ÍNDICE
Finalidades perseguidas con la adopción de las obligaciones contenidas en este documento
IDENTIDAD DEL RESPONSABLE DEL FICHERO
Identidad del Organismo de Control
Personal que actúa bajo la autoridad del responsable del fichero
Consecuencias del incumplimiento
Para el personal que actúa bajo la autoridad del responsable del fichero
Para los encargados del tratamiento
Procedimiento para interponer quejas o reclamaciones
Derecho de información y consentimiento del interesado1
Categorías especiales de datos personales
EL RESPONSABLE DEL FICHERO Y EL ENCARGADO DEL TRATAMIENTO
OBLIGACIONES DEL RESPONSABLE DEL FICHERO Y DEL PERSONAL BAJO SU AUTORIDAD
El tratamiento de datos personales
Comunicación de datos a terceros
MEDIDAS DE SEGURIDAD GENERALES
Evaluación del nivel de seguridad
Seudonimización o anonimización
Registro de violaciones de seguridad
Dispositivos de almacenamiento
Confidencialidad, integridad y resiliencia de los sistemas
Identificación y autentificación
Copias de respaldo y de recuperación
POLÍTICA DE DESTRUCCIÓN DE SOPORTES
Destrucción de documentación en papel
Destrucción de soportes electrónicos
CONCEPTOS ÚTILES
Término | Definición |
---|---|
Datos personales | Cualquier información concerniente a personas físicas identificadas o identificables. |
Interesado | Persona física titular de los datos personales. |
Fichero | Conjunto organizado de datos de carácter personal, cualquiera que sea la modalidad de creación, almacenamiento, organización o acceso. |
Tratamiento de datos | Operaciones y procedimientos técnicos, automatizados o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas y interconexiones y transferencias. |
Tratamiento automatizado | Tratamiento realizado a través de un dispositivo mediante un sistema automático. |
Tratamiento no automatizado | El que no es automatizado. |
Cesión de datos | Toda revelación de datos realizada a una persona distinta del interesado. |
Consentimiento del interesado | Toda manifestación de voluntad, libre, inequívoca, específica e informada mediante la cual el interesado consienta el tratamiento de sus datos. |
Responsable del fichero | Persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento. |
Encargado del tratamiento | La persona física o jurídica que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. |
Organismo de control | Persona o personas nombradas por el responsable del fichero para asesorar y supervisar el tratamiento de datos personales. |
Accesos autorizados | Autorizaciones concedidas por el responsable del fichero a un usuario para el tratamiento de datos. |
Control de acceso | Mecanismo que, en función de la identificación ya autenticada, permite acceder a datos o recursos. |
Autenticación | Procedimiento de comprobación de la identidad de un usuario. |
Contraseña | Información confidencial, frecuentemente constituid por una cadena de caracteres, que debe ser usada en la autenticación de un usuario. |
Identificación | Procedimiento de reconocimiento de la identidad de un usuario. |
Violación de seguridad | Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. |
Sistemas de información | Conjunto de ficheros automatizados, programas, soportes tecnológicos y equipos informáticos empleados para el almacenamiento y tratamiento de datos de carácter personal. |
Red de comunicaciones | Infraestructura que permite mantener a distancia un intercambio de información (voz, datos, imagen o una mezcla de los anteriores). |
Soporte | Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. |
Resiliencia | Mecanismo para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido. |
INTRODUCCIÓN
El artículo 18 de la Constitución Española dice, en su apartado primero, que se garantizan el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El Reglamento General de Protección de Datos nace, tal y como se indica en su artículo 1, apartado 2, para proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
Este Código de Conducta da respuesta a este derecho fundamental y a la normativa que desarrolla este principio y tiene un carácter jurídicamente vinculante para todas y cada una de las personas jurídicas que forman el grupo empresarial que más adelante se detallará, con la finalidad de contribuir a la correcta aplicación de la normativa de protección de datos.
El responsable del fichero adquiere la obligación de aprobar el presente documento a través de su órgano de administración.
Asimismo, el responsable del fichero se compromete a publicar este documento en su página web, esto es, asesorapericial.com.
El responsable del fichero se compromete a revisar y actualizar el presente documento de manera anual y a notificar las modificaciones a todo el personal que opere bajo su autoridad y a aquellos que se hubieran adherido al código.
Dentro del procedimiento de revisión, el responsable del fichero hará especial hincapié en la evaluación de la eficacia de este documento con la finalidad de introducir mejoras que tengan como resultado una mayor eficacia en la política de privacidad adoptada.
El responsable del fichero se compromete asimismo a fomentar una cultura de sensibilización basada en la asunción de los principios de este documento y de la normativa vigente.
El responsable del fichero está plenamente comprometido en la cooperación con la autoridad de control de protección de datos que se lo solicite y, en especial, con la Agencia Española de Protección de Datos.
Si tiene cualquier tipo de duda, sugerencia, consulta, queja o reclamación póngase en contacto con el Organismo de Control.
Finalidades perseguidas con la adopción de las obligaciones contenidas en este documento
- Ofrecer garantías por parte del responsable del fichero en cuanto al cumplimiento de la normativa de protección de datos.
- Ofrecer un instrumento útil a los encargados del tratamiento para que ofrezcan garantías del cumplimiento de la normativa de protección de datos adhiriéndose a él.
- Ofrecer publicidad en cuanto a la implicación del responsable del fichero con el cumplimiento de la normativa de protección de datos.
IDENTIDAD DEL RESPONSABLE DEL FICHERO
ASESORA ASISTENCIA PERICIAL, S.L., entidad sita en Madrid (28040), Plaza Ciudad de Viena 6, 2º, y con CIF número B85143832, es el responsable del fichero, persona jurídica que determina los fines y medios del tratamiento.
Identidad del Organismo de Control
El Responsable de Seguridad de Protección de Datos es DON CHRISTIAN ISRAEL RUIZ PÉREZ, con el que podrá contactar en la dirección de correo electrónico ciruiz@asesorapericial.com.
