1. Registro de actividades de tratamiento
Requerido bajo el Art. 30 RGPD — incluso para pequeñas empresas. Documentar: qué datos, propósito, base legal, período de retención, destinatarios. Una tabla simple es suficiente. PlotonIQ genera esta visión general automáticamente.
2. Acuerdos de tratamiento de datos (DPA)
Requerido con cada servicio en la nube que procese los datos de tus clientes: software de contabilidad, herramientas de correo electrónico, alojamiento, software de la industria. PlotonIQ proporciona un DPA. Solicita uno de todos tus otros proveedores.
3. Política de privacidad
Específica: qué cookies, qué analíticas, qué terceros, detalles de contacto del responsable.
4. Servidores de la UE
Los datos de clientes en servidores de EE.UU. son problemáticos después de Schrems II. Lo más seguro: servidores alemanes. PlotonIQ: Hetzner Falkenstein, certificado ISO 27001. Sin transferencias a terceros países.
5. Períodos de retención
Ley fiscal: 10 años para facturas, 6 años para correspondencia comercial. Fotos del sitio: eliminar después del proyecto + período de garantía. Datos de candidatos: 6 meses después del rechazo.
6. Cifrado
Tránsito: TLS 1.2+ (preferiblemente 1.3). Almacenamiento: AES-256. Contraseñas: bcrypt o Argon2. Claves API: cifradas, nunca en texto plano.
7. Control de acceso
No todo instalador necesita acceso a todas las facturas. Sistema de roles: Admin (todo), Oficina (clientes, presupuestos, facturas), Instalador (trabajos propios, seguimiento de tiempo).
8. Fotos solo en aplicaciones gestionadas
Fotos del sitio en teléfonos personales = datos de clientes en dispositivos no gestionados. Solución: capturar en la app PlotonIQ — subida cifrada, nunca almacenada en el dispositivo.
9. Reemplazar WhatsApp
WhatsApp comparte metadatos con Meta. No cumple con RGPD sin Business API + DPA. Para aprobaciones: portal de cliente PlotonIQ con firma digital y marca de tiempo.
10. Evaluación de impacto para geofencing
El seguimiento GPS para instaladores requiere una evaluación de impacto de protección de datos bajo el Art. 35 RGPD. Documentar: propósito, base legal, salvaguardas. Los empleados deben ser informados.