Versión 08-2025
Blockfender S.L. (en adelante, “Blockfender”, “nosotros”, “nos” o “nuestro”) se compromete a tratar sus datos personales de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la normativa española aplicable (LOPDGDD, y demás normas).
1. Responsable del tratamiento
Blockfender S.L. — Calle Tomás Bretón, 20, 28045 Madrid, España — https://blockfender.com
Correo de contacto (privacidad): legal@blockfender.com.
Salvo que se indique lo contrario, Blockfender es el responsable del tratamiento de los datos personales a los que se refiere esta Política.
Nota: En algunos servicios, Blockfender puede actuar como encargado del tratamiento para sus clientes. En ese caso, se aplicará además la Política de Protección de Datos para Usuarios Finales incluida como ANEXO de este documento.
2. Ámbito y definiciones
- “Usted”: cualquier persona física que interactúe con Blockfender (cliente, socio, proveedor, visitante web, candidato, etc.).
- “Servicios”: productos/servicios ofertados por Blockfender (p. ej., soluciones de concienciación en ciberseguridad, simulaciones de phishing, e-learning, consultoría, soporte, portal web, integraciones con correo, etc.).
- “Sitio web”: blockfender.com y subdominios asociados.
3. Datos personales que tratamos
Dependiendo de su relación con nosotros, podemos tratar las siguientes categorías:
- Clientes:
Identificación (nombre, cargo/función, empresa, dirección, teléfono, email, ID asignados), datos financieros (IBAN u otros medios de pago, datos de facturación), transacciones (importes pagados/pagaderos), actividad profesional (naturaleza de bienes/servicios utilizados), contratos y acuerdos con Blockfender; cualquier otro dato personal legalmente proporcionado por usted o su empleador.
Fuente: usted o su empleador. - Socios:
Identificación (nombre, cargo/función, dirección, teléfono, email, ID), datos financieros y transaccionales, actividad profesional, contratos/ acuerdos con Blockfender.
Fuente: usted o su empleador. - Potenciales clientes (prospectos):
Identificación (nombre, cargo/función, dirección, teléfono, email), actividad profesional (sector, relaciones comerciales), datos que nos facilite en ferias/formularios/ reuniones.
Fuente: usted o su empleador. - Proveedores:
Identificación (nombre, cargo/función, dirección, teléfono, email, ID), datos financieros (cuentas, facturación), transacciones, contratos/ acuerdos con Blockfender.
Fuente: usted o su empleador. - Solicitantes de empleo:
Datos contenidos en CV, carta de presentación y pruebas/entrevistas (datos de contacto, experiencia, formación, referencias y cualquier información que nos remita).
Fuente: usted o reclutadores/portales de empleo. - Visitantes del sitio web:
Datos recogidos mediante cookies y tecnologías similares (ver Política de Cookies), identificadores online (dirección IP, ID de dispositivo/navegador), analítica de uso. - Usuarios de redes sociales:
Datos disponibles por su interacción con nuestras cuentas oficiales (metadatos y preferencias publicitarias según la configuración de cada plataforma).
Si nos facilita datos de terceros (p. ej., su personal, autónomos, clientes o proveedores), garantiza que: (a) los obtuvo y nos los comunica legalmente, (b) son exactos y están actualizados, y (c) ha informado a dichos terceros de la existencia y contenido de esta Política.
Importante (rol de responsable vs encargado):
En el desarrollo de determinados Servicios (p. ej., simulaciones de phishing a la audiencia designada por el cliente, e-learning para empleados del cliente, investigación de correos reportados), Blockfender puede tratar datos personales como encargado. Esos tratamientos se regirán por el acuerdo de encargo de tratamiento con el cliente y por el ANEXO de esta Política.
4. Finalidades del tratamiento
Tratamos los datos personales para:
4.1 Ejecución del contrato / prestación de servicios
Creación y gestión de cuentas/perfiles, ejecución de acuerdos, soporte al cliente, comunicaciones operativas, facturación y cobros.
4.2 Operaciones a través de la web
Gestión de compras, pagos, pedidos y postventa; verificación antifraude básica.
4.3 Marketing directo
Envío de boletines, noticias y comunicaciones comerciales. Puede darse de baja en cualquier momento (enlace en cada email o petición a legal@blockfender.com).
4.4 Gestión de activos físicos y corporativos
Control de inventario, acceso a instalaciones/activos (si procede), auditoría interna y cumplimiento corporativo.
4.5 Funcionamiento, seguridad y mejora
Mejora del sitio web y los Servicios (incluida analítica a través de cookies), seguridad de sistemas y cuentas, prevención del uso indebido/fraude, almacenamiento de datos como prueba, gestión de riesgos, obtención de asesoramiento profesional, organización de eventos (inscripción/asistencia).