CONJUNTO DE FICHEROS
Los accesos a los ficheros son los siguientes:
FICHERO | DEPARTAMENTOS | ||
PERSONAL INVESTIGADOR | ADMINISTRACIÓN | COLABORADORES EXTERNOS | |
PERSONAL | |||
PERSONAL Y OTRAS PERSONAS DE INTERÉS EN INVESTIGACIONES (como encargado del tratamiento) | Subencargado del tratamiento |
El conjunto estructurado de datos personales objeto de tratamiento es el siguiente:
FICHERO | CATEGORÍAS DE DATOS | DATOS ESPECIALES | TRATAMIENTO | FINALIDAD | LEGITIMACIÓN | INTERESADOS | TRANSFERENCIAS INTERNACIONALES |
PERSONAL | Datos de carácter identificativo
Características personales Circunstancias sociales Datos académicos y profesionales Detalles de empleo Datos económicos y financieros |
No | Mixto | Recursos humanos
Gestión de nóminas |
Tratamiento necesario para la ejecución de un contrato en el que el interesado es parte contractual
Consentimiento del interesado o de su representante legal |
Empleados
Solicitantes de empleo |
Sí (Microsoft) |
ÁMBITO OBJETIVO
El presente Código de Buenas Prácticas se aplica al tratamiento de datos personales en el contexto de las actividades del responsable del fichero, independientemente del lugar donde tenga ubicación el propio tratamiento o de la modalidad del mismo (total o parcialmente automatizado o no automatizado).
ÁMBITO SUBJETIVO
Personal que actúa bajo la autoridad del responsable del fichero
Este código de conducta es de obligado cumplimiento para toda aquella persona que actúe bajo la autoridad del responsable del fichero y que tenga acceso a datos personales. El responsable del fichero transmitirá el contenido de este documento mediante entrega en formato papel.
Asimismo, el responsable del fichero se compromete a informar regularmente al personal tanto en cuanto al contenido de este documento como en cuanto a la normativa de protección de datos europea y nacional.
Cualquier persona que actúe bajo la autoridad del responsable del fichero puede pedir copia de este documento solicitándosela al Organismo de Control.
En el caso de que una persona que actúe bajo la autoridad del responsable del fichero tenga alguna discapacidad que le impida acceder a la información de este documento, el responsable del fichero se compromete a favorecer su accesibilidad de tal modo que pueda aquel pueda ser conocedor de su contenido.
Encargados del tratamiento
Los encargados del tratamiento podrán adherirse a este documento y, por tanto, vincularse jurídicamente a su cumplimiento, para garantizar el cumplimiento de las obligaciones del artículo 28 del Reglamento General de Protección de Datos.
El procedimiento para adherirse a este documento consiste en la vinculación jurídica a través del contrato que regule el tratamiento por cuenta del encargado del tratamiento.
El responsable del fichero tiene un registro de todos aquellos que realizan un tratamiento de datos por su cuenta en el que consta cuáles de todos ellos se han adherido al presente documento.
Consecuencias del incumplimiento
Para el personal que actúa bajo la autoridad del responsable del fichero
El incumplimiento de este documento por parte del personal puede suponer la apertura de un procedimiento disciplinario.
En todo caso, en cuanto a las consecuencias disciplinarias, se estará a lo dispuesto en la normativa laboral vigente.
El responsable del fichero podría en algunos casos repercutir eventuales sanciones al personal responsable del incumplimiento.
Algunas actividades relacionadas con el tratamiento inadecuado de datos personales pueden suponer la comisión de un delito con consecuencias penales, como el descubrimiento y la revelación de secretos.
Para los encargados del tratamiento
En el caso de que un encargado del tratamiento incumpla este documento si se adhirió al mismo supondrá que el responsable del fichero podrá rescindir el contrato de manera inmediata, sin indemnización alguna en favor del encargado del tratamiento, con independencia de las acciones judiciales que el responsable del fichero pueda adoptar.
Algunas actividades relacionadas con el tratamiento inadecuado de datos personales pueden suponer la comisión de un delito con consecuencias penales, como el descubrimiento y la revelación de secretos.
Procedimiento para interponer quejas o reclamaciones
En el caso de que alguien tenga conocimiento del incumplimiento de este documento o de la normativa de protección de datos por parte de persona obligada a su complimiento podrá ponerlo en conocimiento del Organismo de Control mediante mensaje mandado al correo electrónico protecciondedatos@asesorapericial.com
Ninguna queja o reclamación anónima será atendida.
El procedimiento para resolver las quejas o reclamaciones interpuestas será el siguiente:
Aquel que desee interponer una queja o reclamación deberá notificarlos a la dirección de correo electrónico indicada, identificando con claridad su identidad y el motivo de su queja o reclamación y aportando todas las pruebas que estime convenientes.
El Organismo de Control dispondrá de diez (10) días naturales para decidir si admite a trámite la queja o reclamación. Una vez pasado dicho plazo podrá inadmitir la queja o reclamación, lo que notificaría al reclamante de manera motivada, o admitirla, lo que notificaría tanto al reclamante como al reclamado.
Salvo que sea imprescindible para sus alegaciones, al reclamado no se le comunicará la identidad del reclamante (a decisión del Organismo de Control).
El reclamado dispondrá de diez (10) días naturales para presentar alegaciones, plazo que podrá ser prorrogado, a petición motivada del reclamado y por decisión unilateral de Organismo de Control si este estimase que el plazo no fuera suficiente.
Una vez pasado este plazo o presentadas las alegaciones del reclamado, el Organismo de Control dispondrá de treinta (30) días naturales para adoptar una decisión respecto de la queja o reclamación, bajo su único y exclusivo criterio, que será comunicada tanto al reclamante como al reclamado.
La decisión del Organismo de Control deberá en todo caso estar siempre motivada.
