YOU DO NOT ACCEPT OUR PRIVACY POLICY, DO NOT USE OUR WEBSITE OR SERVICES.
We only collect the information necessary to provide our services in accordance with current legislation. Therefore, we will not be able to serve you appropriately without this data. If you provide any type of personal information, we commit to complying with the terms of this Privacy Policy.

This Privacy Policy is periodically reviewed to ensure it remains up to date. We maintain version control and indicate the publication date, which marks its effective date. When the document is updated, the link is marked as “New” for a period of three months. In such cases, please review the changes to determine your acceptance or rejection.

Please note that some of our services have specific privacy statements that complement this general Privacy Policy. You can access these specific statements at:
https://www.anf.es/es-ec/privacidad-de-nuestros-productos-y-servicios/

If you have any questions or concerns about this Privacy Policy, the specific statements, or how your personal information has been handled, or if you simply wish to confirm whether we process your personal data or need assistance exercising your data protection rights, you may contact our Data Protection Officer:

Email: delegadoprotecciondatos@anf.es
Phone: +34 932 662 614

Who is responsible for processing personal data?

For the Purposes of Data Protection Legislation

ANF Certification Authority (ANF AC) acts as Data Controller in all personal data processing activities where it assumes responsibility for data collection, determines the purpose of processing, and establishes the legal basis for its legitimacy. This includes, but is not limited to, processing related to: clients, suppliers, partners, OVP or AR operators, DPO candidates, instructors, students of the ANF AC Campus, examiners, supervisors, members of the Expert Committee, auditors, in-person visits, phone consultations, recipients, newsletter subscribers, job applicants’ CVs, survey participants, employees, and freelance collaborators.

ANF AC acts as Joint Controller when it receives personal data from another controller in order to provide a service that involves collecting data from third parties, and jointly determines the purpose and legal basis for processing. This applies, for example, to: certified delivery services, validation of certificates and electronic signatures, and remote identification testing services.

ANF AC acts as Data Processor when it receives personal data from a controller to provide a service whose purpose and legal basis are determined solely by the client. In such cases, the relationship between ANF AC and the data controller is governed by a formal data processing agreement.

Statement of Responsibility from ANF AC’s General Management

All personal data collected by ANF Certification Authority [ANF AC], or provided for the delivery of a service, is processed confidentially, in accordance with the commitments outlined in our Privacy Policy and in compliance with applicable data protection laws and other regulations relevant to our activity.

Díaz Vilches
CEO of ANF AC

Data Processing Location

Gran Vía de les Corts Catalanes, 996
4th Floor, Barcelona – 08018 – Spain

Customer Service Hours

Monday – Friday
9:00 AM to 2:00 PM
3:00 PM to 6:00 PM

Personal information we collect about you?

Information We Collect and How We Collect It

The information we collect—and how we collect it—may vary depending on the products and services used or subscribed to by the data subject, as well as their interactions with our web platforms. For example, registering on our website to request commercial information, responding to surveys, subscribing to our newsletter, or expressing interest in working with ANF AC.

Please note that some of our services have specific Privacy Statements. If you contract or use any of these services, we recommend reviewing the corresponding privacy statement beforehand.

The types of data we collect and the sources of collection are documented in our Record of Processing Activities (RAT):

https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

Data Categories

We do not collect or process information from minors, nor do we process data classified as sensitive categories. For example, in the case of biometric signature services, behavioral patterns (such as dynamics, tilt, pressure, etc.) are not captured or used for identification purposes. Similarly, in remote identification testing services, image collection is not used for identification but solely to verify the presence of the individual against the identity document shown. The image is retained only to certify the proper intervention of ANF AC.

ANF AC does not process highly sensitive data such as health information, sexual orientation, union membership, religion, or racial origin.

We only collect the minimum data necessary to carry out the processing. The corresponding classification is available in the Record of Processing Activities (RAT): https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

Data Retention

Personal data provided will be retained for the time necessary to fulfill the purpose for which it was collected and to determine any potential liabilities arising from the processing. Retention periods also take into account applicable regulations on archiving and documentation.

Whenever possible, ANF AC establishes specific retention periods. This information is available in the Record of Processing Activities (RAT): https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

Correction / Update

Our goal is to maintain accurate and up-to-date information. If you believe that the personal data we process does not reflect reality, we kindly ask you to inform us.

Email: delegadoprotecciondatos@anf.es
Phone: +34 932 662 614

To process corrections and updates, we require documentation that verifies the reliability of the requested changes.

How we use your personal information?

Purpose and Legal Basis for Data Processing

The purpose of processing personal data corresponds to each specific activity carried out by ANF Certification Authority (ANF AC). The legal basis for such processing is published in our Record of Processing Activities (RAT):

https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

In general, the following legal bases apply:

Performance of a Contract

We need to collect and process your personal data in order to fulfill the services or products you have contracted with us.

Compliance with Legal Obligations

Much of our activity is governed by laws that require us to collect and process certain data. In some cases, we may be legally obligated to disclose data, for example, in response to a court order.

External Audits and Compliance Evidence

Many of our operations require internal and external audits to demonstrate compliance with applicable regulations and standards. ANF AC has a legitimate interest in collecting, retaining, and processing data to certify our conformity, including granting access to external auditors.

Legitimate Interest

We have a legitimate interest in collecting the necessary information to manage our networks and understand how they are used. This includes ensuring their protection and managing transactions carried out through them. For example, logging access attempts from the same IP to detect potential DDoS attacks, or tracking certified deliveries (IP, timestamp, etc.) to provide legal evidence of service delivery.

ANF AC also has a legitimate interest in keeping you informed about new products, services, and news relevant to your profile. All our commercial and marketing communications are related to our activity and the relationship we maintain with data subjects. This is expected information that should not cause surprise or concern to recipients.

To provide you with relevant commercial information, you may see online advertising based on your activity on our website. This is known as interest-based advertising. Data collection related to user experience may occur on our website, on websites of other ANF AC Group companies, partner organizations, or other online media such as social networks. If you do not wish for cookie-based data to be used for this purpose, please refer to our Cookie Policy to opt out.

Please note that opting out of interest-based advertising will not prevent ads from appearing on ANF AC’s corporate website—they simply will not be tailored to your interests. ANF AC has agreements with entities such as Facebook and Google to conduct online advertising campaigns, but we never share personal data with them.

We use a variety of analytical methods, including research and “Big Data” procedures. Big Data is a mathematical technique that allows us to analyze large volumes of data to identify previously unknown patterns and trends. At ANF AC, we take these analyses seriously and ensure full compliance with applicable regulations and transparency principles. These analyses use only anonymized and aggregated data that cannot be linked to identifiable individuals.

In our Big Data services, we receive anonymous and aggregated reports from third parties. We guarantee that this information cannot be linked to you or any other individual. These reports must be based on a minimum of 15 records, as a strict requirement. We do not share our data with third parties for aggregation.

Our policy for these initiatives goes beyond regulatory requirements. In the interest of transparency, we offer you the opportunity to opt out of Big Data initiatives. You may do so at the time of contracting services or by notifying us through any of the electronic or physical channels we provide.

We may also conduct statistical analysis and market research, including monitoring how customers use our networks, products, and services—either anonymously or personally.

Data Sharing and Disclosure

ANF Certification Authority (ANF AC) guarantees the confidentiality of the personal data it collects. Personal data is not disclosed to third parties except in the following cases:

General Disclosures

Judges, courts, government agencies, or other public authorities when required or authorized by law.
Third parties when such disclosure is necessary to comply with applicable laws, legal or judicial requirements.
Inspections carried out by the Spanish Data Protection Agency (AEPD), or audits conducted by ENAC or external auditors.
Emergency services when necessary to protect the vital interests of the data subject.
Third-party companies and service providers whose involvement is necessary for the provision of services to ANF AC. These entities act as data processors under contractual agreements and follow ANF AC’s instructions.
For proper data processing, personal data may also be handled within companies belonging to the ANF AC Group.

Fraud Prevention

We may reasonably share your information to protect against fraud, defend our rights or property, or safeguard the interests of our clients.
We may also disclose your information to meet legal obligations. Personal data will only be shared when, in good faith, we believe we are legally required to do so, following a thorough assessment of all legal requirements.

Third-Party Collaborators

When you purchase products or services from ANF AC through a Registration Authority, a Face-to-Face Verification Office, or another partner organization, we may exchange information with them as part of that relationship—for example, to identify your order and process payments to those third parties.

Mergers and Acquisitions

If ANF AC becomes involved in a corporate transaction or the sale of contracted services, we may share your data with entities involved in the merger or acquisition, if necessary to continue providing services.

You can consult the recipients associated with each processing activity in our Record of Processing Activities (RAT):

https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

International Data Transfers

It may be necessary for ANF Certification Authority (ANF AC) to transfer your information to companies within the ANF AC Group or to service providers located in countries outside the European Economic Area (EEA). However, such transfers will only be made to countries recognized by the European Commission as having an adequate level of data protection, or to certified entities that comply with approved frameworks, such as the EU-U.S. Privacy Shield.

Countries with Adequate Protection Levels

Decision 2000/518/EC of the Commission, dated 26 July 2000
Canada.* Decision 2002/2/EC of the Commission, dated 20 December 2001, applicable to entities subject to Canada’s federal privacy law
Decision 2003/490/EC of the Commission, dated 30 June 2003
Decision 2003/821/EC of the Commission, dated 21 November 2003
Isle of Man. Decision 2004/411/EC of the Commission, dated 28 April 2004
Decision 2008/393/EC of the Commission, dated 8 May 2008
Faroe Islands. Decision 2010/146/EU of the Commission, dated 5 March 2010
Decision 2010/625/EU of the Commission, dated 19 October 2010
Decision 2011/61/EU of the Commission, dated 31 January 2011
Decision 2012/484/EU of the Commission, dated 21 August 2012
New Zealand. Decision 2013/65/EU of the Commission, dated 19 December 2012
United States. Applicable to entities certified under the EU-U.S. Privacy Shield. Decision (EU) 2016/1250 of the Commission, dated 12 July 2016
Japan. Decision dated 23 January 2019

*PIPEDA (Personal Information Protection and Electronic Documents Act)
Canada’s federal privacy law for private sector organizations.

If ANF AC needs to transfer your data to a country that is not part of the EEA and is not included in the list of countries recognized by the European Commission, we will inform you in advance, outlining the risks associated with the transfer. We will ensure that your data is protected with appropriate safeguards, require the third party to sign a legal agreement reflecting these standards and recognizing your rights and ability to exercise them. Additionally, if necessary, we will request prior authorization from the Spanish Data Protection Agency (AEPD) before proceeding with the international transfer.

How long we retain your personal information?

Data Retention

Personal data provided will be retained for as long as necessary to fulfill the purpose for which it was collected and to determine any potential liabilities arising from that purpose. Retention periods also take into account the requirements established by applicable archiving and documentation regulations.

Whenever possible, ANF Certification Authority (ANF AC) defines specific retention periods, which are available in the Record of Processing Activities (RAT):

https://www.anf.es/es-ec/registro-de-actividades-tratamiento-de-datos-ec/

Keeping your personal information secure

General Aspects

From a general standpoint, all IT systems operated by ANF Certification Authority (ANF AC) are equipped with security measures to protect information. The goal is to ensure full availability of data to data subjects, prevent unauthorized modifications by safeguarding its integrity, and restrict access exclusively to authorized personnel. All new processing activities are designed with privacy by design principles.

ANF AC subjects all its IT systems and organizational resources to internal audits and independent assessments against internationally recognized standards. We have achieved certifications in compliance with the following standards:

ETSI standards under the EU eIDAS Regulation
ISO 9001
ISO 27001
ISO 17024
ISO 14001

All certifications and audit reports obtained by ANF AC are published on our website

https://www.anf.es/es-ec/auditorias-de-conformidad-ec/

In addition, ANF AC has conducted a Data Protection Impact Assessment (DPIA) for each processing activity, achieving a low-risk level through the implementation of appropriate safeguards. Under no circumstances does ANF AC carry out data processing activities that exceed a low-risk level, unless prior authorization has been granted by the Spanish Data Protection Agency (AEPD) following the mandatory prior consultation process established in Regulation (EU) 2016/679 (GDPR).

Specific Services

In general, our services apply additional security measures beyond those publicly disclosed. These measures may vary depending on the service offered. More information is available in the specific policies related to each service, and we encourage you to contact us with any questions.

In certain cases, registration may be required to perform specific activities (e.g., signature activation data). ANF AC never stores passwords or PINs, nor does it have the ability to do so. We use SHA256 hashing algorithms that allow verification processes without needing access to the original credentials. In case of loss or forgotten credentials, ANF AC can only assist with password recovery—PINs cannot be restored under any circumstances.

You are solely responsible for any actions that violate security protocols, especially if you allow others to access your account, share your signature device, or disclose your password or PIN. Please store this sensitive information in a secure and private location.

All products and services distributed by ANF AC are configured according to the principle of privacy by default. If you choose to disable the security measures included in our products, you do so at your own risk.

ANF AC disclaims any liability or responsibility arising from your decision or negligence in failing to comply with the required security standards.

Your rights

Any individual has the right to obtain confirmation regarding the processing of their personal data by ANF AC. ANF AC will facilitate the exercise of these rights for all data subjects in a diligent and free manner.

Individuals affected by data processing carried out by ANF AC have the right to:

Request free access to their personal data
Request rectification
Request erasure
Request restriction of processing
Object to processing
Request data portability

Data subjects may access their personal data and request the rectification of inaccurate information or, where appropriate, request its erasure when, among other reasons, the data is no longer necessary for the purposes for which it was collected. Under certain circumstances, data subjects may also request the restriction of processing, object to processing, and request data portability.

Please note that exercising certain rights may affect the legal basis on which the processing is carried out. In such cases, appropriate legal measures will be taken. If you have any questions, our Data Protection Officer will be pleased to assist you.

If data subjects believe that the processing of their personal data infringes the Regulation, they have the right to seek guidance and support from our Data Protection Officer, to file a complaint with the supervisory authority—namely, the Spanish Data Protection Agency—and to exercise their right to effective judicial protection.

In the event of security incidents that may affect data subjects whose information we safeguard, ANF AC is committed to informing and advising them appropriately.

Exercising Your Rights

ANF AC provides the following means for all data subjects to exercise their rights:

Requests may be submitted by postal mail or in person to:

ANF Certification Authority
Gran Vía de les Corts Catalanes, 996, 4th Floor
Barcelona -08020- Spain
- Means of Contact and Identity Verification
- You may exercise your rights through the following channels:
By email to: delegadoprotecciondatos@anf.es
By phone, requesting to speak with our Data Protection Officer: +34 93 266 16 14
Via the electronic form available on our website: https://www.anf.es/ejercicio-de-derechos/

Please note that, by legal requirement, you must verify your identity:

If submitting a written request, include a photocopy of your national ID (DNI) or an equivalent legal document.
If visiting in person, you must present your original and valid national ID or equivalent legal document.
If acting through a representative, they must hold sufficient legal authorization.
If contacting us by phone, please follow the instructions provided by our staff. You must be able to access the email address and/or mobile phone number you provided when your data was collected.
If using the electronic rights request form on our website, you must upload a digital copy of your national ID or equivalent legal document.

You may draft your request freely or, if you prefer, use the Rights Request Form provided by ANF AC as optional support for the process:
https://www.anf.es/es-ec/ejercicio-de-derechos-ec/

This document includes a section titled Explanation of Your Rights, which we recommend reading before exercising any of them.

If you wish, you may exercise your rights through a third-party representative. Your representative must formally prove their legal authority, either through a notarial power of attorney or a signed document issued by you, including a photocopy of your national ID or equivalent legal document.

Explanation of Your Rights

Right of Access
By exercising this right, you may request free access to the data processing activities carried out by the organization. A response will be provided within one month from the date of receipt of your request, and all information listed in Article 15 of the GDPR will be sent to the address indicated above, in a clear and intelligible format.

You have the right to know:

Whether or not we are processing personal data concerning you
The origin of your data, if it was not provided by you
The purposes of the data processing
The categories of personal data involved
The recipients or categories of recipients to whom the personal data has been or will be disclosed, particularly recipients in third countries or international organizations
Where possible, the intended retention period for the personal data, or if not possible, the criteria used to determine that period
Whether automated decision-making — including profiling — is being applied using your personal data, and what data has been stored about you

Right to Rectification
By exercising this right, you may request free rectification of your personal data, in accordance with Article 16 of the GDPR. Supporting documentation must be provided.

You have the right to ensure that your personal data is:

Accurate and up to date
Completed, if it is incomplete
Updated or corrected, if it is inaccurate or no longer reflects the current reality

Right to Erasure
By exercising this right, you may request free erasure of your personal data — also known as the “right to be forgotten” — in accordance with Article 17 of the GDPR. This right may be exercised only if:

The data is no longer necessary for the purposes for which it was collected or processed
The processing was based on your explicit consent, which you now withdraw, and there is no other legal basis for the processing
You may also exercise your right to erasure if:
You have previously exercised your right to object to the processing of your data successfully
The data has been processed unlawfully
The data must be erased to comply with a legal obligation

These requirements do not apply when the processing is necessary for:

Exercising the right to freedom of expression and information
Compliance with a legal obligation
The performance of a task carried out in the public interest by the data controller
The establishment, exercise, or defense of legal claims

Right to Restriction of Processing
By exercising this right, you may request free restriction of processing, in accordance with Articles 18 and 19 of the GDPR. This means we will retain your data without using it for the intended purposes, provided one of the following conditions is met:

You have requested rectification of your personal data, during a period that allows us, as the data controller, to verify its accuracy
The processing is unlawful and you oppose the erasure of the data, requesting instead the restriction of its use
We no longer need your personal data for processing purposes, but you require it for the establishment, exercise, or defense of legal claims
You have objected to the processing while we verify whether our legitimate grounds override your rights

When personal data processing is restricted, such data may only be processed — aside from storage — with your consent, for legal claims, to protect the rights of another natural or legal person, or for reasons of essential public interest. You will be informed before the restriction is lifted.

Right to Data Portability
By exercising this right, you may request free access to your personal data in accordance with Article 20 of the GDPR. We will provide the personal data you have given us in a structured, commonly used, and machine-readable format.

Additionally:

You have the right to request that your data be transmitted directly to another data controller, where technically feasible

This right applies only when:

We are processing your personal data based on your explicit consent, or
The legal basis is the performance of a contract, and
The processing is carried out by automated means

Right to Object
By exercising this right, you may request free cessation of processing, in accordance with Articles 21 and 22 of the GDPR. This means you ask us to stop using your personal data.

