1.- INTRODUCCIÓN
1.1 – Objetivo
El objetivo de la presente política es definir el compromiso que GESTIÓN PATRIMONIAL ADVANCED URBAN, S.L., (en adelante, “LA ESPAÑOLA”) con C.I.F. B88234109 y domicilio social en Felipe de Castro, 33, 2º B, 28005 Madrid, deben cumplir en relación con el tratamiento de datos de carácter personal en el desempeño de sus funciones, y el marco en que se establece dicho compromiso.
1.2 – Ámbito de aplicación
Esta política es de aplicación a todos/as los/as profesionales que se integran en la estructura de LA ESPAÑOLA porque desempeñan cargos o son personal de LA ESPAÑOLA con acceso a la información de la que es responsable LA ESPAÑOLA y se puede también hacer extensiva, de conformidad con los acuerdos de encargo de tratamiento que se suscriban, a cualquier otra empresa vinculada con el LA ESPAÑOLA colaborador habitual o puntual, cuya actuación pueda afectar de alguna manera a la responsabilidad o reputación de LA ESPAÑOLA.
1.3 – Normativa
El presente documento está basado en el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, -RGPD-) y la normativa nacional vigente en materia de protección de datos personales.
El marco normativo aplicable a la materia y que las personas sujetas a esta Política deben conocer además del citado RGPD, viene determinado por:
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD y GDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico;
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica;
1.4 – Principios del tratamiento de datos y de la seguridad de la información.
LA ESPAÑOLA su estructura orgánica y plantilla tratarán la información y los datos personales bajo su responsabilidad conforme a los siguientes principios de protección de datos y seguridad de la información:
- Licitud, lealtad y transparencia: los datos de carácter personal serán tratados de manera lícita, leal y transparente en relación con el/la interesado/a.
- Legitimación en el tratamiento de datos personales: solo se tratarán los datos de carácter personal cuando dicho tratamiento se encuentre amparado en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
- Limitación de la finalidad: los datos de carácter personal serán tratados para el cumplimiento de fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: los datos de carácter personal serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Limitación del plazo de conservación: los datos de carácter personal personales serán mantenidos de forma que se permita la identificación de los/as interesados/as durante no más tiempo del necesario para los fines que justificaron su tratamiento.
- Integridad y confidencialidad: los datos de carácter personal serán tratados de tal manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Quienes intervengan en el tratamiento de los datos estarán sujetos al deber de secreto incluso después de haber concluido aquél.
- Responsabilidad proactiva: LA ESPAÑOLA y su estructura serán responsables del cumplimiento de los principios anteriormente señalados y adoptarán las medidas técnicas y organizativas que permitan estar en condiciones de demostrar dicho cumplimiento.
- Atención de los derechos de los/as afectados/as: se adoptarán medidas en la organización que garanticen el adecuado ejercicio por los/as afectados/as, cuando proceda, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad respecto de sus datos de carácter personal.
- Alcance estratégico: la protección de datos y la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles orgánicos y directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de LA ESPAÑOLA para conformar un todo coherente y eficaz.
- Responsabilidad diferenciada: en los sistemas de información responsabilidad de LA ESPAÑOLA se observará el principio de responsabilidad diferenciada de forma que se delimiten las diferentes responsabilidades y roles.
- Seguridad integral: la seguridad tenderá a la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
- Gestión de Riesgos: la gestión del riesgo es el conjunto de actividades coordinadas que LA ESPAÑOLA desarrolla para dirigir y controlar el riesgo, entendiendo como riesgo el efecto de la incertidumbre sobre la consecución de los objetivos que, en el marco del RGPD, es la protección de los derechos y libertades de los titulares de los datos que trata LA ESPAÑOLA El análisis y gestión de riesgos son parte esencial del proceso de protección de datos y de seguridad de la información de LA ESPAÑOLA de forma que permita el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo LA ESPAÑOLA tendrá́ en cuenta los riesgos que se derivan para los derechos de las personas con respecto al tratamiento de sus datos personales.
