1-Escenario del tratamiento
Documentos Soporte PAPEL
Las aplicaciones instaladas en el sistema informático de THE PINK LION SHOP que acceden a ficheros con datos de carácter personal son las siguientes: Nombre aplicación: WEB
Finalidad:
ADMINISTRACIÓN
BBDD:
SQL
Ficheros ofimáticos autónomos
Además de las aplicaciones estándar y las hechas a medida para la gestión interna, puede haber datos de carácter personal en ficheros ofimáticos autónomos que están vinculados, de alguna forma u otra, a las aplicaciones principales mencionadas anteriormente y, por lo tanto, nutren la actividad empresarial de THE PINK LION SHOP
Por regla general, mantendremos para estos ficheros unas normas de seguridad equivalentes a las bases de datos de las aplicaciones y, si es posible, estarán ubicados en el servidor de ficheros.
Ficheros ofimáticos que podemos encontrar en THE PINK LION SHOP:
Facturas Albaranes
Es recomendable que este tipo de ficheros tengan configurada una clave de acceso.
Documentos Soporte PAPEL
Además de los datos gestionados a través de las aplicaciones informáticas, habrá datos en soporte papel para los que deberemos cumplir una serie de medidas específicas. ¿Se dispone de un procedimiento para el archivo del papel? Si.
Los dispositivos donde se almacena el papel, ¿se pueden cerrar bajo llave? Si.
¿Disponen de máquina/s destructora/s o empresa externa para destruir la documentación en papel? No
En caso de tener contrato con una empresa externa para la destrucción de la documentación, se deberá firmar un contrato como Encargado del Tratamiento.
Equipos y dispositivos
Servidores
La relación de servidores de THE PINK LION SHOP es la siguiente: Nombre: PORTATIL HP
Finalidad:
ADMINISTRACION DE LA WEB Y ADMINISTRACIÓN GENERAL
S.O.:
WINDOWS 10
Ubicación:
EN DOMICILIO
Rack:
No
¿Servidores con acceso restringido?: No
SAI:
Sai solo en el servidor
Puestos de trabajo
Smartphones / Tablets / Portátiles
Consideramos estos dispositivos en este bloque ya que pueden contener datos importados de las aplicaciones corporativas a nivel local así como ficheros ofimáticos autónomos que no están en el servidor. En este tipo de dispositivos que pueden estar en cualquier sitio de la empresa o fuera de ella se aplican políticas de protección a nivel de contraseñas, como si de un servidor se tratara, para prevenir cualquier incidencia en caso de robo o pérdida, además de tomar las medidas necesarias para mantener una copia de seguridad de estos datos si son relevantes ya que no entrarán en el proceso de copia central de la empresa.
Nombre Avast
Todos los equipos Si
Excepciones: Ninguna
Protocolos de seguridad
Identificación / Autentificación
¿Existe un mecanismo de validación en el sistema para los usuarios? Alfanumérica
¿Se cambian las contraseñas de acceso periódicamente? No
Periodicidad b
¿Existe limitación de intentos de acceso? No
¿Hay definido un bloqueo de las estaciones de trabajo pasado cierto tiempo de inactividad? A LOS 20 MINUTOS
¿Existen perfiles de usuario? No
¿Hay definida alguna política de complejidad de las claves? No
Informe de recomendaciones técnicas
Aparte de las medidas adoptadas a nivel jurídico (cláusulas, avisos legales, políticas de privacidad, contratos,
etc.) para seguir la normativa en materia de L.O.P.D. es necesario cumplir con una serie de medidas de
seguridad, técnicas y organizativas, dependiendo del tipo de datos tratados.E l objetivo de este documento
es disponer de un resumen de estas medidas para aplicarlas en sus propios sistemas de información .
La obligación general de adoptar las medidas de seguridad necesarias para garantizar que los datos estén
protegidos frente a posibles incidencias viene dada por el artículo 9 de la L.O.P.D., que exige al Responsable
del Fichero que adopte las medidas de índole técnica y organizativas necesarias que garanticen la seguridad
de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Por otra parte, otras obligaciones concretas vienen definidas en el Real Decreto 1720/2007 de 21 de
diciembre. El Reglamento de Seguridad tiene por objeto establecer las medidas de índole técnica y organ-i
zativa, necesarias para garantizar la seguridad, que deben reunir los ficheros automatizados, los centros
de tratamiento, los locales, los equipos, los sistemas, los programas y las personas que intervengan en el
tratamiento automatizado de los datos personales, sujetos al régimen de la Ley Orgánica 5/1992, de 29 de
Octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
Estas medidas se clasifican en tres niveles, dependiendo del tipo de datos que traten: BÁSICO, MEDIO Y ALTO.
Dichos niveles se establecen atendiendo a la naturaleza de la información tratada y, en su caso, a las finalidades
de los ficheros o tratamientos de datos de carácter personal en relación con la mayor o menor necesidad
de garantizar la confidencialidad, la integridad y la disponibilidad de la información.
Cada uno de los niveles descritos tiene una condición de mínimos exigibles, sin perjuicio de las disposiciones
legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que, por
propia iniciativa, adoptase el Responsable del Fichero.
Asimismo, dichas medidas son acumulativas, es decir, los ficheros que contengan datos de NIVEL ALTO
deberán cumplir las medidas de NIVEL ALTO además de las de NIVEL MEDIO y BAJO.
Niveles de datos
Nivel básico
Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan
datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
• Los datos se utilicen con la única finalidad de realizar una transferencia de dinero a entidades de las que
los afectados sean asociados o miembros.
• Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden
relación con la finalidad del fichero.
• En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o
condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes
públicos.
Nivel medio
Ficheros o tratamientos con datos:
• Relativos a la comisión de infracciones administrativas o penales.
• Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito).
• De Administraciones Tributarias, y que se relacionen con el ejercicio de sus potestades tributarias.
• De Entidades Financieras para las finalidades relacionadas con la prestación de servicios financieros.
• De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus
competencias.
• De Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Nivel alto
Ficheros o tratamientos con datos:
• De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto a los que
no se prevea la posibilidad de adoptar el nivel básico.
• Los recabados con fines policiales sin consentimiento de las personas afectadas.
• Derivados de actos de violencia de género.
Personal autorizado
Responsable del fichero
Persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de los ficheros con datos de carácter personal. Nombre o Razón Social: THE PINK LION SHOP
NIF:
49080239X
Dirección:
PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA
Sedes Dirección: ONLINE
Responsable de Seguridad
Persona o personas físicas, designadas por el Responsable del Fichero, con la misión de coordinar y controlar las medidas de seguridad aplicables. Nombre y apellidos: MERCEDES DE LA FINCA MACIAS SANCHEZ
Administrador/es de Sistemas
Personas físicas o jurídicas encargadas de implantar y mantener las medidas técnicas de seguridad, una vez autorizadas por el Responsable de Seguridad. Nombre y apellidos: MERCEDES DE LA FINCA MACIAS SANCHEZ
Usuarios
Aquellos que, en ejercicio de sus funciones contractuales, tratan datos de carácter personal bajo el criterio de «necesidad de saber» establecido por el Responsable del Fichero o Responsable de Seguridad.
Dirección-Gerencia
MERCEDES DE LA FINCA MACIAS SANCHEZ
Todas las personas que tengan acceso a los ficheros protegidos, a través del sistema informático o a través de cualquier otro medio automatizado de acceso, están obligadas por ley a cumplir lo establecido en el Documento de Seguridad y, por lo tanto, sujetas a las consecuencias que puedan derivar en caso de infracción. El incumplimiento de las políticas, prácticas y procedimientos de seguridad estará sujeto a una acción disciplinaria, pudiendo conllevar una acción civil y/o penal.
Los usuarios que figuran en este anexo deberán recibir la NORMATIVA PARA USUARIOS donde figuran todas las normas referentes a la LOPDDGDD que les puedan afectar.