You may exercise your right to object when the legal basis for processing is our “legitimate interests.”

If the processing is based on your consent, you may withdraw it, which will have similar effects to exercising the right to object.

Right Not to Be Subject to Automated Decision-Making
Including profiling based on the processing of your personal data.

You may object to being subject to a decision that has legal effects or significantly affects you, provided it is based solely on automated processing without human intervention.

If you have been subject to such a decision and disagree with it, you may request a review involving human intervention, express your point of view, or challenge the decision in any way.

You do not have the right to object when the automated decision:

Is necessary for entering into or performing a contract to which you are a party
Is authorized by law and includes appropriate safeguards for your rights and freedoms
Is based on your explicit consent

Response Time and Legal Protection
If ANF Certification Authority does not inform you within one month that your request to exercise a right has been fully or partially denied, the following applies:

The communication must be justified so that, if necessary, you may seek protection from the Spanish Data Protection Agency under Article 57 of the GDPR
Before filing a complaint with the Spanish Data Protection Agency, if you believe your rights have not been properly addressed, you may request a review by our Data Protection Officer

Our Data Protection Officer

Individuals affected by data processing carried out by ANF AC have the right to:

Request free access to their personal data
Request rectification
Request erasure
Request restriction of processing
Object to processing
Request data portability

Data subjects may access their personal data and request the rectification of inaccurate information or, where appropriate, request its erasure when, among other reasons, the data is no longer necessary for the purposes for which it was collected. Under certain circumstances, data subjects may also request restriction of processing, object to processing, and request data portability.

In the event of security incidents that may affect data subjects whose information we safeguard, ANF AC is committed to informing and advising them appropriately.

Exercising Your Rights

ANF AC provides the following means for all data subjects to exercise their rights:

By postal mail or in person at:
ANF Certification Authority
Gran Vía de les Corts Catalanes, 996, 4th Floor
Barcelona -08020- Spain
By email to: delegadoprotecciondatos@anf.es
By phone, requesting to speak with our Data Protection Officer: +34 932 661 614
Via the electronic form available on our website: https://www.anf.es/es-ec/ejercicio-de-derechos-ec/

Identity Verification Requirements

Please note that, by legal requirement, you must verify your identity:

If submitting a written request, include a photocopy of your national ID (DNI) or an equivalent legal document
If visiting in person, you must present your original and valid national ID or equivalent legal document
If acting through a representative, they must hold sufficient legal authorization
If contacting us by phone, follow the instructions provided by our staff. You must be able to access the email address and/or mobile phone number you provided when your data was collected
If using the electronic rights request form on our website, you must upload a digital copy of your national ID or equivalent legal document
If you prefer not to use our electronic form, you may freely draft your request and send it by email

This document includes a section titled Explanation of Your Rights, which we recommend reading before exercising any of them. Additionally, our Data Protection Officer (DPO) will provide all necessary assistance to help you exercise your rights effectively. Both the exercise of your rights and the support provided by our DPO are free of charge.

En caso de considerar que no hemos intervenido con la suficiente diligencia o que hemos infringido sus derechos, puede presentar una queja ante la Agencia Española de Protección de Datos (AEPD),

https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/reclamacion.jsf

The AEPD provides detailed information about your rights at:
🔗 https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos

You can also consult a catalog of frequently asked questions at the same link.

Explanation of Your Rights

You have the right to know:

Whether or not we are processing personal data concerning you
The origin of your data, if it was not provided by you
The purposes of the data processing
The categories of personal data involved
The recipients or categories of recipients to whom the personal data has been or will be disclosed, particularly recipients in third countries or international organizations
Where possible, the intended retention period for the personal data, or if not possible, the criteria used to determine that period
Whether automated decision-making — including profiling — is being applied using your personal data, and what data has been stored about you

Right to Rectification
By exercising this right, you may request free rectification of your personal data, in accordance with Article 16 of the GDPR. Supporting documentation must be provided.

You have the right to ensure that your personal data is:

Accurate and up to date
Completed, if it is incomplete
Updated or corrected, if it is inaccurate or no longer reflects the current reality

Right to Erasure (Right to Be Forgotten)
By exercising this right, you may request free erasure of your personal data, in accordance with Article 17 of the GDPR. This right may be exercised only if:

The data is no longer necessary for the purposes for which it was collected or processed
The processing was based on your explicit consent, which you now withdraw, and there is no other legal basis for the processing
You have previously exercised your right to object to the processing successfully
The data has been processed unlawfully
The data must be erased to comply with a legal obligation

These requirements do not apply when the processing is necessary for:

Exercising the right to freedom of expression and information
Compliance with a legal obligation
The performance of a task carried out in the public interest by the data controller
The establishment, exercise, or defense of legal claims

You have requested rectification of your personal data, during a period that allows us, as the data controller, to verify its accuracy
The processing is unlawful and you oppose the erasure of the data, requesting instead the restriction of its use

You may also exercise this right when:

We no longer need your personal data for processing purposes, but you require it for the establishment, exercise, or defense of legal claims
You have objected to the processing while we verify whether our legitimate grounds override your rights
When the processing of personal data has been restricted, such data may only be processed — aside from storage — with your consent, for legal claims, to protect the rights of another natural or legal person, or for reasons of essential public interest. You will be informed before the restriction is lifted.

Additionally:

You have the right to request that your data be transmitted directly to another data controller, where technically feasible

This right applies only when:

We are processing your personal data based on your explicit consent, or
The legal basis is the performance of a contract, and
The processing is carried out by automated means

Right to Object
By exercising this right, you may request free cessation of processing, in accordance with Articles 21 and 22 of the GDPR. This means you ask us to stop using your personal data.

You may exercise your right to object when the legal basis for processing is our “legitimate interests.”

If the processing is based on your consent, you may withdraw it, which will have similar effects to exercising the right to object.

Right Not to Be Subject to Automated Decision-Making
Including profiling based on the processing of your personal data.

You may object to being subject to a decision that has legal effects or significantly affects you, provided it is based solely on automated processing without human intervention.

If you have been subject to such a decision and disagree with it, you may request a review involving human intervention, express your point of view, or challenge the decision in any way.

You do not have the right to object when the automated decision:

Is necessary for entering into or performing a contract to which you are a party
Is authorized by law and includes appropriate safeguards for your rights and freedoms
Is based on your explicit consent

The communication must be justified so that, if necessary, you may seek protection from the Spanish Data Protection Agency under Article 57 of the GDPR
Before filing a complaint with the Spanish Data Protection Agency, if you believe your rights have not been properly addressed, you may request a review by our Data Protection Officer

Complaints – Reporting Concerns

You may submit your complaints or exercise your data protection rights through any of the following channels:

🔗 Website
Exercise your data protection rights at:
https://www.anf.es/es-ec/ejercicio-de-derechos-ec/

📄 Complaints and Claims
Submit complaints, claims, or incident reports at:
https://www.anf.es/es-ec/quejas-y-reclamaciones-ec/

📧 Email Contacts

Data Protection Officer: delegadoprotecciondatos@anf.es
SAT Website Support: adiaz@anf.es
SAT Products and Services Support: soporte@anf.es

🏢 In-Person Visits
Visits must be scheduled in advance at:
Gran Vía de les Corts Catalanes, 996
4th Floor, Barcelona – 08018 – Spain

📞 Phone Contact
+34 932 661 614

🕘 Public Service Hours
Monday to Friday
9:00 AM – 2:00 PM and 3:00 PM – 6:00 PM

Information Security, Audits, and Data Protection Impact Assessments

At ANF AC, we subject all our IT systems and organizational resources to internal audits and external audits conducted by independent auditors of the highest international prestige.

External audits are carried out at least annually. ANF AC is certified in compliance with the following international standards and regulations:

ETSI standards aligned with the EU Regulation eIDAS
ISO 9001 Quality Management for Certification Authorities
ISO 27001 Information Security Management Systems
ISO 17024 Certification of Persons
ISO 14001 Environmental Management

All certifications and compliance audit reports obtained by ANF AC are published on our website:
🔗 https://anf.es/auditorias-de-conformidad/

Data Protection Impact Assessments (DPIA)

ANF AC has conducted a Data Protection Impact Assessment (DPIA) for each data processing activity, achieving a low-risk level through the implementation of appropriate safeguards.

Under no circumstances does ANF AC carry out data processing operations that exceed a low-risk level, unless prior authorization has been granted by the Spanish Data Protection Agency (AEPD) following the mandatory prior consultation procedure established in Regulation (EU) 679/2016 General Data Protection Regulation (GDPR).

Certificados Firma Electrónica

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el tratamiento que realizamos para la prestación de servicios de certificación electrónica.

ANF Autoridad de Certificación [ANF AC], presta este servicio en calidad de Prestador Cualificado de Servicios de Confianza en conformidad con:

Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior(Reglamento eIDAS).
Ley 59/2003 de Firma Electró
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). De acuerdo con el artículo 10 de la LSSI.
Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

Con carácter previo a la recogida de tus datos serás informado de tus derechos, la forma de ejercerlos y restante información requerida por la legislación de referencia, y otras normas y estándares cuyo cumplimiento es exigido en materia de certificación electrónica.

ANF AC tiene la obligación de realizar comprobaciones con terceras fuentes informativas con el fin de realizar las comprobaciones necesarias para garantizar la fiabilidad y exactitud de la información que has aportado. En el desarrollo de estas consultas, se recogen evidencias documentales e informativas para acreditar el correcto cumplimiento de nuestras obligaciones.

Los datos recogidos son:

Los que directamente nos aportas para el cumplimiento del contrato de prestación de servicios. Estos datos son:

Los requeridos por la legislación en materia de certificados cualificados, aquellos que expresamente solicita el interesado que sean incorporados, y los necesarios en procesos administrativos para el cobro de servicios y atención al cliente.

Procedencia de terceras fuentes:

Registros públicos. P.ej. Registro Mercantil.

Registros de entidades de Derecho Público. P.ej. Colegios Profesionales.

Entidades de capital privad. P.ej. Certificados de rol profesional o autorizaciones.

Otras fuentes requeridas para garantizar la exactitud de la información. P.ej. Whois.

Además, por motivos de seguridad, ANF AC envía comunicados a los interesados mediante mensajes SMS, correo electrónico y/o Whatsapp. Estos comunicados pueden incluir información confidencial, por lo cual te recomendamos que te asegures de facilitar cuentas de correo o números de teléfono sobre los que tengas control absoluto de recepción. Y, en caso de cambio nos lo notifiques inmediatamente.

No recogemos datos de tarjetas de crédito, este servicio es realizado mediante TPV virtual de entidad bancaria, no tenemos acceso a esta información. Tampoco se recogen datos de categorías especiales, ni se presta servicio a menores de 18 años de edad.

En el trámite de solicitud de nuestros servicios, específicamente en la recogida de los datos, ANF AC puede obtener la información a través de una Autoridad de Registro (AR) o una Oficina de Verificación Presencial (OVP), los cuales intervienen en calidad de mediador, esta intermediación está autorizada por el Reglamento eIDAS y la Ley de Firma Electrónica.

Conservación

El período de conservación mínimo es de quince años de acuerdo con la Declaración de Prácticas de Certificación y restantes Políticas de Certificación que han sido aprobadas por el Órgano de Supervisión de España (Reglamento eIDAS).

Destinatarios

Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades. No obstante, en conformidad con la legislación vigente y para garantizar la seguridad de los terceros que confían, mantenemos repositorios públicos en los que se puede consultar la vigencia de los certificados, comprobar la autenticidad de los certificados emitidos, y descargar una copia de los certificados emitidos (parte pública).

Registro de Actividades de Tratamiento (RAT)

Para un mayor detalle del tratamiento de datos que realizamos, ponemos a tu disposición nuestro RAT en,

https://anf.es/registro-de-actividades-tratamiento-de-datos/

Digitalización Certificada - Legal Snap Scan®

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el tratamiento de datos que realizamos para la prestación de servicios de certificación electrónica.

ANF Autoridad de Certificación [ANF AC], es propietaria de la aplicación Legal Snap Scan ®, solución homologa por Resolución del Director del Departamento de Informática Tributaria de la AEAT de fecha 26.11.2007, con referencia 0B1F56D5A8E90CBB y su actualización versión 2.1 (23.10.2017), de conformidad a la Orden EHA 962/2007 y la Resolución de 24 de octubre de 2007 de AEAT.

El sistema de digitalización certificada Legal Snap Scan®, dispone del preceptivo Plan de Gestión de Calidad que ha sido aprobado por AEAT, dicho plan está elaborado conforme a la normativa fiscal para ser aceptado por los usuarios y entidades que participen en el proceso de desmaterialización certificada.

Legal Snap Scan® ha sido diseñado y desarrollado atendiendo a los requerimientos establecidos en el Reglamento General de Protección de Datos (UE) 2016/679 y la Ley Orgánica 3/2018 de Protección de Datos y Garantías de Derechos Digitales de España, disponiendo de una Evaluación de Impacto en protección de datos. Y, dado que el sistema Legal Snap Scan ® utiliza certificados cualificados de firma electrónica, se cumple con la legislación vigente en materia identificación, firma electrónica y servicios de confianza; ANF AC la capacidad técnica y la acreditación oficial requerida para, la emisión de certificados cualificados de firma electrónica, emisión de sellos cualificados de tiempo electrónico, gestionar y proteger los datos de creación de firmas creados, almacenados o tratados con dispositivos de creación de firmas de larga vigencia. Todo ello de conformidad a las normas ETSI EN, Reglamento (UE) 910/ 2014 eIDAS, y Ley 59/2003 de Firma Electrónica de España.

ANF AC, a fin y efecto de dotar a su servicio Legal Snap Scan® de un mayor alcance, ha diseñado un método (patente en trámite) cuyo objetivo es posibilitar la deducción de IVA de facturas simplificadas que inicialmente han sido elaboradas por un equipamiento automatizado que no incluye todos los datos requeridos para posibilitar la deducción. El método desarrollado cumple escrupulosamente con la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, y Reglamento de facturación desarrollado en el Real Decreto 1619/2012, de 30 de noviembre, artículos 2, 6, 7, 8, 9.

La aplicación Legal Snap Scan®, incluye el tratamiento fiscal de los datos mediante una base de datos que conserva los datos de forma estructurada de acuerdo con lo establecido en Ley 37/1992, y la obligada plataforma de acceso a la información con fines de inspección fiscal.

En cualquiera de los supuestos anteriores, simple des-materialización de documentos, o complementada con la deducción de IVA, ANF AC realiza un tratamiento de datos de gastos realizados por personas físicas. Aunque dicho tratamiento no incluye el nombre y apellidos del interesado, y tampoco cédula de identidad, sí que incluye identificados de empleado de la empresa contratante, por lo cual, la empresa contratante sí que puede identificar cada gasto a una determinada persona física.

ANF AC, presta este servicio en calidad de encargado del tratamiento, habiendo formalizado con cada empresa contratante el correspondiente documento contractual como encargado del tratamiento.

Con carácter previo a la recogida de tus datos, serás informado de tus derechos, la forma de ejercerlos y restante información requerida por la legislación de referencia, y otras normas y estándares cuyo cumplimiento es exigido en materia de certificación electrónica.

ANF AC
tiene la obligación de realizar comprobaciones con terceras fuentes informativas con el fin de realizar las comprobaciones necesarias para garantizar la fiabilidad y exactitud de la información que has aportado. En el desarrollo de estas consultas, se recogen evidencias documentales e informativas para acreditar el correcto cumplimiento de nuestras obligaciones.

Conservación
El periodo de conservación es la duración del contrato de prestación de servicio, y durante el periodo en el que ANF AC precise para acreditar el correcto cumplimiento de sus servicios.

Destinatarios
Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades.

Registro de Actividades de Tratamiento (RAT)
Para un mayor detalle del tratamiento de datos que realizamos, ponemos a tu disposición nuestro RAT en,
https://anf.es/registro-de-actividades-tratamiento-de-datos/

Campus ANF AC

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el tratamiento de datos que realizamos mediante el Campus de ANF AC, un avanzado servicio de formación eLearning.

ANF Autoridad de Certificación [ANF AC], presta este servicio sometido a lo establecido en:

La formación profesional subvencionada de la Fundación Estatal para la Formación en el Empleo (FUNDAE).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).
De acuerdo con el artículo 10 de la LSSI.
Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(RGPD);
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

ANF AC, está inscrita en el Registro Estatal de Entidades de Formación para impartir formación no incluida en el catálogo de especialidades formativas, teniendo asignado el identificador 5955.

El tratamiento realizado en ese servicio es la recogida de los datos mínimos necesarios para la gestión de los alumnos inscritos en un módulo formativo, las calificaciones obtenidas, los días y horas en los que han participado en el estudio de la materia, su participación en Foros públicos, sus comunicaciones con los tutores y expedición de titulaciones o certificaciones formativas.

Destinatarios
Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades.

Registro de Actividades de Tratamiento (RAT)
Para un mayor detalle del tratamiento de datos que realizamos, ponemos a tu disposición nuestro RAT en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

Aplicaciones para teléfonos móviles y terminales portables

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el uso de nuestras Apps.

Si estás usando una de nuestras aplicaciones, asociada a otro de nuestros servicios, deberás leer la información adicional de privacidad específica de dicho servicio.

ANF AC dispone de diferentes aplicaciones móviles, y nuestra política de privacidad también aplica a dichas aplicaciones, aunque en ocasiones habrá un suplemento de privacidad adicional proporcionado por la propia aplicación con más información. En esos casos, ambas se aplicarán.

Cuando descargas o usas una App de ANF AC, la información podrá ser accedida o almacenada en tu dispositivo. Esto permitirá que funcione correctamente y pueda recordarte. Incluso la aplicación puede solicitar registrarte para recibir mensajes push, podrás denegar este registro libremente y sin que ello perjudique su normal funcionamiento.

También es posible que la aplicación pueda requerir una confirmación de 2FA, ya sea por SMS, mensajería push, o correo electrónico. Este requerimiento es necesario por motivos de seguridad, no cumplirlo puede impedir el acceso a determinadas áreas de la aplicación.

Así mismo, algunas de las aplicaciones pueden requerir conectividad con Internet y activación de posicionamiento geográfico, incluso se precisará recopilar información sobre tu dispositivo (tipo, identificadores únicos, sistema Operativo, si estás usando 3G o 4G, etc.), ID de la aplicación e información sobre el uso que realizas de la misma. La información adicional podrá ser recopilada para poder prestarte el servicio solicitado, previamente serás informado y podrás denegar su transmisión, aunque ello posiblemente ocasionará la perdida de parte o de la totalidad de su funcionalidad. P.ej. Geocam Pericial, o Red AR, etc.