- Proporcionalidad: LA ESPAÑOLA establecerá medidas de protección, detección y recuperación de forma que resulten proporcionales a los potenciales riesgos y a la criticidad y valor de la información, de los tratamientos de datos personales y de los servicios afectados.
- Proceso de verificación: LA ESPAÑOLA implantará un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos.
2.- OBLIGACIÓN DE CONOCER Y DE CUMPLIR
Todo profesional de LA ESPAÑOLA debe conocer la presente Política y actuar conforme a los principios y comportamientos definidos, comunicando a su responsable directo o al departamento de Cumplimiento dentro del Área de Secretaría General cualquier duda respecto a su cumplimiento o cualquier indicio de actuación en contra de este.
La presente Política, así como los procedimientos posteriores que de la misma pudieran emanar se encontrarán permanentemente actualizados en la Intranet para ser consultados posteriormente cuando se requiera.
Todos/as los/as directores/as tienen obligación de velar por el cumplimiento de la Política en sus áreas, liderar su cumplimiento, resolver las dudas o inquietudes que les transmitan los/as profesionales, y establecer los mecanismos que aseguren su cumplimiento contando para todo ello con el asesoramiento del departamento de Cumplimiento.
Las dudas sobre seguridad de la información y protección de datos se podrán trasladar a el/la Responsable de Seguridad de la Información, que, a su vez, podrá trasladarlas al Delegado de Protección de Datos.
El incumplimiento de las normas contenidas en la presente política estará sujeto a la potestad disciplinaria y sancionadora del LA ESPAÑOLA con sujeción a los principios y reglas previstas por la legislación vigente. Por lo tanto, cualquier duda significativa se trasladará a el/la Responsable de Seguridad de la Información y cualquier incumplimiento relacionado deberá ponerse en conocimiento de el/la Responsable de Cumplimiento de LA ESPAÑOLA La gestión de dudas e incumplimientos se realizará aplicando rigurosamente los principios de independencia y confidencialidad.
3.- COMPROMISO DE CONFIDENCIALIDAD ESCRITO
En el marco de la relación que a los/as empleados de la empresa, LA ESPAÑOLA se comprometerán expresamente, en un documento que firmarán, a:
- No revelar a persona alguna ajena a LA ESPAÑOLA sin su consentimiento, la información a la que haya tenido acceso en el desempeño de sus funciones, excepto en el caso de que ello sea necesario para dar debido cumplimiento a las obligaciones propias o de la organización, impuestas por las leyes o normas que resulten de aplicación, o sea requerido para ello por mandato de la autoridad competente con arreglo a Derecho.
- Utilizar la información a que alude el apartado anterior, únicamente en la forma que exija el desempeño de sus funciones en LA ESPAÑOLA y no disponer de ella de ninguna otra forma o finalidad. Está prohibida la copia y envío de cualquier información obtenida o generada como consecuencia del trabajo para fines distintos de éste.
- No utilizar en forma alguna, cualquier otra información que hubiese podido obtener prevaliéndose de su condición de empleado de la empresa LA ESPAÑOLA y que no sea necesaria para el desempeño de sus funciones en LA ESPAÑOLA
- Cumplir en el desarrollo de sus funciones en LA ESPAÑOLA con la normativa vigente, nacional y comunitaria, relativa a la protección de datos de carácter personal y, en particular, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), disposiciones complementarias, normativa nacional aplicable, o cualquier otra norma que las sustituya en un futuro.
- Cumplir la Políticas de Seguridad de la Información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, los procedimientos que establezca y le comunique la dirección de la Corporación.
- No hacer un uso personal de los sistemas y equipos de información titularidad de LA ESPAÑOLA que interfiera con sus funciones en la estructura de LA ESPAÑOLA de los/as demás trabajadores/as o de la empresa.
