Política de Protección de Datos

Aprobación

La presente Política de Protección de Datos de Carácter Personal, en adelante la Política, ha sido aprobada por el Consejo de Administración de INTERMARK IT 96, S.L, en adelante, la Empresa, el día 15/12/2020 siendo desde entonces de obligado cumplimiento para toda la plantilla de la Empresa.

Marco normativo

La norma fundamental de nuestro ordenamiento jurídico, la Constitución Española, en su artículo 18 garantiza el derecho al honor, la intimidad personal y familiar y a la propia imagen. En particular, en su apartado cuarto, establece la necesidad de proteger estos derechos fundamentales, dentro del ámbito relacionado con el uso de la informática. De esta manera, el artículo 18.4 de nuestra Constitución dispone:

“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Como consecuencia de este mandato y para desarrollar el contenido del mismo se promulgó la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de carácter personal (L.O. 5/1992, de 29 de octubre).

Con posterioridad, y a raíz del crecimiento de la informática en la sociedad española de finales del siglo XX, el legislador no fue ajeno a la necesidad de proteger la privacidad de las personas, y así se promulgo la ley Ley Orgánica de Protección de Datos de Carácter Personal (L.O. 15/1999, de 13 de diciembre), en adelante LOPD, y que supuso la transposición de la Directiva 95/46/CE al derecho interno de nuestro país y. Además, para su desarrollo se promulgo el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

En el seno de la Unión Europea, con el fin de homogenizar las normativas de tratamiento de datos de carácter personal para que así se diera mayor seguridad a los ciudadanos comunitarios y mayor seguridad jurídica a los operadores económicos en el territorio de la Unión, se promulgo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

En el derecho interno, de forma reciente, se ha promulgado la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que deroga la L.O 15/1999.

Tanto la normativa europea (RGPD) como la legislación interna, exigen de los responsables y encargados de tratamiento de los datos de carácter personal una proactividad que garantice el cumplimiento normativo. A tal fin y en cumplimiento de dicho mandato se adopta en el seno de la Empresa la presente Política que será de obligado cumplimiento para todos los empleados de la Empresa y deberá regir todos los procesos productivos de la misma.

Finalidad de la Política

La presente Política tiene como finalidad estandarizar el cumplimiento normativo en el seno de la Empresa, así como fomentar una cultura que garantice el respeto a los derechos y libertades de los titulares de los datos de carácter personal tratados por la Empresa.

Ámbito de aplicación

Esta Política será de aplicación obligatoria por todos los empleados de la Empresa en el desempeño de sus funciones, así como para aquellos colaboradores externos. De igual forma, la presente Política será de obligado cumplimiento en todos los procedimientos o nuevos desarrollos llevados a cabo en el seno de la empresa.

La Política estará siempre a disposición de todos los empleados de la Empresa.

Brechas de seguridad

La Empresa actuará de manera diligente y con las medidas de seguridad adecuadas para evitar que se produzcan brechas de seguridad, no obstante, de producirse actuará de manera rápida y diligente para asegurar su identificación, respuesta y comunicación en su caso a la Autoridad de Control competente y
a los interesados. En este sentido la Empresa aplicará un protocolo de actuación ante brechas de seguridad.

Para los casos en los que la Empresa actúe como encargada del tratamiento, de detectarse una brecha de seguridad, la Empresa, sin perjuicio de lo establecido en el protocolo de actuación ante brechas de seguridad, comunicará inmediatamente al responsable del tratamiento la siguiente información:

  • Descripción de la naturaleza de la brecha de seguridad, indicando en los casos en los que sea posible las categorías de datos afectados, así como el número aproximado de interesados afectados. Además, se comunicará las categorías y número aproximado de registros afectados.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otra persona de contacto con la cual el responsable del tratamiento pueda recabar más información.
  • Una descripción de las posibles consecuencias que pueda causar la brecha de seguridad.
  • Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento tendentes a subsanar la brecha de seguridad, así como las medidas encaminadas a reparar o mitigar los daños causados por la brecha de seguridad.