Información sobre tus interacciones con nosotros
Cuando utilizas la aplicación y sus funciones, la información sobre estas interacciones se guarda en nuestros servidores.

Información sobre la calidad y el uso de tus servicios de conectividad y aplicaciones:

A menos que hayas desactivado la recopilación de información a través de la configuración de la aplicación, esta información se enviará regularmente a nuestros servidores. Está información puede ser utilizada para mejorar nuestros servicios y llevar un control de consumo de los mismos.

Información que nuestras aplicaciones pueden llegar a capturar de tu dispositivo

Información técnica sobre tu dispositivo, como, por ejemplo;
marca de teléfono y modelo;
Sistema Operativo;
versión de firmware;
requisitos hardware;
idioma y ubicación;
estado de la batería;
consumo de memoria; y
tiempo desde el último reinicio.

Además, podemos solicitarte que remitas un SMS para confirmar tu número de móvil y asociarlo a esta información.

Información de geolocalización
Alguna de nuestras aplicaciones precisan determinar geoposición, p.ej. Geocam Pericial. Por ello, a menos que hayas desactivado la recogida de datos a través de los ajustes de la aplicación, recopilamos los datos de localización de tu dispositivo cuando medimos los puntos anteriores. Para ello estamos usando datos de localización GPS, WifI, etc. La aplicación los utiliza para evaluar la ubicación con mayor precisión.

Información que no recogemos
Ninguna de nuestras aplicaciones recoge información de tu agenda de contactos, imágenes o sonido que no sea expresamente requeridas por ti; documentos o archivos almacenados en tu terminal, que no sean expresamente requeridos por ti.

Destinatarios
Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades.

Certificación DPD

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el tratamiento de datos que realizamos en el servicio de certificación profesional para Delegado de Protección de Datos (DPD).

ANF Autoridad de Certificación [ANF AC], presta este servicio sometido a lo establecido en:

El Esquema de Certificación de la Agencia Española de Protección de Datos para Delegados de Protección de Datos(Esquema).
Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD);
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
ISO 17024 Certificación de Personas.

ANF AC, está acreditada definitivamente por la Agencia Española de Protección de Datos como Entidad de Certificación.

ANF AC, en conformidad con el Esquema de Certificación AEPD-DPD (Esquema), tiene la obligación de recoger los datos de candidatos que desean someterse a examen de certificación, verificarlos y determinar si el solicitante posee los prerrequisitos requeridos por el Esquema se cumplen.

Si tu solicitud es aprobada como candidato a someterse a examen, y nos contratas para realizar el examen, lo evaluaremos con intervención humana y control de verificación automatizada.

Formalmente asumimos la obligación de CONFIDENCIALIDAD de la identidad de los candidatos que van a examinarse. De igual forma, si el resultado del examen ha sido NO APTO, el tratamiento será confidencial.

Si el resultado es APTO, y aceptas el Código Ético de la AEPD, ANF AC comunicará la certificación obtenida a la AEPD, y publicaremos en nuestra web corporativa, en la lista de DPD Certificados, los datos requeridos por el Esquema.

Periódicamente te remitiremos información de las novedades que se produzca en materia de protección de datos.

Destinatarios

Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades.

eBUROFAX ® - Entrega Certificada

Este anexo específico a nuestra Política de Privacidad principal, proporciona un contexto informativo adicional sobre el tratamiento de datos que realizamos en la prestación del servicio eBurofax ® de entrega certificada.

ANF Autoridad de Certificación [ANF AC], presta este servicio sometido a lo establecido en:

Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS).
Ley 59/2003 de Firma Electró
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). De acuerdo con el artículo 10 de la LSSI.
Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD);
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

La aplicación eBurofax ®, incluye los siguientes tratamientos de datos personales:

Gestor de firmas.
Gestor de comunicaciones.
Gestor de documentos y mensajes.
Gestor de evidencias legales.
Gestor de 2FA.
Gestor de cifrado seguro.
Auditorias electró

ANF AC interviene según la prestación de servicio contratado en calidad de,

encargado del tratamiento(RGPD), o
proveedor de servicios de intermediación(LSSI), o
tercero de confianza(LSSI), o
prestador cualificado de servicios de confianza(eIDAS).

ANF AC no realiza revisión del contenido de los documentos que le son ordenados tramitar, ni de las comunicaciones sobre las que recibe orden de entrega. Para aquellos contenidos cuyo contenido es confidencial, el servicio dispone de opción de cifrado seguro.

Gestor de firmas
ANF AC, en esta área de servicio interviene en calidad de encargado del tratamiento, habiendo formalizado esta relación con el correspondiente contrato con el responsable del tratamiento.

Este servicio ofrece las siguientes modalidades de expresión de consentimiento:

Firma electrónica cualificada.
Firma electrónica avanzada.
Firma biomé
Consentimiento expreso.
Consentimiento explí

En el caso de firma biométrica, ANF AC garantiza que solo se captura la rúbrica del firmante, la cual es estampada en ese mismo instante sobre el documento cuyo contenido es aceptado. No se almacena como fichero independiente la firma, ni se realiza una captura de firma dinámica (patrón biométrico conductual del firmante: inclinación, presión, etc).

El consentimiento expreso requiere un acto afirmativo y claro por parte del interesado.
El consentimiento explícito requerirá una confirmación por lo cual recibirá una clave de sesión por SMS.

Con el fin de construir evidencias legales, el servicio Eburofax® realiza captura de todas las trazas generadas durante la intervención del firmante (IP, hora, terminal, y otros datos de interés que acreditan su intervención e impiden su repudio). Información que es reseñada en las evidencias legales entregadas al ordenante.

Gestor de comunicaciones
Tus datos personales, buzones de entrega, comunicaciones a realizar, o documentos a entregar, son facilitados por el ordenante del envío. ANF AC tan solo pone a su disposición las redes de telecomunicaciones, y servicios informáticos que facilitan su realización. No realiza modificación alguna, ni efectúa revisión de contenidos.

Gestor de documentos y mensajes

Las comunicaciones a realizar, los documentos entregados o las respuestas realizadas por los destinatarios, son puestos a disposición de las partes. ANF AC solo conserva los documentos si ha sido contratado para ello. ANF AC tan solo pone a su disposición las redes de telecomunicaciones, y servicios informáticos que facilitan su realización. No realiza modificación alguna, ni efectúa revisión de contenidos. Nuestra misión es autenticar para garantizar integridad, estampar TImeStamp para establecer el momento del tiempo de cada evento, y capturar todas las trazas de evidencia que imposibiliten el repudio en la participación de las partes y permita generar evidencias legales fuertes.

Gestor de evidencias legales
Las evidencias legales son los documentos elaborados por ANF AC, que incorporan todo el historial de una transacción, establecen con plena seguridad jurídica la participación de cada parte, el momento en que participó, e incluyen las trazas que impiden cualquier posibilidad de repudio.

Gestor 2FA

Cuando se requiere un refuerzo de la seguridad, el servicio de Doble Factor de Autenticación genera una clave de sesión que es remitida a uno de los buzones personales del interesado. ANF AC no almacena está clave, utiliza tecnología hash, empleando algoritmo de digestión SHA2.

Los sistemas recogen los datos del buzón al que se ha remitido, y si la clave posteriormente introducida es la correcta o no, estableciendo la IP y la hora desde la que se insertó.

Gestor de cifrado seguro
ANF AC solo emplea cifrado fuerte. Nuestros sistemas utilizan algoritmo AES con longitudes de clave de 128 bits o superiores.

Auditorias electrónicas
ANF AC como parte esencial de sus sistemas de gestión de seguridad de la información, incorpora procesos de registro de LOG, y registro de trazas en los que pueden llegar a obtenerse:

IP del operador remoto.
Hora y día de la conexió
Navegador que utiliza.
SO que utiliza.
UUID del terminal.

Destinatarios
Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades.

Registro de Actividades de Tratamiento (RAT)

Para un mayor detalle del tratamiento de datos que realizamos, ponemos a tu disposición nuestro RAT en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

Multivalidación

ANF Autoridad de Certificación [ANF AC], presta este servicio en calidad de Prestador Cualificado de Servicios de Confianza en conformidad con:

Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS).
Ley 59/2003 de Firma Electró
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).
De acuerdo con el artículo 10 de la LSSI.
Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

ANF AC interviene en calidad de,

encargado del tratamiento (RGPD), y
prestador cualificado de servicios de confianza (eIDAS), servicios cualificados de validación de firmas y sellos electró

Modalidades del servicio de multivalidación:

validación de firmas y certificados empleando aplicación Critical Access ®, o
validación de firmas y certificados empleando API para servicios Cloud, o
validación de firmas y certificados mediante consulta a nuestra Plataforma Cloud.

En la modalidad Critical Access ® no recibimos información identificable. La aplicación interviene de forma autónoma, y realiza el proceso de validación en tu propio terminal informático.

En el resto de modalidades, ANF AC recibe las firmas, certificados (parte pública) y/o sellos electrónicos con el fin de determinar su validez, para ello utiliza datos técnicos como clave pública RSA, hash, identificador de certificado, identificador de la CA emisora. La información personal contenida en estos instrumentos no es procesada, por tanto, la información se conserva seudonimizada.

Conservación
El periodo de conservación mínimo es de quince años de acuerdo con la Declaración de Prácticas de Certificación y restantes Políticas de Certificación que han sido aprobadas por el Órgano de Supervisión de España (Reglamento eIDAS).

Destinatarios
Salvo en los casos establecidos en la Política de Privacidad principal, ANF AC no hace cesión de los datos a terceras entidades. No obstante, en conformidad con la legislación vigente y para garantizar la seguridad de los terceros que confían, mantenemos repositorios públicos en los que se puede consultar la vigencia de los certificados, comprobar la autenticidad de los certificados emitidos, y descargar una copia de los certificados emitidos (parte pública).

Registro de Actividades de Tratamiento (RAT)
Para un mayor detalle del tratamiento de datos que realizamos, ponemos a tu disposición nuestro RAT en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

App eID eSign®

Nuestra Política de Privacidad

ANF Autoridad de Certificación (ANF AC), ha elaborado esta Política de Privacidad para informar sobre su compromiso con la protección de los datos personales, y para describir los criterios referentes a la recopilación, uso, conservación y divulgación de la información personal obtenida durante las visitas a nuestras páginas web (en adelante, “Plataforma”), así como los datos que son recogidos de forma presencial en formato papel, o en el uso de las aplicaciones y servicios de ANF AC, en especial esta aplicación eID eSign®, y el servicio de identificación electrónica a distancia que emplea tecnologías de Inteligencia Artificial (IA) y videollamada sobre plataforma Cloud.

A través del sitio web o de las aplicaciones de ANF AC, no se recaban datos de carácter personal de los usuarios sin su conocimiento. No se ceden datos a terceros salvo cuando una divulgación es necesaria para cumplir con la ley aplicable, u otros requisitos legales o judiciales o auditoría.

Si pulsa sobre un enlace publicado en nuestra Plataforma para acceder a otro sitio Web, tenga en cuenta que el dueño del otro sitio web tendrá su propia Política de Privacidad. Le recomendamos que lea su política, ya que no somos responsables por lo que sucede en ese sitio.

REVISE ESTA POLÍTICA DE PRIVACIDAD ANTES DE USAR NUESTRO SITIO WEB O ALGUNA DE LAS APLICACIONES O SOLUCIONES DE ANF AC. SI NO ACEPTA NUESTRA POLÍTICA DE PRIVACIDAD NO UTILICE NUESTRO SITIO WEB, NI NUESTROS SERVICIOS NI APLICACIONES, SOLO RECABAMOS LA INFORMACIÓN NECESARIA PARA GARANTIZAR SU SEGURIDAD, LA DE TERCEROS QUE CONFÍAN EN ANF AC, Y PODER PRESTARLOS EN CONFORMIDAD CON LA LEGISLACIÓN VIGENTE, POR TANTO, NO SERÁ POSIBLE PODER ATENDERLOS DE FORMA ADECUADA SIN ESTE TRATAMIENTO. SI PROPORCIONA CUALQUIER TIPO DE INFORMACIÓN PERSONAL, NOS COMPROMETEMOS A CUMPLIR CON LOS TÉRMINOS DE ESTA POLÍTICA DE PRIVACIDAD.

Periódicamente esta Política de Privacidad es revisada con el fin de mantenerla permanentemente actualizada. Realizamos un control de versionado y se reseña la fecha de publicación la cual corresponde a su entrada en vigor. Cuando se efectúa una revisión del documento, durante un periodo de tres meses el enlace es marcado con la reseña “Novedad” en ese caso, por favor consulte los cambios realizados a fin de determinar su aceptación o rechazo.

Esta Declaración de Privacidad es específica para esta aplicación, y es complementaria a la Política de Privacidad general publicada en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

Si tiene alguna pregunta o cuestión sobre esta Declaración, o alguna inquietud sobre la forma en que se realiza el tratamiento de su información personal, o simplemente desea confirmar si realizamos tratamiento de sus datos personales, o precisa ayuda para ejercer sus derechos de protección de datos, puede contactar con nuestro Delegado de Protección de Datos,

Correo electrónico adelegadoprotecciondatos@anf.es
+34 932 662 614

Además, si considera que su requerimiento no ha sido atendido de forma adecuada, puede remitir su queja a la Agencia Española de Protección de Datos (AEPD), https://anf.es/registro-de-actividades-tratamiento-de-datos/

¿Quién es el responsable del tratamiento de datos personales?

A efectos de la legislación en materia de protección de datos,

ANF AC, esresponsable del tratamiento en aquellos tratamientos de datos personales en los que asume la responsabilidad de la recogida de información, determina el fin del tratamiento y la base legal que lo legitima. En especial, todos aquellos tratamientos relativos a: clientes, proveedores, Partners, operadores OVP o AR, candidatos DPD, profesores, alumnos del Campus de ANF AC, examinadores, supervisores, miembros del Comité de Expertos, auditores, visitas presenciales, consultar telefónicas, destinatarios, newsletter, CV de solicitantes de trabajo, participantes en encuestas, empleados o colaboradores freelance.
ANF AC, esco-responsable del tratamiento cuando recibe datos de un responsable del tratamiento a fin de prestar un servicio que conlleva la recogida de datos de otras personas, e implica determinar el fin del tratamiento y la base legal que lo legitima. En especial, de forma meramente enunciativa: servicio de entrega certificada, servicio de validación de certificados y firmas electrónicas, servicio de prueba de identificación a distancia.
ANF AC, esencargado del tratamiento cuando recibe datos de un responsable del tratamiento a fin de prestar un servicio cuyo fin y legitimación del tratamiento de datos personales es decisión del cliente responsable del tratamiento. En esta intervención, la relación entre ANF AC como encargado del tratamiento queda establecida mediante el correspondiente contrato. En especial, de forma meramente enunciativa: servicio de conservación de documentos, firmas y sellos electrónicos, servicio de digitalización certificada y servicios de recuperación de IVA.

Declaración de responsabilidad de la Dirección General de ANF AC,

Los datos de carácter personal recogidos por ANF Autoridad de Certificación [ANF AC], son tratados de forma confidencial, cumpliendo los compromisos establecidos en nuestra Política de Privacidad, y respetando la legislación vigente en materia de protección de datos, y otras normas relacionadas con nuestra actividad. Todo el personal de ANF AC ha suscrito los correspondientes compromisos de confidencialidad y solo contratamos proveedores que tienen capacidad para garantizar la seguridad de la información y cumplimiento de sus obligaciones legales. Con una periodicidad no superior a un año, ANF AC se somete a auditorias contra normas y estándares reconocidas internacionalmente y realizadas por auditores externos de máximo prestigio. ANF AC ha realizado una Evaluación de Impacto de Protección de Datos sobre esta aplicación, siendo el resultado de riesgo obtenido “nivel bajo”.

Díaz Vilches
CEO de ANF AC

Sede en la que se realiza en tratamiento de datos,

Gran Vía de les Corts Catalanes, 996 planta 4ª Barcelona -08018- España

Atención al público

Lunes – Viernes
de 9:00 a 14:00 de 15:00 a 18:00

Información personal que recogemos

La información que recopilamos y cómo lo hacemos, puede variar dependiendo de los productos y servicios utilizados y a los que se suscriba el interesado y las herramientas que utilice, también de cómo haya interactuado en alguna de nuestras plataformas web, p.Ej. registrándote en nuestro Sitio Web para solicitar un certificado o un servicio de ANF AC, o utilizando los servicios de una de nuestras Oficinas de Verificación Presencial, o incluso, utilizando esta aplicación móvil.

Asimismo, es conveniente que recordarle que alguno de nuestros servicios tiene una Declaración de Privacidad específica, en el caso de que contratar o utilizar uno de estos servicios consulta previamente la declaración de privacidad correspondiente.

Los datos que recogemos y las fuentes de recogida constan en el Registro de Actividades del Tratamiento (RAT).
https://anf.es/registro-de-actividades-tratamiento-de-datos/

Además, en esta aplicación eID eSIGN® encontrará un detalle pormenorizado de la información recogida automáticamente “Trazas de auditoría” y “Descripción de la App”.

Categoría de los datos

No recogemos ni tratamos información de menores de edad, ni información que pueda ser clasificada como categorías de datos sensibles. Cabe destacar que;

La captura de fotografías, la grabación de una videollamada y, en especial, la recogida de la imagen del rostro obtenida del eDNI, no son utilizadas para identificar al interesado, sino para comparar la correspondencia de su identidad con los documentos que lo identifican. El objetivo es evitar cualquier suplantación/robo de identidad por parte de terceros. Además, la grabación de una videollamada o llamada telefónica puede tener como fin el confirmar o rechazar una adhesión a unos términos y condiciones, o cláusulas contractuales, o incluso, confirmar o desmentir una intervención del propio interesado. P.Ej., el reconocimiento de su firma en el documento que le es mostrado o consultado, en cualquier supuesto el interesado será informado previamente y apercibido que su respuesta tiene efectos legales.
La recogida de la rúbrica digitalizada del eDNI y la obtención de la firma grafométrica / biométrica realizada por el interesado a través de esta aplicación, tiene como fin obtener evidencias legales que permitan confirmar que el propio interesado dio su consentimiento expreso, y/o se adhirió al contenido de un contrato u otro tipo de documento. En este proceso no se captura el patrón de conducta (dinámica, inclinación, presión, etc.), ni se utiliza la información como instrumento de identificació

ANF AC no realiza tratamiento de información clasificada como altamente sensible del tipo: salud, orientación sexual, afiliación sindical, religión o raza.