Encargados de tratamiento
Encargado: RAMÓN MIRANDA MERLO
Servicios prestados: WEB
2-Registro de actividades de tratamiento
TRATAMIENTO: Clientes
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD
TRATAMIENTO: Clientes
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD
Finalidad tratamiento
Gestión de la relación comercial con clientes. Legitimación basada en la ejecución de un contrato.
Categorías de interesados
Clientes y usuarios
Categorías datos personales
Nombre y apellidos Dirección DNI/NIF Teléfono Correo Electrónico Datos Bancarios Bienes y servicios recibidos por el afectado
Período conservación de los datos
Se conservarán mientras dure la finalidad para la que se han obtenido y según lo previsto por la legislación correspondiente respecto a la prescripción de responsabilidades.
Cesiones
Administración tributaria
Medidas de seguridad
Medidas de seguridad
Como mínimo, se adoptarán las siguientes medidas genéricas que establece el RGPD:
* Cifrado de datos personales: asegurar que un mensaje sólo es entendible por su destinatario.
* Garantizar la confidencialidad (acceso o divulgación solo por personal autorizado), integridad (integridad de datos y de fuentes sin que terceros lo puedan manipular), disponibilidad (accesibilidad para aquellos que estén autorizados) y resiliencia permanentes (capacidad del sistema de soportar y recuperar desastres y perturbaciones) de los sistemas y los servicios de tratamiento.
* Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
* Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas. Estas medidas se complementarán con las indicadas en el correspondiente análisis de riesgos. Otras medidas aplicadas
Registro de actividades de tratamiento
TRATAMIENTO: Potenciales
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD Actividad de Tratamiento Potenciales
Finalidad tratamiento Gestión de potenciales. Legitimación basada en el consentimiento.
Categorías de interesados Potenciales
Categorías datos personales Nombre y apellidos Dirección Correo Electrónico Período conservación de los datos
Se conservarán mientras dure la finalidad para la que se han obtenido y según lo previsto por la legislación correspondiente respecto a la prescripción de responsabilidades.
Cesiones No se realizan
Medidas de seguridad
Como mínimo, se adoptarán las siguientes medidas genéricas que establece el RGPD:
* Cifrado de datos personales: asegurar que un mensaje sólo es entendible por su destinatario.
* Garantizar la confidencialidad (acceso o divulgación solo por personal autorizado), integridad (integridad de datos y de fuentes sin que terceros lo puedan manipular), disponibilidad (accesibilidad para aquellos que estén autorizados) y resiliencia permanentes (capacidad del sistema de soportar y recuperar desastres y perturbaciones) de los sistemas y los servicios de tratamiento.
* Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
* Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas. Estas medidas se complementarán con las indicadas en el correspondiente análisis de riesgos. Otras medidas aplicadas:
TRATAMIENTO: Proveedores
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD Actividad de Tratamiento Proveedores
Finalidad tratamiento Gestión de la relación comercial con clientes. Legitimación basada en la ejecución de un contrato.
Categorías de interesados Proveedores
Categorías datos personales Nombre y apellidos Dirección DNI/NIF Teléfono Correo Electrónico Datos Bancarios Bienes y servicios recibidos por el afectado
Período conservación de los datos Se conservarán mientras dure la finalidad para la que se han obtenido y según lo previsto por la legislación correspondiente respecto a la prescripción de responsabilidades.
Cesiones Administración tributaria
Medidas de seguridad
Como mínimo, se adoptarán las siguientes medidas genéricas que establece el RGPD: * Cifrado de datos personales: asegurar que un mensaje sólo es entendible por su destinatario. * Garantizar la confidencialidad (acceso o divulgación solo por personal autorizado), integridad (integridad de datos y de fuentes sin que terceros lo puedan manipular), disponibilidad (accesibilidad para aquellos que estén autorizados) y resiliencia permanentes (capacidad del sistema de soportar y recuperar desastres y perturbaciones) de los sistemas y los servicios de tratamiento. * Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente. * Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas. Estas medidas se complementarán con las indicadas en el correspondiente análisis de riesgos. Otras medidas aplicadas:
TRATAMIENTO: Trabajadores / RRHH
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD Actividad de Tratamiento Trabajadores / RRHH
Finalidad tratamiento Gestión de los trabajadores y recursos humanos de la entidad. Legitimación basada en el contrato laboral.
Categorías de interesados Empleados
Categorías datos personales Nombre y apellidos Dirección DNI/NIF Nº SS / Mutualidad Teléfono Correo Electrónico Firma Fecha de Nacimiento Edad Nacionalidad Experiencia profesional Profesión Puestos de trabajo Historial del trabajador Datos no económicos de nómina Datos Bancarios Datos económicos de nómina Bienes y servicios suministrados por el afectado
Período conservación de los datos Se conservarán mientras dure la finalidad para la que se han obtenido y según lo previsto por la legislación correspondiente respecto a la prescripción de responsabilidades.
Cesiones Administración tributaria Otros órganos de la administración pública Organismos de la SS
MEDIDAS DE SEGURIDAD Medidas de seguridad Como mínimo, se adoptarán las siguientes medidas genéricas que establece el RGPD:
* Cifrado de datos personales: asegurar que un mensaje sólo es entendible por su destinatario.
* Garantizar la confidencialidad (acceso o divulgación solo por personal autorizado), integridad (integridad de datos y de fuentes sin que terceros lo puedan manipular), disponibilidad (accesibilidad para aquellos que estén autorizados) y resiliencia permanentes (capacidad del sistema de soportar y recuperar desastres y perturbaciones) de los sistemas y los servicios de tratamiento.
* Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
* Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas. Estas medidas se complementarán con las indicadas en el correspondiente análisis de riesgos. Otras medidas aplicadas:
TRATAMIENTO: Usuarios web
RESPONSABLE: THE PINK LION SHOP
DESCRIPCIÓN ACTIVIDAD Actividad de Tratamiento Usuarios web
Finalidad tratamiento
Gestión de los usuarios de la página web. Legitimación basada en el consentimiento.
Categorías de interesados Clientes y usuarios
Categorías datos personales Nombre y apellidos Dirección DNI/NIF Teléfono Correo Electrónico Datos Bancarios
Período conservación de los datos Se conservarán mientras dure la finalidad para la que se han obtenido y según lo previsto por la legislación correspondiente respecto a la prescripción de responsabilidades.
Cesiones Administración tributaria
Medidas de seguridad Como mínimo, se adoptarán las siguientes medidas genéricas que establece el RGPD:
* Cifrado de datos personales: asegurar que un mensaje sólo es entendible por su destinatario.
* Garantizar la confidencialidad (acceso o divulgación solo por personal autorizado), integridad (integridad de datos y de fuentes sin que terceros lo puedan manipular), disponibilidad (accesibilidad para aquellos que estén autorizados) y resiliencia permanentes (capacidad del sistema de soportar y recuperar desastres y perturbaciones) de los sistemas y los servicios de tratamiento.
* Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
* Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas. Estas medidas se complementarán con las indicadas en el correspondiente análisis de riesgos. Otras medidas aplicadas:
3-Compromiso confidencialidad de terceros
Contrato de prestación de servicios
En Teba, a 5 de diciembre de 2019
REUNIDOS
De una parte, THE PINK LION SHOP con CIF 49080239X y con domicilio en PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA , (en adelante el RESPONSABLE).
Y de otra parte, RAMÓN MIRANDA MERLO con CIF 29617245F, y con domicilio en CALLE MELÉNDEZ PELAYO, 1, 5A MÁLAGA (en adelante el ENCARGADO)
EXPONEN
- Que ambas partes se reconocen capacidad legal necesaria para contratar y suscribir el presente contrato, de conformidad con el artículo 28 del Reglamento (UE) 2016/679, de 27 de abril de 2016, del Parlamento Europeo y del Consejo relativo a la Protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.
- Que el RESPONSABLE ha contratado los servicios del ENCARGADO que se detallarán a continuación.
- Que la prestación de los servicios se realizará en las instalaciones del ENCARGADO, en las instalaciones del RESPONSABLE. Para la realización del servicio, el ENCARGADO DEL TRATAMIENTO, si fuera necesario, podrá incorporar datos del responsable del tratamiento en sus sistemas.