4.6 Cumplimiento legal
Cumplir con obligaciones contables, fiscales, laborales, de prevención de blanqueo de capitales y financiación del terrorismo, y otras exigencias legales o regulatorias.
4.7 Carácter facultativo
No está obligado a proporcionarnos datos; no obstante, si no los facilita es posible que no podamos prestarle los Servicios solicitados.
5. Base jurídica
- Ejecución de un contrato (art. 6.1.b RGPD): fines 4.1 y 4.2.
- Consentimiento (art. 6.1.a RGPD): marketing directo (4.3) y cookies no esenciales (parte de 4.5).
- Interés legítimo (art. 6.1.f RGPD): mejora de servicios, seguridad, prevención de abuso, gestión interna, organización de eventos (4.4 y parte de 4.5), marketing B2B inicial cuando proceda, con evaluación de ponderación.
- Cumplimiento de obligaciones legales (art. 6.1.c RGPD): fines 4.6.
6. Comunicación de datos y transferencias internacionales
Solo compartimos datos personales cuando es necesario y conforme a la ley:
- Encargados/subencargados que prestan servicios para Blockfender (alojamiento, soporte IT, comunicaciones, analítica, asesoría legal/contable, procesamiento de pagos, herramientas de marketing, e-learning, etc.), bajo contratos que incluyen deberes de confidencialidad y seguridad.
- Autoridades y terceros cuando estemos obligados legalmente o para proteger intereses vitales/legítimos, o para establecer, ejercer o defender reclamaciones legales (judiciales o administrativas).
- Operaciones corporativas (reorganización, fusión, escisión, adquisición o venta de activos), pudiendo transferirse los datos al tercero implicado.
Transferencias fuera del EEE: si fuera necesario, se realizarán conforme a los arts. 44 y ss. RGPD, mediante decisiones de adecuación, cláusulas contractuales tipo (SCC), normas corporativas vinculantes (BCR) u otras garantías adecuadas. En su defecto, se aplicarán las excepciones del art. 49.1 RGPD en los supuestos previstos.
Reconoce que los datos remitidos para su publicación en nuestro sitio o servicios pueden estar disponibles globalmente en Internet, no pudiendo impedirse su uso por terceros.
7. Conservación y eliminación
Conservamos los datos solo el tiempo necesario para las finalidades indicadas, y posteriormente por los plazos de prescripción/retención legal aplicables (p. ej., contable/fiscal). Transcurridos dichos plazos, eliminamos o anonimizamos los datos de forma segura.
8. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas (control de acceso, cifrado en tránsito y en reposo cuando procede, seudonimización, registros de actividad, gestión de copias de seguridad, políticas internas, enfoque de “seguridad desde el diseño” y “por defecto”). Ningún sistema es 100% seguro, pero nos esforzamos por proteger sus datos de accesos no autorizados, destrucción, pérdida o alteración.
9. Sus derechos
- Acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación (art. 18), portabilidad (art. 20), oposición(art. 21), y retirada del consentimiento (art. 7.3).
- Oposición al marketing directo: puede ejercerla en cualquier momento; dejaremos de tratar sus datos con dicho fin.
- Reclamación: ante la AEPD si considera vulnerados sus derechos.
Para ejercerlos, escriba a legal@blockfender.com. Podremos solicitar información adicional para verificar su identidad. Se recomienda aportar copia segura del documento (con datos no necesarios difuminados y marca de agua con finalidad/destinatario/fecha).
10. Cookies
Usamos cookies y tecnologías similares para fines funcionales, analíticos y (cuando lo permita) publicitarios. Consulte la Política de Cookies en https://blockfender.com/cookies para conocer categorías, base legal, plazos y cómo configurar su consentimiento.
11. Actualizaciones
Podemos actualizar esta Política para reflejar cambios legales, técnicos o de negocio. Notificaremos cambios relevantes mediante aviso en el sitio web o por correo (si procede). Revísela periódicamente.
ANEXO: Política de Protección de Datos para Usuarios Finales (cuando Blockfender actúa como Encargado)
Versión 08-2025
Cuando el cliente utiliza los Servicios de Blockfender para su personal/usuarios finales, el cliente es el responsable del tratamiento y Blockfender actúa como encargado conforme al art. 28 RGPD y al correspondiente acuerdo de encargo.
1. Responsable del tratamiento
Su organización/empleador (el “Responsable del tratamiento”) ha contratado a Blockfender para prestar determinados Servicios (p. ej., creación de cuentas de usuario, simulaciones de phishing, formación e-learning, paneles e informes).
2. Encargado del tratamiento
Blockfender S.L., Calle Tomás Bretón, 20, 28045 Madrid, España, actúa como encargado del tratamiento para ejecutar los Servicios de acuerdo con las instrucciones documentadas del Responsable del tratamiento.