ANF AC solo recoge los datos mínimamente necesarios para la realización del tratamiento. La correspondiente clasificación consta en el Registro de Actividades del Tratamiento (RAT),
https://anf.es/registro-de-actividades-tratamiento-de-datos/

Corregir / Actualizar

Nuestro objetivo es tener información exacta y actualizada. Si los datos personales que tramitamos considera que no se ajustan a la realidad, le agradeceremos que nos informe.

Correo electrónico adelegadoprotecciondatos@anf.es
+34 932 662 614

Para realizar correcciones y actualizaciones informativas, precisamos documentación que acredite la fiabilidad de los cambios requeridos.

¿Cómo usamos tu información personal?

La finalidad del tratamiento de los datos personales corresponde a cada una de las actividades de tratamiento que realiza ANF AC. La base legal que los legitima está publicada en el Registro de Actividades del Tratamiento (RAT), https://anf.es/registro-de-actividades-tratamiento-de-datos/

De forma general cabe indicar:

Cumplimiento de un contrato

Necesitamos recoger sus datos y realizar un tratamiento de los mismos, para cumplir con los servicios o productos que nos ha contratado.

Cumplimiento de una obligación legal

Gran parte de nuestra actividad está enmarcada por leyes que debemos cumplir. El marco legal nos impone la recogida de determinados datos y su tratamiento, incluso puede determinar la obligación de cesión de datos. P.Ej. mandamiento judicial.

Cuando el tratamiento tiene como base legal el cumplimiento de una obligación legal, detallamos la norma y artículo en cuestión.

Interés legítimo

Tenemos interés legítimo de recabar la información necesaria para gestionar nuestras redes y comprender el uso que se hace de las mismas. Debemos garantizar su protección y gestionar las transacciones realizadas a través de ellas. P.Ej., registro de LOGs, control de accesos reiterados desde una misma IP a fin de determinar posibles ataques como DDoS. O, registro de trazabilidad en entregas certificadas (IP, hora, etc.) a fin de obtener evidencias legales del servicio prestado.

Gran parte de nuestra actividad requiere la elaboración de auditorías internas y externas que acreditan el cumplimiento de las normas y reglamento a los que estamos sometidos. ANF AC tiene interés legítimo en recoger, conservar y realizar un tratamiento adecuado que acredite nuestra conformidad con las normas y estándares que debemos cumplir. Incluso dando acceso a auditores externos.

ANF AC tiene interés legítimo en mantenerle informado sobre nuestros nuevos productos y servicios, así como noticias que estimemos de interés según su perfil. Toda nuestra información comercial o marketing está relacionada con nuestra actividad y la relación que mantenemos con los interesados. Es información previsible que no causará sorpresa o inquietud en el destinatario receptor.

Para poder facilitar información comercial relevante es posible utilizar cookies que, según los accesos que haya realizado en nuestra web, permitirán valorar temas de su interés. Esto se conoce como publicidad basada en intereses. La recogida de datos sobre experiencia de usuario, puede producirse en nuestro sitio Web, en sitios web de otras compañías del Grupo ANF AC, de organizaciones y de otros medios de comunicación online como las redes sociales.

Si no desea que la información que obtenemos a través de las cookies sea utilizada, consulta nuestra Política de Cookies para excluirlas.

Recuerde que la exclusión voluntaria de la publicidad basada en intereses no impedirá que los anuncios se muestren en la Web corporativa de ANF AC– pero no se adaptarán a sus intereses. ANF AC ha llegado a acuerdos con entidades con Facebook o Google para la realización de actividades de publicidad online, pero en ningún caso hemos facilitado información personal.

Usamos una variedad de métodos analíticos incluyendo investigaciones y procedimientos “Big Data”. Big Data es una técnica matemática que permite analizar grandes volúmenes de datos para encontrar los patrones y tendencias hasta ahora no reveladas. En ANF AC nos tomamos muy en serio este tipo de análisis que se rige por la máxima de total cumplimiento de la normativa vigente y por el respeto al principio de transparencia. En estos análisis utilizamos únicamente datos anonimizados y agregados de manera que no es posible asociar dicha información con personas físicas identificables.

En nuestro servicio de Big Data obtenemos informes anónimos y agregados de terceras entidades que nos lo facilitan. Le aseguramos que no es posible vincular dicha información contigo, ni con otra persona física. Para estos reportes, se debe tratar de una información generada con al menos 15 registros como exigencia ineludible. En ningún caso agregamos nuestros datos a terceras entidades.

Nuestra política para estas iniciativas pretende ir aún más lejos de lo exigido en la normativa y, en aras de cumplir con nuestro deber de transparencia, exige la obligación de facilitarte la posibilidad de que puedas manifestar su deseo para que sus datos no se tengan en cuenta en iniciativas de Big Data, lo cual puedes llevar a cabo en el momento de la contratación de los servicios, o comunicándolo por cualquier medio telemático o físico que ponemos a su disposición.

Podemos realizar análisis estadísticos e investigación de mercado, incluyendo la monitorización de cómo los clientes utilizan nuestras redes, productos y servicios de forma anónima o personal.

¿Cómo compartimos tu información personal?

ANF AC, garantiza la confidencialidad de los datos recabados. No se realiza cesión de datos a personales a terceros salvo,

General

Jueces y tribunales, organismos gubernamentales u otro tipo de autoridades públicas en caso de obligación o autorización legal.
Terceros donde una divulgación de este tipo es necesaria para cumplir con la ley aplicable u otros requisitos legales o judiciales.
Inspecciones realizadas por AEPD, o auditorías realizadas por ENAC u auditores externos.
Servicios de emergencia por interés vital del interesado.
Terceras empresas y proveedores de servicios en cuanto sea necesaria su intervención para la prestación de servicio a ANF AC, que actúan en calidad de encargados del tratamiento de conformidad con las instrucciones emitidas por ANF AC, estando las relaciones formalizadas contractualmente.
Además, para un adecuado tratamiento los datos personales de los usuarios, pueden ser tratados en el ámbito de las empresas del Grupo ANF AC.

Control del fraude,

Comunicaremos su información, de manera razonable, con el fin de protegernos contra el fraude, defender nuestros derechos o nuestras propiedades o proteger los intereses de nuestros clientes.
Quizás necesitemos también comunicar su información para cumplir con nuestras obligaciones para con los requerimientos legales de las autoridades. Sus datos personales solo deberán ser proporcionados cuando, de buena fe, creemos que estamos obligados a ello de acuerdo a la ley y de acuerdo a una evaluación exhaustiva de todos los requerimientos legales.

Terceros con los que trabajamos

Cuando adquiere productos y servicios de ANF AC a través de una Autoridad de Registro, una Oficina de Verificación Presencial, o de otro tipo organización colaboradora, a menudo intercambiamos información con ellos como parte de esa relación y con el fin de gestionar su cuenta – por ejemplo, para ser capaces de identificar su pedido y ser capaces de pagar a dichos terceros.

Fusiones y adquisiciones

En el caso de que ANF AC se viera inmersa en algún movimiento societario o venta de la actividad contratada, si fuera necesario para seguir prestándote los servicios, podremos facilitar sus datos a terceras entidades involucradas en la operación de fusión o adquisició

Transferencias Internacionales de Datos

Es posible que necesitemos transferir su información a compañías del Grupo ANF AC o a proveedores de servicios en países que se encuentran fuera de la Comunidad Económica Europea (CEE), no obstante esta transferencia siempre se realizará a países reconocidos por la Comisión UE con nivel de seguridad adecuada, o con empresas certificadas que cumplen acuerdos aprobados por la Comisión, p.Ej. Escudo de Privacidad.

Países con nivel de seguridad adecuada

Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
Canadá.*Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
Isla de Man.Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
Islas Feroe.Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
Nueva Zelanda.Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
Estados Unidos.Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE. UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
Japón.Decisión de 23 de enero de 2019.

* PIPED Act (Personal Information Protection and Electronic Documents Act)
Ley federal de privacidad para organizaciones del sector privado de Canadá.

Si ANF AC precisa mandar su información a un país que no forma parte de la CEE o no está incluido en la lista de países de reconocidos por la Comisión UE, le informaremos previamente reseñando los riesgos que conlleva la transferencia, nos aseguraremos de que su información cuente con medidas de seguridad adecuadas, requeriremos al tercero que suscriba un acuerdo legal que refleje dichos estándares y reconozca sus derechos y el efectivo ejercicio de los mismos. Además, en el caso de que sea necesario, solicitaremos con carácter previo, la autorización de la Agencia Española de Protección de Datos (AEPD) para quedar habilitados para realizar la transferencia internacional.

7. ¿Por cuánto tiempo guardamos tu información personal?

La conservación de estas evidencias tiene como fin garantizar los derechos de los interesados, acreditar la correcta intervención de ANF AC, y facilitar, en su caso, la realización de auditorías o peritaciones judiciales.

Los datos personales proporcionados se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recaban, y para determinar las posibles responsabilidades que se pudieran derivar de la finalidad. Además, se tiene en cuenta de los períodos establecidos en la normativa de archivos y documentación.

Siempre que es posible, ANF AC establece plazos de conservación que están accesibles en el Registro de Actividades del Tratamiento (RAT), https://anf.es/registro-de-actividades-tratamiento-de-datos/

Guardando tu información personal de manera segura

Aspectos Generales

Desde un punto de vista general, todos los sistemas informáticos de ANF AC cuentan con medidas de seguridad para la protección de la información. El objetivo es garantizar la plena disponibilidad de la información a los interesados, impedir cualquier modificación indebida salvaguardando su integridad, y solo permitir el acceso a personas autorizadas. Todo nuevo tratamiento respeta la privacidad desde el diseño.

ANF AC, somete todos sus sistemas informáticos y medios organizativos a auditorías internas y a auditores independientes contra normas y estándares de máximo prestigio internacional, hemos logrado certificaciones en conformidad en los siguientes estándares: Normas ETSI correspondientes al Reglamento (UE) eIDAS, ISO 9001, ISO 27001, ISO 17024, ISO 14001. Todas las certificaciones y auditorias de conformidad obtenidas por ANF AC están publicadas en nuestro sitio Web.
https://anf.es/registro-de-actividades-tratamiento-de-datos/

Además, ANF AC ha realizado para cada tratamiento una Evaluación de Impacto en Protección de Datos (EIPD), con resultado de nivel de riesgos -bajo- con la aplicación de las correspondientes salvaguardas. En ningún caso ANF AC realiza tratamientos de datos que no estén en un nivel de riesgo bajo, o sobre los que se haya recibido autorización por parte de la AEPD para asumir un mayor riesgo, tras realizar la correspondiente -consulta previa- establecida en el Reglamento (UE) 679/2014 General Protección de Datos (RGPD).

Servicios Específicos

Generalmente nuestros servicios utilizan medidas de seguridad adicionales a las difundidas públicamente. Estas medidas de seguridad adicionales pueden variar según el servicio ofrecido, más información está disponible en las políticas correspondientes a dichos servicios, y no dudes en consultarnos para aclarar cualquier cuestión de su interés.

En algunos casos, puede que deba registrarse para realizar una actividad determinada, P.Ej. una encuesta, una reclamación, o para obtener un servicio en particular. Es posible que parte de dicho proceso de registro consista en la elección de una contraseña personal –PIN-. ANF AC le recuerda que debe proteger su contraseña personal en especial si se trata de un PIN (datos de activación de firma). ANF AC en ningún caso almacena contraseñas o PIN, ni tiene la oportunidad de hacerlo; ANF AC utiliza tecnología basada en algoritmos de digestión –hash- SHA256 lo que permite realizar procesos de control sin necesidad de disponer de la clave orginal para su comprobación. En caso de pérdida u olvido, ANF AC solo puede facilitarle la restauración de su contraseña, pero en el caso de PIN no es posible siquiera dicha restauración.

ANF AC, por defecto, activa la configuración de los servicios al máximo nivel de seguridad, recae bajo su exclusiva responsabilidad cualquier actuación que reduzca o limite la configuración de seguridad. Es de especial gravedad si permite que otras personas accedan a su cuenta, cede el uso de su dispositivo de firma o, revela a terceros su contraseña personal o PIN.

Todos los productos y servicios distribuidos por ANF AC están configurados según el principio de privacidad por defecto. Si desactiva las medidas de seguridad incluidas en nuestros productos, lo realiza bajo su exclusiva responsabilidad.

ANF AC rechaza cualquier responsabilidad u obligación provocada por su decisión o negligencia de incumplir las normas de seguridad requeridas.

Sus derechos

Cualquier persona tiene derecho a obtener confirmación sobre los tratamientos que ANF AC realice de sus datos personales. ANF AC facilitará a todos los interesados el ejercicio de sus derechos de forma diligente y gratuita.

Las personas afectadas por tratamientos de datos realizados por ANF AC, tienen derecho a:

Solicitar el acceso gratuito a sus datos personales.
Solicitar su rectificació
Solicitar supresió
Solicitar la limitación de su tratamiento.
Oponerse al tratamiento.
Solicitar la portabilidad de los datos.

Los interesados podrán acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos. En determinadas circunstancias, los interesados podrán solicitar la limitación, oposición al tratamiento y portabilidad de sus datos. Se informa que el ejercicio del algún derecho puede obstaculizar la base legal sobre la que se basa el tratamiento, en su caso, se adoptarán las medidas legales oportunas. En caso de duda nuestro Delegado de Protección de Datos gustosamente atenderá las cuestiones que considere oportuno plantear.

Los interesados si consideran que el tratamiento de datos personales que le conciernen infringe el Reglamento, tienen el derecho a recibir atención y ayuda de nuestro Delegado de Protección de Datos, a presentar una reclamación ante la autoridad de control, en este caso, la Agencia Española de Protección de Datos. Y también, ejercer su derecho a la tutela judicial efectiva.

En caso de incidentes de seguridad que puedan afectar a los interesados cuyos datos custodiamos, ANF AC se compromete a informarles y asesorarles adecuadamente.

Ejercicio de los Derechos

ANF AC, pone a disposición de todos los interesados los siguientes medios para ejercer sus derechos,

Solicitud remitida por correo postal o visita personal a,

ANF Autoridad de Certificación
Gran Vía de les Corts Catalanes, 996 planta 4ª Barcelona -08020- España

Correo electrónico a,

delegadoprotecciondatos@anf.es

Llamada telefónica solicitando por nuestro Delegado de Protección de Datos,

+34 932 661 614

Dispone de formulario electrónico en nuestro sitio Web,

https://anf.es/registro-de-actividades-tratamiento-de-datos/

Por imperativo legal Vd. deberá acreditar su identidad,

En el caso de solicitud por escrito incluya fotocopia de su DNI, o documento legal equivalente.
En el caso de visita personal deberá mostrar DNI original y en estado vigente, o documento legal equivalente.
En caso de representación deberá disponer de apoderamiento legal suficiente.
Si contacta telefónicamente, siga las instrucciones de nuestro personal, tenga en cuenta que deberá estar en disposición de poder acceder a su cuenta de correo electrónico y/o teléfono móvil que facilitó en el momento de recoger sus datos.
Si opta por cumplimentar el formulario electrónico de ejercicio de derechos disponible en nuestro sitio Web, debe de facilitar copia digital de su DNI, o documento legal equivalente.
Si no desea utilizar nuestro formulario electrónico, puede redactar libremente su solicitud y remitirla por correo electró

Este documento incorpora el apartado EXPLICACIÓN SOBRE SUS DERECHOS, le recomendamos su lectura a la hora de desear ejercer alguno de ellos. Además, nuestro Delegado de Protección de Datos (DPD) le prestará toda la ayuda que precise pare ejercer de forma efectiva sus derechos. El ejercicio de sus derechos y el soporte de nuestro DPD, es gratuito.

También, si lo desea, puede realizar su ejercicio de derechos mediante representación de tercero. Su representante deberá acreditar formalmente esta capacidad legal, ya sea mediante poder notarial o documento expedido y firmado por ti, incluyendo fotocopia de su DNI, o documento legal equivalente.

En caso de considerar que no hemos intervenido con la suficiente diligencia o que hemos infringido sus derechos, puede presentar una queja ante la Agencia Española de Protección de Datos (AEPD), https://anf.es/registro-de-actividades-tratamiento-de-datos/

Además, la AEPD pone a su disposición información sobre sus derechos, https://anf.es/registro-de-actividades-tratamiento-de-datos/

Y, un catálogo de preguntas habituales en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

EXPLICACIÓN SOBRE SUS DERECHOS

DERECHO DE ACCESO:

Al ejercer este derecho se solicita que se facilite gratuitamente el derecho de acceso al tratamiento de datos que la organización realiza en el plazo máximo de un mes a contar desde la recepción de esta solicitud, que se le remita a la dirección arriba indicada por correo toda la información relacionada en el artículo 15 del RGPD, de modo legible e inteligible y dentro del plazo indicado.

Usted tiene derecho a conocer:

Si estamos tratando o no datos personales que le conciernen.
El origen de sus datos, si no nos los proporcionó Usted.
Los fines del tratamiento de sus datos.
Las categorías de datos de que se trate.
Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales.
De ser posible el plazo previsto de conservación de los datos personales, o en caso contrario, los criterios utilizados para determinar este plazo.
Si se adoptan decisiones automatizadas – incluida la elaboración de perfiles – usando sus datos personales, se le informa de los datos que se han almacenado del interesado.

DERECHO DE RECTIFICACIÓN:

Al ejercer este derecho se solicita que se facilite gratuitamente el derecho de rectificación, de conformidad con lo previsto en el artículo 16 del RGPD. Será necesario aportar los correspondientes justificantes.

Usted tiene derecho a que sus datos personales sean exactos y vigentes.
Completándolos, si estos fuesen incompletos.
Actualizándolos o rectificándolos, si no se ajustan a la realidad vigente o fuesen inexactos.

DERECHO DE SUPRESIÓN:

Al ejercer este derecho, Ud. solicita que se facilite gratuitamente el derecho de supresión, o derecho al olvido, de conformidad con lo previsto en el artículo 17 del RGPD. Este derecho se puede ejercer solo sí:

Los datos ya no sean necesarios para los fines para los que fueron recogidos o tratados.
Si el tratamiento se basó en el consentimiento expreso, usted retira el consentimiento y el tratamiento no se pueda amparar en otra base de legal.
Ha ejercitado previamente con éxito el derecho de oposición al tratamiento de sus datos.
Los datos han sido tratados ilí
Los datos deben suprimirse para el cumplimiento de una obligación legal.

Los requerimientos indicados no aplicarán siempre y cuando el tratamiento sea necesario para:

Ejercer el derecho a la libertad de expresión e informació
Para el cumplimiento de una obligación legal.
Para el cumplimiento de una misión realizada en interés público por parte del responsable del tratamiento.
Para la formulación, el ejercicio o la defensa de reclamaciones.