Principios rectores de la Empresa

La Empresa, así como sus empleados, deberá guiarse en todas sus actividades y procedimientos que impliquen el tratamiento de datos de carácter personal por los siguientes principios:

  • Licitud, lealtad y transparencia: los datos personales se tratarán de forma lícita, leal y transparente, de manera que el interesado conozca el tratamiento que, en su caso, se va a hacer de sus datos.
  • Limitación de la finalidad: los datos personales solo se recogerán con fines determinados, explícitos y legítimos y no podrán usarse posteriormente de manera incompatible con dichos fines.
  • Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se utilizan.
  • Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados. Se tomarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos, con respecto a los fines para los que se tratan.
  • Limitación del plazo de conservación: los datos personales se mantendrán de forma que se permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales.
  • Integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de estos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, utilizando las medidas técnicas u organizativas adecuadas. Todo esto de conformidad con la legislación aplicable y lo establecido en la normativa interna de obligado cumplimiento en materia de seguridad de la información.
  • Responsabilidad proactiva: La Empresa será responsable de cumplir con los principios exigidos en esta Política y en la normativa aplicable en materia de protección de datos personales y privacidad, siendo capaz de demostrarlo cuando lo exija dicha normativa.
  • Delegado de protección de datos: de conformidad con la normativa aplicable y su voluntad de seguir las buenas prácticas del mercado, la Empresa respaldará a la persona nombrada como Delegado de Protección de Datos (en adelante, el “DPD”) y su equipo en sus funciones de cumplimiento de la normativa de protección de datos personales y privacidad, y pondrá a disposición de los interesados y las autoridades sus datos de contacto.
  • Protección de datos personales desde el diseño: la Empresa aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la encriptación y  seudonimización cuando técnica y económicamente sea posible, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento.
  • Protección de datos personales por defecto: la Empresa aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.  
  • Evaluación de riesgo e impacto en materia de protección de datos personales: cuando una actividad conlleve el tratamiento de datos personales que pueda suponer un riesgo elevado para los derechos y libertades del interesado, en la medida y forma en que la normativa lo exija, la Empresa llevará a cabo una evaluación de riesgos e impacto en la protección de los datos personales y privacidad antes del inicio del tratamiento.
  • Gestión de incidentes de seguridad de los datos personales: en caso de que se produzca un incidente que afecte a la seguridad de los datos personales, se seguirán los procedimientos corporativos de seguridad de la información de la Empresa, así como aquellos específicos de protección de datos personales y privacidad que incluyan la gestión de las notificaciones a autoridades y/o interesados.
  • Derechos de los interesados: la Empresa garantizará que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición que sean de aplicación.
  • Contratación de prestadores de servicios: en los casos en que los prestadores de servicios puedan tener acceso a los datos personales de los cuales es responsable la Empresa se deberá elegir diligentemente al prestador de servicios. En particular, se deberán tener en cuenta las medidas de seguridad técnicas y organizativas proporcionadas y se regulará debidamente la relación entre la Empresa y el prestador de servicios, a través de las cláusulas contractuales adecuadas para el tratamiento de datos personales.
  • Transferencias internacionales de datos: la Empresa cumplirá con los requisitos establecidos para las transferencias internacionales de datos personales que sean, en su caso, aplicables en los mercados en los que opera.
  • Registro de actividades de tratamiento: la Empresa se responsabiliza de llevar un registro en el que se describa, de acuerdo con la normativa aplicable, los tratamientos de datos personales que se lleven a cabo en el marco de las actividades de la Empresa.
  • Formación: una de las claves para garantizar la protección de los datos personales es la formación e información que se facilite al personal involucrado en el tratamiento de los mismos. Durante el ciclo de vida de la información, todo el personal con acceso a los datos será convenientemente formado e informado acerca de sus obligaciones en relación con el cumplimiento de la normativa de protección de datos.

Responsabilidad de la Empresa

La Empresa se hace responsable de velar por el cumplimiento de la presente política, así en aras al principio de responsabilidad proactiva se compromete a garantizar que todos los procedimientos internos se sometan a esta política.

Todos los empleados de la Empresa son responsables de cumplir con esta política, y demás normativa que pueda desarrollarse, así pues, tienen el deber de conocerla, y su no cumplimiento podrá acarrear las responsabilidades disciplinarias oportunas.

Denuncia de incumplimiento

Cualquier trabajador, proveedor o cliente de la Empresa que detecte un incumplimiento de la Política, podrá ponerlo en conocimiento del DPO e la Empresa en el buzón electrónico dpo@alvargonzalezasociados.com, con el fin de que la Empresa pueda realizar la correspondiente investigación interna en aras a garantizar el fiel cumplimiento de la presente política y demás normativa en materia de protección de datos de carácter personal aplicable.