- En internet, adoptar las precauciones oportunas para proceder a la descarga de archivos, asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
- Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa, la relación que le une con LA ESPAÑOLA
4.- USO DE MEDIOS DIGITALES DE LA ESPAÑOLA POR LOS/AS EMPLEADOS/AS
Los/as trabajadores/as deberán cumplir las políticas o instrucciones de uso aceptable o de seguridad de la información y sus sistemas, así como del correo electrónico y otros sistemas de comunicación, que establezca y le comunique la dirección de la empresa. No deberán hacer un uso personal de los sistemas y equipos de información titularidad de LA ESPAÑOLA que interfiera con el trabajo del empleado/a, de los/as demás trabajadores/as o de la empresa. Los/as trabajadores/as serán informados de que no se permite el acceso a páginas Web no ligadas al trabajo como páginas de chats, redes sociales no profesionales, juegos, juego de azar, viajes, compras por Internet, venta de acciones, de contenido ilegal o de carácter pornográfico etc. También está prohibido expresamente la difusión y descarga de material ilegal, vulnerador de derechos, así como el uso, copia o envío ilegal de software o material que está protegido por leyes protectoras de la propiedad intelectual o industrial.
En internet, deberán adoptar las precauciones oportunas antes de proceder a la descarga de archivos asegurándose, antes de hacerlo, de la confianza o acreditación del sitio web desde el que se realizará.
LA ESPAÑOLA podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los/as trabajadores/as a los efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
Por todo ello, ningún/a trabajador/a de LA ESPAÑOLA puede esperar que sus comunicaciones con medios de LA ESPAÑOLA o uso de los sistemas informáticos de LA ESPAÑOLA sean confidenciales ni tampoco privados, estando sometidos al control del empleador/a.
El/La trabajador/a será informado que en los equipos y sistemas informáticos propiedad de la empresa se podrán instalar aplicaciones que analicen el tráfico enviado y recibido de Internet y lo permita o prohíba en función de una serie de reglas definidas por los administradores de los sistemas.
5.- MANUAL DEL EMPLEADO
Los principios y obligaciones básicas de los/as empleados/as se recogerán en un documento denominado Manual del empleado de Protección de Datos, que será difundido periódicamente entre los/as empleados/as, así como actualizado.
6.- POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información se rige por la Política de Seguridad de la Información del LA ESPAÑOLA acorde con las medidas de seguridad del Esquema Nacional de Seguridad, y una serie de documentos, procedimientos y medidas de desarrollo de la misma (Normativa de Seguridad; Procedimientos de Seguridad; Procesos de Autorización; Medidas de Seguridad del Marco Operacional y de Protección), que las personas responsables de su aplicación deben conocer.
La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
El personal de LA ESPAÑOLA recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de LA ESPAÑOLA.
7.- SISTEMA DOCUMENTAL DE PROTECCIÓN DE DATOS
El Sistema Documental de Protección de Datos de LA ESPAÑOLA recoge de forma ordenada los documentos que sobre la protección de datos de carácter personal genera LA ESPAÑOLA responsable del tratamiento de datos de carácter personal y como encargado del tratamiento, para el cumplimiento del Reglamento General de Protección de Datos (RGPD), de la normativa nacional y la que pueda dictarse en su desarrollo.
LA ESPAÑOLA como responsable de tratamientos de datos de carácter personal, y encargado de otros tratamientos, es responsable del cumplimiento de los principios del RGPD y de la LOPDGDD y de las obligaciones que le incumben, y ha de ser capaz de demostrarlo, de acuerdo con el principio de responsabilidad proactiva.
El Sistema Documental de Protección de Datos tiene la finalidad de poder demostrar el cumplimiento del RGPD y LOPDGDD.
El Sistema Documental de Protección de Datos está bajo la custodia del Departamento de Control de Gestión, y del Responsable de Seguridad de la Información.