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO:

Al ejercer este derecho se solicita que se facilite gratuitamente el derecho a la limitación del tratamiento indicado, de conformidad con lo previsto en los artículos 18 y 19 del RGPD. Es decir, que los conservemos sin utilizarlos para los fines previstos, siempre y cuando se cumpla alguna de las condiciones siguientes:

Solicita la rectificación de sus datos personales, durante un plazo que nos permita, como organización responsable del tratamiento, verificar la exactitud de los mismos.
El tratamiento sea ilícito y se opone a la supresión de los datos personales, solicitando en su lugar la limitación de uso.
Ya no necesitamos sus datos personales para los fines del tratamiento, pero usted los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
Si se ha opuesto al tratamiento mientras se verifica si los motivos legítimos para tratarlos prevalecen sobre su derecho.

Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con su consentimiento, para la formulación, el ejercicio o la defensa de las reclamaciones, para salvaguardar los derechos de otra persona física o jurídica, o por razones de interés público esencial. Una vez se haya producido la limitación del tratamiento, usted será informado antes del levantamiento de dicha limitación.

DERECHO A LA PORTABILIDAD DE LOS DATOS:

Al ejercer este derecho se solicita que se le facilite gratuitamente a la limitación del tratamiento indicado, de conformidad con lo previsto en el artículo 20 del RGPD. Pondremos a su disposición los datos personales que nos haya facilitado en un formato estructurado, de uso común y lectura mecánica. Además,

Tendrá derecho a solicitarnos que sean transmitidos directamente a otro responsable del tratamiento cuando ello sea técnicamente posible.

Solo tendrá este derecho cuando:

Estemos tratando sus datos personales basándose en su consentimiento expreso, o
la base legal sea el cumplimiento de un contrato y,
siempre que el tratamiento se realice por medios automatizados.

DERECHO DE OPOSICIÓN:

Al ejercer este derecho se solicita que se le facilite gratuitamente a la limitación del tratamiento indicado, de conformidad con lo previsto en los artículos 21 y 22 del RGPD. Mediante este derecho nos requiere que dejemos de usar sus datos personales.

Puede ejercer su derecho de oposición cuando el tratamiento tenga como base legal nuestros “intereses legítimos”.

Si el tratamiento se basa en su consentimiento, Puedes retirarlo y obtener efectos similares al derecho de oposición.

DERECHO A NO SER OBJETO DE DECISIONES AUTOMATIZADAS:

Basadas en el tratamiento de sus datos personales, incluida la elaboración de perfiles.

Puedes oponerte a ser sometido a una decisión con efectos legales o que le afecte de otro modo de forma significativa, siempre que se haya basado exclusivamente en el tratamiento automatizado de sus datos y sin intervención humana.

Si ha estado sujeto a una decisión del tipo descrito y no está de acuerdo, puede solicitar que revisemos la decisión para recabar la intervención humana, expresar su punto de vista o impugnar de cualquier modo dicha decisión.

No tendrá el derecho a oponerte cuando la decisión tomada de forma automatizada:

Sea necesaria para la celebración o ejecución de un contrato del que formas parte,
Esté autorizada por la ley y existan medidas adecuadas para salvaguardar sus derechos y libertades, o
se base en su consentimiento explí

PLAZO Y TUTELA:

Si dentro del plazo de un mes, ANF Autoridad de Certificación no le comunicamos que no procede atender total o parcialmente el derecho ejercido, es preceptivo que:

La comunicación esté motivada a fin de, en su caso, solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del artículo 57 del RGPD.
Si previo a la reclamación ante la Agencia Española de Protección de Datos, considera que no se ha satisfecho correctamente sus derechos, puede solicitar una valoración ante el Delegado de Protección de Datos.

Nuestro Delegado de Protección de Datos

Datos de contacto:

Correo electrónico a,delegadoprotecciondatos@anf.es
Llamada telefónica solicitando por nuestro Delegado de Protección de Datos, Tfno.+34 932 661 614

Para visita personal, previamente concierta hora.

Gran Vía de les Corts Catalanes, 996 planta 4ª Barcelona -08018- España

Atención al público

Lunes – Viernes
de 9:00 a 14:00 de 15:00 a 18:00

Nuestro Delegado de Protección de Datos le asesorará y le ayudará en el ejercicio de sus derechos. Puedes consultarle por cualquiera de los medios antes reseñados.

11.Reclamaciones – denuncias

Puede cursar sus reclamaciones mediante cualquiera de los siguientes procedimientos:

Website:

Ejercicio de sus derechos de protección de datos en, https://anf.es/registro-de-actividades-tratamiento-de-datos/

Denuncias:

https://anf.es/registro-de-actividades-tratamiento-de-datos/

Reclamaciones:

https://anf.es/registro-de-actividades-tratamiento-de-datos/

Notificar incidencias

https://anf.es/registro-de-actividades-tratamiento-de-datos/

Correo electrónico protección de datos,

delegadoprotecciondatos@anf.es

Correo electrónico SAT Website

adiaz@anf.es

Correo electrónico SAT productos y servicios

soporte@anf.es

Para visita personal, previamente concierta hora.

Gran Vía de les Corts Catalanes, 996 planta 4ª Barcelona – 08018 – España
Teléfono: +34 932 661 614

Atención al público

Lunes – Viernes
de 9:00 a 14:00 de 15:00 a 18:00

Seguridad de la información, auditorias y evaluaciones de impacto en protección de datos

En ANF AC sometemos a revisión todos nuestros sistemas informáticos y medios organizativos a auditorías internas y a auditores externas llevadas a cabo por auditores independientes de máximo prestigio internacional.

Las auditorías externas se llevan a cabo con una periodicidad máxima anual. ANF AC está certificada en conformidad contra las siguientes normas y estándares internacionales:

Normas ETSI correspondientes al Reglamento (UE) eIDAS.
ISO 9001 de Calidad para CAs.
ISO 27001 Sistemas de Gestión y Seguridad de la Informació
ISO 17024 Certificación de Personas.
ISO 14001 Gestión Medioambiental.

Todas las certificaciones y auditorias de conformidad obtenidas por ANF AC están publicadas en nuestro su sitio Web. https://anf.es/registro-de-actividades-tratamiento-de-datos/

Además, ANF AC ha realizado para cada tratamiento una Evaluación de Impacto en Protección de Datos (EIPD), habiendo logrado un nivel de riesgos -bajo- con la aplicación de las correspondientes salvaguardas. En ningún caso ANF AC realiza tratamientos de datos que no estén en un nivel de riesgo bajo, o sobre los que se haya recibido autorización por parte de la AEPD para asumir un mayor riesgo, tras realizar la correspondiente -consulta previa- establecida en el Reglamento (UE) 679/2014 General Protección de Datos (RGPD).

REALIZADOS POR ANF AC

Tratamientos Anf Ac

Por favor gire su móvil para ver las tablas de más abajo correctamente

1.Registro de solicitudes de certificados. – AC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, presta el servicio de emisión de certificados. Dicho servicio, para su adecuada gestión y administración, requiere mantener un registro de certificados solicitados.
c) Colectivo.	Clientes del servicio contratado a ANF AC.
d) Categorías de Datos.	Contenido requerido por la legislación en materia de certificados cualificados y aquellos que expresamente solicita el interesado que sean incorporados. Informes de verificación de información.
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas para contrastar veracidad de la información.
f) Categoría destinatarios	La propia organización ANF AC, auditores eIDAS, Autoridad de Control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 01 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

2. Registro de certificados de firma electrónica emitidos. – AC

a) Base jurídica	Obligación legal Reglamento (UE) 910/2014 EIDAS.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, presta el servicio de emisión de certificados. Dicho servicio, para su adecuada gestión y administración, requiere mantener un registro de certificados emitidos.
c) Colectivo.	Clientes del servicio contratado a ANF AC.
d) Categorías de Datos.	Contenido requerido por la legislación en materia de certificados cualificados y aquellos que expresamente solicita el interesado que sean incorporados. Informes de verificación de información.
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas para contrastar veracidad de la información.
f) Categoría destinatarios	La propia organización ANF AC, auditores eIDAS, Autoridad de Control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 01 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

3. Registro de RR.HH. – AC / EC

a) Base jurídica	Ejecución de un contrato. En su caso, cumplimiento de una obligación legal.
b) Fines del tratamiento	Gestión del personal laboral, destinado a ANF AC. Expediente personal. Control horario. Incompatibilidades. Formación. Prevención de riesgos laborales, control absentismo. Infracciones, sanciones disciplinarias Emisión de la nómina, así como de todos los productos derivados de la misma. Obtención de estudios estadísticos o monográficos destinados a la gestión económica del personal.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, número de Seguridad Social/Mutualidad, dirección, firma y teléfono. Categorías especiales de datos: datos de salud (bajas por enfermedad, accidentes laborales y grado de discapacidad, sin inclusión de diagnósticos), afiliación sindical, a los exclusivos efectos del pago de cuotas sindicales (en su caso), representante sindical (en su caso), justificantes de asistencia de propios y de terceros. Datos de características personales: Sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento y datos familiares. Datos de circunstancias familiares: Fecha de alta y baja, licencias, permisos y autorizaciones. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y carrera administrativa. Incompatibilidades. Datos de control de presencia: fecha/ hora entrada y salida, motivo de ausencia. Datos económico-financieros: Datos económicos de nómina, créditos, préstamos, avales, deducciones impositivas baja de haberes correspondientes al puesto de trabajo anterior (en su caso), retenciones judiciales (en su caso), otras retenciones (en su caso). Datos bancarios. CV, fotocopia DNI, fotocopia titulaciones obtenidas, informes de referencias realizadas a terceras fuentes, e informes de comprobación de veracidad dela información.
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas para obtener referencias laborales y contrastar veracidad de la información.
f) Categoría destinatarios	La propia organización ANF AC. Además: Entidades financieras. Agencia Estatal de Administración Tributaria. Seguridad Social e inspección de trabajo.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos económicos de esta actividad de tratamiento se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 02 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

4 Registro de Roles. – AC / EC

a) Base jurídica	Ejecución de un contrato. En su caso, cumplimiento de una obligación legal.
b) Fines del tratamiento	Gestión del personal laboral, destinado a ANF AC. Incompatibilidades. Formación. Prevención de riesgos laborales. Infracciones, sanciones disciplinarias Emisión de la nómina, así como de todos los productos derivados de la misma. Obtención de estudios estadísticos o monográficos destinados a la gestión económica del personal.
c) Colectivo.	Personal laboral de ANF AC y personal bajo contrato de prestación de servicios.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, dirección, firma y teléfono, correo electrónico. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Incompatibilidades. Datos de control de presencia: fecha/ hora entrada y salida, motivo de ausencia. CV, fotocopia DNI, fotocopia titulaciones obtenidas.
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 02 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

5 Registro de Control Horario. AC / EC

a) Base jurídica	Cumplimiento de una obligación legal. Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
b) Fines del tratamiento	Gestión del personal laboral, emisión de la nómina y cumplimiento de la obligación de registrar las jornadas laborales.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, firma.
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 02 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

6 Registro de digitalizaciones certificadas. – AC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, presta el servicio de digitalizaciones certificadas en conformidad con la normativa de AEAT. Dicho servicio, para su adecuada gestión y administración, requiere mantener un registro de las digitalizaciones realizadas.
c) Colectivo.	Clientes del servicio contratado a ANF AC.
d) Categorías de Datos.	Documentos digitalizados.
e) Procedencia de los datos	Empresa que contrata en calidad de responsable del tratamiento.
f) Categoría destinatarios	Clientes del servicio contratado a ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las requeridas por el responsable del tratamiento, las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo. Si se aprecia posible incumplimiento del RGPD, ANF AC asume la responsabilidad de informar al responsable del tratamiento. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 03 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

7 Registro de comunicaciones certificadas. – AC

a) Base jurídica	Ejecución de un contrato, ANF AC asume la figura de encargado del tratamiento. RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Reglamento General de Protección de Datos.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, presta el servicio de comunicaciones certificadas. Dicho servicio, para su adecuada gestión y administración, requiere mantener un registro de las comunicaciones tramitadas, remitentes y destinatarios.
c) Colectivo.	Remitentes y destinatarios de las comunicaciones certificadas tramitadas por ANF AC.
d) Categorías de Datos.	Nombre y apellidos, empresa a la que pertenece, tfno., dirección correo electrónico del remitente Nombre y apellidos, empresa a la que pertenece, tfno., dirección correo electrónico del destinatario Contenido de la comunicación. Fecha y hora de envio, fecha y hora de entrega, fecha y hora apertura.
e) Procedencia de los datos	Empresa que contrata en calidad de responsable del tratamiento.
f) Categoría destinatarios	La empresa contratante y destinatarios de las comunicaciones.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las requeridas por el responsable del tratamiento, las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo. Si se aprecia posible incumplimiento del RGPD, ANF AC asume la responsabilidad de informar al responsable del tratamiento. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 04 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

8 Registro de Operadores AR. – AC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, cuenta con la colaboración de operadores adscritos a despachos que conforman la red de Oficinas de Verificación Presencial (OVP) y Autoridades de Registro Reconocidas (ARR) por ANF AC. Con todos ellos, ANF AC ha suscrito un contrato de prestación de servicios, el cual requiere la adecuada gestión de los datos de los operadores AR.
c) Colectivo.	Operadores AR de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, y teléfono. Examen y resultado de examen realizado. Entidad OVP o ARR a la que pertenecen.
e) Procedencia de los datos	Empresa que contrata en calidad de responsable del tratamiento.
f) Categoría destinatarios	La propia organización ANF AC, auditores eIDAS, la Autoridad de Control competente.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Cuando sus datos hayan dejado de ser necesarios para determinar responsabilidades en relación con su actuación profesional, y la acreditación de cumplimiento de las obligaciones de ANF AC.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las requeridas por el responsable del tratamiento, las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo. Si se aprecia posible incumplimiento del RGPD, ANF AC asume la responsabilidad de informar al responsable del tratamiento.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 05 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

9 Registro de Despachos AR / OVP. – AC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, cuenta con la colaboración de operadores adscritos a despachos que conforman la red de Oficinas de Verificación Presencial (OVP) y Autoridades de Registro Reconocidas (ARR) por ANF AC. Con todos ellos, ANF AC ha suscrito un contrato de prestación de servicios, el cual requiere la adecuada gestión de los de los datos de estos.
c) Colectivo.	Clientes (persona física) y representantes legales de organizaciones con personalidad jurídica.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, Datos de contacto de la organización cliente, sus representantes.
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 05 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

10 Registro de Expedientes Disciplinarios. – AC / EC

a) Base jurídica	Ejecución de un contrato. En su caso, cumplimiento de una obligación legal.
b) Fines del tratamiento	Gestión del personal laboral, destinado a ANF AC. Incompatibilidades. Formación. Prevención de riesgos laborales. Infracciones, sanciones disciplinarias.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, número de registro de personal, dirección, firma y teléfono, correo electrónico. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Incompatibilidades. Datos de control de presencia: fecha/ hora entrada y salida, motivo de ausencia. CV, fotocopia DNI, fotocopia titulaciones obtenidas.
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 06 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

11 Registro de Denuncias RC. – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	ANF AC considera de especial importancia asumir de forma adecuada su responsabilidad social corporativa. Con ese fin pone a disposición del público en general, y personal de la propia compañía en particular, un registro de comunicaciones que permite, de forma anónima, informar de hechos que contravienen la política de responsabilidad social corporativa de la organización. Este registro permite determinar qué alto cargo de dirección asumirá la gestión de la notificación (investigación de los hechos, delimitación de responsabilidades, y aplicación de medidas en su caso).
c) Colectivo.	Clientes, trabajadores, público en general.
d) Categorías de Datos.	Pueden incluir datos personales que permitan la identificación de personas físicas, y denuncias de hechos que les pueden afectar como víctimas o autores.
e) Procedencia de los datos	Público en general y personal de la propia compañía en particular.
f) Categoría destinatarios	Alta dirección de ANF AC, y obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 06 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

12 Registro facturación y pagos. – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	ANF AC en su actividad general, presta servicios que son facturados y sobre los que se requiere un control de pagos, dentro del proceso de gestión administrativa y financiera de la organización.
c) Colectivo.	Personas y entidades que han contratado y han recibido un servicio de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, dirección, tfno., email, en su caso empresa a la que pertenecen, forma y plazo de pago, NIF, productos o servicios suministrados, importe y estado de pago.
e) Procedencia de los datos	Empresa que contrata en calidad de responsable del tratamiento.
f) Categoría destinatarios	Propia organización ANF AC. AEAT. No se facilita información a BBDD de control de morosidad.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de tres meses, posteriormente se procederá a su destrucción.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las requeridas por el responsable del tratamiento, las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo. Si se aprecia posible incumplimiento del RGPD, ANF AC asume la responsabilidad de informar al responsable del tratamiento. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 07 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

13 Registro Clientes (personas de contacto). – AC / EC

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	ANF AC dispone del registro de clientes, el cual permite identificar las organizaciones con las que se mantiene relación contractual, las personas de contacto.
c) Colectivo.	Clientes (persona física) y representantes legales de organizaciones con personalidad jurídica.
d) Categorías de Datos.	Datos de contacto de la organización cliente, sus representantes, información de consumos, datos estadísticos, información contable.
e) Procedencia de los datos	Propia organización cliente e información de solvencia crediticia obtenida de terceras fuentes.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 07 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

14 Registro de Formación impartida (diplomas expedidos)

a) Base jurídica	Ejecución de un contrato. RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento General de Protección de Datos.
b) Fines del tratamiento	Gestión y control de las actividades formativas que organiza ANF AC dirigidas a personal de la propia organización, como operadores AR de los Puntos de Verificación Presencial y Despachos ARR, así como otros cursos que ANF AC pueda impartir. Con todos los participantes, alumnos y profesores, ANF AC ha suscrito el correspondiente contrato de prestación de servicios.
c) Colectivo.	Profesores y alumnos que participan en los cursos de formación de ANF AC.
d) Categorías de Datos.	Profesores y alumnos: Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono, imagen, firma. Detalles de empleo: entidad u organismo y puesto que ocupa. Profesores: Datos académicos y profesionales: formación, titulaciones. Datos económico-financieros: datos bancarios.
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC, AEPD, ENAC, FUNDAE. Además, los datos de los profesores podrán aparecer reflejados en folletos o en la Web de ANF AC como parte de la divulgación de las actividades formativas. Los datos de los profesores de actividades remuneradas serán comunicados a las entidades financieras, Agencia Estatal de la Administración Tributaria.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación. Los datos de los profesores se conservarán para futuras acciones formativas, salvo que soliciten su supresión. En el caso de actividades remuneradas se conservarán al amparo de lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, ISO 17024 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 08 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

