MyGold SpA POLÍTICA DE GESTIÓN DE RIESGOS DE PRIVACIDAD de conformidad con los artículos 24, 25 y 32 del Reglamento (UE) 2016/679 (RGPD) y Decreto Legislativo 196/2003 modificado por Decreto Legislativo 101/2018 · Ley 7/2000 · Decreto Legislativo 231/2007 231/2007	Versión: marzo de 2026 Licencia OPO: Banco de Italia n.º 5008800 Contacto de privacidad: info@mygold.world
Transparencia, proporcionalidad y responsabilidad en la gestión de los datos

RGPD Reglamento (UE) 2016/679 Responsabilidad y gestión de riesgos

Privacidad a propósito Artículo 25 del RGPD

72 horas Violación de datos Notificación al garante de la privacidad

DPIA Evaluación de impacto Tratamientos de alto riesgo

1.	INTRODUCCIÓN

Mi Oro SpA (en adelante MyGold o la Compañía), como Responsable del Tratamiento de Datos de conformidad con el artículo 4, apartado 7, del Reglamento UE 2016/679 (RGPD), se compromete a garantizar la protección de los datos personales de sus clientes y de todas las personas cuyos datos se traten en el marco de sus servicios de intermediación y custodia de oro físico y metales preciosos.

Esta Política de Gestión de Riesgos de Privacidad describe, de manera transparente y comprensible, el enfoque adoptado por MyGold. SpA para identificar, evaluar y gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, de conformidad con el principio de responsabilidad establecido en el artículo 5, apartado 2, del RGPD.

Este documento se publica en el sitio web www.mygold.world, en la sección «Privacidad», junto con la Información sobre el Tratamiento de Datos Personales y la Política de Cookies, con el fin de garantizar la máxima transparencia para las partes interesadas.

2.	REFERENCIAS REGLAMENTARIAS

Esta política se elabora de conformidad con el siguiente marco normativo:

Reglamentos	Descripción
Reglamento (UE) 2016/679 (RGPD)	Protección de datos personales
Ley de 17 de enero de 2000, n.º 7	Normativa sobre el comercio de oro: requisitos de identificación y retención de datos para operadores y clientes de OPO.
Decreto Legislativo 231/2007 (AML)	Lucha contra el blanqueo de capitales: Obligaciones de recopilar, conservar y comunicar datos personales relacionados con los procedimientos KYC/KYB; período de conservación: 10 años.
ISO/IEC 27001:2022	Norma internacional para sistemas de gestión de la seguridad de la información: referencia para las medidas técnicas y organizativas adoptadas.

3.	NUESTRO ENFOQUE PARA LA GESTIÓN DE RIESGOS DE PRIVACIDAD

Mi Oro SpA adopta un enfoque sistemático y documentado para la gestión de riesgos de privacidad, basado en los principios de proporcionalidad y responsabilidad establecidos por el RGPD. Esto significa que:

• Evaluamos los riesgos para los derechos y libertades de las personas antes de iniciar cualquier nuevo tratamiento de datos personales;
• Adoptamos medidas de seguridad técnicas y organizativas proporcionales al nivel de riesgo detectado (art. 32 RGPD);
• Adoptamos medidas de seguridad técnicas y organizativas proporcionales al nivel de riesgo detectado (art. 32 RGPD);
• El DPO supervisa el proceso de evaluación de riesgos;
• Revisamos periódicamente nuestra evaluación de riesgos para tener en cuenta los nuevos tratamientos, los cambios normativos o las nuevas amenazas a la seguridad.

4.	EVALUACIÓN DEL IMPACTO EN EL TRATAMIENTO DE DATOS DE ALTO RIESGO (DPIA)

Dada la naturaleza de los servicios ofrecidos —intermediación y custodia de oro físico, gestión de planes de ahorro y cumplimiento de la normativa contra el blanqueo de capitales—, algunos de los tratamientos de datos realizados por MyGold presentan características que los califican como de alto riesgo para los derechos y libertades de los interesados, lo que requiere una evaluación de impacto relativa a la protección de datos (EIPD) de conformidad con el artículo 35 del RGPD.