La decisión del Organismo de Control es inapelable.
En el caso de que cualquier persona no esté conforme con una decisión adoptada por el Organismo de Control podrá acudir a la Agencia Española de Protección de Datos a interponer queja o reclamación.
Procedimiento sancionador
En todo caso se basará en lo dispuesto tanto en la normativa laboral como en la normativa de protección de datos.
PRINCIPIOS RECTORES
Es imprescindible cumplir con estos principios en el tratamiento de datos personales. El responsable del fichero está obligada por ley a poder demostrar que está dando debido cumplimiento a estos principios por lo que el personal que trate los datos también lo estará.
Licitud de los datos
Los datos serán tratados de manera lícita, leal y transparente. Para dar cumplimiento a este principio, salvo que el responsable del fichero diga otra cosa, para proceder al tratamiento de datos personales se deberá contar previamente con el consentimiento del interesado de los mismos (ver en “Principios rectores” el “Derecho de información y consentimiento del interesado”).
Hay excepciones en las que no es necesario contar con el consentimiento del interesado; puede consultarlas en los “Principios rectores”, el “Derecho de información y consentimiento del interesado”.
Calidad de los datos
Los datos deben ser:
- Adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad perseguida (Ver en “Medidas de seguridad”, la “Minimización”).
- No podrán usarse para finalidades diferentes de aquellas para las que fueron recabados (ver en “Principios rectores” el “Principio de licitud de los datos”).
Cabe la posibilidad de que se necesite tratar datos con una finalidad distinta de aquella para la que se recabaron, pero esto solo podrá hacerse si:
- Se vuelve a recabar el consentimiento del interesado.
- La nueva finalidad está estrechamente relacionada con la anterior.
- Se anonimizan los datos personales.
En estos y otros casos, es imprescindible consultar con el Organismo de Control.
- Exactos y actualizados. Si se descubre que son inexactos debe anotarlo y o bien sustituirlos por los correctos, o bien cancelarlos (bloquearlos para su posterior eliminación).
- Serán almacenados de forma que permitan el ejercicio del derecho de acceso con agilidad.
- Se cancelarán cuando hayan dejado de ser necesarios. Se podrán conservar más tiempo del necesario siempre que se utilicen exclusivamente con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos (ver en “Medidas de seguridad” la “Seudonimización”).
Tratamiento seguro
El tratamiento de los datos garantizará en todo momento su seguridad, incluyendo especialmente medidas que impidan el tratamiento no autorizado o ilícito, la pérdida o destrucción o el daño accidental.
En el caso de que se vaya a proceder a realizar un tratamiento inédito, el responsable del fichero realizará, antes de que el tratamiento se produzca, una evaluación del impacto de ese tratamiento sobre los derechos y las libertades de los interesados.
Si detecta que esta situación de tratamiento inédito va a producirse póngase en contacto de manera inmediata con el Organismo de Control para hacérselo saber.
Derecho de información y consentimiento del interesado
Información
No se podrán usar ni solicitar datos personales sin haber informado al interesado previamente con el contenido de la cláusula específica para cada ocasión.
¿Qué información hay que facilitar siempre que se vayan a tratar datos personales?
La identidad y los datos de contacto del responsable del fichero. |
Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento. |
Los destinatarios o las categorías de destinatarios de los datos personales. |
Las transferencias internacionales de datos. |
El plazo de conservación de los datos o el criterio utilizado para determinar este plazo. |
La existencia del derecho a solicitar al responsable del tratamiento el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de los datos. |
Cuando la legitimidad del tratamiento era el consentimiento, la posibilidad de poder retirarlo en cualquier momento. |
El derecho a presentar una reclamación ante una autoridad de control. |
Si la finalidad del tratamiento es proteger intereses legítimos del responsable del fichero (Ver en “Principios rectores” el “Consentimiento”), indicar cuál es ese interés legítimo. |
Si el tratamiento está basado en una relación contractual o en una norma legal (Ver en “Principios rectores” el “Consentimiento”). |
Si el interesado está obligado a facilitar los datos y la posible consecuencia en caso de no facilitarlos. |
Si existen decisiones automatizadas, incluida la elaboración de perfiles y, en su caso, la lógica aplicada, la importancia y las consecuencias previstas para el interesado. |
Esta información se facilita a los interesados mediante la documentación existente para ello. Si desconoce cómo acceder a dicha documentación póngase en contacto de manera inmediata con el Organismo de Control.
Consentimiento
El uso de datos solo se podrá realizar de manera lícita; esto quiere decir que se deberá contar con el consentimiento libre, inequívoco, específico, expreso y fehaciente del interesado, pero hay excepciones para esa obligatoriedad de solicitar el consentimiento, que son:
- El uso de datos es necesario para ejecutar un contrato en el que el interesado es parte. Este sería el caso, por ejemplo, de la relación laboral responsable del fichero / empleado.
- El uso viene impuesto o está permitido por una norma legal.
- El uso es necesario para proteger los intereses vitales del interesado o de un tercero.
- El uso es necesario para un interés público.
- El uso es necesario para proteger intereses legítimos del responsable del fichero (siempre que no prevalezcan los derechos del interesado). Esto podría darse, por ejemplo, en el caso de que el responsable del fichero tuviera que defenderse ante una posible reclamación.
El consentimiento se recabará de manera independiente a cualquier otra comunicación o solicitud, siempre de manera clara y sencilla, mediante la documentación que a tal fin tiene a disposición el responsable del fichero.
Existe documentación para ello y si estima que la necesita puede pedírsela al Organismo de Control.
Cuando una persona facilita datos personales de un tercero igualmente necesitamos el consentimiento del tercero para poder tratar sus datos.
Recuerde que el interesado tiene derecho a retirar su consentimiento en cualquier momento.
Si tiene dudas al respecto contacte con el Organismo de Control.