15 Registro alumnos Campus ANF AC. – AC / EC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	Una adecuada gestión y administración del Campus de ANF AC requiere un control de los alumnos que tienen derecho de acceso y de participar en las materias lectivas para las que ha tramitado su inscripción. Además, es necesario gestionar su participación en los cursos.
c) Colectivo.	Alumnos inscritos en cursos formativos de ANF AC:
d) Categorías de Datos.	Nombre y apellidos, DNI/u otro Documento identificativo, Pertenencia a una empresa. Categorías especiales de datos: datos correspondientes a discapacidad que requieren adaptación del examen. Datos de características personales: dirección, telefono, email. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y experiencia profesional en protección de datos.
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC y, en caso de formación bonificada, Fundación Estatal para la Formación en el Empleo – FUNDAE.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 18 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

16 Registro de profesores Campus ANF AC. - AC

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	Gestionar accesos y permisos de los profesores del campus de ANF AC.
c) Colectivo.	Profesores que imparten los cursos en el campus virtual de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/u otro Documento identificativo, Pertenencia a una empresa. Categorías especiales de datos: datos correspondientes a discapacidad que requieren adaptación del campus. Datos de características personales: dirección, teléfono, email. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional.
e) Procedencia de los datos	Los propios interesados
f) Categoría destinatarios	La propia organización ANF AC y, en caso de formación bonificada, Fundación Estatal para la Formación en el Empleo – FUNDAE.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 08 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

17 Registro de control biométrico (accesos físicos). – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Control de acceso a las dependencias de ANF AC. ANF AC realiza una actividad que requiere privacidad y sus activos deben de ser protegidos. Todo ello requiere un control de las personas que acceden a las instalaciones de la organización. El personal de la organización en su actividad diaria tiene un alto grado de movilidad, con entradas y salidas constantes que deben de ser registradas pero materialmente imposible gestionarlas mediante el registro de accesos físicos. Este registro permite la automatización del control, sin captura de huellas digitales y sin asociarla a una identidad específica al aplicar técnica de seudonimización. Este tratamiento no permite el control de permanencia en dependencias por lo cual no puede ser utilizado con otros fines como control productividad o conductual.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Id Registro, codificación algoritmo biométrico. Otros datos: zona, dia y hora de entrada
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de tres meses, transcurrido el cual se procede a la destrucción de los datos salvo necesidad de la organización.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia, Dictamen WP160 2/2009 del GT29, e informe jurídico publicado por la AEPD 2015- 0065. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 09 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

18 Registro de incidencias (brechas de seguridad). – AC / EC

a) Base jurídica	Obligación legal (Artículos 73 y 74 de la LOPD 3/2018 en relación con el artículo 33 del RGPD) y Art. 19 del Reglamento eIDAS.
b) Fines del tratamiento	El RGPD requiere de los responsables de seguridad la comunicación a la autoridad de control competente en protección de datos y, en su caso a los interesados, de las brechas de seguridad que se puedan producir. ANF AC con el fin de disponer de una medida organizativa adecuada que permita demostrar el cumplimiento de sus obligaciones gestiona este Registro de Incidencias.
c) Colectivo.	Personas y entidades que han contratado y han recibido un servicio de ANF AC.
d) Categorías de Datos.	Alcance de la brecha de seguridad, Tratamiento afectado, Efectos, Fecha y hora en que se detecta, identificación de posibles afectados, (datos de identificación), Medidas adoptadas. Comunicaciones realizadas, Fecha y hora en que se comunica, medidas adoptadas para que no se vuelvan a producir, comunicación en su caso de lo acontecido con información de las recomendaciones de las medidas a adoptar
e) Procedencia de los datos	ANF AC, los propios afectados, terceros contratados.
f) Categoría destinatarios	Propia organización ANF AC. AEPD, Organismo de Supervisión eIDAS y, en su caso, interesados afectados.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de tres meses, posteriormente se procederá a su destrucción.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, ISO 17024 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 10 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

19 Registro de afectados. – AC / EC

a) Base jurídica	Obligación legal (Artículos 74 ñ de la LOPD 3/2018 en relación con el artículo 34 del RGPD)
b) Fines del tratamiento	De acuerdo con la normativa legal vigente en materia de protección de datos ANF AC asume la obligación notificar a los interesados en caso de una violación de seguridad para lo que requiere gestionar la información al respecto.
c) Colectivo.	Interesados.
d) Categorías de Datos.	identificación de posibles afectados, comunicación en su caso de lo acontecido con información de las recomendaciones de las medidas a adoptar. Información de la incidencia detectada, fecha en que se tuvo conocimiento, gravedad, medidas adoptadas para solventarla, medidas adoptadas para que no se vuelvan a producir, entre otras.
e) Procedencia de los datos	ANF AC, los propios afectados, auditores, terceros contratados..
f) Categoría destinatarios	La propia organización ANF AC, las organizaciones clientes, los desafectados, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 10 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

20 Registro de llamadas telefónicas generales. – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	ANF AC presta servicios de confianza para realizar transacciones que pueden presuponer responsabilidades personales, como perjuicios económicos si el cliente hace un mal uso de nuestros instrumentos. P.ej.facilita el PIN a terceros, hace cesión de sus claves privadas, etc. Un adecuado asesoramiento es altamente importante para sus intereses. Este tratamiento tiene como fin verificar que la calidad del servicio que reciben nuestros clientes, tanto desde el punto de vista de lenguaje comprensivo como veracidad de la información que se les comunica e, incluso, acreditar si nuestros operadores incurren en algún tipo de responsabilidad.
c) Colectivo.	Público en general y personal laboral de ANF AC.
d) Categorías de Datos.	Número de tfno., que realiza la llamada. Locución grabada Otros datos: dia y hora
e) Procedencia de los datos	Los propios interesados: persona que contacta y operador de ANF AC que atiende la llamada.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 11 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

21 Registro de llamadas telefónicas revocaciones. – AC / EC

a) Base jurídica	Obligación legal que establece el Reglamento (UE) 910/2014 EIDAS.
b) Fines del tratamiento	ANF AC en su calidad de Prestador Cualificado de Servicios de Confianza, tiene la obligación de atender de forma diligente las solicitudes de revocación. Los titulares de los certificados pueden realizar esta tramitación por teléfono siempre que supere los controles de seguridad que acredita la identidad de las personas.
c) Colectivo.	Titulares de certificados y personal de ANF AC:
d) Categorías de Datos.	Número de tfno., que realiza la llamada. Locución grabada Otros datos: dia y hora
e) Procedencia de los datos	Los propios interesados, persona que contacta y operador de ANF AC que atiende la llamada.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período mínimo de 15 años, transcurrido el cual se procede a la destrucción de los datos salvo necesidad de la organización.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 11 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

22 Registro de llamadas telefónicas contrataciones. – AC / EC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	Este tratamiento se realiza con el fin de acreditar las solicitudes de contratación de servicios o compras de clientes, la información asociada al servicio, su conformidad en la adquisición, y defensa en caso de reclamación.
c) Colectivo.	Público en general y personal laboral de ANF AC.
d) Categorías de Datos.	Número de tfno., que realiza la llamada. Locución grabada Otros datos: dia y hora
e) Procedencia de los datos	Los propios interesados: persona que contacta y operador de ANF AC que atiende la llamada.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de cinco años, transcurrido el cual se procede a la destrucción de los datos salvo necesidad de la organización.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 11 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

23 Registro de operadores alta confianza PKI. - AC

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Gestionar los accesos y facultades de los operadores de alta confianza de acuerdo con los niveles de seguridad.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Datos de los operadores autorizados en ANF AC. Nombre, apellidos, tfno. móvil, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login hash contraseña, certificado electrónico)
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 12 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

24 Registro de operadores PKI. - AC

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Gestionar los accesos y facultades de los operadores de alta confianza de acuerdo con los niveles de seguridad.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Datos de los operadores autorizados en ANF AC. Nombre, apellidos, tfno. móvil, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login hash contraseña, certificado electrónico)
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 12 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

25 Registro de operadores RDE. – AC

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Gestionar los accesos y facultades de los operadores de alta confianza de acuerdo con los niveles de seguridad.
c) Colectivo.	Personal laboral de ANF AC.
d) Categorías de Datos.	Datos de los operadores autorizados en ANF AC. Nombre, apellidos, tfno. móvil, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login hash contraseña, certificado electrónico)
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 12 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

26 Registro de validaciones cualificadas. – AC

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza debe llevar a cabo una adecuada gestión y administración de las solicitudes por lo que requiere mantener un registro de las validaciones cualificadas.
c) Colectivo.	Clientes del servicio contratado a ANF AC
d) Categorías de Datos.	Contenido requerido por la legislación en materia de certificados cualificados y aquellos que expresamente solicita el interesado que sean incorporados. Informes de verificación de información.
e) Procedencia de los datos	El propio interesado y terceras fuentes consultadas para contrastar veracidad de la información.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 13 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

27 Plataforma de multi-validación. - AC

a) Base jurídica	Obligación legal. Reglamento eIDAS, artículo 33, Servicio de validación cualificado de firmas electrónicas cualificadas.
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza, realiza la validación de certificados electrónicos de ANF AC y otras CA.
c) Colectivo.	Clientes del servicio contratado a ANF AC.
d) Categorías de Datos.	Contenido requerido por la legislación en materia de certificados cualificados y aquellos que expresamente solicita el interesado que sean incorporados. Informes de verificación de información, informes de validación.
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas para contrastar veracidad de la información.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 13 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

28 Registro formularios contacto Web. – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	ANF AC en su actividad general, ofrece la posibilidad en su sitio web de que aquellas personas o empresas interesadas en establecer un contacto con ANF AC, se puedan inscribir en formularios electrónicos que están publicados en diferentes páginas de su sitio web, según tipo de interés (trabajar en ANF AC, interés comercial. Etc.).
c) Colectivo.	Personas con algún tipo de interés en ANF AC.
d) Categorías de Datos.	Nombre y apellidos, tfno., email empresa a la que pertenecen, comentarios.
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de tres meses, posteriormente se procederá a su destrucción.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 14 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

29 Quejas y sugerencias

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Registro y tramitación de las quejas y sugerencias presentadas en relación con la actuación de ANF AC en la prestación de sus servicios como Prestador Cualificado de Servicios de Confianza, y como Entidad de Certificación en el Esquema DPD-AEPD.
c) Colectivo.	Personas que se dirigen a ANF AC y personal laboral de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/NIF/Documento identificativo, dirección, teléfono y firma. Otros datos: los recogidos en la queja o sugerencia.
e) Procedencia de los datos	Los propios interesados: persona que contacta y operador de ANF AC que atiende la llamada.
f) Categoría destinatarios	La propia organización ANF AC y, según proceda, interposición de acciones legales, incluso penales.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 15 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

30 Registro de visitas. – AC / EC

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Control de acceso a las dependencias de ANF AC. ANF AC realiza una actividad que requiere privacidad y sus activos deben de ser protegidos. Todo ello requiere un control de las personas que acceden a las instalaciones de la organización.
c) Colectivo.	Personas que solicitan acceso a las instalaciones de ANF AC y personal laboral de ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/NIF/ empresa que representa y firma. Otros datos: día y hora de entrada / salida
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo de tres meses, transcurrido el cual se procede a la destrucción de los datos salvo necesidad de la organización.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 16 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

31 Registro de encargados del tratamiento. – AC / EC

a) Base jurídica	Cumplimiento obligación legal. Art- 28 punto 3 del RGPD.
b) Fines del tratamiento	ANF AC en su actividad general, contrata los servicios de terceras organizaciones que colaboran en el tratamiento de datos. Con todas ellas ha suscrito en correspondiente contrato como encargada del tratamiento.
c) Colectivo.	Entidades colaboradoras en el tratamiento de datos contratadas por ANF AC.
d) Categorías de Datos.	Nombre y apellidos del Director responsable, tfno., email Nombre y apellidos de persona de contacto tfno., email Nombre de la empresa, dirección, tfno., email, web Contrato de prestación de servicios. Análisis de adecuación (Art. 28.1)
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	Propia organización ANF AC y cumplimiento obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normativa legal en esta materia y directrices del Comité Europeo de Protección de Datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 17 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

32 Registro de Sistema CCTV

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Control de acceso a las dependencias de ANF AC. ANF AC realiza una actividad que requiere privacidad y sus activos deben de ser protegidos. Todo ello requiere un control de las personas que acceden a las instalaciones de la organización.
c) Colectivo.	Personas que acceden a las instalaciones de ANF AC.
d) Categorías de Datos.	Capturas de imágenes y sistema de vigilancia en tiempo real sin grabación de imágenes.
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período de un mes, transcurrido el cual se procede a la destrucción de los datos salvo necesidad de la organización.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001 y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, Ley Orgánica 3/2018 protección de datos, normas, y directrices indicadas en los informes jurídicos en esta materia publicados por la AEPD: https://www.aepd.es/media/informes/informe-juridico-rgpd-grabacion-de-imagenes-y-voz-proporcionalidad.pdf https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-en-tiempo-real.pdf Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	EIPD 19 – Fecha: 01/02/2020 – Resultado nivel de riesgo: bajo

33 Registro de Centros Formación. – EC

a) Base jurídica	Ejecución de un contrato RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento General de Protección de Datos.
b) Fines del tratamiento	ANF AC como Entidad de Certificación conforme al Esquema de Certificación AEPD-DPD, debe de gestionar un registro de Centros de Formación con los que ha suscrito un contrato y cuyo temario formativo ha acreditado. Las entidades de formación deben de ser publicadas en el sitio Web de ANF AC.
c) Colectivo.	Entidades de formación cuyo temario formativo ha acreditado ANF AC.
d) Categorías de Datos.	Nombre y apellidos del Director del Centro, tfno., email Nombre y apellidos de los profesores tfno., email Titulaciones de los profesores Experiencia profesional de los profesores. Expediente de incidencias y reclamaciones. Expediente de seguimiento de cumplimiento Esquema de Certificación AEPD-DPD
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas para obtener referencias y contrastar veracidad de la información.
f) Categoría destinatarios	Público en general y específicamente la AEPD.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 20 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

34 Registro Comité de Expertos. – EC

a) Base jurídica	Ejecución de un contrato RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento General de Protección de Datos.
b) Fines del tratamiento	ANF AC como Entidad de Certificación conforme al Esquema de Certificación AEPD-DPD, debe de disponer de un Comité de Expertos formado por entidades representativas, cada entidad cuenta con una o varias personas que lo representan. ANF AC ha suscrito el correspondiente compromiso contractual en conformidad con su normativa interna.
c) Colectivo.	Entidades de formación cuyo temario formativo ha acreditado ANF AC.
d) Categorías de Datos.	Nombre y apellidos, empresa a la que pertenece, tfno., dirección correo electrónico.
e) Procedencia de los datos	Los propios interesados.
f) Categoría destinatarios	La propia organización ANF AC, AEPD, ENAC y miembros del propio colectivo.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un período necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 21 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

35 Registro de Proveedores (personas de contacto). – AC /EC

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	ANF AC dispone del registro de proveedores, el cual permite identificar las organizaciones con las que se mantiene relación contractual y las personas de contacto.
c) Colectivo.	Clientes (persona física) y representantes legales de organizaciones con personalidad jurídica.
d) Categorías de Datos.	Datos de contacto de la organización cliente, sus representantes, información de consumos, datos estadísticos, información contable.
e) Procedencia de los datos	Propia organización.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	EIPD 22 – Fecha: 01/02/2020 – Resultado nivel de riesgo: bajo

36 Registro de inscripciones candidatos DPD. – EC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	Es el paso previo para evaluar las solicitudes formuladas por candidatos a convocatorias de examen de DPD. Este es un requisito establecido en el Esquema de Certificación DPD-AEPD y que ANF AC ha asumido formalmente ante la AEPD.
c) Colectivo.	Candidatos a DPD Certificados, que presentan su solicitud en ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/u otro Documento identificativo, Categorías especiales de datos: datos correspondientes a discapacidad que requieren adaptación del examen. Datos de características personales: dirección, telefono, email. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y experiencia profesional en protección de datos. Datos relativos a otros prerrequisitos- Certificado de formación en DPD. Datos de solicitud de inscripción de convocatoria de examen Informe de referencias realizadas en terceras fuentes para comprobación de datos.
e) Procedencia de los datos	Los propios interesados y posibles referencias en terceras fuentes realizadas por ANF AC para comprobación de la información.
f) Categoría destinatarios	La propia organización, el evaluador de ANF AC, el Comité de experto en caso de evaluación, la AEPD y ENAC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Durante todo el período requerido para tramitar la prestación de servicio, y el necesario para acreditar la correcta prestación del mismo ante quien corresponda.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 24 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

37 Registro de Exámenes Candidatos DPD. – EC

a) Base jurídica	Ejecución de un contrato.
b) Fines del tratamiento	Gestionar la participación de candidatos a DPD que han participado en convocatorias de examen de ANF AC. Este registro permite administrar los examenes realizados para atender posibles recursos, apelaciones y acreditar el cumplimiento de las obligaciones que establece el Esquema de Certificación DPD-AEP.
c) Colectivo.	Candidatos a DPD Certificados, que han realizado un examen en ANF AC.
d) Categorías de Datos.	Información seudonimizada del interesado • Código id de candidato • Código id del evaluador • Código id del experto que evalúa la apelación • Examen realizado. • Resultado de evaluación • Recurso de revisión y apelación, y los informes generados por los evaluadores y, en su caso, por el experto de apelación.
e) Procedencia de los datos	Los propios interesados y evaluadores.
f) Categoría destinatarios	La propia organización, el evaluador, el Comité de Expertos en caso de evaluación, la AEPD y ENAC.
g) Transf. Internacional	La propia organización, el evaluador, el Comité de Expertos en caso de evaluación, la AEPD y ENAC.
h) Plazo supresión	Durante todo el período requerido para tramitar la prestación de servicio, y el necesario para acreditar la correcta prestación del mismo ante quien corresponda.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 24 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

