Protección de datos

POLITICA DE PRIVACIDAD DE DATOS PERSONALES

1. Principios básicos sobre el tratamiento de datos personales
nota: artículo 5 del RGPD, “el responsable del tratamiento será responsable del cumplimiento de los principios y será capaz de demostrarlo”
1.1. Los datos personales serán tratados de forma leal, lícita y transparente en relación con el interesado.
1.2. los datos personales deben de ser recogidos con fines determinados, explícitos y legítimos, no serán tratados a posteriori con otros fines.
1.3. Minimización de datos: los datos personales deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para lo que se solicitan. En la medida de la capacidad de la empresa y el nivel de los datos personales utilizados, se aplicarán las técnicas de “Anonimización” y “Seudonimización”, para un mejor control y reducción del riesgo.
1.4. Los DP que utiliza la organización serán exactos, estableciéndose las medidas adecuadas para su verificación y mantenimiento en caso de ser necesario modificarlos.
1.5. Plazo de conservación de los datos limitado a la finalidad por la que fueron recabados, y al cumplimiento de las leyes que puedan solicitarlos.
1.6. Para mantener la integridad y confidencialidad de los DP, la compañía teniendo en cuenta el coste de implementación y la gravedad de los riesgos detectados en la ENTIDAD, utilizará la tecnología y los sistemas disponibles para garantizar una seguridad apropiada para los DP y se asegurara que no haya un tratamiento ilícito, no autorizado, la pérdida, destrucción o daño de los DP.
1.7. La ENTIDAD, verificará que los responsables de tratamiento sean proactivos en estos principios y que tengan la capacidad para demostrarlo.
2. Principios de aplicación de DP en la actividad de la empresa. Directrices para un tratamiento adecuado de DP.
Para poder demostrar el cumplimiento con los requisitos y principios de la protección de datos (RGPD), la organización establece la protección de datos formando parte de su actividad.
El tratamiento de datos personales en la actividad empresarial debe ser autorizado de forma expresa por parte del responsable (delegado de protección de datos) a cargo de la protección de datos.
2.1. Aviso a los interesados.
En el momento de la recogida o antes de la recogida de DP, para cualquiera de las actividades que realiza la empresa que requiera tratamiento de DP, se ha de informar adecuadamente a los interesados sobre los tipos de datos personales recogidos, el fin del tratamiento, el método de tratamiento de dichos datos, los derechos de los interesados respecto a sus datos personales, el periodo de retención, las posibles transferencias de datos internacionales (si las hubiera), y si los datos serán compartidos con terceros así como las medidas de seguridad que la empresa aplica para proteger dichos datos. Esta información se proporciona al interesado mediante un aviso de privacidad. (Nota 1 para distintos datos de tratamiento diferentes avisos de privacidad). (Nota 2: para datos personales confidenciales asegurarse que el aviso indica de forma explícita el propósito por el que se recogen dichos datos sensibles)
2.2. Elección y consentimiento del interesado:
El responsable a cargo de la protección de datos debe conservar registro de los consentimientos y proporcionar de forma fácil a los interesados las opciones para proporcionar dicho consentimiento, así como informar y garantizar de la revocación del mismo en cualquier momento. (Nota, para menores de 16 años se debe de recoger el consentimiento paterno antes de la recogida de los datos).
El responsable a cargo de la protección de datos de la empresa debe asegurarse que las solicitudes para corregir, modificar o destruir registros se tramitan en un marco de tiempo razonable, registrando y asegurando que dichas solicitudes se mantengan de forma adecuada.
Los datos personales recogidos sólo se deben de tratar para el propósito para el que se recogieron inicialmente, para cualquier otro tipo de tratamiento o uso se debe de volver a solicitar el consentimiento por parte del interesado de forma clara y concisa. Cualquier solicitud en este sentido debe de recoger la finalidad inicial y las nuevas finalidades, así como el motivo de cambio.
Todos estos requisitos, de recogida pertinentes, las buenas prácticas y los estándares de protección de datos personales en la industria, son responsabilidad del encargado de datos de la empresa.