3. Contacto
Consultas sobre privacidad de los usuarios finales: legal@blockfender.com.
Para ejercer derechos, debe dirigirse al Responsable del tratamiento (su organización). Blockfender asistirá al Responsable cuando este lo instruya.
4. Datos personales que tratamos (usuarios finales)
Tratamos, por cuenta del Responsable y según configuración:
- Obligatorios: nombre, dirección de correo electrónico corporativo, idioma, identificador único de usuario (UID), métricas de uso/resultado en la plataforma (p. ej., aperturas, clics, finalización de módulos, respuestas a cuestionarios), “engagement” en simulaciones de phishing y en Academy.
- Opcionales (según configuración del cliente): departamento y/o función, ubicación de sede/filial, teléfono corporativo, otros metadatos necesarios para segmentar campañas o personalizar la formación.
- Correos reportados (si el cliente habilita funciones de “Reportar phishing”):
- A través de complementos para Gmail/Outlook u otros: podremos procesar el contenido del mensaje y adjuntos, metadatos y cabeceras con la finalidad exclusiva de identificar si se trata de (i) una simulación enviada por Blockfender o (ii) una posible amenaza real, y mejorar la detección/soporte. Este tratamiento se realiza de forma segura y limitada a lo estrictamente necesario.
- Mediante reenvío: si el usuario reenvía un correo sospechoso, procesaremos el texto, adjuntos y cabeceras solo para su análisis y clasificación.
- Cuando el cliente configure “gestionar informes en la aplicación” o flujos equivalentes, los datos se almacenarán/analizarán en la plataforma de Blockfender bajo las garantías acordadas con el Responsable.
Origen: los datos proceden del Responsable del tratamiento (que garantiza su licitud, exactitud y actualización) y de la interacción del usuario con la plataforma/servicios.
5. Finalidades y base jurídica
Tratamos los datos únicamente para prestar los Servicios al Responsable (art. 6.1.b o art. 6.1.f aplicados por el Responsable; Blockfender actúa por cuenta de este). Incluye:
- Proveer el software/plataforma, crear y administrar cuentas, asegurar el correcto funcionamiento y soporte.
- Concienciación y medición continua (simulaciones de phishing, e-learning, cuestionarios, métricas de rendimiento, notificaciones operativas por email/SMS/voz según la configuración).
- Recepción y clasificación de correos reportados (simulación vs. amenaza real).
- Elaboración de estadísticas y reportes para el Responsable; ajuste de simulaciones/formación.
No es marketing directo hacia usuarios finales por parte de Blockfender. Si no desea recibir notificaciones operativas, contacte con el Responsable (su organización), que decidirá la configuración.
6. Comunicación de datos y transferencias
- Subencargados: proveedores de infraestructura, comunicaciones y analítica, necesarios para prestar el Servicio, informados al Responsable y sujetos a contrato conforme al art. 28 RGPD.
- Autoridades/terceros: cuando lo exija la ley o para defender reclamaciones.
- Transferencias internacionales: solo con garantías adecuadas (adecuación, SCC, BCR u otras).
- Operaciones corporativas: posible cesión a terceros en reestructuraciones, en los términos legales.
7. Conservación
- Conservamos los datos mientras dure el contrato con el Responsable y, tras la cancelación, aplicamos los plazos acordados. Como referencia estándar, los datos operativos de cuentas/actividad podrán eliminarse o anonimizarse tras 12 meses de inactividad desde la baja, salvo obligación legal o instrucciones diferentes del Responsable.
- Podemos usar datos agregados anónimos (no personales) para mejorar servicios.
8. Derechos de los usuarios finales
Las solicitudes de acceso, rectificación, supresión, limitación, portabilidad u oposición deben dirigirse al Responsable del tratamiento, que es quien decide sobre el tratamiento y nos instruye.
Para acreditar identidad, recomendamos una copia segura del documento (difumine lo no necesario y añada marca de agua con finalidad, destinatario y fecha).
Por seguridad por diseño, limitamos el acceso de Blockfender a los datos estrictamente necesarios. Si solicita copia de los datos a través del Responsable, Blockfender podrá facilitar razonablemente: nombre, email y UID. Las demás categorías pueden estar cifradas o seudonimizadas y serán exportadas por el Responsable según su configuración.
9. Cookies
Cuando el usuario final accede a nuestra plataforma web, aplica la Política de Cookies de Blockfender (véase https://blockfender.com/cookies), además de las políticas internas del Responsable.
10. Actualizaciones
Podremos actualizar este Anexo para reflejar mejoras tecnológicas, cambios legales o de servicio. El Responsable será informado cuando corresponda.