38 Registro de DPD certificados. – EC

a) Base jurídica	Ejecución de un contrato RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento General de Protección de Datos.
b) Fines del tratamiento	Cumplir la obligación que establece el Esquema de Certificación DPD-AEPD y que ANF AC ha asumido formalmente ante la AEPD.
c) Colectivo.	Delegados de protección de datos certificados por ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, y teléfono. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y experiencia profesional en protección de datos. Registro de denuncias, informes elaborados sobre la actividad de los interesados a raíz de denuncias, Expediente de quejas y reclamaciones. Expediente de renovaciones en conformidad con el Esquema de Certificación de la AEPD-DPD
e) Procedencia de los datos	Los propios interesados y terceras fuentes consultadas en el cumplimiento de las obligaciones asumidas por ANF AC.
f) Categoría destinatarios	Específicamente AEPD y el público en general.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Cuando sus datos hayan dejado de ser necesarios para determinar responsabilidades en relación con su actuación profesional, y la acreditación de cumplimiento de las obligaciones de ANF AC.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 24 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

39 Registro de Evaluadores

a) Base jurídica	Ejecución de un contrato RGPD: 6.1.b) Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. RGPD: 6.1.c) Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Reglamento General de Protección de Datos.
b) Fines del tratamiento	ANF AC debe de contratar evaluadores independientes, con la experiencia y formación adecuada para realizar la revision y valoración de los candidatos a DPD, en conformidad con el Esquema de Certificación DPD-AEPD.
c) Colectivo.	Evaluadores acreditados por ANF AC.
d) Categorías de Datos.	Nombre y apellidos, DNI/CIF/Documento identificativo, dirección, y teléfono. Datos académicos y profesionales: Titulaciones, formación y experiencia profesional. Datos de detalle de empleo y experiencia profesional en protección de datos.
e) Procedencia de los datos	Los propios interesados, persona que contacta y operador de ANF AC que atiende la llamada.
f) Categoría destinatarios	La propia organización ANF AC, AEPD y ENAC.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Cuando sus datos hayan dejado de ser necesarios para determinar responsabilidades en relación con su actuación profesional, y la acreditación de cumplimiento de las obligaciones de ANF AC.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 25 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

40 Plan de Cese

a) Base jurídica	Cumplimiento de una obligación legal. Art. 24.2, i) del Reglamento eIDAS y art. 21 de la Ley española de firma electrónica.
b) Fines del tratamiento	Operaciones de tratamiento encaminadas al cumplimiento del Plan de Cese.
c) Colectivo.	Usuarios de los servicios de PCSC de ANF AC.
d) Categorías de Datos.	Datos identificativos de usuarios de los servicios de PCSC y operadores.
e) Procedencia de los datos	Los datos proceden directamente de los interesados.
f) Categoría destinatarios	La propia organización ANF AC, las organizaciones clientes de donde procede el interesado solicitando, otros PCSC, los auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 26 – Fecha: 02/02/2020 – Resultado nivel de riesgo: bajo

41 Registro de auditoría de accesos

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza debe llevar a cabo una adecuada gestión y administración de los accesos para garantizar la seguridad. Siempre que alguien utiliza una credencial para identificarse en la plataforma (login), en el transcurso del control de acceso se gestiona una auditoría.
c) Colectivo.	Clientes, personal de ANF AC
d) Categorías de Datos.	Cuenta involucrada, Plataforma, Tipo de acceso, Día y Hora, Intentos de acceso, Exito/Fallo, IP, SO y Navegador, Posición geográfica (si fuera posible).
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	EIPD – Fecha: 01/02/2020 – Resultado nivel de riesgo: bajo

42 Registro de solicitudes de empleo

a) Base jurídica	Consentimiento del interesado. (Artículo 6.1 a) del RGPD.)
b) Fines del tratamiento	Registrar las solicitudes de empleo en ANF AC, almacenar los currículums y consultarlos por RRHH para dar cumplimento a la solicitud del interesado.
c) Colectivo.	Usuarios ajenos a ANF AC
d) Categorías de Datos.	Nombre y apellidos, correo electrónico y Curriculum vitae que puede contener otra información además de datos de categorías especiales a pesar de no ser de interés del responsable el tratamiento de estos últimos.
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un año que es el plazo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta lo establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	En evaluación.

REALIZADOS POR ANF AC

Tratamiento Sign To Sign

Por favor gire su móvil para ver las tablas de más abajo correctamente

1-Registro de administradores Sign to Sign

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	ANF AC como administradora de la plataforma precisa realizar labores de mantenimiento de aplicaciones, base de datos, servidores, etc. Este registro gestiona los administradores autorizados y su clasificación de seguridad en S2S.
c) Colectivo.	Personal bajo la dirección y responsabilidad de ANF AC
d) Categorías de Datos.	Nombre, apellidos, tfno. móvil, organización a la que pertenece, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login, hash contraseña, certificado electrónico).
e) Procedencia de los datos	El propio interesado (superadministrador- personal de ANF)
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 27 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.27

2-Registro de operadores S2S

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Gestionar los accesos y facultades de los operadores autorizados de acuerdo con los niveles de seguridad.
c) Colectivo.	Personal bajo la dirección y responsabilidad de ANF.
d) Categorías de Datos.	Datos de los operadores autorizados en Sign to Sign. Nombre, apellidos, tfno. móvil, organización a la que pertenece, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login hash contraseña, certificado electrónico)
e) Procedencia de los datos	ANF AC
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 27 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.27

3-Registro de administradores de clientes

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	Este registro gestiona los administradores autorizados y su clasificación de seguridad en S2S.
c) Colectivo.	Es personal de alta confianza del cliente. Con acceso completo a la administración de su cuenta.
d) Categorías de Datos.	Datos de contacto de la organización cliente, sus representantes, información de consumos, datos estadísticos, información contable.
e) Procedencia de los datos	Propia organización cliente e información de solvencia crediticia obtenida de terceras fuentes.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	Cliente
k) EIPD -RESULTADO	ANF AC 27 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.27

4-Registro de operadores de clientes

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	Este registro gestiona los operadores autorizados y su clasificación de seguridad, por cuenta de los clientes de la plataforma sign to sign.
c) Colectivo.	Personal bajo la dirección y responsabilidad de la organización usuaria de la S2S (Cliente). Nombrados por la organización usuaria.
d) Categorías de Datos.	Nombre, apellidos, tfno. móvil, organización a la que pertenece, IP comunicación, datos técnicos (navegador, versión, SO), día y hora de accesos, nivel jerárquico, tipo de credenciales requeridas para autenticación (login, hash contraseña, certificado electrónico).
e) Procedencia de los datos	La organización cliente, el propio interesado.
f) Categoría destinatarios	ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Según nivel de seguridad este operador accede a todos los sistemas de Sign to Sign, no obstante, aquella información que se conserva cifrada por defecto por el sistema, o que ha sido cifrada por los propios usuarios, no es accesible para estos operadores. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	La organización cliente.
k) EIPD -RESULTADO	ANF AC 27 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.27

5-Registro de credenciales electrónicas

a) Base jurídica	Interés legítimo. Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.
b) Fines del tratamiento	Administrar las credenciales electrónicas autorizadas para el acceso a la plataforma Sign to Sign, y establecer niveles de control de acceso y política de seguridad.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Tipo e identificador de credencial, nivel de seguridad, politica de seguridad aplicable, identidad del operador, estado de vigencia.
e) Procedencia de los datos	Administradores de la plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 27 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.27

6-Registro de clientes de Sign to Sign

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	ANF AC como administradora de la plataforma dispone del registro de clientes, el cual permite identificar las organizaciones que han contratado el servicio Sign to Sign, los consumos que realiza, control de facturación y pagos, información estadística.
c) Colectivo.	Clientes (persona física) y representantes legales de organizaciones con personalidad jurídica.
d) Categorías de Datos.	Datos de contacto de la organización cliente, sus representantes, información de consumos, datos estadísticos, información contable.
e) Procedencia de los datos	Propia organización cliente e información de solvencia crediticia obtenida de terceras fuentes.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN.
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

7-Registro de destinatarios

a) Base jurídica	Interés legítimo. Después de un análisis ha resultado necesario y proporcionado este tratamiento.
b) Fines del tratamiento	ANF AC o las organizaciones clientes de Sign to Sign tienen la capacidad de ordenar el envío de comunicaciones, notificaciones y entregas de documentos electrónicos a destinatarios con los que han mantenido algún tipo de relación comercial, personal o de otra índole.
c) Colectivo.	Personas u organizaciones a las que ANF AC debe realizar una comunicación, notificación o entrega de documento electronico por mandato de tercero.
d) Categorías de Datos.	Datos de contacto e identidad de los destinatarios.
e) Procedencia de los datos	Los interesados directamente o son aportados por nuestros clientes
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN/ cliente
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

8-Registro de facturación

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	ANF AC como administradora de la plataforma dispone del registro de clientes, el cual permite identificar las organizaciones que han contratado el servicio Sign to Sign, los consumos que realiza, control de facturación y pagos, información estadística.
c) Colectivo.	Clientes (persona física) y representantes legales de organizaciones con personalidad jurídica.
d) Categorías de Datos.	Datos de contacto de los clientes, sus representantes, información contable.
e) Procedencia de los datos	Propia organización cliente e información de solvencia crediticia obtenida de terceras fuentes.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos./td>
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

9-Registro de órdenes de entrega

a) Base jurídica	Interés legítimo (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En algunos casos puede ser para la ejecución de contrato.
b) Fines del tratamiento	Los operadores de S2S y las organizaciones clientes tienen la capacidad de ordenar la entrega de notificaciones, comunicaciones, y entregas de documentos electrónicos a destinatarios con los que han mantenido algún tipo de relación comercial, personal o de otra índole. Este registro gestiona los mandatos recibidos y la aceptación de ANF AC de llevarlos a cabo.
c) Colectivo.	Operadores de ANF, las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Códigos de entrega, detalle del texto de la comunicación o notificación a realizar, en su caso características de la orden, hash de los documentos recibidos y su identificación, datos de contacto e identidad de los destinatarios fecha de la orden.
e) Procedencia de los datos	ANF AC (S2S) y organizaciones clientes de S2S.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

10-Registro de adjuntos

a) Base jurídica	Interés legítimo (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En algunos casos se realiza para la ejecución de contrato.
b) Fines del tratamiento	Los operadores de S2S y las organizaciones clientes tienen la capacidad de enviar adjuntos a los documentos electrónicos a destinatarios con los que han mantenido algún tipo de relación comercial, personal o de otra índole. Este registro gestiona los adjuntos que se envían a través de la plataforma S2S.
c) Colectivo.	Operadores de ANF, las organizaciones clientes del servicio y destinatarios de este.
d) Categorías de Datos.	Códigos de entrega, detalle del texto de la comunicación o notificación a realizar, en su caso características de la orden, hash de los documentos recibidos y su identificación, datos de contacto e identidad de los destinatarios fecha de la orden.
e) Procedencia de los datos	ANF AC (S2S) y organizaciones clientes de S2S.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

11-Registro de transacciones

a) Base jurídica	Interés legítimo. Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento. En algunos casos para la ejecución de contrato.
b) Fines del tratamiento	Las organizaciones clientes de Sign to Sign tienen la capacidad de ordenar la entrega de notificaciones, comunicaciones, y entregas de documentos electrónicos a destinatarios con los que han mantenido algún tipo de relación comercial, personal o de otra índole. Este registro gestiona el estado de transacción en que se encuentra cada uno de ellos.
c) Colectivo.	Operadores ANF AC, las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Códigos de entrega, estado de la transacción, fechas de realización e intentos efectuados.
e) Procedencia de los datos	ANF AC, Sistemas automáticos de recepción, los propios destinatarios del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada . Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

12-Registro de LOG

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Con el fin de realizar un seguimiento del estado de los sistemas informáticos de la plataforma Sign to Sign, asi como de los accesos que se han producido e incluso, detectar brechas de seguridad o ataques sufridos, los servidores de Sign to Sign registran una amplia variedad de eventos que quedan almacenados en el Registro de LOG.
c) Colectivo.	Organización Sign to Sign
d) Categorías de Datos.	Eventos, dia y hora de acceso y desconexión, IP desde la que se accede, puerto de acceso, actividad desarrollada.
e) Procedencia de los datos	Público en general, organizaciones clientes, propios operadores y sistemas de Sign to Sign.
f) Categoría destinatarios	ANF AC y obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

13-Registro de trazabilidad

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Con el fin de documentar los estados de los sistemas informáticos de la plataforma Sign to Sign, asi como de los accesos que se han producido. Se registran una amplia variedad de eventos que quedan almacenados en el Registro .
c) Colectivo.	Organización cliente, Sign to Sign
d) Categorías de Datos.	Pistas de auditoría. Eventos, día y hora de acceso y desconexión, IP desde la que se accede, puerto de acceso, actividad desarrollada.
e) Procedencia de los datos	Público en general, organizaciones clientes, propios operadores y sistemas de Sign to Sign.
f) Categoría destinatarios	ANF AC y obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

14-Registro de auditoría de transacciones

a) Base jurídica	Interés legítimo.
b) Fines del tratamiento	Con el fin de realizar un seguimiento de uso de credenciales, utilización de los servicios, se registran los eventos que los operadores de la plataforma Sign to Sign.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Credencial utilizada, eventos, día y hora de acceso y desconexión, IP desde la que se accede, y actividad desarrollada.
e) Procedencia de los datos	ersonas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
f) Categoría destinatarios	ANF AC y obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

15-Registro de consumos

a) Base jurídica	Interés legítimo. En algunos casos para la ejecución de un contrato.
b) Fines del tratamiento	Realizar un adecuado control de consumos del servicio Sign to Sign, tanto a efectos estadísticos, como contables.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Consumos realizados, identidad de la organización cliente, identidad del operador, fecha y hora del consumo,
e) Procedencia de los datos	Servicios automatizados de la plataforma Sign to Sign.
f) Categoría destinatarios	Operadores autorizados de la organización cliente y la propia Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

16-Registro de incidencias

a) Base jurídica	Obligación legal (Artículos 73 y 74 de la LOPD 3/2018 en relación con el artículo 33 del RGPD)
b) Fines del tratamiento	De acuerdo con la normativa legal vigente en materia de protección de datos, servicios de la sociedad de la información y telecomunicaciones, ANF AC asume la obligación de gestionar un registro de incidencias (brechas de seguridad) y, en su caso, notificar a las autoridades de control, afectados, auditores y órganos internos de control de la propia organización ANF AC.
c) Colectivo.	Las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Información de la incidencia detectada, fecha en que se tuvo conocimiento, gravedad, medidas adoptadas para solventarla, medidas adoptadas para que no se vuelvan a producir, identificación de posibles afectados, comunicación en su caso de lo acontecido con información de las recomendaciones de las medidas a adoptar
e) Procedencia de los datos	ANF AC, los propios afectados, auditores, terceros contratados.
f) Categoría destinatarios	La propia organización ANF AC, las organizaciones clientes, los desafectados, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

17-Registro de auditorías de accesos S2S

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	ANF AC como Prestador cualificado de Servicios de Confianza debe llevar a cabo una adecuada gestión y administración de los accesos para garantizar la seguridad. Siempre que alguien utiliza una credencial para identificarse en la plataforma (login), en el transcurso del control de acceso se gestiona una auditoría.
c) Colectivo.	Clientes, personal de ANF AC
d) Categorías de Datos.	Cuenta involucrada, Plataforma, Tipo de acceso, Día y Hora, Intentos de acceso, éxito/Fallo, IP, SO y Navegador, Posición geográfica (si fuera posible).
e) Procedencia de los datos	El propio interesado.
f) Categoría destinatarios	La propia organización ANF AC, auditores, autoridad de control, clientes, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un año y en su caso, el tiempo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 28 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.28

18-Registro de documentos electrónicos.

a) Base jurídica	Interés legítimo. En algunos casos para la ejecución de un contrato.
b) Fines del tratamiento	Tanto ANF AC como las organizaciones clientes de Sign to Sign tienen la capacidad de ordenar entregas de documentos electrónicos a destinatarios con los que han mantenido algún tipo de relación comercial, personal o de otra índole.
c) Colectivo.	Personas u organizaciones a las que ANF AC debe realizar una entrega de documento electrónico por mandato de tercero.
d) Categorías de Datos.	Cuando ANF AC trata los datos en calidad de responsable es consciente de los datos que contienen los documentos gestionados en este registro, por tanto, aplica un cifrado fuerte en su conservación. (Datos que identifiquen a los clientes, operadores y destinatarios, correos electrónicos, teléfono, etc.) Cuando ANF actúa como encargado del tratamiento almacena y gestiona Documentos electrónicos cuyo contenido no es responsabilidad de ANF AC y, por tanto, no es supervisado por ANF AC. ANF AC hace recomendación general a las organizaciones clientes de realizar cifrado fuerte en todos aquellos documentos con información personal, poniendo a su disposición la opción correspondiente.
e) Procedencia de los datos	Los interesados directamente proporcionan a ANF los datos que se involucran en esta operación, cuando ANF actúa como responsable. La organización cliente de Sign to Sign.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.acreditarlo.
i) Medidas de seguridad.	El documento electrónico por defecto es conservado con cifrado fuerte en sus sistemas, la entrega del documento electrónico al destinatario se realiza según instrucciones de la organización cliente (cifrado o transparente). La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

19-Registro de 2FA

a) Base jurídica	Interés legítimo. (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En algunos casos para la ejecución de un contrato.
b) Fines del tratamiento	En conformidad con las normas internacionales de seguridad (NIST, PCI DSS, etc.) Sign to Sign realiza un tratamiento automatizado de generación de claves aleatorias de sesión, notificación de las mismas a los interesados, registro del hash, y posterior comprobación para su validación.
c) Colectivo.	Personas u organizaciones usuarias de la plataforma Sign to Sign. Organización cliente de Sign to Sign y destinatarios.
d) Categorías de Datos.	Identificación de los operadores interesados, identificador de transacción, hash de la clave 2FA, fecha y hora, resultado de validación.
e) Procedencia de los datos	Generación automatizada de claves 2FA, otros sistemas automatizados de Sign to Sign. Los interesados que autentican.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los interesados usuarios del 2FA, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

20-Registro de conservación firmas/sellos electrónicos de larga vigencia

a) Base jurídica	Cumplimiento contrato. En su caso ANF AC en actúe como responsable solicitará el consentimiento explícito en caso de tratar datos sensibles.
b) Fines del tratamiento	En conformidad con las normas ETSI en relación con la conservación a largo plazo de firmas y sellos electrónicos, Sign to Sign, realiza el registro de firmas y documentos firmados, aplicando sobre ellos los requerimientos técnicos establecidos por las normas ETSI. Además, se incluye la puesta a disposición y validación de los documentos electrónicos.
c) Colectivo.	Personas u organizaciones usuarias de la plataforma Sign to Sign.
d) Categorías de Datos.	Documentos electrónicos que han sido autenticados mediante firma electrónica. Estos documentos permiten la identificación de personas y pueden incluir datos sensibles. Cuando ANF AC actúa como encargado, no realiza una supervisión de estos documentos, siendo responsabilidad de la organización cliente establecer el criterio de puesta a disposición (cifrado o transparente)
e) Procedencia de los datos	Los propios interesados, ANF AC, Organizaciones clientes de ANF AC, destinatarios.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La documentación electrónica custodiada por defecto es cifrada con cifrado fuerte, y la puesta a disposición se realiza según requerimientos establecidos por la organización cliente, disponiendo de opción para su entrega cifrada con autoejecutable. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