2.3. Recogida de datos:
La empresa se esforzará por recoger la menor cantidad posible de datos personales. Si los DP se recogieran de un tercero, el encargado de protección de datos de la empresa debe asegurarse que son recogidos legalmente.
2.4. Uso, retención y eliminación.
La finalidad, los métodos, la limitación de almacenamiento y el periodo de retención de datos personales debe ser coherente con la información contenida en el aviso de privacidad. La compañía mantendrá la decisión, integridad, confidencialidad y pertinencia de DP, en función de la finalidad tratamiento.
La empresa utilizará los mecanismos de seguridad adecuados para proteger los DP de robo, uso indebido o abuso, y evitar violaciones de seguridad de los mismos.
2.5. Comunicación a terceros.
Cuando la empresa utilice proveedor o socio para tratar los DP en su nombre, debe asegurarse que dichos encargados proporcionarán las medidas de seguridad y confidencialidad adecuadas para el tratamiento encargado (solicitado o contratado). La empresa exigirá de forma contractual (mediante contrato) que se proporcionen dichos niveles de protección adecuados al nivel de los datos, que el proveedor cumplirá con sus obligaciones siguiendo las directrices de la empresa, y se compromete a no utilizarlos para otros fines. Se debe de especificar de manera explícita las responsabilidades de la empresa y las responsabilidades del tercero (encargado de tratamiento).
2.6. Transferencias internacionales de datos personales (afuera de la UE).
En caso de que la empresa necesite transferir DP fuera del ámbito del área económica europea (AEE), deben de emplearse y solicitarse las garantías adecuadas, incluyendo la firma del acuerdo de transferencia de datos, así como si es necesario obtener la autorización pertinente por parte de la autoridad competente en protección de datos. La empresa se asegurará que la entidad que recibe los datos de carácter personal cumple con los principios de tratamiento establecidos por la UE.
2.7. Derecho de acceso de los interesados.
Se proporcionará a los interesados un mecanismo de acceso de a sus datos que sea razonable, así como actualizarlos, rectificarlos, borrarlos o transmitirlos cuando corresponda o sea requerido por la ley. Dicho procedimiento o mecanismo se detallará en el documento de solicitud de acceso al interesado.
2.8. Portabilidad de datos.
Los sujetos de los datos (propietarios) tienen derecho a recibir, previa solicitud, una copia de los datos que proporciona a la empresa en un formato estructurado de forma que dichos datos se puedan transmitir al responsable de forma gratuita. El responsable de la gestión de datos de carácter personal de la empresa garantizará que dichas solicitudes se procesen en menos de un mes y que no afecten a los derechos de los datos personales de las personas.
2.9. Derecho al olvido.
Previa solicitud, los interesados tienen derecho al borrado total de sus datos personales que en su momento se dieron a la empresa. La empresa establecerá las medidas necesarias de informar a terceros que usen o procesen dichos datos para cumplir dicha solicitud.
3. Respuesta violaciones de seguridad de datos
Cuando la empresa detecta una violación de seguridad de datos personales aun no existiendo confirmación real de la misma, el responsable de datos del delito en investigación interna podrá tomar las medidas adecuadas en tiempo y forma de acuerdo con la política de violación de seguridad, y si además existe un riesgo para los derechos y libertades de los interesados cuyos datos han sido violados, la compañía debe notificar a las autoridades de protección de datos dicha violación y la acción realizada a ser posible dentro de las 72 horas siguientes, a la detección.
4. Auditoría y responsabilidad proactiva.
El departamento de auditoría (legal o similar) es el responsable de establecer los seguimientos que considere adecuados en todos los departamentos y áreas en los que se simplemente esta política.
Cualquier empleado que viole esta política implica medidas disciplinarias, y estar sujeto a responsabilidades civiles o penales en función de su conducta y violación de leyes o reglamentos.
5. Conflictos con la legislación.
Esta política de datos personales está destinada a cumplir y hacer cumplir las leyes y reglamentos en el lugar donde se establezca y por ende en los países en los que la empresa opere. Si entrara en conflicto con las leyes o reglamentos aplicables, se someterá a estos últimos.