Categorías especiales de datos personales
Son datos personales que revelen el origen étnico o racial del interesado, sus opiniones políticas, las convicciones religiosas, la afiliación sindical, los datos genéticos, los datos biométricos, datos relativos a la salud y datos relativos a la vida sexual o a la orientación sexual del interesado.
El responsable del fichero no trata datos pertenecientes a categorías especiales; no obstante, cabe la posibilidad de que temporalmente deba tratar este tipo de datos en cuyo caso aquel que se encuentre en una situación semejante deberá ponerlo en conocimiento del Organismo de Control con la finalidad de poder adoptar las medidas de seguridad adecuadas.
DERECHOS DEL INTERESADO
Son derechos personalísimos que deben ser ejercitados por el interesado (aportando fotocopia de su DNI u otra documentación válida, si no lo hace en persona) o por un representante debidamente acreditado.
DERECHO | CONTENIDO | CIRCUNSTANCIAS | PLAZO |
INFORMACIÓN | Recibir información de todas las circunstancias relativas al tratamiento[1]. | No se podrá realizar el tratamiento de datos sin haber facilitado la información. | Cuando los datos los facilita el interesado: en el momento de la obtención de los datos. |
Cuando los datos se obtienen de un tercero (ver en “Principios rectores” el “Información y consentimiento”):
· Dentro de un plazo razonable y siempre antes de un mes desde la obtención. · Si se van a usar para comunicarse con el interesado, como muy tarde en la primera comunicación. · Si se van a comunicar a un tercero, como muy tarde en el momento de la primera comunicación. |
|||
COMUNICACIÓN DE VIOLACIÓN DE SEGURIDAD | Ser notificado acerca de una violación de seguridad si es probable que entrañe un alto riesgo para sus derechos y libertades[2]. | Puede obviarse si:
· Cuando se aplicaron medidas de seguridad previas que hacían intangibles los datos. · Cuando se aplicaron medidas de seguridad posteriores que hicieron que desapareciera el riesgo. · Cuando la comunicación suponga un esfuerzo desproporcionado (entonces se deberá llevar a cabo una comunicación pública). |
Sin dilación indebida (ver en “Medidas de seguridad”, el “Registro de las violaciones de seguridad”). |
ACCESO | Recibir confirmación de si se están tratando sus datos y, en caso de estarse produciendo, acceder a las circunstancias del tratamiento (ver derecho de información) y recibir copia de los datos personales objeto de tratamiento. | El acceso no puede afectar a los derechos y libertades de otros. | Como máximo, un mes desde la recepción de la solicitud, que podrá prorrogarse otros dos meses de ser necesario (teniendo en cuenta la complejidad y número de solicitudes).
La prorroga deberá comunicarse dentro del primer mes. |
PORTABILIDAD | Recibir los datos personales que el interesado entregó en un formato estructurado, de uso común y lectura mecánica. | Solo en el caso de que el tratamiento estuviera basado en el consentimiento del interesado y sea automatizado.
El interesado puede solicitar que los datos se le faciliten a él o a otra entidad. |
|
OPOSICIÓN | Oponerse a que sus datos sean objeto de tratamiento. | Puede darse cuando:
· Sus circunstancias personales así lo requieran:
– Cuando los datos se traten con fines de investigación o estadísticos (salvo que haya razones de interés público). · La finalidad del tratamiento sea la publicidad. |
|
NO SER OBJETO DE DECISIÓN BASADA SOLO EN TRATAMIENTO AUTOMATIZADO (ELAVORACIÓN DE PERFILES) | No ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente. | No se aplicará cuando:
· Sea necesario para la celebración o ejecución de un contrato. · Está autorizado por una norma europea o nacional. · El interesado consienta explícitamente. |
|
RECTIFICACIÓN | Rectificar los datos personales inexactos o completar los datos incompletos. | Se debe comunicar a cada uno de los destinatarios a los que se les comunicaron los datos rectificados, suprimidos o limitados. | |
SUPRESIÓN (DERECHO AL OLVIDO) | Supresión de los datos personales. | Se aplicará cuando:
· Los datos ya no son necesarios para la finalidad perseguida. · El interesado retire su consentimiento y el tratamiento estaba basado en él. · Cuando el interesado se oponga al tratamiento de sus datos (ver derecho de oposición) y no prevalezcan otros motivos para su tratamiento. · El tratamiento fuera ilícito. · Los datos deban suprimirse para cumplir con una obligación legal derivada de una norma europea o nacional. · Cuando el tratamiento se basara en el consentimiento de un menor dentro del marco de internet. No se aplicará cuando: · Prevalezca la libertad de expresión. · Prevalezca una obligación legal de europea o nacional. · Por razones de interés público o de investigación. · Haya que usar los datos para la formulación, el ejercicio o la defensa frente a reclamaciones. Esta supresión deberá comunicarse a aquellas entidades a las que se cedieron los datos. |
|
LIMITACIÓN | Limitar el tratamiento solo a la conservación para la formulación de reclamaciones, para proteger los derechos de otra persona física o por interés público. | Se aplicará cuando:
· El interesado impugna la exactitud de los datos. · El tratamiento sea ilícito y el interesado se oponga a la supresión de los mismos. · El responsable del fichero ya no necesite los datos pero el interesado quiera conservarlos para la formulación de reclamaciones. · El interesado se opuso al tratamiento, hasta verificar si es viable. Si se levantase la limitación del tratamiento, el interesado deberá ser notificado previamente. Se debe comunicar a cada uno de los destinatarios a los que se les comunicaron los datos rectificados, suprimidos o limitados. |
[1] Para más información consultar al Organismo de Control.
[2] En el caso de que se produzca una violación de seguridad póngase en contacto con el Organismo de Control.
El interesado, siempre que sea capaz de confirmar su identidad, puede ejercer sus derechos mediante el formalismo que desee.