EIPD) se elaboran y actualizan periódicamente con la participación del responsable de cumplimiento normativo. Si una EIPD identifica un riesgo residual elevado a pesar de las medidas adoptadas, MyGold consultará con la Autoridad Italiana de Protección de Datos (Garante per la Protezione dei Dati Personali) de conformidad con el artículo 36 del RGPD antes de iniciar o continuar el tratamiento de datos.

5.	MEDIDAS DE SEGURIDAD ADOPTADAS

De conformidad con el artículo 32 del RGPD, MyGold adopta medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento.

5.1 Medidas técnicas

Sin entrar en detalles operativos confidenciales, MyGold SpA garantiza la adopción de las siguientes medidas de seguridad técnicas:

• cifrado de datos personales en tránsito y en reposo;
• sistemas de autenticación seguros para el acceso a la plataforma;
• control de acceso a los datos;
• Supervisión continua de la seguridad de los sistemas de información;
• procedimientos de respaldo y recuperación ante desastres;
• Pruebas de seguridad periódicas de las infraestructuras informáticas.

5.2 Medidas organizativas

• Designación del Responsable del Tratamiento de Datos con responsabilidad formal en materia de cumplimiento de la privacidad;
• Designación del Responsable de Cumplimiento como persona de contacto interna para cuestiones de privacidad operativa;
• Registro de tratamientos actualizado de conformidad con el art. 30 del RGPD;
• Formación periódica del personal sobre protección de datos personales y procedimientos contra el blanqueo de capitales;
• Procedimientos documentados para la gestión de violaciones de datos personales ( véase el art. 6);
• Acuerdos de procesamiento de datos (APD, art. 28 RGPD) con todos los proveedores que procesan datos en nombre de MyGold ;
• Aplicación de los principios de Privacidad desde el Diseño y Privacidad por Defecto (art. 25 RGPD) para cada nuevo servicio o cambio significativo en el procesamiento;
• Sistema de gestión de seguridad de la información (SGSI) certificado según la norma ISO/IEC 27001:2022: referencia para todas las medidas de seguridad de la información.

6.	GESTIÓN DE VIOLACIONES DE DATOS

En caso de una violación de datos personales , la empresa se compromete a:

• evaluar con prontitud la naturaleza y el alcance de la violación de seguridad y el riesgo para los derechos y libertades de los interesados;
• notificar la violación a la Autoridad Italiana de Protección de Datos dentro de las 72 horas posteriores a tener conocimiento de la misma, si la violación puede suponer un riesgo para los derechos y libertades de las personas físicas (Artículo 33 del RGPD);
• Comunicar la violación de seguridad a los interesados sin dilación indebida, si el riesgo para sus derechos y libertades es alto (Artículo 34 del RGPD), indicando la naturaleza de la violación y las medidas adoptadas o propuestas;
• Documente todas las infracciones en el Registro de Incidentes, incluidas aquellas que no requieren notificación al Garante (Artículo 33, párrafo 5 del RGPD).

7.	PRIVACIDAD DESDE EL DISEÑO Y PRIVACIDAD POR DEFECTO

MyGold integra la protección de datos personales en el diseño de cada nuevo servicio o cambio significativo en el procesamiento existente (Privacidad desde el Diseño), de conformidad con el artículo 25 del RGPD. Por defecto, procesamos únicamente los datos personales estrictamente necesarios para cada finalidad específica, limitando la recopilación, el acceso, la conservación y la difusión de datos al mínimo indispensable.

Antes de iniciar nuevas operaciones de procesamiento que puedan suponer un alto riesgo para los derechos y libertades de los interesados, MyGold lleva a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) con la participación del Responsable de Protección de Datos.

8.	ACTUALIZACIONES DE POLÍTICAS

Esta Política está sujeta a revisión anual por parte del Responsable del Tratamiento de Datos y del Delegado de Cumplimiento Normativo, o en caso de cambios normativos significativos o nuevas operaciones de tratamiento que requieran una nueva evaluación de riesgos.

La versión actualizada siempre está disponible en www.mygold.world, en la sección «Privacidad».