- Ambas partes convienen en aceptar el presente Contrato de acuerdo a las siguientes:
Cláusulas
1.Objeto del encargo del tratamiento
Mediante las presentes cláusulas se habilita a la entidad RAMÓN MIRANDA MERLO, encargada del tratamiento, para tratar por cuenta de THE PINK LION SHOP, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de PÁGINA WEB.
El tratamiento consistirá en el desarrollo y soporte del portal web.
Las operaciones de tratamiento autorizadas serán las estrictamente necesarias para alcanzar la finalidad del encargo incluyendo, si se precisa, la recogida, registro, estructuración, modificación, conservación, extracción, consulta, comunicación por transmisión, difusión, interconexión, cotejo, limitación, supresión y destrucción de datos.
2. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento, pone a disposición del encargado del tratamiento la siguiente información: Nombre y apellidos, Dirección, DNI/NIF, Correo electrónico y servicios suministrados por el afectado.
3. Duración
La duración del presente acuerdo es indefinida, siendo renovado anualmente de forma automática, salvo decisión en contra por alguna de las partes con un preaviso mínimo de un mes. Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable o transmitir a otro encargado que designe el responsable los datos personales, y suprimir cualquier copia que esté en su poder. No obstante podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.
4. Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable (cuando proceda), que contenga:
- El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, de sendos representantes y del delegado de protección de datos (si procede).
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- Las transferencias de datos personales, si se dan, a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
i. La seudonimización y el cifrado de datos personales.
ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
e. No se podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporte el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.
El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
f. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado de tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable de tratamiento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
k. El responsable de tratamiento deberá facilitar el derecho de información en el momento de la recogida de los datos.
l. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo de 48h (margen para cumplir con las 72h de plazo máximo establecido), y a través de correo electrónico correspondiente, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Corresponde al encargado del tratamiento, a petición del responsable de tratamiento, comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos y en caso de que corresponda, a los interesados. La comunicación contendrá, como mínimo, la información siguiente:
- Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
m. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
n. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
o. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
p. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos tratados (ver ANEXO – MEDIDAS DE SEGURIDAD).
En todo caso, deberá implantar mecanismos para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.
q. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable, en caso de que proceda.
r. En el caso de que finalice la prestación del servicio, respecto a los datos, el encargado deberá: Devolver al RESPONSABLE los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación, conforme y según las normas sectoriales de aplicación. El ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
5. Obligaciones del responsable del tratamiento
Corresponde al responsable del tratamiento:
a. Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
b. Realizar un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos y libertades de los interesados y, si se determinara que existen riesgos, realizar una evaluación de impacto para que se proceda a la implementación de medidas adecuadas para evitarlos o mitigarlos.
c. Realizar las consultas previas que corresponda.
d. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
e. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
6. Legislación aplicable
Ambas partes renuncian expresamente al fuero que por ley pudiera corresponderles, sometiéndose a la jurisdicción de los Juzgados y Tribunales de Málaga, para la resolución de las controversias que surjan con motivo de la interpretación o ejecución de este contrato.
Y para que así conste, en prueba de conformidad y aceptación del contenido de este escrito, ambas partes lo firman por duplicado y a un solo efecto en la fecha y lugar indicados en el encabezamiento.
Anexo: Medidas de seguridad
Información de interés general
El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer
garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida, la destrucción
o el daño accidental de los datos personales. Esto implica el establecimiento de medidas técnicas y organizativas
encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad
(artículo 5.2) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).
Estas son algunas de las medidas mínimas a tener en cuenta tanto a nivel técnico como organizativo para
implantar en la empresa. El responsable de tratamiento añadirá cuantas medidas crea necesarias, a partir de
estos mínimos, para garantizar la confidencialidad e integridad de los datos personales.
Todo el personal con acceso a datos personales deberá tener conocimiento de sus obligaciones con relación
a los tratamientos de datos personales y serán informados acerca de dichas obligaciones por los canales que
establezca la empresa (formación, manual de usuario, código de conducta, anexos al contrato, etc.).
Medidas organizativas
Deber de confidencialidad y secreto
Evitar el acceso de personas no autorizadas a los datos personales: evitar pantallas desatendidas, documentos en zonas de acceso público, etc. cuando se ausente del puesto de trabajo se procederá al bloqueo de la estación o cierre de la sesión.
Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios, cajones o estancias de acceso restringido). No se desecharán documentos o soportes electrónicos con datos personales sin garantizar su destrucción.
No se comunicarán datos personales o cualquier información personal a terceros.
Firmar con trabajadores con acceso a datos un acuerdo de confidencialidad y entregarles un manual para usuarios con las obligaciones y medidas establecidas.
El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.
Derechos de los titulares de los datos
Se informará a los trabajadores, en especial a los que puedan estar cara al público, acerca del procedimiento para atender los derechos de los interesados definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos.
Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos (acceso, rectificación, supresión, oposición, olvido, portabilidad). El responsable de tratamiento deberá dar respuesta a los interesados sin dilación indebida.
Violaciones de seguridad de datos de carácter personal
Cuando de produzcan violaciones de seguridad de datos de carácter personal se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria. La notificación se realizará a través de la sede electrónica de
la AEPD.
Se podrá gestionar de forma interna el registro de incidencias que se puedan producir con los datos personales.
Captación de imágenes con cámaras (videovigilancia)
Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores. Los monitores donde se visualicen las imágenes de las cámaras se ubicarán en un espacio restringido.
Las imágenes se almacenarán durante el plazo máximo de 1 mes, excepto las imágenes que sean aportadas a los tribunales y fuerzas/cuerpos de seguridad.
Se informará acerca de la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo.
Cuando las cámaras vayan a ser utilizadas con la finalidad de control laboral se informará al trabajador o a sus representantes acerca de las medidas de control establecidas por el empresario.
Para dar cumplimiento al derecho de acceso de los interesados se solicitará fotografía reciente y DNI del interesado. No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros.
Documentación Papel
Se establecerán criterios de archivo para la documentación que contenga datos de carácter personal y se custodiará de forma adecuada cuando no se utilice dicha documentación.
DATOS ESPECIALMENTE PROTEGIDOS: Se restringirá el acceso a este tipo de documentación, se habilitarán métodos para su destrucción y se llevara a cabo un registro de acceso a estos documentos.
Delegado de protección de datos (DPD)
Se designará cuando:
• El tratamiento lo lleve a cabo una autoridad u organismo público.
• Las actividades consistan en operaciones que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Medidas técnicas
Identificación
Se establecerán mecanismos de autenticación personalizados para acceder a los sistemas mediante, por ejemplo, un usuario y contraseña específico para cada trabajador (identificación inequívoca).
Se establecerán perfiles de usuarios con diferentes niveles de acceso a datos personales según las funciones del trabajador.
Cuando un dispositivo se utilice para tratamiento de datos personales y fines de uso personal se recomienda establecer perfiles distintos.
Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios.
Se garantizará, como mínimo, la existencia de contraseñas para el acceso a los datos personales almacenados en los sistemas. La contraseña tendrá al menos 8 caracteres (números y letras) y la empresa decidirá la complejidad de dichas claves. Se cambiarán estas claves, al menos, una vez al año.
Se debe garantizar la confidencialidad de las contraseñas evitando que puedan ser expuestas a terceros.
En caso de reintentos de acceso erróneo a una cuenta de usuario se bloqueará dicha cuenta.
Deber de salvaguarda
Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados.
En estos dispositivos se dispondrá de un sistema de antivirus instalado y debidamente actualizado.
Para evitar accesos remotos indebidos a los datos personales se tomarán las medidas correspondientes como la existencia de un firewall.
Periódicamente (mínimo semanal) se llevarán a cabo procesos de copia de seguridad de los datos personales en un soporte distinto del que se utiliza para el trabajo diario. Se dispondrá siempre de una copia de seguridad en un lugar diferente donde se almacenan los datos.
DATOS ESPECIALMENTE PROTEGIDOS: Se llevará a cabo un registro de accesos a este tipo de datos.