21-Registro de documentos probatorios

a) Base jurídica	Interés legítimo. (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En su caso, para la ejecución de un contrato.
b) Fines del tratamiento	De todas las transacciones realizadas con la intervención de la plataforma Sign to Sign, los sistemas automatizados generan documentos probatorios autenticados. Este además de realizar su custodia, permite su puesta a disposición de los interesados.
c) Colectivo.	Personas u organizaciones usuarias de la plataforma Sign to Sign.
d) Categorías de Datos.	Documentos probatorios que han sido autenticados mediante firma o sello electrónico, y que acreditan las transacciones en las que ha intervenido Sign to Sign. Estos documentos permiten la identificación de personas, e incluso datos de contacto y características generales del servicio prestado y comunicación realizada.
e) Procedencia de los datos	Personas u organizaciones usuarias de la plataforma Sign to Sign.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La documentación electrónica custodiada por defecto es cifrada con cifrado fuerte, y la puesta a disposición se realiza según requerimientos establecidos por la organización cliente, disponiendo de opción para su entrega cifrada con autoejecutable. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

22-Registro de validaciones

a) Base jurídica	Cumplimiento contrato.
b) Fines del tratamiento	De todas las transacciones realizadas con la intervención de la plataforma Sign to Sign, los sistemas automatizados generan documentos probatorios autenticados. De acuerdo con la normativa legal vigente es preciso que, previo a confiar en estos documentos se realice una validación de autenticidad del documento, firma, certificado, sello de tiempo, etc. El resultado de es un certificado de validaciones que evidencia el cumplimiento de comprobación.
c) Colectivo.	Personas u organizaciones usuarias de la plataforma Sign to Sign.
d) Categorías de Datos.	Resultado de validación a la que es sometida un documento electrónico autenticado.
e) Procedencia de los datos	Personas u organizaciones usuarias de la plataforma Sign to Sign.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La documentación electrónica custodiada por defecto es cifrada con cifrado fuerte, y la puesta a disposición se realiza según requerimientos establecidos por la organización cliente, disponiendo de opción para su entrega cifrada con autoejecutable. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

23-Registro de plantillas pdf inteligentes

a) Base jurídica	Interés legítimo (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En su caso, para la ejecución de un contrato.
b) Fines del tratamiento	Sign to Sign ofrece la posibilidad de confeccionar pdf inteligentes, formularios que en formato pdf pueden ser cumplimentados por terceros y registrar la información de forma permanente.
c) Colectivo.	Usuarios de la plataforma Sign to Sign
d) Categorías de Datos.	Pueden incluir datos personales que permitan la identificación de personas físicas, y datos de contacto. Sign to Sign no realiza supervisión ni control de la información reseñada en las plantillas de los pdf inteligentes.
e) Procedencia de los datos	Miembros de la organización Sign to Sign.
f) Categoría destinatarios	Usuarios de la plataforma Sign to Sign pertenecientes a ANF AC o a las organizaciones clientes de S2S.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 29 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.29

24-Registro formularios contacto web

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Poner a disposición de organizaciones clientes, destinatarios y público en general un canal para comunicar las quejas o sugerencias que consideren conveniente transmitir a Sign to Sign. Este registro consta la evidencia de la comunicación realizada, y el curso que se ha dado a la misma.
c) Colectivo.	Personas u organizaciones que desean realizar una queja o sugerencia a Sign to Sign
d) Categorías de Datos.	Datos de contacto, (telefono, email, dirección postal, dirección web) identidad de la persona de contacto, cargo, nombre de la organización, y comentarios que desee realizar sobre el motivo de su queja o sugerencia.
e) Procedencia de los datos	Interesados que cumplimentan el formulario web.
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 30 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.30

25-Registro formularios quejas y sugerencias

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Poner a disposición de organizaciones clientes, destinatarios y público en general un canal para comunicar las quejas o sugerencias que consideren conveniente transmitir a Sign to Sign. Este registro consta la evidencia de la comunicación realizada, y el curso que se ha dado a la misma.
c) Colectivo.	Personas u organizaciones que desean realizar una queja o sugerencia a Sign to Sign
d) Categorías de Datos.	Datos de contacto, (telefono, email, dirección postal, dirección web) identidad de la persona de contacto, cargo, nombre de la organización, y comentarios que desee realizar sobre el motivo de su queja o sugerencia.
e) Procedencia de los datos	Interesados que cumplimentan el formulario web.
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 30 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.30

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Sign to Sign considera de especial importancia asumir de forma adecuada su responsabilidad social corporativa. Con ese fin pone a disposición del público en general, y personal de la propia compañía en particular, un registro de comunicaciones que permite, de forma anónima, informar de hechos que contravienen la politica de responsabilidad social corporativa de la organización. Este registro permite determinar qué alto cargo de dirección asumirá la gestión de la notificación (investigación de los hechos, delimitación de responsabilidades, y aplicación de medidas en su caso).
c) Colectivo.	Miembros de la organización Sign to Sign.
d) Categorías de Datos.	Pueden incluir datos personales que permitan la identificación de personas físicas, y denuncias de hechos que les pueden afectar como víctimas o autores.
e) Procedencia de los datos	Público en general y personal de la propia compañía en particular.
f) Categoría destinatarios	Alta dirección de Sign to Sign, y obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 30 – 25/12/2019 Resultado: Nivel de riesgo bajo Anexo IV OID 1.3.6.1.4.1.18332.101.80.11.30

27-Registro de Portabilidad

a) Base jurídica	Cumplimiento de una obligación legal. Artículo 17 de la LO 3/2018, en relación con el artículo 20 del RGPD.
b) Fines del tratamiento	Registrar y gestionar las solicitudes de portabilidad. Obtener evidencias de identificación de los solicitantes y de todas las operaciones llevadas a cabo para atender la solicitud.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Aquellos datos obtenidos directamente del interesado o los que se hubieren generado del servicio. Transacciones ordenadas, documentos probatorios obtenidos, etc. Id del ordenante, id transacción, fecha y hora.
e) Procedencia de los datos	Plataforma Sign to Sign y de los interesados directamente.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

28-Registro de solicitudes de rectificación de datos personales

a) Base jurídica	Cumplimiento de una obligación legal. Artículo 14 LO 3/2018 en relación con el artículo 16 del RGPD.
b) Fines del tratamiento	Registrar y gestionar las solicitudes de rectificación de datos personales. Obtener evidencias de identificación de los solicitantes y de todas las operaciones llevadas a cabo.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Datos personales de los interesados, incorrectos o incompletos. (Nombres, apellidos, identificación, email, entre otros.)
e) Procedencia de los datos	Datos suministrados por los propios interesados, por los ordenantes y administración de la plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

29-Registro de limitaciones de tratamiento de los datos

a) Base jurídica	Obligación legal. Artículo 16 de la LO 2/2018.
b) Fines del tratamiento	Registrar y gestionar las limitaciones de tratamiento de datos personales. Obtener evidencias de identificación de los solicitantes y de todas las operaciones llevadas a cabo para atender la solicitud. • Control y gestión de los datos bloqueados temporalmente. • Control y gestión de la conservación de los datos a solicitud de los interesados.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Datos de operadores, destinatarios, usuarios de S2s en general Transacciones ordenadas, documentos probatorios obtenidos, etc. Datos de los interesados que sean impugnados por su inexactitud Datos tratados sobre la base de un interés legítimo mientras se analiza la prevalencia del derecho del interesado sobre el derecho del responsable. Datos que deban ser conservarse ante oposición de los interesados a la supresión.
e) Procedencia de los datos	Los propios interesados y los generados por la plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

30-Registro de consentimientos

a) Base jurídica	Obligación legal. Artículo 5.2 y 6.1 c) y artículos 13 y 14 RGPD. Artículo 22 Ley 34/2002 (LSSI).
b) Fines del tratamiento	Registrar y gestionar la obtención y almacenaje de los consentimientos informados. Contar con evidencias de la información proporcionada a los interesados y de la aceptación de estos.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Nombres , apellidos, id de la transacción, información, fecha y hora, IP, firma.
e) Procedencia de los datos	Plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

31-Registro de oposiciones

a) Base jurídica	Obligación legal. Artículo 21 y 22 RGPD. Artículo 22 Ley 34/2002 (LSSI).
b) Fines del tratamiento	Registrar y gestionar las oposiciones de los interesados al tratamiento de los datos personales. . Contar con evidencias de la información proporcionada a los interesados y de la aceptación de estos.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Nombres y apellidos del interesado, id de la transacción, información, fecha y hora, IP, firma.
e) Procedencia de los datos	Plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

32-Registro de supresiones

a) Base jurídica	Obligación legal. Artículo 15 LOPD.
b) Fines del tratamiento	Registrar y gestionar las supresiones solicitadas por los interesados al tratamiento de los datos personales o por causas legales correspondientes.
c) Colectivo.	Personas y organizaciones usuarias de la plataforma Sign to Sign, incluidos operadores de la compañía.
d) Categorías de Datos.	Nombres y apellidos del interesado, id de la transacción, información, fecha y hora, IP, firma.
e) Procedencia de los datos	Plataforma Sign to Sign.
f) Categoría destinatarios	Sistemas automatizados de la plataforma Sign to Sign.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 31 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.31

33-Registro de SMS

a) Base jurídica	Interés legítimo. (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.)
b) Fines del tratamiento	La plataforma Sign to Sign dispone de la tecnología necesaria para el envio de mensajes SMS (Short Message Service) a teléfonos móviles. Esta tecnología se utiliza para notificar mensajes cortos, claves 2FA o incluso, recibir confirmaciones 2FA, respuestas a notificaciones enviadas, u órdenes de instrucciones automatizadas.
c) Colectivo.	Operadores, operadores de las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Números de teléfonos móviles, identificación de transacción, texto mensaje corto, datos y trazas de sistemas automatizados de recepción.
e) Procedencia de los datos	Sistemas automáticos de recepción, los propios interesados y la organización cliente mandataria del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 32 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.32

34-Registro de eMail

a) Base jurídica	Interés legítimo (Después de realizar un análisis ha resultado necesario y proporcionado este tratamiento.) En su caso, obligación de ejecución de contrato.
b) Fines del tratamiento	La plataforma Sign to Sign dispone de la tecnología necesaria para el envio de correos electrónicos. Esta tecnología se utiliza con el fin de notificar documentos puestos a disposición, comunicaciones, o incluso, recibir respuestas a notificaciones enviadas, avisos comerciales de novedades de los servicios de ANF AC y canal de comunicación general.
c) Colectivo.	Operadores ANF AC, Las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Dirección de email, identificación de transacción, texto mensaje, datos y trazas de sistemas automatizados de recepción de email.
e) Procedencia de los datos	ANF AC, los sistemas automáticos de recepción, los propios destinatarios del servicio, la organización cliente mandataria del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 32 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.32

35-Registro de IM (mensajería instantánea)

a) Base jurídica	La ejecución de un contrato.
b) Fines del tratamiento	La plataforma Sign to Sign dispone de la tecnología necesaria para el envio de mensajería instantánea (IM). Esta tecnología se utiliza para el cumplimiento de mandatos recibidos el fin de notificar la puesta a disposición de documentos, notificación 2FA, o incluso, avisos comerciales de novedades de los servicios de ANF AC.
c) Colectivo.	Las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Dirección de IM, identificación del operador o destinatario, identificación de transacción, texto mensaje.
e) Procedencia de los datos	ANF AC, los propios destinatarios del servicio, la organización cliente mandataria del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 32 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.32

36-Registro de Whatsapp

a) Base jurídica	Obligación de ejecución de contrato.
b) Fines del tratamiento	La plataforma Sign to Sign dispone de la tecnología necesaria para el envío de mensajes Whatsapp. Esta tecnología se utiliza para el con el fin de notificar la puesta a disposición de documentos, notificación 2FA, o incluso, avisos comerciales de novedades de los servicios de ANF AC.
c) Colectivo.	ANF AC, las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Número de teléfono móvil, identificación del operador o destinatario, identificación de transacción, texto mensaje
e) Procedencia de los datos	ANF AC, los propios destinatarios del servicio, la organización cliente mandataria del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal y fiscal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 32 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.32

37-Registro Peer to Peer

a) Base jurídica	Obligación de ejecución de contrato
b) Fines del tratamiento	La plataforma Sign to Sign dispone de la tecnología Peer to Peer necesaria para establecer comunicaciones entre terminales portables y la plataforma Sign to Sign. Esta tecnología se utiliza para con el fin de efectuar una puesta a disposición de documentos, su autenticación, su comunicación a los servidores seguros de Sign to Sign o incluso, avisos comerciales de novedades de los servicios de ANF AC.
c) Colectivo.	Las organizaciones clientes del servicio y destinatarios del mismo.
d) Categorías de Datos.	Identificador dispositivo portable, identificación del operador o destinatario, identificación de transacción.
e) Procedencia de los datos	ANF AC, los propios destinatarios del servicio, la organización cliente mandataria del servicio.
f) Categoría destinatarios	La propia organización ANF AC, la organización cliente, los destinatarios, los auditores, autoridad de control, obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	La información esta seudonimizada. Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 32 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.32

38-Registro de llamadas telefónicas generales

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Con el fin de auditar y mejorar la calidad de los servicios que ANF AC presta a sus clientes, se realiza una grabación de las llamadas telefónicas recibidas y realizadas. Aleatoriamente son revisadas para determinar la calidad de la atención prestada.
c) Colectivo.	Las organizaciones clientes del servicio, destinatarios del mismo, público en general.
d) Categorías de Datos.	Conversaciones mantenidas sobre aspectos comerciales, o de índole general empresarial. Identificador de transacción, numero telefono del interlocutor, fecha y hora. Pueden contener datos personales que permitan la identificación del interesado.
e) Procedencia de los datos	Personal de ANF AC, y los interlocutores.
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 33 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.33

39-Registro de llamadas telefónicas reclamaciones

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Con el fin de gestionar las reclamaciones en el marco de los servicios que ANF AC presta a sus clientes, se realiza una grabación de las llamadas telefónicas recibidas y realizadas. Estas son revisadas para determinar la calidad de la atención prestada.
c) Colectivo.	Las organizaciones clientes del servicio, destinatarios del mismo, público en general.
d) Categorías de Datos.	Conversaciones mantenidas sobre aspectos comerciales, o de índole general empresarial. Identificador de transacción, numero telefono del interlocutor, fecha y hora. Pueden contener datos personales que permitan la identificación del interesado.
e) Procedencia de los datos	Personal de ANF AC, y los interlocutores.
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 33 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.33

40-Registro de llamadas telefónicas contrataciones

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Con el fin de obtener una evidencia de la contratación realizada por parte de un tercero, se realiza grabación de la conversación mantenida en especial sobre la información facilitada de las características, condiciones y precio del servicio o producto contratado, la aceptación del comprador del mismo, y cualquier salvedad o mención que dicho comprador desee dejar constancia.
c) Colectivo.	Personas u organizaciones interesadas en la adquisición de productos o servicios Sign to Sign.
d) Categorías de Datos.	Conversaciones mantenidas sobre aspectos comerciales, contratación, características, condiciones, precio y aceptación de la compra. Pueden contener datos personales que permitan la identificación del comprador en caso de ser persona fisica, o del representante en caso de persona jurídica.
e) Procedencia de los datos	Personal de ANF AC, y los compradores.
f) Categoría destinatarios	La propia organización ANF AC, los compradores, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 33 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.33

41-Registro de llamadas telefónicas notificaciones

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Con el fin de obtener una evidencia de las notificaciones que recibe ANF AC por vía telefónica, se procede a la grabación de la conversación mantenida entre el personal de ANF AC y los interlocutores.
c) Colectivo.	Personas u organizaciones que realizan notificaciones via telefónica a Sign to Sign.
d) Categorías de Datos.	Notificaciones empresariales. Pueden contener datos personales que permitan la identificación del notificante.
e) Procedencia de los datos	Personal de ANF AC, y los compradores.
f) Categoría destinatarios	La propia organización ANF AC, los compradores, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 33 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.33

42-Registro formularios contacto Web

a) Base jurídica	Interés legítimo
b) Fines del tratamiento	Sign to Sign ofrece al público en general la posibilidad de solicitar que personal de atención al cliente se ponga en contacto telefónico o visita personal, con este fin se ofrece un canal de comunicación via formulario Web. Estos datos tienen como fin establecer contactos con los interesados e incluso, envio periódico de información comercial, o técnica del sector sobre el que ha mostrado interés.
c) Colectivo.	Personas u organizaciones que desean establecer contactos con Sign to Sign
d) Categorías de Datos.	Datos de contacto, (telefono, email, dirección postal, dirección web) identidad de la persona de contacto, cargo, nombre de la organización, y comentarios que desee realizar sobre el motivo de su interés.
e) Procedencia de los datos	Interesados que cumplimentan el formulario web.
f) Categoría destinatarios	La propia organización ANF AC, los auditores, autoridad de control. Obligación legal.
g) Transf. Internacional	No están previstas transferencias internacionales de los datos.
h) Plazo supresión	Se conservarán durante un periodo necesario para atender las obligaciones asumidas, y el requerido para poder acreditarlo.
i) Medidas de seguridad.	Las medidas de seguridad técnica implantadas se corresponden con las previstas en la ISO 27001, y normas de seguridad relacionadas con la normativa ETSI que ANF AC está obligada a cumplir en conformidad con el Reglamento eIDAS. Cumplimiento normativo, en especial Ley de Servicios de la Sociedad de la Información, y Telecomunicaciones. Se respeta los establecido por el RGPD, y Ley Orgánica 3/2018 protección de datos. Se ha realizado análisis de riesgos y una evaluación de impacto en protección de datos con resultado de nivel de riesgo bajo.
j) Entidad responsable	ANF AUTORIDAD DE CERTIFICACIÓN
k) EIPD -RESULTADO	ANF AC 33 – 25/12/2019 Resultado: Nivel de riesgo bajo OID 1.3.6.1.4.1.18332.101.80.11.33