En el caso de que el ejercicio del derecho no sea atendido por el responsable del fichero en tiempo y forma el interesado podrá pedir tutela ante la Agencia Española de Protección de Datos por lo que todos los ejercicios de derechos deberán ponerse en conocimiento del Organismo de Control de manera inmediata, sin ningún tipo de dilación.
Solo el Organismo de Control está autorizado a dar respuesta a los ejercicios de derechos.
Una persona puede solicitar que se modifiquen sus datos sin necesidad de ejercitar un derecho de rectificación y esa operación puede llevarse a cabo sin necesidad de notificarlo al Organismo de Control, pero si quien desea modificar sus datos notifica expresamente que desea ejercitar el derecho de rectificación entonces sí debe ponerse en marcha el mecanismo descrito.
El bloqueo de los datos no supone nunca su eliminación o destrucción sino que se bloquearán de tal modo que no sea posible el acceso a los datos por parte del personal que habitualmente tuviera acceso a los mismos, quedando restringido el acceso única y exclusivamente en favor del Organismo de Control para el caso de que deban ser usados bajo requerimiento judicial.
El tiempo que los datos personales deben permanecer bloqueados dependerá de cada caso concreto (relación contractual, disposición jurídica, plazo de prescripción de las acciones derivadas de la relación jurídica concreta, etc.). En caso de duda, consulte con el Organismo de Control.
También puede darse el caso de que un interesado solicite la baja de algún servicio; esto no debe confundirse con el derecho a la supresión de datos personales (derecho al olvido). La baja de un servicio solo implica que ese servicio ya no será ofrecido; la supresión de los datos supone bloquear todos los datos y notificar la supresión a todos aquellos a los que se los cedimos.
EL RESPONSABLE DEL FICHERO Y EL ENCARGADO DEL TRATAMIENTO
El responsable del fichero
El responsable del fichero está obligado a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme a Derecho.
Dichas medidas serán revisadas periódicamente por el Organismo de Control.
El responsable del fichero debe llevar, a través del Organismo de Control, un registro de las actividades de tratamiento (los ficheros) efectuadas bajo su responsabilidad.
El encargado del tratamiento
Cuando el responsable del fichero necesite encomendar la realización de un tratamiento a un tercero (encargado del tratamiento) solo podrá elegir a aquel que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a la normativa de protección de datos vigente.
La relación entre el responsable del fichero y el encargado del tratamiento deberá regirse necesariamente por los artículos 28 y 29 del Reglamento General de Protección de Datos.
En el caso de que el encargado del tratamiento se adhiera a este documento, su relación con el responsable del fichero se regirá por este código de conducta.
OBLIGACIONES DEL RESPONSABLE DEL FICHERO Y DEL PERSONAL BAJO SU AUTORIDAD
El tratamiento de datos personales
El tratamiento de datos personales deber ser proporcional a la finalidad perseguida, conforme a la licitud de los datos (ver en “Principios rectores”, la “Licitud de los datos”). Si tiene dudas a la hora de ponderar la proporcionalidad del tratamiento efectuado póngase en contacto con el Organismo de Control.
Los requisitos para medir la proporcionalidad de los datos que están siendo tratados serán los siguientes:
- Juicio de idoneidad: identificar si el tratamiento puede conseguir el objetivo perseguido.
- Juicio de necesidad: identificar si el tratamiento es el más moderado existente para lograr el objetivo perseguido.
- Juicio de proporcionalidad: identificar si el tratamiento es ponderado o equilibrado, es decir, si conlleva más beneficios que perjuicios sobre los valores en conflicto.
Por otro lado, no se pueden generar ficheros nuevos sin la autorización del Organismo de Control por lo que si necesitase crear un conjunto organizado de datos de carácter personal con una finalidad diferente de las que ya están establecidas debe consultarlo antes con él. Si la finalidad se engloba dentro de las ya existentes recuerde que deben adoptarse las medidas de seguridad pertinentes.
Puesto de trabajo
Cada empleado es responsable de su propio puesto de trabajo y se encargará de que ninguna persona no autorizada acceda a información que obre en su poder. De este modo, cuando el empleado abandona su puesto de trabajo debe dejar los equipos informáticos suspendidos o apagados y se encargará de que sus contraseñas sean siempre confidenciales.
El empleado asimismo se asegurará de que no quede en las impresoras documentación de ningún tipo una vez que su uso ha finalizado.
Deber de secreto
Cualquiera que trate datos de carácter personal dentro de la organización del responsable del fichero está obligado por ley al secreto profesional respecto de los mismos, incluso si finalizaran sus relaciones con el responsable del fichero, independientemente de que haya suscrito o no un compromiso de confidencialidad.
Vulnerar el deber de secreto profesional está considerado como una infracción grave.
En la misma línea, no se podrá facilitar a persona alguna ajena al responsable del fichero ningún soporte que contenga datos personales a los que haya tenido acceso en el desempeño de sus funciones sin la debida autorización. Si para el desempeño de sus funciones necesitase entregar un soporte con datos a un tercero comuníqueselo previamente al Organismo de Control para que autorice la operación.
Comunicación de datos a terceros
Está totalmente prohibida por la normativa vigente la cesión de datos de carácter personal a un tercero ajeno al responsable del fichero sin el consentimiento expreso, inequívoco y por escrito del interesado (ver las excepciones en “Principios rectores”, el “Consentimiento”).
El único capacitado para gestionar estas autorizaciones es el Organismo de Control por lo que si, para el desempeño de sus funciones, necesitase ceder datos personales a un tercero consúltelo.
No obstante, sí se podrá permitir el acceso a datos personales por parte de los prestadores de servicios del responsable del fichero, siempre que el acceso sea imprescindible para el desempeño de sus funciones y el responsable del fichero tenga suscrito un contrato adecuado con ellos. Si tiene dudas al respecto consulte con el Organismo de Control.