Gestión de soportes y dispositivos
Se dispondrá de un inventario actualizado de los diferentes soportes/dispositivos que contengan datos personales.
DATOS ESPECIALMENTE PROTEGIDOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación.
Se establecerán mecanismos de restricción de acceso a la sala donde se encuentren los servidores (CPD).
Como norma general, los ficheros que contengan datos de carácter personal, se almacenarán en un servidor de ficheros y no en los dispositivos de los usuarios de forma local.
Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá realizarse por mecanismos
automáticos (software o programas informáticos) o de forma manual.
4-Cláusulas informativas
Cláusula de recogida de datos genérica
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679, le informamos que los datos personales aportados en este formulario serán tratados por el encargado Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP), con la finalidad de comunicarse con el usuario.
Estos datos se conservarán mientras dure la finalidad para la que se han obtenido y siempre que no ejerza ningún derecho de los que lo amparan. No se comunicarán a terceros, excepto por obligación legal, ni tampoco se realizará ninguna transferencia internacional de datos sin su consentimiento previo. Una vez sus datos ya no sean necesarios, se suprimirán con las medidas de seguridad adecuadas.
Así mismo, le informamos que tiene derecho a solicitar el acceso, rectificación, portabilidad y supresión de sus datos y la limitación y oposición a su tratamiento dirigiéndose al encargado de tratamiento con domicilio a PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected], junto con una fotocopia de su DNI o documento análogo en derecho, indicando el tipo de derecho que quiere ejercer. Tiene igualmente derecho a retirar el consentimiento prestado en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento efectuado antes de la retirada del mismo. También tiene derecho a presentar una reclamación, si considera que el tratamiento de datos personales no se ajusta a la normativa vigente, ante la Autoridad de control (www.agpd.es).
Con la firma del presente documento, el firmante se considera informado y otorga su consentimiento para el tratamiento mencionado.
Nombre y Apellidos:
DNI:
Fecha:
Firma:
Cláusula informativa básica
Versión NORMAL (cartas, albaranes, facturas, faxes, etc.)
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679, le informamos que los datos personales incorporados en este documento serán tratados por el responsable de tratamiento Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP), con el fin de mantener una relación comercial y las conservará mientras se mantenga esta relación. No se comunicarán los datos a terceros, excepto por obligación legal, ni se realizará ninguna transferencia internacional sin su consentimiento previo. Así mismo, se le informa que puede ejercer los derechos de acceso, rectificación, portabilidad y supresión de sus datos y los de limitación y oposición a su tratamiento dirigiéndose a Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) con domicilio: PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected], junto con una fotocopia de su DNI indicando el tipo de derecho que quiere ejercer. Si considera que el tratamiento no se ajusta a la normativa vigente, podrá presentar una reclamación ante la autoridad de control en agpd.es.
Versión REDUCIDA (TPV, tiques venta, etc.)
Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) es Responsable del Tratamiento de sus datos de acuerdo con el RGPD y la LOPDGDD, y los trata para mantener una relación mercantil/comercial con usted. Los conservará mientras se mantenga esta relación y no se comunicarán a terceros. Puede ejercer los derechos de acceso, rectificación, portabilidad, supresión, limitación y oposición a la dirección PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected] para cualquier reclamación.
Comunicación RGPD-Para clientes
Estimados clientes,
A fecha 25 de mayo de 2018, será de aplicación el Reglamento Europeo 2016/679 de 27 de abril (RGPD), de Protección de Datos de Carácter Personal. Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) mantiene desde hace años una rigurosa política de privacidad con los datos personales de sus clientes.
Continuando con esta política de protección de datos, le remitimos este escrito para informarle de los tratamientos que se vienen realizando con sus datos personales y los aspectos a los que nos obliga dicha normativa.
A tal efecto, le informamos que sus datos siguen incorporados en nuestras bases de datos y son objeto de tratamiento con la finalidad de ofrecerle la mejor prestación de servicios posible y poder atender los compromisos derivados de la relación comercial que mantenemos con usted, mediante el envío periódico de información sobre nuestros productos, servicios o novedades, de Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) o de las otras empresas que pertenecen al grupo, que pueden ser de su interés y que buscan fomentar ventajas y beneficios para Ud.
Le informamos que puede ejercer los derechos de acceso, rectificación, oposición, limitación y, en su caso, portabilidad o cancelación comunicándolo a la dirección [email protected] con indicación de sus datos personales. Si considera que el tratamiento no se ajusta a la normativa vigente, podrá presentar una reclamación ante la autoridad de control en www.agpd.es.
Asimismo le informamos de su derecho a retirar el consentimiento en cualquier momento del tratamiento. Su información se conservará mientras exista un interés mutuo para ello y mientras no ejerza alguno de los derechos que le amparan. Por otra parte no se realizan transferencias internacionales con sus datos.
En el caso de producirse alguna modificación de sus datos, le rogamos nos lo comunique para su subsanación, con la finalidad de mantener los datos actualizados, según la normativa legal vigente en protección de datos.
Para la información más detallada sobre la Protección de Datos Personales y saber las empresas del grupo puede acceder a nuestra política de privacidad.
Firma correo electrónico
Firma correo electrónico (versión normal)
Este mensaje y, en su caso, los documentos adjuntos, son confidenciales, especialmente en lo que hace referencia a los datos personales que puedan contener y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y ha recibido este correo por error o tiene conocimiento del mismo por cualquier motivo, le rogamos nos lo comunique por este medio y proceda a borrarlo, y que, en todo caso, se abstenga de utilizar, reproducir, alterar, archivar o comunicar a terceros el presente mensaje y documentos adjuntos.
De conformidad con lo que dispone la normativa vigente de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) .le informamos que los datos personales incluidos en esta comunicación serán tratados por Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP). Le informamos que puede ejercer los derechos de acceso, rectificación, portabilidad y supresión de los datos y los de limitación y oposición a su tratamiento dirigiéndose a PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected]. Si considera que el tratamiento no se ajusta a la normativa vigente, podrá presentar una reclamación ante la autoridad de control en agpd.es.
Firma correo electrónico (versión reducida)
Este mensaje y los adjuntos pueden contener información confidencial, no estando permitida su comunicación, reproducción o distribución. Si usted no es el destinatario final, le rogamos nos lo comunique y borre el mismo. De conformidad con el que dispone la normativa vigente en protección de datos RGPD y LOPDGDD, le informamos que los datos personales serán tratados bajo la responsabilidad de Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP). Puede ejercer los derechos de acceso, rectificación, portabilidad, supresión, limitación y oposición mandando un mensaje a [email protected]. Si considera que el tratamiento no se ajusta a la normativa vigente, podrá presentar una reclamación ante la autoridad de control en agpd.es.
Cláusula informativa en contratos/presupuestos
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679, le informamos que los datos personales aportados serán tratados por Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) (Responsable del Tratamiento). La finalidad del tratamiento de los datos será el mantenimiento, desarrollo, control y ejecución de la relación contractual que, en el marco de la prestación de los servicios que se identifican en el objeto del contrato, mantenga con Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP). Los datos se conservarán mientras dure la relación comercial o mercantil. Una vez cumplida esta prestación, los datos de carácter personal se guardarán, debidamente boqueados, según lo que establezca la normativa sectorial vigente. No está prevista la cesión de datos a terceros excepto si existe una obligación legal.
Se informa al interesado que tiene derecho a retirar el consentimiento para tratar los datos en cualquier momento y que, si ejerce este derecho, se tendrá que proceder a la rescisión del contrato en los términos expuestos en el mismo puesto que el tratamiento de datos es imprescindible para la ejecución del contrato. Asimismo podrá ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos y los de limitación u oposición al tratamiento dirigiéndose a THE PINK LION SHOP con domicilio: PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected]. Si considera que el tratamiento de datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Autoridad de control (www.agpd.es).
Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) se responsabiliza de tener implantadas las medidas de seguridad que correspondan, en virtud de lo que se establece en la normativa vigente de protección de datos.