8.- TRATAMIENTO DE DATOS PERSONALES
8.1– Contenido
Se entiende por “datos personales” toda información sobre una persona física identificada o identificable (“el/la interesado/a”). Se considera persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un identificador, como por ejemplo, un nombre, un número de identificación (ej. DNI, número de la Seguridad Social), datos de localización (ej. domicilio), un identificador en línea (ej. cuentas de correo electrónico), o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (ej. datos biométricos). En adelante, “Datos Personales”.
Ejemplos de Datos Personales serían el nombre completo, número de DNI o pasaporte, dirección profesional o personal, nacionalidad, profesión, datos financieros, de salud, genéticos, biométricos, de una persona física identificada o identificable.
8.2 – Alcance
Únicamente aplica a las personas físicas, ya que la citada normativa no resultaría aplicable a los datos de las personas jurídicas.
8.3 – Formato de los datos
Para que los datos se consideren como de carácter personal, es indiferente el formato en el que se faciliten, ya sea formato electrónico/digital de cualquier tipo (Excel, Word, Access, PowerPoint, aplicación, archivo de audio o vídeo, etc.), o formato físico (documento en papel, fotografías, etc.).
Las medidas de seguridad a implementar variarán en función del formato en que los datos estén disponibles.
8.4 – Registro de Actividades de Tratamiento – Uso de los datos
LA ESPAÑOLA mantendrá actualizado el Registro de las Actividades de Tratamiento con datos de carácter personal de las que sea responsable, que incluirá toda la información a la que se refiere el artículo 30 del RGPD.
Las finalidades que habilitan el tratamiento de datos de carácter personal son las contenidas en cada actividad de la recogida en el Registro de Actividades del Tratamiento.
El Registro de Actividades de Tratamiento se mantendrá continuamente actualizado y podrá consultarse en la página web de LA ESPAÑOLA de conformidad con lo dispuesto en la LOPDGDD.
Cualquier duda sobre las finalidades del tratamiento se planteará a el/la Responsable de Seguridad, o al Delegado de Protección de Datos, en el caso de tener la obligación de su designación.
Los datos personales han de ser adecuados, pertinentes y no excesivos con relación a la finalidad para la que se recogen.
No se recabarán más datos de los necesarios y no se utilizarán datos personales recogidos para finalidades distintas y/o incompatibles con aquéllas para las que se recogieron.
8.5 – Habilitación para el tratamiento de los datos. Recogida de datos. Obtención del Consentimiento
Se considera tratamiento cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Se entiende que existe tratamiento de Datos Personales desde que se conocen o se dispone de acceso de visualización a dichos datos, incluso si es un acceso potencial (es decir, se acceda o no, desde el momento que se puede acceder, se está produciendo tratamiento de Datos Personales).
La habilitación o legitimación para el tratamiento de datos personales se fundará en alguna de las causas de legitimación establecidas en los artículos 6 y 9 del RGPD.
Las concretas habilitaciones para cada una de las actividades de tratamiento que lleva a cabo LA ESPAÑOLA son las recogidas en el Registro de Actividades del Tratamiento.
LA ESPAÑOLA no recabará datos de carácter personal de los usuarios sin conocimiento del interesado/a. La inclusión de datos en formularios será voluntaria y debidamente anunciada, mostrándose las pertinentes cláusulas informativas conformadas en dos capas. Las capas informativas y sus niveles de detalle tendrán el contenido indicado por la Guía para el Cumplimiento del Deber de Informar (2018) editada por la Agencia Española de Protección de Datos.
Siempre que se recaben datos se informará por escrito, o mediante locución si se recaban telefónicamente, con la primera capa de información básica, en forma de tabla, con los epígrafes de “Responsable”, “Finalidades”, “Legitimación”, “Cesiones/Destinatarios” y “Derechos”, donde se informará de que se pueden ejercer en el mail [email protected] Se añadirá, en su caso, el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado/a. También se indicará la fecha de la versión de la cláusula y habrá una extensión de información (+info), con dos enlaces, uno a la segunda capa detallada, con información adicional, otro a un extracto del Registro de Actividades del Tratamiento.