Transferencia internacional de datos
Si para el desempeño de sus funciones necesitase llevar a cabo transferencias internacionales de datos personales desde España hacia otro país póngase en contacto con el Organismo de Control para determinar cómo debe actuar.
Recursos electrónicos
No se pueden usar los recursos del sistema de información a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales, es decir, el uso que desde el responsable del fichero se haga tanto de los equipos informáticos, como de internet, del correo electrónico corporativo o del teléfono debe ser única y exclusivamente con la finalidad de desempeñar sus funciones, si bien se autoriza al personal a que pueda hacer uso de esas herramientas de trabajo para fines personales, siempre que se lleve a cabo de manera razonable y con buena fe. El responsable del fichero podrá realizar un control sobre el uso que de estas herramientas se haga por parte del personal, pudiendo realizar un seguimiento de las comunicaciones o llevar a cabo inspecciones sobre los equipos; en estos casos, es obligación del personal facilitar en todo lo posible las inspecciones y obligación de la empresa llevarlas a cabo cumpliendo con todos los requisitos marcados tanto por el ordenamiento jurídico como por la jurisprudencia.
Es muy importante que no instale motu proprio ningún producto informático en equipos de la organización. Si para el desempeño de sus funciones considera que necesita una aplicación concreta comuníquelo a Christian Israel Ruiz Pérez, responsable de tecnología del responsable del fichero.
MEDIDAS DE SEGURIDAD
El responsable del tratamiento y el personal bajo su autoridad aplicarán en todo caso medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Las personas que actúan bajo la autoridad del responsable del fichero son responsables de la adopción de estas medidas, en relación a sus responsabilidades, por lo que rogamos que les preste especial atención con la finalidad de conocer las obligaciones.
En el tratamiento de categorías especiales de datos se incluyen tanto las medidas de seguridad específicas para esta clase de datos como las medidas de seguridad generales (ver en “Principios” el “Tratamiento de categorías especiales de datos”).
MEDIDAS DE SEGURIDAD GENERALES
Evaluación del nivel de seguridad
Evaluación del riesgo
El responsable del fichero se obliga a verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento por lo que se compromete a llevar a cabo anualmente una evaluación del riesgo del tratamiento de datos personales realizado que consistirá en una valoración objetiva con la finalidad de:
- Determinar los riesgos existentes para los derechos y las libertades de los interesados.
- Proponer nuevas medidas técnicas y organizativas y/o lo adaptación de las ya existentes para mitigarlo.
Dicha evaluación se llevará a cabo por el Organismo de Control, que podrá estar asistido por terceros.
Al evaluar la adecuación del nivel de seguridad se tendrán especialmente en cuenta las consecuencias de la destrucción, la pérdida o alteración accidental o ilícita, la comunicación o el acceso no autorizados de datos personales tratados.
El Organismo de Control se compromete a notificar los resultados de la evaluación del riesgo al órgano de administración y a adoptar todos los controles necesarios para reducir en todo lo posible el riesgo inherente al tratamiento de datos personales, incluyendo la renovación de este mismo documento.
En el caso de que la Agencia Española de Protección de Datos así lo solicite, se pondrá a su disposición los resultados de la evaluación del nivel de seguridad.
Evaluación del impacto
Cuando sea probable que un tipo de tratamiento (sobre todo si se hace uso de la tecnología), por su naturaleza, alcance, contexto o fines, entrañe un algo riesgo para los derechos y las libertades de los interesados, el responsable del fichero realizará, de manera previa al propio tratamiento, una evaluación del impacto de ese tratamiento en la protección de datos personales, que incluirá en todo caso los mínimos legalmente establecidos.
En todo caso, el responsable del fichero procederá a la realización de una evaluación del impacto cuando vaya a llevar a cabo los siguientes tratamientos de datos personales:
- Evaluación sistemática y exhaustiva de aspectos personales de los interesados basada en un tratamiento automatizado (como elaboración de perfiles) sobre cuya base se vayan a tomar decisiones que produzcan efectos jurídicos para dichos interesados o que puedan afectarles significativamente de un modo similar.
- Tratamiento a gran escala de categorías especiales de datos.
- Observación sistemática a gran escala de una zona de acceso público.
Dicha evaluación se llevará a cabo por el Organismo de Control, que podrá estar asistido por terceros.
El responsable del fichero se compromete, cuando proceda, a recabar la opinión de los interesados o de sus representantes en relación al tratamiento previsto, siempre que no suponga un perjuicio para sus propios intereses públicos, comerciales o de seguridad.
Cuando la evaluación del impacto tenga como resultado un alto riesgo de ese tratamiento para los derechos y las libertades de los interesados, el responsable del fichero se compromete a adoptar medidas para mitigarlo. En el caso de que la adopción de medidas para mitigar el riesgo no suponga la desaparición del riesgo alto el responsable del fichero se compromete a realizar una consulta previa a la Agencia Española de Protección de Datos.
Si la Agencia Española de Protección de Datos considerase que el tratamiento consultado infringe la normativa vigente de protección de datos y, como consecuencia de ello emitiese indicaciones acerca de cómo llevar a cabo dicho tratamiento para dar debido complimiento a la normativa, el responsable del fichero se compromete a adoptar dichas indicaciones.
Asimismo, en el caso de que la Agencia Española de Protección de Datos ordene que el tratamiento se ajuste a la normativa vigente y/o imponga una limitación (tanto temporal como definitiva) del tratamiento, incluso si incluyese la prohibición total, el responsable del fichero se compromete a acatar dichas indicaciones.
Seudonimización o anonimización
La seudonimización de los datos consiste en eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, manteniendo la veracidad de los resultados del tratamiento de tal modo que además de evitar la identificación de las personas el proceso de reidentificación no suponga una distorsión o modificación de los datos.
En el caso de que se vayan a tratar datos con fines de archivo de interés público, fines de investigación científica o histórica, fines estadísticos o con cualquier otra finalidad que lo permita se seudonimizarán los datos de tal modo que nadie pueda acceder a ellos o, de ser necesario, que tan solo el personal imprescindible pueda hacerlo.