Todo el personal de Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) tendrá conocimiento de la normativa en materia de protección de datos, en el momento en que proceda a tratar la información propiedad del cliente.
Cláusula recepción CV
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679, le informamos que los datos personales aportados serán tratados por Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP), con domicilio: PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA (Responsable del Tratamiento).
Los datos aportados serán tratados con la única finalidad de hacer partícipe al interesado en los procesos de selección de personal abiertos actualmente o para futuros procesos en el que el candidato pueda encajar, no pudiendo ser utilizados para otras finalidades. En caso de producirse alguna modificación en sus datos, le rogamos nos lo comunique por escrito lo antes posible, con objeto de mantener los datos debidamente actualizados. No se comunicarán a terceros, excepto por obligación legal.
Los datos se conservarán durante un plazo máximo de tres meses, transcurrido el cual se procederá a la supresión de los mismos garantizándole un total respeto a la confidencialidad tanto en el tratamiento como en su posterior destrucción.
Así mismo, le informamos que tiene derecho a solicitar el acceso, rectificación, portabilidad y supresión de sus datos y la limitación y oposición a su tratamiento dirigiéndose a: PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected], indicando el tipo de derecho que quiere ejercer y acompañando su solicitud de una copia de su DNI o documento análogo en derecho. Si considera que el tratamiento de datos personales no se ajusta a la normativa vigente, también tiene derecho a presentar una reclamación ante la Autoridad de control (www.agpd.es).
Nombre y Apellidos:
DNI:
Fecha:
Firma
Cláusula redes sociales
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679, le informamos que los datos personales proporcionados a través de este canal serán tratados por Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) (Responsable del Tratamiento), con el fin de gestionar la consulta que nos pueda realizar a través de la red social.
No se comunicarán los datos a terceros, excepto por obligación legal, ni se realizará ninguna transferencia internacional de datos sin su consentimiento previo. Así mismo, se informa que puede ejercer los derechos de acceso, rectificación, portabilidad y supresión de sus datos y las de limitación y oposición a su tratamiento dirigiéndose a Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) a la dirección PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected], junto con una fotocopia de su DNI o documento análogo en derecho, indicando el tipo de derecho que quiere ejercer. Si considera que el tratamiento no se ajusta a la normativa vigente, podrá presentar una reclamación ante la autoridad de control en agpd.es.
En todo caso, si usted remite información personal a través de la red social, Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP) quedará exenta de responsabilidad en relación a las medidas de seguridad aplicables a la presente plataforma, habiendo el usuario en caso de querer conocerlas, consultar las correspondientes condiciones particulares de la red en cuestión.
Cláusula captación de imágenes
En cumplimiento de lo que dispone la normativa vigente en materia de protección de datos personales (Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales (LOPDGDD) y garantía de los derechos digitales con arreglo a lo establecido en el Reglamento (UE) 2016/679) y el derecho a la propia imagen (Ley Orgánica 1/1982 de 5 de mayo) les informamos que THE PINK LION SHOP les solicita autorización para publicar las fotografías/videos captados en para su publicación en ______________________________________________________________________
Si no nos indica lo contrario, estas imágenes se conservarán debidamente protegidas y almacenadas. No se comunicarán a terceros, excepto por obligación legal, ni tampoco se realizará ninguna transferencia internacional de datos sin su consentimiento previo. Una vez las imágenes ya no sean necesarias, estas se guardarán debidamente bloqueadas con las medidas de seguridad pertinentes.
Así mismo, le informamos que tiene derecho a solicitar el acceso, rectificación, portabilidad y supresión de los datos y la limitación y oposición a su tratamiento dirigiéndose a Mercedes de la Finca Macías Sánchez (THE PINK LION SHOP), con domicilio: PLZA. DE LOS ARREGLANES, 1 5ºJ TEBA-MÁLAGA o enviando un correo electrónico a [email protected], junto con una fotocopia de su DNI o documento análogo en derecho, indicando el tipo de derecho que quiere ejercer. Tiene derecho a retirar el consentimiento prestado en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento efectuado previamente. También tiene derecho a presentar una reclamación, si considera que el tratamiento de datos personales no se ajusta a la normativa vigente, ante la Autoridad de control (www.agpd.es).
Con la firma del presente documento, el abajo firmante se considera informado y otorga su consentimiento para el tratamiento mencionado.
_ Marque esta casilla sino desea que se publiquen estas imágenes donde usted aparezca en los canales mencionados.
Nombre y Apellidos:
DNI
Firma
5-LSSICE
Cualquier página web está obligada a velar por las prescripciones establecidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y en la Directiva Europea 2000/31/CE.
Esta normativa establece una serie de obligaciones formales que debe cumplir cualquier página web destinada a la venta directa o indirecta de productos o servicios.
Si además la página web incluye sistemas para la venta a distancia de productos o servicios (comercio electrónico), deberán cumplirse unas obligaciones adicionales.
Estas son, a modo resumen, las obligaciones formales que se deberán aplicar a la hora de implantar un ecommerce.
Obligaciones derivadas de la LSSICE
Información sobre el prestador de servicios
La persona, empresa o entidad propietaria de la página web estará obligada a poner a disposición de los usuarios, de forma permanente, fácil, directa y gratuita, la siguiente información (este documento es el AVISO LEGAL y se accede a él como enlace en la página de INICIO del sitio web):
a) Identidad del prestador de servicios (nombre o denominación social, residencia o domicilio, dirección de correo electrónico, teléfono, etc.)
b) Datos de inscripción del registro en el que se encuentren inscritos.
c) Datos de autorización administrativa previa (en caso de actividad sujeta a este régimen).
d) Datos de profesión regulada (núm. Colegiado, título académico, normas profesionales, etc.)
e) Cuando aparezcan PRECIOS, incluir información clara y exacta sobre el precio del producto o servicio así como los impuestos aplicables y los gastos de envío.
f) Códigos de conducta a los que, en su caso, esté adherido.
Información y formalismos obligatorios en el proceso de compra online
Información accesible ANTES de realizar el pedido (contratar)
Además del cumplimiento de los requisitos en materia de información que se establecen en el apartado anterior, la propietaria de la página web deberá, antes de iniciar el procedimiento de contratación, poner a disposición del destinatario, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre los siguientes aspectos:
a) Los distintos trámites que deben seguirse para cerrar el contrato.
b) Si el prestador va a archivar el documento electrónico en que se formalizará el contrato y si éste va a ser accesible.
c) Los medios técnicos que la propietaria pone a su disposición para identificar y corregir errores en la introducción de datos.
d) La lengua o lenguas en que podrá formalizarse el contrato.
La Ley permite incluir esta información (puntos a,b,c y d) en el AVISO LEGAL general.
e) Las CONDICIONES GENERALES a que, en su caso, deba sujetarse el contrato, de manera que estas puedan ser almacenadas y reproducidas por el destinatario.
EXCEPCIONES: El prestador no tendrá la obligación de facilitar la información señalada en el apartado anterior cuando:
- Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor.
- El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente.
Información POSTERIOR a la realización del pedido
La propietaria está obligada a confirmar la recepción del pedido al emisor, por alguno de los siguientes medios:
a) El envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente, a la dirección que el aceptante haya señalado, en el plazo de las veinticuatro horas siguientes a la recepción.
b) Directamente en la misma página web, siempre que se permita al consumidor guardar esta información.
Igual que en el apartado anterior, no será necesario confirmar la recepción de la aceptación de una oferta cuando:
- Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor.
- El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, siempre que estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación.
A efectos de prueba, se recomienda que el proceso de contratación se realice mediante un sistema que permita acreditar que el usuario acepta las condiciones y confirma la compra de los productos una vez ha podido acceder a ellas.
Obligaciones derivadas de la normativa en materia de protección de datos
Además de las obligaciones establecidas por la LSSICE, deberán tenerse en cuenta las obligaciones generales derivadas de la LOPDGDD-RGPD con las que se estará cumpliendo al haber contratado dicho servicio en esta página web:
a) Mantener un registro de actividades de tratamiento.
b) Cumplir con el deber de INFORMACIÓN y CONSENTIMIENTO.
c) Contratos con ENCARGADOS DE TRATAMIENTO.
d) Cumplir con las medidas de seguridad correspondientes.