Los datos de carácter personal que se pudieran recabar directamente del interesado/a de forma informada quedarán incorporados a la correspondiente actividad de tratamiento titularidad de LA ESPAÑOLA.
Cuando la legitimación del tratamiento se base en el consentimiento y haya que recabar éste se podrán utilizar los métodos establecidos en los Procedimientos de Obtención y Conservación del Consentimiento, que forman parte del Sistema Documental de Protección de Datos de Carácter Personal de LA ESPAÑOLA y se identificará por actividades del tratamiento los sistemas utilizados en cada caso, guardando el debido registro de la prestación del consentimiento, de los datos proporcionados y de las cláusulas informativas mostradas.
8.6 – Forma de acceso
Para considerar que se está realizando tratamiento de Datos Personales, es indiferente la forma en la que se tenga acceso a los mismos (ya sea en formato electrónico/digital o en formato físico), de modo que se deberá cumplir con el procedimiento establecido en todos los casos. Del mismo modo, se está ante tratamiento de Datos Personales si el acceso a los mismos se produce incorporando dichos datos a los sistemas informáticos o instalaciones de LA ESPAÑOLA.
8.7 – Nivel de seguridad
Los/as empleados de la empresa de LA ESPAÑOLA deben conocer y aplicar las medidas de seguridad, conformes con el Esquema Nacional de Seguridad, que se recogen en el Registro de Actividades del Tratamiento y en el sistema de seguridad de la información.
Para conocer más acerca de los niveles de seguridad en materia de protección de datos personales se deberá contactar con el/la Responsable de Seguridad de la Información.
8.8 – Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet, documento que se integra en el Sistema Documental de Protección de Datos de Carácter Personal de LA ESPAÑOLA concretamente el procedimiento por el que se rige LA ESPAÑOLA en el tratamiento de datos de carácter personal a través de la página web e internet y de la privacidad de estos. En dicha Política se integrará también el tratamiento de cookies.
La Política de tratamiento de datos de carácter personal y de privacidad para la página web e internet deberá ser conocida por las personas de la estructura de LA ESPAÑOLA y se publicará para general conocimiento en la página web.
8.9 – Periodo de conservación de datos Bloqueo de los datos.
Según la normativa de protección de datos, los datos personales se conservarán hasta que sean necesarios para la finalidad del tratamiento. En el Registro de Actividades de Tratamiento se consignan los plazos o criterios de cada concreta actividad.
Posteriormente se conservarán debidamente bloqueados. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada.
Para la eliminación de documentos con datos personales, que no sean copias auxiliares, las personas de la estructura de LA ESPAÑOLA consultarán previamente con el/la Responsable de Seguridad sobre el procedimiento a seguir.
8.10 – Destinatarios/as de los datos
Los datos podrán ser cedidos o comunicados a otros destinatarios según las habilitaciones previstas en el RGPD. Las concretas cesiones o comunicaciones son las que se recogen en el Registro de Actividades de Tratamiento para cada actividad y todas ellas deben figurar en las cláusulas informativas y de recogida del consentimiento cuando éste sea el fundamento legitimador del tratamiento.
8.11- Derechos de los/as interesados/as
Los derechos reconocidos en los artículos 15 a 22 RGPD podrán ejercerse directamente o por medio de representante legal o voluntario. Los/as titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.
Cualquier persona tiene derecho a obtener confirmación sobre si LA ESPAÑOLA trata datos personales que le concierne, o no.
Las personas interesadas tienen derecho a acceder a sus datos personales y a obtener una copia de los datos personales objeto del tratamiento, a actualizarlos, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.
En determinadas circunstancias previstas en el artículo 18 RGPD, los/as interesados/as podrán solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente LA ESPAÑOLA los conservará para el ejercicio o la defensa de reclamaciones.
Como consecuencia de la aplicación del derecho a la supresión u oposición al tratamiento de datos personales en el entorno on-line, los/as interesados/as tienen el derecho al olvido según la jurisprudencia que el Tribunal de Justicia de la UE.