Si la seudonimización se hace correctamente, los riesgos de reidentificación por persona no autorizada son un riesgo residual, pero nunca un incumplimiento de las medidas de seguridad.
Cadena de confidencialidad
Conjunto de medidas encaminadas a la ocultación, enmascaramiento o disociación de los datos personales.
El diseño de la cadena de confidencialidad deberá adaptarse a cada situación concreta, debiendo analizarse los aspectos específicos para cada bloque de datos personales.
Proceso de anonimización
Para cada caso concreto se desarrollará un proceso de anonimización concreto, que deberá protocolizarse y registrarse. En esta protocolización deberá estar implicado necesariamente el Organismo de Control.
Minimización
La minimización de los datos consiste en emplear exclusivamente aquellos datos que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos.
Ver el principio “Calidad de los datos”.
Trabajar fuera del local
El trabajo fuera del local debe haber sido autorizado por el Organismo de Control.
Si cree que va a necesitar tratar datos personales fuera del local de manera habitual póngase en contacto con el Organismo de Control para que lo refleje en el gistre.
Ficheros temporales
Con los ficheros temporales (los datos van a tratarse puntualmente y después serán destruidos) se deberán cumplir igualmente las medidas de seguridad.
Registro de violaciones de seguridad
Existe un procedimiento de notificación, gestión y registro de violaciones de seguridad por lo que si tiene conocimiento de una póngalo inmediatamente en conocimiento del Organismo de Control, especialmente en el caso de que la violación de seguridad suponga un riesgo para los derechos y las libertades de los interesados. En este caso la notificación de la incidencia será urgente.
Es obligación del responsable del fichero (y, por tanto, de su personal) notificar de manera inmediata a la Agencia Española de Protección de Datos cualquier violación de la seguridad que constituya un riesgo para los derechos y las libertades de las personas físicas por lo que la comunicación ágil es fundamental.
Las posibilidades de violación de seguridad son innumerables y tienen diferentes grados de gravedad y, por tanto, de consecuencias. Corresponderá siempre al Organismo de Control valorar la gravedad de la incidencia.
Valgan como ejemplo las siguientes incidencias: acceso (o posible acceso) no autorizado por persona ajena al responsable del fichero a los datos personales de los que es responsable, pérdida irrecuperable de datos personales, publicación de datos personales sin el consentimiento del interesado, tratamiento ilícito de datos personales (como las incidencias más graves que pueden ocurrir), tener que facilitar la contraseña de nuestro equipo a un tercero, permitir el acceso de personal no autorizado a datos personales con alguna finalidad concreta (por ejemplo, pasar una auditoría), facilitar imágenes de videovigilancia a los cuerpos de seguridad, recibir una reclamación en materia de protección de datos (como las incidencias más comunes, pero con una posible repercusión menor).
Si tiene dudas póngase en contacto con el Organismo de Control.
Control de acceso
El responsable del fichero debe tomar medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratarlos siguiendo las instrucciones de aquel.
El personal solo tendrá acceso a aquellos datos que necesite para el ejercicio de sus funciones. Si considera que necesita un acceso del que no dispone o que, por el contrario, tiene autorizado un acceso que no necesita póngalo en conocimiento del Organismo de Control.
Gestión de soportes
La salida de soportes fuera del local debe estar autorizada.
Si cree que va a necesitar sacar un soporte fuera del local de manera habitual póngase en contacto con el Organismo de Control.
En el traslado de documentación se adoptarán todas las medidas necesarias para evitar el tratamiento no autorizado de los datos por parte de terceros.
Para desechar un soporte deberá destruirse o borrarse completamente.
Según la Norma DIN 32 757 – 1 para la Destrucción de Documentos, la destrucción de documentación en papel se lleva a cabo del siguiente modo:
- Nivel 3 (confidencial): documentos que pueden comprometer la intimidad de personas pues contienen datos personales (categorías no especiales de datos). Las partículas no deben superar los 320 mm² en fragmentos de 0,9 x 30 – 50 mm o tiras de 1,9 mm.
- Nivel 5 (alto secreto): documentos sujetos a un alto nivel de confidencialidad y unas exigencias de seguridad extremadamente altas (categorías especiales de datos). Las partículas no deberán exceder los 10 mm² en partículas de 0.78 x 11 mm.
TRATAMIENTO NO AUTOMATIZADO
Criterios de archivo
Se debe archivar garantizando la correcta conservación, localización y consulta de la información por lo que se ruega que se ponga especial atención en este punto.
Dispositivos de almacenamiento
Se deben emplear medidas que impidan el acceso no autorizado.
Custodia de soportes
Cuando el personal, en el desempeño de sus funciones, maneje documentación fuera del lugar donde se archiva normalmente debe custodiarla de tal modo que impida el acceso no autorizado de terceros.
TRATAMIENTO AUTOMATIZADO
Confidencialidad, integridad y resiliencia de los sistemas
El responsable del fichero debe garantizar la confidencialidad, integridad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Redes de comunicaciones
Cuando se empleen redes de comunicaciones se usarán las mismas medidas que para el tratamiento local.
Identificación y autentificación
Solo los usuarios autorizados:
- Tendrán permiso para acceder a la información automatizada por lo que se deben establecer mecanismos que permitan su correcta identificación. Si detecta alguna incidencia en este sentido comuníquelo de inmediato al Organismo de Control.
- Podrán acceder a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. Cuando accedan deberán cumplimentar el control de acceso (existe para ello una tabla de registros por lo que, si detecta que no está disponible, solicítesela al Organismo de Control).
Si usted considera que debe aparecer como autorizado para poder desempeñar sus funciones pero no lo está póngase en contacto con el Organismo de Control para corregir su situación.