Otras obligaciones
Debemos tener en cuenta que, al margen de las obligaciones indicadas, que son las más importantes en cualquier proceso de compra por internet y que obligan a incluir una serie de formalismos previos a la implantación de la página web, existen otras obligaciones derivadas de otras normas de carácter general que pueden afectar a cualquier nuevo establecimiento (ya sea real o virtual), al proceso de compra o incluso a los destinatarios.
Esta normativa deberemos tenerla presente en el momento de redactar las condiciones generales de contratación y a la hora de prestar el servicio (por ejemplo, el plazo para proceder a la devolución de un pedido en virtud de la Ley de Consumidores).
Las normas más importantes son:
a) Real Decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales.
b) Ley 44/2006 de 29 de diciembre, de mejora de la protección de los consumidores y usuarios.
c) RDL 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU).
d) Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los usuarios y consumidores.
e) Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios.
f) Ley 7/1998, de 13 de abril, sobre Condiciones Generales de Contratación, y modificaciones posteriores,
g) Ley 7/1996, de 15 de enero de Ordenación del Comercio Minorista, y
Normativa de Cookies
Otra obligación de la LSSICE es la aceptación del uso de cookies por parte de los usuarios que acceden en la web. El prestador de servicios, en el momento que instale cookies de terceros en los terminales de los usuarios les tiene que pedir el consentimiento para poderlo hacer (más info en el documento POLÍTICA COOKIES).
Conclusiones
La venta de productos por internet viene regulada específicamente por la LSSICE y la normativa vigente en materia de protección de datos (LOPDDGDD-RGPD), debiéndose tener en cuenta otras leyes que pueden afectar directa o indirectamente a la forma de prestar el servicio.
La mayoría de las obligaciones que se establecen son de carácter formal. Lo recomendable es disponer en la página web de forma accesible mediante enlaces la siguiente información: ‘aviso legal’, ‘política de privacidad’, ‘política de cookies’ y ‘condiciones generales de contratación’ (para los e-commerce). Estos textos se los proporciona nuestra plataforma en su área documental.
Además, para el caso de los e-commerce el proceso de compra deberá realizarse de manera que quede claro que el consumidor puede acceder a la información necesaria antes de contratar, que acepta las condiciones y, una vez se haya realizado la contratación, que pueda acceder (y guardarse) la confirmación.
Por todo ello, le recomendamos que en caso de una tienda online, realice una auditoría completa en materia de LSSICE para que las condiciones se ajusten del todo a su actividad.
Si desea llevar a cabo una auditoria a medida sobre esta materia, contacte con nosotros para hacerle un presupuesto.
6-Violaciones de seguridad
Registro y notificación de una violación de seguridad de datos personales a una autoridad de control
Fecha / hora en que se ha detectado la violación de seguridad:
1.- Descripción de la Violación de seguridad:
2.- Categorías de datos afectados:
[ ] Datos Básicos [ ] Datos Especialmente Sensibles [ ] Datos Sanciones / Infracciones Penales
3.- Estado incidencia: [ ] Pendiente [ ] Resuelta
4.- Identificación del DPO: Nombre: __________ Mail: ____________
Identificación de la persona que detecta la violación: __________________________
5.- Posibles consecuencias de la violación de seguridad de datos personales:
6.- Medidas propuestas y adoptadas por el responsable del tratamiento:
7.- ¿Se trata de una violación de seguridad de los datos con riesgo para los derechos de los afectados?
[ ] SI continúa con la cuestión 8
[ ] NO continúa con la cuestión 11
8.- (En su caso) Autoridad de Control a la que notificar la violación de seguridad:
9.- (En su caso) Fecha y Hora de la notificación a la Autoridad de Control:
10.- (En su caso) Justificación de la NO notificación de la incidencia en el plazo de 72 horas:
11.- Identificación de la persona que cumplimenta el presente registro o notificación de la violación
Registro y notificación de una violación de seguridad de datos personales al interesado
La comunicación al interesado a que se refiere el RGPD no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas anteriormente
Fecha / hora en que se ha detectado la violación de seguridad:
1.- Descripción de la Violación de seguridad:
2.- Categorías de datos afectados:
[ ] Datos Básicos [ ] Datos Especialmente Sensibles [ ] Datos Sanciones / Infracciones Penales
3.- Estado incidencia: [ ] Pendiente [ ] Resuelta
4.- Identificación del DPO: Nombre: __________ Mail: ____________
Identificación de la persona que detecta la violación: __________________________
5.- Posibles consecuencias de la violación de seguridad de datos personales:
6.- Medidas propuestas y adoptadas por el responsable del tratamiento:
7.- Identificación del responsable del tratamiento:
Violaciones de seguridad
Notificaciones de violaciones de seguridad
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como ‘quiebras o brechas de seguridad’, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Ejemplos de brechas de seguridad
- la pérdida o robo de un dispositivo (Smartphone, ordenador portátil, tablet, etc)
– el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal)
– el borrado accidental de ficheros que contengan datos de carácter personal
– la fuga de información debido a un ataque en la red corporativa o en la página web
– la perdida de documentación con información sensible
Daños que puede ocasionar una violación de seguridad
Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como:
- pérdida de control sobre sus datos personales – restricción de sus derechos,
- discriminación,
- usurpación de identidad,
- pérdidas económicas,
- reversión no autorizada de la seudonimización,
- daños reputacionales,
- pérdida de confidencialidad de datos sujetos al secreto profesional, o
- cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Quién debe comunicar una violación de seguridad
El responsable del tratamiento cuando tenga conocimiento de que se ha producido una violación de seguridad o, en su caso, el encargado de tratamiento. El encargado de tratamiento comunicará la incidencia al responsable en la mayor brevedad posible para activar los protocolos correspondientes.
Cuándo comunicar una violación de seguridad
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
El responsable deberá, sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente. Si dicha notificación no es posible en el plazo indicado, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse la información por fases
¿A quién comunicar una violación de seguridad?
- Autoridad Competente (Agencia Española de Protección de Datos o las Agencias autonómicas), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
- A los propios afectados: en los casos en que sea probable que la violación de seguridad entrañe alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada en toda la Unión Europea. Además, la AEPD, tiene previsto activar canal específico para este tipo de notificaciones en su página web dentro de la sede electrónica.
Excepción a comunicar la violación
Si el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. El responsable deberá analizar subjetivamente el supuesto concreto y determinar el improbable riesgo.
La notificación a los interesados no será necesaria cuando:
El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado. Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice. Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.
Criterios para valorar si un incidente de seguridad debe notificarse
A la hora de decidir si se ha de notificar un determinado incidente de seguridad, hay que tener en cuenta:
El potencial daño para los datos de los interesados: formas en las que el potencial daño puede materializarse (por ejemplo: robo de identidad o fuga de datos sobre aspectos privados de la vida de personas físicas como por ejemplo sus circunstancias económicas). El volumen de datos personales afectados: se tendrá que evaluar en relación con el tipo de datos objeto de la brecha de seguridad. Verificar si los datos afectados se encuadran dentro de los especialmente sensibles
Procedimiento para notificar una brecha de seguridad
Pasos para informar a la AEPD de una brecha de seguridad:
- Valoración del riesgo: valorar el riesgo de la brecha de seguridad es diferente del análisis de riesgos previo a los tratamientos. Se pretende determinar hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede ocasionar a los afectados puede causar un daño en sus derechos o libertades.
- Evaluar si hay daños materiales o inmateriales: Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.
- Calcular el alcance: Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.
- Alto riesgo / Gran impacto: En supuestos de brechas que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos. Puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso. El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.