Los/as interesados/as podrán oponerse al tratamiento de sus datos con fines de mercadotecnia, incluida la elaboración de perfiles. En particular, los interesados tienen derecho a que LA ESPAÑOLA indique gratuitamente respecto de los sus datos personales que no pueden utilizarse para fines de publicidad o prospección comercial.
En virtud del derecho a la portabilidad, los/as interesados/as tienen derecho a obtener los datos personales que les incumben en un formato estructurado de uso común y lectura mecánica y a transmitirlos a otro responsable.
Todo interesado/a tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, salvo las excepciones previstas en el art.22.1 RGPD. LA ESPAÑOLA no trata datos adoptando decisiones automatizadas sin intervención humana.
El/la interesado/a tiene el derecho a la supresión de sus datos, por la desaparición de la finalidad que motivó el tratamiento o la recogida, por revocación del consentimiento cuando sea éste el que legitime el tratamiento, o por el resto de los motivos contenidos en el artículo 17 RGPD. La supresión definitiva se realizará, en cualquier caso, previo bloqueo de los datos.
8.12 – Atención de derechos de los/as interesados/as
LA ESPAÑOLA tiene establecido un procedimiento sencillo de ejercicio de los derechos personalizado de protección de datos de carácter personal, disponiendo una dirección de correo electrónico para el ejercicio de los derechos [email protected], definido en el documento Procedimiento para la atención del ejercicio de derechos que todos/as los/as empleados/as de LA ESPAÑOLA deben conocer y aplicar.
Cualquier petición de ejercicio de derechos de protección de datos recibida en LA ESPAÑOLA por cualquier vía o canal se remitirá por los/as empleados/as de LA ESPAÑOLA a [email protected]. Esta norma se incluirá en el manual de Protección de Datos para empleados/as.
Se responderá a las solicitudes de los/as interesados/as, por correo electrónico con confirmación de lectura si la solicitud se ha recibido por ese medio o por correo postal certificado con acuse de recibo si la solicitud se ha recibido por medios diferentes al correo electrónico, sin dilación indebida y a más tardar en el plazo de un mes.
La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el/la afectado/a recae sobre LA ESPAÑOLA por lo que se conservará copia de todas las respuestas y de la justificación del envío y recepción.
8.13 – Gestión de brechas de seguridad
El Procedimiento para la gestión de brechas de seguridad, que se integra en el Sistema Documental de Protección de Datos, se establece con la finalidad de la correcta identificación, registro y resolución, con minimización de daños, de las brechas de seguridad que afecten a datos de carácter personal.
La gestión de la brecha se realizará según la Política de Seguridad de la Información de LA ESPAÑOLA que rige en los documentos que la desarrollan y que contemplan los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre la información no se materialicen y, si ello sucede, no afecten gravemente a la información que maneja o los servicios que se prestan por la empresa.
La existencia de ese Procedimiento de Gestión de Brechas de Seguridad se hará constar en la Política de Protección de Datos dirigido a los/as empleados/as y cualquier miembro de la empresa, a los que se instruirá en cómo actuar ante brechas de seguridad y de las responsabilidades que les correspondan.
9.- APROBACIÓN DEL MODELO
9.1 – Titularidad
La aprobación de este documento corresponde a la Dirección de la empresa. La elaboración y evolución del documento corresponde al departamento de Cumplimiento.
9.2 – Interpretación
Corresponde al responsable de la Protección de Datos en la empresa, la interpretación de este documento.
9.3 – Validez y revisión
Este modelo entrará en vigor desde la fecha de su aprobación y publicación. Su contenido será objeto de revisión periódica, realizándose los cambios o modificaciones que se consideren convenientes.
10.- CONTROL DE VERSIONES DEL DOCUMENTO
Versión Nombre del fichero Fecha
1.0 Política de privacidad 06/05/2024
1.1 Informe Web 06/05/2024