Si se emplean contraseñas:
- Estas serán estrictamente confidenciales (con excepción del administrador del sistema) y se modificarán al menos una vez al año. Si puntualmente una contraseña debe ser compartida se levantará una incidencia y se modificará en cuanto sea posible.
El administrador del sistema guardará estricta confidencialidad de las contraseñas.
- Aunque se compartan equipos, cada usuario tendrá su propia contraseña. Si tiene dudas al respecto contacte con el responsable de sistemas.
- Debe existir un sistema que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información por lo que si nota que en su equipo no existe póngalo en conocimiento del responsable de sistemas.
Registro de soportes
Todos los soportes que contengan datos de carácter personal deben estar debidamente controlados e inventariados y bajo ningún concepto se podrán sacar de los locales sin el consentimiento del Organismo de Control.
Para hacer uso de dispositivos móviles titularidad del responsable del fichero (ordenadores portátiles, memorias USB, discos duros…) previamente la posesión del mismo por usted debe quedar inventariada. Por ello, si tiene en su poder un dispositivo que aún no ha sido inventariado le rogamos que lo haga saber al responsable del almacén.
Si tiene conocimiento de la entrada o salida no autorizada de un soporte debe ponerlo en conocimiento del Organismo de Control.
El personal no puede usar soportes privados en el desempeño de sus funciones, salvo autorización expresa.
Copias de respaldo y de recuperación
Cada seis meses verificará que el procedimiento se está efectuando correctamente. Asimismo, debe existir un procedimiento para recuperar datos perdidos o destruidos.
POLÍTICA DE DESTRUCCIÓN DE SOPORTES
Antes de borrar o destruir un soporte cerciórese de que los datos personales contenidos han dejado de ser pertinentes para la finalidad para la que se recogieron pues, de lo contrario, deberán ser salvaguardados antes del borrado o la destrucción.
La destrucción de soportes (tanto en papel como electrónicos) que contengan datos de carácter personal podrá realizarse dentro de las instalaciones del responsable del fichero o por un prestador de servicios especializado con el que previamente se haya suscrito un contrato que contenga los requisitos mínimos exigidos por la ley (si tiene dudas al respecto póngase en contacto con el Organismo de Control). En este último caso se deberá autorizar la salida de los soportes en favor del prestador por el Organismo de Control y aquel tendrá que facilitar al responsable del fichero una certificación que acredite que la destrucción no solo se ha realizado sino que se ha hecho correctamente y que se han cumplido punto por punto todas las exigencias legales.
Para desechar un soporte que contenga datos de carácter personal deberá destruirse o borrarse completamente siguiendo las instrucciones siguientes:
Destrucción de documentación en papel
La destrucción de soportes en papel deberá ser inmediata y, según la Norma DIN 32 757 – 1 para la Destrucción de Documentos, se llevará a cabo del siguiente modo:
- Nivel 3 (confidencial): documentos que pueden comprometer la intimidad de personas pues contienen datos personales (categorías no especiales de datos). Las partículas no deben superar los 320 mm² en fragmentos de 0,9 x 30 – 50 mm o tiras de 1,9 mm.
- Nivel 5 (alto secreto): documentos sujetos a un alto nivel de confidencialidad y unas exigencias de seguridad extremadamente altas (categorías especiales de datos). Las partículas no deberán exceder los 10 mm² en partículas de 0.78 x 11 mm.
Destrucción de soportes electrónicos
Antes de desechar un soporte este deberá quedar completamente borrado de tal modo que resulte imposible recuperar su contenido con posterioridad. Tras el borrado verifique que efectivamente el procedimiento se ha llevado a cabo con éxito.
Si tiene dudas, póngase en contacto con el departamento de sistemas.
Una vez desechado el soporte se deberá actualizar el inventario de soportes por lo que le rogamos que lo ponga en conocimiento del responsable del soporte. Si tiene dudas al respecto consulte con el Organismo de Control.
FUNCIONES Y OBLIGACIONES DEL ORGANISMO DE CONTROL
Las funciones del Organismo de control son las siguientes:
- Supervisar el cumplimiento de la normativa de protección de datos.
- Controlar los mecanismos de registros.
- Cooperar con la autoridad de control de protección de datos que se lo solicite y, en especial, con la Agencia Española de Protección de Datos.
- Cooperará con el responsable del fichero para fomentar una cultura de sensibilización basada en la asunción de los principios de este documento y de la normativa vigente.
- Dar respuesta a los ejercicios de derechos. En este sentido:
- La información al interesado se facilitará de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
- El interesado puede solicitar que la información se le proporcione verbalmente, pero no es aconsejable pues no se podrá demostrar que se le entregó.
- Si existe alguna razón objetiva para no responder a una solicitud, se deberá informar al interesado sin dilación (como máximo en un mes) de dichas razones.
- Informar y asesorar al responsable del fichero y al personal que trate datos dentro del responsable del fichero de sus obligaciones.
- Ofrecer asesoramiento a quien lo solicite.
- Revisar y actualizar el presente documento de manera anual y notificar las modificaciones a todo el personal que opere bajo su autoridad y a aquellos que se hubieran adherido al código.
- Evaluar la eficacia del presente documento con la finalidad de introducir mejoras que tengan como resultado una mayor eficacia en la política de privacidad adoptada.
- Analizar las evaluaciones del riesgo, los informes de auditoría y las evaluaciones previas del impacto y elevar sus conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas.
NORMATIVA APLICABLE
Constitución Española
https://www.boe.es/buscar/pdf/1978/BOE-A-1978-31229-consolidado.pdf
Reglamento General de Protección de Datos
https://www.boe.es/doue/2016/119/L00001-00088.pdf
Ley Orgánica de Protección de Datos de Carácter Personal
https://www.boe.es/buscar/pdf/1999/BOE-A-1999-23750-consolidado.pdf
Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos
https://www.boe.es/buscar/pdf/2008/BOE-A-2008-979-consolidado.pdf
18 de Abril de 2018