- Comunicar la violación a la AEPD a través de su canal online: (adjuntamos plantillas tipo de comunicado a la AEPD y a los afectados) Contenido Mínimo:
la naturaleza de la violación,
categorías de datos y de interesados afectados
medidas adoptadas por el responsable para solventar la quiebra
si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados
Si no fuera posible facilitar la información indicada anteriormente, de forma simultánea, y en la medida en que no lo sea, la información se deberá facilitar a la Autoridad de Control de manera gradual y sin dilación indebida.
Sanciones
El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Las multas administrativas se impondrán en función de las circunstancias de cada caso y se graduarán en función de los criterios recogidos en el RGPD.
7-Derechos de los afectados
La protección de los datos personales es un derecho fundamental de la persona y para su defensa la Ley y el RGPD reconoce y amparan los derechos de los ciudadanos al control y disponibilidad de sus datos ante los terceros que los tratan.
Estos derechos son:
- De Acceso,
- De Rectificación,
- De Cancelación
- De Oposición,
a los que se les añaden, a partir de la entrada en vigor del Reglamento (UE) 2016/679, los derechos siguientes: - de información y transparencia,
- de Portabilidad de los datos,
- Limitación al tratamiento y
- el Derecho al Olvido.
Para contestar estos derechos si son ejercidos por sus titulares/interesados, se deberá desarrollar un protocolo que explique cómo deberá la empresa facilitar a los interesados el ejercicio de estos derechos. Se deberá asegurar que todos los departamentos afectados conozcan y faciliten a los interesados el ejercicio de estos derechos.
El afectado (interesado), deberá dirigirse directamente al responsable del tratamiento en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.
El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos, visibles y accesibles puestos a disposición por el responsable del tratamiento y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendidos en forma y plazo según la normativa legal vigente, puede acudir a la tutela de la Autoridad de control pertinente (en España la Agencia Española de Protección de Datos (AEPD)).
El RGPD no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.
El RGPD prevé también que el ejercicio de derechos será gratuito para el interesado. Este criterio de gratuidad puede no seguirse en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, cuando el responsable podrá:
- cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o realizar la actuación solicitada, o
- negarse a actuar respecto a la solicitud.
Es el responsable el que debe demostrar ese carácter infundado o excesivo. En todo caso el canon no podría implicar un ingreso adicional para el responsable, sino que debería corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud.
El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo debe notificarse dentro del primer mes. Si el responsable decide no atender la solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
De acuerdo con el RGPD, los responsables deberán tomar todas las medidas razonables para verificar la identidad de quienes soliciten acceso y, en general, de quienes ejerzan los restantes derechos ARCO.
El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
Derechos Personalísimos
El ejercicio de estos derechos es personalísimo, es decir, sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado
• El titular de los datos, acreditando su identidad.
• Su representante legal, cuando el titular se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos. En este caso será necesario que acredite tal condición.
• Un representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente y la representación conferida por aquél.
El responsable del tratamiento puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.
Derechos independientes entre sí
Cada derecho es independiente y puede ser ejercido de manera individual. El ejercicio de alguno de ellos no será requisito previo para el ejercicio de otro (por ejemplo, para que una persona ejerza su derecho de rectificación no es necesario que anteriormente haya solicitado el derecho de acceso).
Obligación de atención a los derechos
La atención de estos derechos es una obligación para la empresa que está tratando los datos. En este punto vamos a realizar una diferenciación: los datos, como hemos visto anteriormente, pueden ser tratados por el responsable del tratamiento o pueden haber sido comunicados al encargado de tratamiento.
Cuando la solicitud es recibida por el responsable del tratamiento:
• Éste deberá contestar la solicitud en todo caso, con independencia de que figuren o no datos personales del afectado en sus tratamientos de datos.
• En el supuesto de que la solicitud no reúna los requisitos necesarios de identificación del interesado -con fotocopia del DNI o documento equivalente- o de concreción de lo que se solicita o de la dirección de respuesta, el responsable del tratamiento deberá solicitar la subsanación de éstos.
• Corresponderá al responsable del tratamiento cumplir con la obligación de conservar la acreditación del cumplimiento del mencionado deber.
• El responsable del tratamiento deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.
Cuando la solicitud es recibida por el encargado del tratamiento:
• En el caso de que se incluya en el contrato de prestación de servicios la obligación para el encargado del tratamiento de atender las solicitudes de ejercicio de derechos realizadas por los ciudadanos, éste será quien deberá responder al ciudadano en los plazos legalmente establecidos.
• Cuando en el contrato de prestación de servicios no se incluya esta obligación, si el encargado del tratamiento recibe una solicitud de ejercicio de derechos, deberá remitírselo inmediatamente al responsable del tratamiento para que sea éste quien responda dicha solicitud en tiempo y forma.
Procedimiento
Los derechos se ejercerán a través de una petición o solicitud dirigida a la organización, junto con una copia del DNI o documento análogo en derecho. El medio a través del cual se podrá ejercer será sencillo y gratuito, y ha de permitir acreditar el envío y recepción de la petición o solicitud.
No se considerará conforme a la legislación vigente que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas certificadas o semejantes, la utilización de servicios de telecomunicaciones que impliquen una traficación adicional al afectado o cualesquiera otros medios que signifiquen un coste excesivo para el interesado. La opción más recomendable es la de ofrecer al afectado la posibilidad de ejercer sus derechos por correo ordinario, facilitándole una dirección postal.
Cuando el responsable del tratamiento disponga de servicios de atención al público o de reclamaciones relacionadas con el servicio prestado o los productos ofertados, deberá concederse la posibilidad al afectado de ejercer sus derechos a través de dichos servicios. Este punto es de vital importancia ya que implica que todos los empleados que atienden este tipo de servicios al cliente en la empresa tengan conocimiento de estos derechos y de poder cursar la solicitud correspondiente.
Corresponde a la organización ante la cual se presenta la solicitud o petición la prueba del cumplimiento del deber de respuesta. En el supuesto de no contestar dentro de los plazos establecidos, o hacerlo de forma incompleta, el sujeto afectado tiene derecho a acudir a la Autoridad de Control – Agencia Española de Protección de Datos (en lo sucesivo, AEPD) en España-, donde si acredita mínimamente dichas circunstancias, se abrirá por parte de la misma expediente sancionador, pudiendo derivar en la imposición de una sanción.
Protocolo para el ejercicio de estos derechos
Las organizaciones pueden establecer los siguientes protocolos, a modo de ejemplo, para verificar el cumplimiento efectivo del ejercicio de estos derechos:
a) Elaborar los avisos legales en los que el consentimiento se preste tal y como establece la legislación vigente
b) Revisar los avisos existentes en la empresa para incluir la información adecuada a cerca de estos derechos
c) Revisar que cualquier nueva campaña que se realice contenga la información adecuada a cerca de estos derechos
d) Crear un protocolo desde que se recibe la petición del interesado hasta que se da por terminada la gestión del mismo
e) Envío de recordatorios por e-mail o en la intranet (si se tuviera) a los empleados sobre cómo tratar y a dónde debe enviarse cualquier solicitud de derechos que pueda recibir la empresa y formación continua
f) Mapa de sanciones ante cualquier infracción que se derive por recabar incorrectamente el consentimiento
Derecho de información y transparencia
El derecho de Información y transparencia exige a los responsables del tratamiento a tomar las medidas pertinentes para proporcionar toda la información en una forma concisa, transparente, comprensible y de fácil acceso, utilizando un lenguaje claro y sencillo y, especialmente, en las comunicaciones dirigidas a los menores de edad. Asimismo, deberá asegurarse a los interesados, con la finalidad de cumplir con la transparencia, que puedan supervisar los tratamientos realizados de sus datos si así lo desean.
Derecho de acceso
El derecho de acceso es aquél que faculta al afectado para solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer con los mismos.
Qué deberá comunicarse al afectado:
El responsable del tratamiento tiene la obligación de comunicar al afectado:
- Fines del tratamiento
- Categoría de datos que se traten
- Destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos
- De ser posible, Plazo de conservación de los datos o criterios utilizados para determinar el plazo de conservación
- Existencia del derecho de rectificación, cancelación u oposición, o limitación del tratamiento
- Derecho a presentar reclamación ante la autoridad de control
- Cualquier información del origen de los datos, si no se han obtenido directamente del titular
- Existencia de decisiones automatizadas (análisis de perfiles).
Cómo comunicarlo al afectado:
Los sistemas a través de los cuales se puede comunicar al afectado esta información son:
• Visualización en pantalla.
• Escrito, copia o fotocopia remitida por correo, certificado o no.
• Telecopia (fax).
• Correo electrónico u otros sistemas de comunicación electrónica.
• Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento ofrecido por el responsable.
Denegación del Acceso:
Este derecho no es absoluto y se recogen una serie de casos en los que se podrá negar el acceso. Estos son:
• Cuando el derecho ya se haya ejercitado, por el afectado, en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo a tal efecto.
• Cuando así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el uso de los datos a los que se refiera el acceso.
En todo caso, el responsable del tratamiento deberá justificar su denegación e informar al afectado. Este punto es importante ya que la solicitud debe ser respondida siempre y dentro de los plazos establecidos para ello.
Aun no concediendo el derecho, ya sea por concurrir alguna de las causas enumeradas anteriormente o en el caso de que no se disponga de datos de carácter personal de los afectados que solicitan el derecho, siempre se ha de contestar la solicitud.
Derecho de rectificación
El derecho de rectificación es el derecho del afectado a que se modifiquen sus datos por resultar ser inexactos o incompletos. La solicitud de rectificación deberá indicar a qué datos se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado. El responsable del tratamiento deberá comunicar cualquier rectificación a cada uno de los destinatarios a los que se hayan comunicado los datos personales.
Denegación de la Rectificación:
La posibilidad de denegar el derecho de rectificación pude ocurrir cuando así lo prevea una Ley o norma comunitaria o internacional.
Al igual que con el derecho de acceso, el responsable del tratamiento deberá justificar su denegación e informar al afectado, así como responder a las solicitudes aun en el caso de que no se traten datos del interesado.
Derecho de cancelación/supresión y derecho al olvido
El derecho de cancelación es el derecho del afectado o interesado a que se supriman sus datos por resultar ser inadecuados o excesivos.
Si los datos cancelados hubieran sido cedidos previamente, el responsable del tratamiento deberá comunicar la cancelación efectuada al cesionario, en idéntico plazo, para que éste proceda asimismo a cancelar los datos. En estos casos, la cancelación por parte del cesionario no requerirá comunicación al interesado.
Denegación de la Cancelación/Supresión:
La posibilidad de denegar el derecho de cancelación es posible cuando así lo prevea una Ley o mientras dure el plazo previsto en su legislación específica (por ejemplo, la legislación tributaria o legislación sanitaria).
Al igual que con el derecho de acceso, el responsable del tratamiento deberá justificar su denegación e informar al afectado, así como responder a las solicitudes aun en el caso de que no se traten datos del interesado.
Derecho al Olvido:
Este derecho tiene su base en el derecho de borrado de datos. El responsable del tratamiento que haya hecho públicos datos personales se le impone la obligación de informar a los demás responsables, que estén tratando datos, de la obligación de borrar cualquier enlace, copia o repetición de los datos personales.
El responsable del tratamiento deberá tomar medidas razonables, teniendo en cuenta la tecnología disponible y los medios de que disponga, incluyendo medidas técnicas, para informar a los responsables que están tratando los datos, de la solicitud del interesado.
El responsable del tratamiento deberá comunicar cualquier supresión a cada uno de los destinatarios a los que se hayan comunicado los datos personales.
El RGPD equipara este derecho de supresión o “Derecho al Olvido” al derecho de cancelación.
Supuestos de aplicación de este derecho:
El RGPD establece que los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si:
- ya no son necesarios para los fines para lo que fueron recogidos o tratados de otro modo,
- si los interesados han retirado su consentimiento para el tratamiento,
- si los interesados se oponen a ese tratamiento, o
- si el tratamiento de sus datos personales es ilegal.
Supuestos de NO aplicación de este derecho:
No se aplicará el derecho al Olvido cuando los datos sean necesarios para alguno de los siguientes supuestos:
- ejercicio del derecho a la libertad de expresión e información (especialmente respecto a noticias relativas a personajes públicos o de interés público),
- cuando tenga por finalidad cumplir una obligación legal que requiera el tratamiento de datos personales, para cumplir con una misión de interés público o por ser inherente al ejercicio del poder público,
- por razones de interés público en el ámbito de la salud pública,
- con fines de archivo, interés público, fines de investigación científica e histórica o fines estadísticos, o
- para la formulación, el ejercicio o defensa de reclamaciones.
Derecho de oposición
El derecho de Oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo, siempre y cuando medie causa justificada.
Excepciones a la Oposición:
Cuando el interesado ejerza este derecho, el Responsable ha de dejar de tratar sus datos personales, salvo:
- que acredite motivos legítimos imperiosos para el tratamiento en cuestión que prevalezcan sobre los intereses, derechos y libertades del interesado, o
- para la formulación, el ejercicio o la defensa de reclamaciones
Supuestos en los que se debe fundamentar el derecho de oposición:
• Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de un motivo legítimo y fundado que lo justifique, referido a su concreta situación personal, siempre que una Ley no disponga lo contrario.
• Cuando se trate de ficheros que tengan como finalidad la realización de actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su creación.
• Cuando el tratamiento tenga como finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.
En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo.
El responsable del tratamiento, una vez recibida la solicitud, podrá estimar la solicitud, en el caso de excluir del tratamiento los datos relativos al afectado que ejercite su derecho o denegarlo con causa justificada.
Derecho de oposición a las decisiones automatizadas (la elaboración de perfiles):
Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta.
Las excepciones al tratamiento automatizado para ejercer este derecho:
- Es necesario el tratamiento para cumplir un contrato entre el interesado y el responsable del tratamiento
- Se encuentra autorizado por ley
- Cuenta con el consentimiento explícito del interesado (aunque este consentimiento puede ser revocado).
Derecho de oposición en tratamientos de Marketing:
Cuando los datos sean tratados con fines de marketing, el interesado tiene derecho a oponerse en cualquier momento a dicho tratamiento, y se le deberá informar de este derecho, a más tardar, en la primera comunicación con él. Se le informará de manera explícita, clara y separada de cualquier otra información.
Derecho de portabilidad
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso en la que la persona interesada tiene derecho a recibir los datos personales que le afectan que haya facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable, si se cumplen los requisitos siguientes:
- El tratamiento esté basado en el consentimiento o en un contrato
- El tratamiento se haga por medios automatizados
- Cuando el interesado lo solicita respecto a los datos que haya proporcionado
al responsable y que le conciernan incluidos los datos derivados de la propia actividad del interesado. Esto supone que no es aplicable a los datos de terceras personas que un interesado haya facilitado a un responsable. Como tampoco se aplicaría si el interesado solicita la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.
Incluye el derecho a que los datos se transmitan directamente de responsable a responsable, cuando sea técnicamente posible.
El Grupo de Autoridades Europeas de Protección de Datos (Grupo del Artículo 29) ha adoptado una opinión en la que se analiza detalladamente este derecho, que puede consultarse en:
http://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guidelines-on-the-right-to-data-portability.pdf (está en inglés).
Derecho a la limitación del tratamiento
La limitación de tratamiento se presenta en el RGPD como un derecho de los interesados. Supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. La limitación puede solicitarse cuando:
- El interesado ha ejercido los derechos de rectificación u oposición y mientras el responsable determina si procede atender a la solicitud,
El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello,
- Los datos ya no son necesarios para el tratamiento, lo que nuevamente determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones
A este derecho se le aplican los mismos plazos y procedimientos que a los restantes derechos previstos en el RGPD. En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación: - Con el consentimiento del interesado
- Para la formulación, el ejercicio o la defensa de reclamaciones
- Para proteger los derechos de otra persona física o jurídica
- Por razones de interés público importante de la Unión o del Estado miembro correspondiente
Una consecuencia de esta regulación es que impide una práctica que se sigue en ocasiones y que consiste en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.